醫(yī)院信息系統(tǒng)信息安全等級保護建設與測評方法簡析

蔣提　趙彥軍

【摘 要】隨著計算機和網(wǎng)絡技術的快速發(fā)展，信息系統(tǒng)已越來越多的應用到醫(yī)療系統(tǒng)中，結(jié)合醫(yī)院信息系統(tǒng)的分類和特點，為更好的做好醫(yī)院信息安全等級保護工作，本文對信息系統(tǒng)安全等級保護建設和測評進行了簡單的探討，并對醫(yī)院信息系統(tǒng)等級過程中遇到了問題提出了一些建議，確保信息系統(tǒng)更好的安全運行。

【關鍵詞】醫(yī)院信息系統(tǒng)；信息安全；等級保護

0 引言

隨著我國信息化改革的不斷深入，信息系統(tǒng)也逐漸成為醫(yī)療行業(yè)中不可或缺的一部分，但隨著信息系統(tǒng)的日益發(fā)達，病毒破壞、黑客攻擊、管理缺失等不良因素引發(fā)的信息系統(tǒng)安全問題也越來越多。我國信息安全領域有關部門和專家學者通過多年研究，在借鑒國外先進經(jīng)驗和結(jié)合我國現(xiàn)階段情況的基礎上，提出分級保護的策略來解決我國信息安全問題。信息安全等級保護制度不僅是我國信息安全保障工作的一項基本制度，更是一項事關國家安全及穩(wěn)定的政治任務。醫(yī)院數(shù)據(jù)信息的安全性[1]也同樣至關重要，通過安全等級保護的建設與測評，有效的改進了醫(yī)院信息安全方面的一些不足，優(yōu)化了信息安全資源。

1 信息安全等級保護概述

信息安全等級保護[2]是維護我國信息安全的重要保障，通過對信息安全等級保護工作的開展，可以有效解決信息系統(tǒng)所面臨的諸多不安全問題，有利于改善國家信息安全的現(xiàn)狀。

信息安全等級保護是指對國家、法人和其他組織及公民的專有信息及公開信息以及存儲、傳輸、處理這些信息的信息系統(tǒng)實行分等級的安全保護工作，對信息系統(tǒng)中使用到的信息安全產(chǎn)品進行登記管理，對信息安全系統(tǒng)中的安全事件實行與其對應的處理。《信息安全等級保護信息安全等級保護管理辦法》規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。根據(jù)信息系統(tǒng)的保密性以及完整性要求及信息系統(tǒng)所要達到的相應保護等級要求，將信息系統(tǒng)安全保護等級劃分為五級[3]。第一級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。不同級別的安全保護工作有著不同的監(jiān)督管理政策。信息系統(tǒng)安全等級保護是根據(jù)信息系統(tǒng)應用業(yè)務的重要程度及實際安全需求，實行分級、分類的保護，達到保障信息安全的目的。將信息安全等級保護的工作劃為：等級保護定級與備案；系統(tǒng)安全建設與整改；等級測評。

2 醫(yī)院信息系統(tǒng)安全等級保護建設與測評

信息系統(tǒng)安全等級保護的核心是對信息系統(tǒng)分等級、按標準進行建設、管理和監(jiān)督[4]。對于醫(yī)院信息系統(tǒng)的定級，衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)辦發(fā)[2011]85號）中指出“三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)”的“安全保護等級原則上不低于第三級”。結(jié)合醫(yī)院業(yè)務及信息系統(tǒng)實際情況，確定醫(yī)院核心業(yè)務系統(tǒng)：醫(yī)院平均日門診量；醫(yī)院住院床位數(shù)；業(yè)務系統(tǒng)承載病患個人隱私信息，一旦泄露對社會秩序構(gòu)成重大影響的；業(yè)務中斷使醫(yī)院正常運營蒙受重大經(jīng)濟損失；其他會對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成重大影響的系統(tǒng)。例如醫(yī)院的門急診系統(tǒng)，一旦業(yè)務系統(tǒng)中斷，一方面會使醫(yī)院蒙受經(jīng)濟損失，另一方面會造成大量患者滯留，延誤治療時機，給患者帶來重大安全隱患。又如電子病歷系統(tǒng)，系統(tǒng)中存儲著大量病人的個人隱私，一旦泄露會對患者和社會秩序帶來重大影響，因此這種安全保護等級應不低于三級。醫(yī)院信息系統(tǒng)在建設階段，應該按照《計算機信息系統(tǒng)安全等級保護劃分準則》以及《信息系統(tǒng)安全等級保護基本要求》等技術標準進行搭建、建設符合申請級別的信息安全措施，并制定符合該級別要求的安全管理制度?？傮w安全設計是提取共性形成模型，針對模型中的共性要素并結(jié)合相應等級要求提出安全策略和安全措施要求。

等級測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，受有關單位委托，從安全技術與安全管理兩大項，對信息系統(tǒng)安全等級保護狀況進行全面測試與綜合評估的活動。測評活動主要以溝通、洽談和技術手段為主，并貫穿了整個測評過程。測評準備活動主要分為項目啟動、信息收集與分析、工具和表單準備。方案編制工作主要分為測評對象和測評指標確定、測評內(nèi)容確定、工具測試方法確定、測評指導書開發(fā)?，F(xiàn)場測評工作主要分為測評實施準備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還。報告編制工作主要分為單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論和測評報告編制。

3 信息系統(tǒng)安全等級保護的問題

通過信息安全等級保護測評，會發(fā)現(xiàn)關于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)等等方面的漏洞[5]，并且由于醫(yī)院信息安全管理中缺少部分安全管理制度，缺少制度的落實實施，也是出現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)等漏洞的原因之一。發(fā)現(xiàn)這些問題之后，醫(yī)院組織相關部門管理人員一起制定了一系列的安全管理制度，來保障對信息安全的有效管理。信息安全是一個動態(tài)的系統(tǒng)工程，安全管理制度也有一個不斷完善的過程。經(jīng)過安全事件的處理和等級保護測評，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整，減少對醫(yī)院信息系統(tǒng)安全的影響。

4 結(jié)束語

在信息快速發(fā)展的今天，通過信息安全等級保護評估，優(yōu)化了信息安全資源，并為醫(yī)院信息化建設提供了系統(tǒng)的、可行性的指導和意見，保障了信息在傳輸、管理、控制中的安全，減少了因信息泄露、信息破壞等對國家、經(jīng)濟、社會等方面造成的影響，促使醫(yī)院管理向規(guī)范化、科學化方向發(fā)展，從而為醫(yī)院、社會、國家創(chuàng)造更高的經(jīng)濟效益。

【參考文獻】

[1]王暉.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南[M].北京：國防工業(yè)出版社，2010.

[2]GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求[S].

[3]GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分標準[S].

[4]范紅，胡志昂，金麗娜，等.信息系統(tǒng)等級保護安全設計技術實現(xiàn)與使用[M].北京：清華大學出版社，2010.

[5]張洋，張常青.關于醫(yī)院信息系統(tǒng)數(shù)據(jù)安全問題及應對措施[J].信息安全與技術，2012（05）：105-106.

[責任編輯：楊玉潔]