安全保護等級初步確定為第二級及以上的等級保護對象,其運營使用單位應(yīng)當依據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》進行初步定級�����、專家評審����、主管部門審批、公安機關(guān)備案審查�,最終確定其安全保護等級。
一�、定級流程
安全保護等級初步確定為第二級及以上的等級保護對象,其運營使用單位應(yīng)當依據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》進行初步定級�、專家評審�、主管部門審批、公安機關(guān)備案審查�����,最終確定其安全保護等級���。
二�、定級方法
等級保護對象的級別由兩個定級要素決定:a) 受侵害的客體���;b) 對客體的侵害程度��。定級對象的安全主要包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同�����,因此�����,安全保護等級也應(yīng)由業(yè)務(wù)信息安全(S)和系統(tǒng)服務(wù)安全(A)兩方面確定����,根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級;根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)安全等級���;由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護等級����。參考下列表格:
三�����、定級報告
《信息系統(tǒng)安全等級保護定級報告》
1����、XX醫(yī)院HIS系統(tǒng)描述
HIS系統(tǒng)是覆蓋XX醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過程的信息管理系統(tǒng)。為醫(yī)院所屬各部門提供患者診療信息和行政管理信息的收集���、存儲��、處理�、提取和數(shù)據(jù)交換的能力并滿足授權(quán)用戶的功能需求的平臺。系統(tǒng)為由X臺服務(wù)器��、網(wǎng)絡(luò)設(shè)備X臺����,有HIS系統(tǒng)應(yīng)用前臺、后臺��、門診掛號客戶端應(yīng)用��、門診收費客戶端應(yīng)用���、藥品管理客戶端應(yīng)用、住院收費客戶端應(yīng)用�����、中間件應(yīng)用等應(yīng)用組成�。HIS系統(tǒng)主要面向醫(yī)院、醫(yī)護人員���、醫(yī)院管理者��、公共衛(wèi)生機構(gòu)��、區(qū)域醫(yī)療衛(wèi)生機構(gòu)�、衛(wèi)生行政機關(guān)等用戶。HIS系統(tǒng)是由XX單位開發(fā)��,XX單位信息中心維護�����。HIS系統(tǒng)為XX醫(yī)院的定級對象�,XX醫(yī)院對HIS系統(tǒng)具有信息安全保護責任,承擔HIS系統(tǒng)安全責任的部門是信息中心��。HIS系統(tǒng)部署在XX醫(yī)院XX機房��,沒有互聯(lián)網(wǎng)連接����、外聯(lián)單位和廣域網(wǎng)連接,不存在互聯(lián)網(wǎng)邊界和與其他單位的邊界�����。
2��、XX醫(yī)院HIS系統(tǒng)安全保護等級的確定
(一)業(yè)務(wù)信息安全保護等級的確定
1����、業(yè)務(wù)信息描述
系統(tǒng)存儲著患者診療信息��,如患者基本信息��、患者診斷數(shù)據(jù)����、藥品信息����、住院信息、統(tǒng)方信息等�。
2��、業(yè)務(wù)信息受到破壞時所侵害客體的確定
HIS系統(tǒng)中存儲的信息涉及到大量患者信息���,如果數(shù)據(jù)被泄露和篡改會對患者造成影響并可能造成一定社會影響��,故信息受到破壞時侵害的客體是什么社會秩序和公眾利益和公民�����、法人和其他組織的合法權(quán)益����。
3、信息受到破壞后對侵害客體的侵害程度的確定
XX醫(yī)院HIS系統(tǒng)如果數(shù)據(jù)被泄露和篡改���,會對我院���、就診患者以及公共衛(wèi)生行政主管部門的合法權(quán)益造成嚴重侵害,并有可能造成醫(yī)療安全事故的發(fā)生��,對社會秩序和公共利益造成損害�����。故信息受到破壞后�����,會對法人和其他組織的合法權(quán)益造成特別嚴重損害�,對社會秩序和公共利益造成損害造成嚴重損害。
4���、業(yè)務(wù)信息安全等級的確定
依據(jù)信息受到破壞時所侵害的客體以及侵害程度�,確定核心業(yè)務(wù)信息安全等級為三級����。
(二)系統(tǒng)服務(wù)安全保護等級的確定
1���、系統(tǒng)服務(wù)描述
XX醫(yī)院HIS系統(tǒng)的主要服務(wù)對象為醫(yī)院、患者和醫(yī)療公共衛(wèi)生主管機構(gòu)�����,是覆蓋XX醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過程的信息管理系統(tǒng)�����。
2�、系統(tǒng)服務(wù)受到破壞時所侵害客體的確定
系統(tǒng)承載著支持醫(yī)院的行政管理與事務(wù)處理和對醫(yī)院、患者和公共衛(wèi)生進行信息化管理的業(yè)務(wù)�,故系統(tǒng)服務(wù)受到破壞時侵害的客體是什么社會秩序和公眾利益和公民、法人和其他組織的合法權(quán)益���。
3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定
一旦系統(tǒng)癱瘓可能造成醫(yī)院業(yè)務(wù)無法正常開展�����,患者無法及時就醫(yī)����,甚至有可能造成醫(yī)療安全事故的發(fā)生���,對社會秩序和公共利益將造成損害。故系統(tǒng)服務(wù)受到破壞后�����,會對法人和其他組織的合法權(quán)益造成特別嚴重損害��,對社會秩序和公共利益造成損害造成嚴重損害�����。
4����、系統(tǒng)服務(wù)安全等級的確定
依據(jù)系統(tǒng)服務(wù)受到破壞時所侵害的客體以及侵害程度,確定系統(tǒng)服務(wù)安全等級為三級����。
(三)安全保護等級的確定
鑒于XX醫(yī)院HIS系統(tǒng)的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級均為三級,信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定�����,最終確定HIS系統(tǒng)安全保護等級為第三級。
| 信息系統(tǒng)名稱 |
安全保護等級 |
業(yè)務(wù)信息安全等級 |
系統(tǒng)服務(wù)安全等級 |
| XX醫(yī)院HIS系統(tǒng) |
三級 |
三級 |
三級 |
四�����、行業(yè)定級指導(dǎo)意見
1�、醫(yī)療衛(wèi)生行業(yè)定級指導(dǎo)意見
2、教育行業(yè)定級指導(dǎo)意見
3����、電力行業(yè)定級指導(dǎo)意見
4、金融行業(yè)定級指導(dǎo)意見
如需等保測評服務(wù)���,可后臺私信聯(lián)系��。陸陸信息科技���,整合云安全產(chǎn)品的技術(shù)優(yōu)勢,聯(lián)合優(yōu)質(zhì)等保咨詢��、等保測評合作資源�����,提供等保項目的一站式服務(wù)���,全面覆蓋等保定級��、備案�、建設(shè)整改以及測評階段�����,高效通過等保測評�����,落實網(wǎng)絡(luò)安全等級保護工作�����。
等保咨詢熱線:15084670000,15846603791
