醫院信息系統安全等級保護測評備案實施

裴莉

根據國家信息安全等級保護制度，醫院實施了安全等級保護，闡述了醫院信息系統等級保護實施過程。提出要有持續改進的理念，不斷加強安全措施確保醫院信息系統安全運行，保障數據安全有效。

【關鍵詞】信息安全等級保護 測評實施

1 引言

醫院信息化建設快速發展，信息系統應用深入到各個環節，信息業務系統承載了門診收費、門診藥房、住院收費、住院藥房、醫保、財務、門急診醫生護士站、住院醫生護士站、電子病歷、病案首頁、檢驗LIS系統、檢查PACS系統、體檢系統等。保障重點信息系統的安全，規范信息安全等級保護，完善信息保護機制，提高信息系統的防護能力和應急水平，有效遏制重大網絡與信息安全事件的發生，創造良好的信息系統安全運營環境勢在必要。根據衛生部印發的《衛生行業信息安全等級保護工作的指導意見》，衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作，對于促進衛生信息化健康發展，保障醫藥衛生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

2 確定測評對象與等級

我院是一所二級甲等綜合醫院，日門診人次1000人左右，住院日人次400余人。醫院信息系統HIS、LIS、PACS、電子病歷、體檢等50余個系統無縫結合，信息雙向交流。按照《信息系統安全等級保護定級指南》定級原理，確定醫院信息業務系統的安全保護等級為第2級，其中業務信息安全保護等級為2級，系統服務安全保護等級為2級。

2.1 招標比選測評公司

醫院通過四川警察網了解到四川省獲得信息安全等級保護測評有資質的5家公司。醫院電話通知該5家公司，簡單介紹醫院信息化情況，其中有3家公司到現場進行調查，掌握了信息系統情況。然后通過招標比選確定一家公司為我院測評安全等級保護。

2.2 測評實施

2.2.1 準備階段

醫院填報《安全等級保護備案申報表》、《安全等級保護定級報告》，確定安全主管人員、系統管理員、數據庫管理員、審計管理員、安全管理員。醫院組織相關人員到市級計算機安全學會進行安全培訓學習。確定醫院信息安全主管人員協助測評公司人員就醫院信息業務系統做調研，提交準備資料。調研內容涉及網絡拓撲結構圖、線路鏈接情況、中心機房位置分布情況、應用系統組成情況、服務器操作系統、數據庫系統以及相應的IP地址、網絡互連設備的配置、網絡安全設備的配置、安全文檔等。

2.2.2 測評主要內容

主要針對醫院信息系統技術安全和安全管理兩方面實施測評，其中技術安全包括物理安全、網絡安全、主機安全、應用系統安全、數據安全及備份恢復進行5；安全管理包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

2.2.3 測評方式與測評范圍

測評公司綜合采用了現場測評與風險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談，了解醫院業務運作以及網絡運行狀況；查看主機房、應用系統軟件、主機操作系統及安全相關軟件、數據庫管理系統、安全設備管理系統、安全文檔、網絡分布鏈接情況。檢查物理安全、主機安全、網絡安全、應用安全和數據安全及備份恢復等技術類測評任務，以及安全管理類測評任務；查閱分析文檔、核查安全配置、監聽與分析網絡等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等；測評人員采用手工驗證和工具測試進行漏洞掃描、系統滲透測試，檢查系統的安全有效性。

整體測評主要應用于安全控制間、層面間和區域間等三個方面。主要就是針對同一區域內、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區域間的互連互通時的安全性。

醫院信息系統運用了身份鑒別措施、軟件容錯機制、用戶權限分組管理、密碼賬戶登錄、數據庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網絡邊界處部署防火墻防御入侵，終端使用了趨勢網絡版本防病毒產品，抵御惡意代碼。開啟系統審計日志，制定和實施有效安全管理制度，加強安全管理，降低系統安全風險。網絡進行了有效的區域劃分，區域之間通過訪問控制列表實現安全控制，與社保局、醫管辦等第三方外聯區之間通過防火墻嚴格限制訪問端口。

2.2.5 差距分析與測評整改

通過測評，測評公司寫出測評報告，提出整改建議。按照《信息系統安全等級保護基本要求》要求6，測評公司人員根據醫院當前安全管理需要和管理特點，針對等級保護所要求的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理，從人員、制度、運作、規范等角度，進行全面的建設7，提供技術建設措施，落實等級保護制度的各項要求，就各類人員進行安全培訓，提升醫院信息系統管理的能力。醫院分期逐步投入防網絡入侵系統、數據庫審計系統等。

2.2.6 編制報告，成功備案

測評公司編制報告，上報市公安局備案成功，獲得二級信息系統備案證書。二級信息系統，每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫院信息系統安全管理水平提高，安全保護能力增強，有效保障信息化健康發展。

3 結語

網絡安全問題是一個集技術、管理和法規于一體的長期系統工程，始終有其動態性，醫院需要不斷進行完善，加強管理，持續增加安全設備以保障醫院數據安全有效，保障信息系統安全穩定運行。醫院信息安全建設要切合自身條件特點，分期分批循序建設，保證醫院各系統長期穩定安全運行，以適應醫院不斷擴展的業務應用和管理需求8。

參考文獻

[1]衛辦發.〔2011〕85號，衛生部關于印發“衛生行業信息安全等級保護工作的指導意見”的通知，2011.

[2]尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理雜志，2005.

[3]王建英，陳文霞，胡雯，張鵬.醫院信息安全分析及措施[J].中國病案，2013.

[4]王俊.醫院信息安全等級保護管理體系的構建[J].醫學信息，2013.

[5]韓作為.醫院信息安全等級保護三級建設流程與要點[J].中國數字醫學，2006.

作者單位

成都市新都區第二人民醫院 四川省成都市 610501endprint