医院信息系统信息安全等级保护建设与测评方法简析

蒋提　赵彦军

【摘 要】随着计算机和网络技术的快速发展，信息系统已越来越多的应用到医疗系统中，结合医院信息系统的分类和特点，为更好的做好医院信息安全等级保护工作，本文对信息系统安全等级保护建设和测评进行了简单的探讨，并对医院信息系统等级过程中遇到了问题提出了一些建议，确保信息系统更好的安全运行。

【关键词】医院信息系统；信息安全；等级保护

0 引言

随着我国信息化改革的不断深入，信息系统也逐渐成为医疗行业中不可或缺的一部分，但随着信息系统的日益发达，病毒破坏、黑客攻击、管理缺失等不良因素引发的信息系统安全问题也越来越多。我国信息安全领域有关部门和专家学者通过多年研究，在借鉴国外先进经验和结合我国现阶段情况的基础上，提出分级保护的策略来解决我国信息安全问题。信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度，更是一项事关国家安全及稳定的政治任务。医院数据信息的安全性[1]也同样至关重要，通过安全等级保护的建设与测评，有效的改进了医院信息安全方面的一些不足，优化了信息安全资源。

1 信息安全等级保护概述

信息安全等级保护[2]是维护我国信息安全的重要保障，通过对信息安全等级保护工作的开展，可以有效解决信息系统所面临的诸多不安全问题，有利于改善国家信息安全的现状。

信息安全等级保护是指对国家、法人和其他组织及公民的专有信息及公开信息以及存储、传输、处理这些信息的信息系统实行分等级的安全保护工作，对信息系统中使用到的信息安全产品进行登记管理，对信息安全系统中的安全事件实行与其对应的处理。《信息安全等级保护信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。根据信息系统的保密性以及完整性要求及信息系统所要达到的相应保护等级要求，将信息系统安全保护等级划分为五级[3]。第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。不同级别的安全保护工作有着不同的监督管理政策。信息系统安全等级保护是根据信息系统应用业务的重要程度及实际安全需求，实行分级、分类的保护，达到保障信息安全的目的。将信息安全等级保护的工作划为：等级保护定级与备案；系统安全建设与整改；等级测评。

2 医院信息系统安全等级保护建设与测评

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督[4]。对于医院信息系统的定级，卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011]85号）中指出“三级甲等医院的核心业务信息系统”的“安全保护等级原则上不低于第三级”。结合医院业务及信息系统实际情况，确定医院核心业务系统：医院平均日门诊量；医院住院床位数；业务系统承载病患个人隐私信息，一旦泄露对社会秩序构成重大影响的；业务中断使医院正常运营蒙受重大经济损失；其他会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成重大影响的系统。例如医院的门急诊系统，一旦业务系统中断，一方面会使医院蒙受经济损失，另一方面会造成大量患者滞留，延误治疗时机，给患者带来重大安全隐患。又如电子病历系统，系统中存储着大量病人的个人隐私，一旦泄露会对患者和社会秩序带来重大影响，因此这种安全保护等级应不低于三级。医院信息系统在建设阶段，应该按照《计算机信息系统安全等级保护划分准则》以及《信息系统安全等级保护基本要求》等技术标准进行搭建、建设符合申请级别的信息安全措施，并制定符合该级别要求的安全管理制度。总体安全设计是提取共性形成模型，针对模型中的共性要素并结合相应等级要求提出安全策略和安全措施要求。

等级测评是测评机构依据国家信息安全等级保护制度规定，受有关单位委托，从安全技术与安全管理两大项，对信息系统安全等级保护状况进行全面测试与综合评估的活动。测评活动主要以沟通、洽谈和技术手段为主，并贯穿了整个测评过程。测评准备活动主要分为项目启动、信息收集与分析、工具和表单准备。方案编制工作主要分为测评对象和测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发。现场测评工作主要分为测评实施准备、现场测评和结果记录、结果确认和资料归还。报告编制工作主要分为单元测评结果判定、整体测评、风险分析、等级测评结论和测评报告编制。

3 信息系统安全等级保护的问题

通过信息安全等级保护测评，会发现关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞[5]，并且由于医院信息安全管理中缺少部分安全管理制度，缺少制度的落实实施，也是出现操作系统、数据库系统、网络设备、应用系统等漏洞的原因之一。发现这些问题之后，医院组织相关部门管理人员一起制定了一系列的安全管理制度，来保障对信息安全的有效管理。信息安全是一个动态的系统工程，安全管理制度也有一个不断完善的过程。经过安全事件的处理和等级保护测评，对信息安全管理策略进行修改，对信息安全管理范围进行调整，减少对医院信息系统安全的影响。

4 结束语

在信息快速发展的今天，通过信息安全等级保护评估，优化了信息安全资源，并为医院信息化建设提供了系统的、可行性的指导和意见，保障了信息在传输、管理、控制中的安全，减少了因信息泄露、信息破坏等对国家、经济、社会等方面造成的影响，促使医院管理向规范化、科学化方向发展，从而为医院、社会、国家创造更高的经济效益。

【参考文献】

[1]王晖.医疗卫生行业信息安全等级保护实施指南[M].北京：国防工业出版社，2010.

[2]GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求[S].

[3]GB 17859-1999 计算机信息系统安全保护等级划分标准[S].

[4]范红，胡志昂，金丽娜，等.信息系统等级保护安全设计技术实现与使用[M].北京：清华大学出版社，2010.

[5]张洋，张常青.关于医院信息系统数据安全问题及应对措施[J].信息安全与技术，2012（05）：105-106.

[责任编辑：杨玉洁]