醫院信息系統信息安全等級保護建設與測評方法簡析

蔣提　趙彥軍

【摘 要】隨著計算機和網絡技術的快速發展，信息系統已越來越多的應用到醫療系統中，結合醫院信息系統的分類和特點，為更好的做好醫院信息安全等級保護工作，本文對信息系統安全等級保護建設和測評進行了簡單的探討，并對醫院信息系統等級過程中遇到了問題提出了一些建議，確保信息系統更好的安全運行。

【關鍵詞】醫院信息系統；信息安全；等級保護

0 引言

隨著我國信息化改革的不斷深入，信息系統也逐漸成為醫療行業中不可或缺的一部分，但隨著信息系統的日益發達，病毒破壞、黑客攻擊、管理缺失等不良因素引發的信息系統安全問題也越來越多。我國信息安全領域有關部門和專家學者通過多年研究，在借鑒國外先進經驗和結合我國現階段情況的基礎上，提出分級保護的策略來解決我國信息安全問題。信息安全等級保護制度不僅是我國信息安全保障工作的一項基本制度，更是一項事關國家安全及穩定的政治任務。醫院數據信息的安全性[1]也同樣至關重要，通過安全等級保護的建設與測評，有效的改進了醫院信息安全方面的一些不足，優化了信息安全資源。

1 信息安全等級保護概述

信息安全等級保護[2]是維護我國信息安全的重要保障，通過對信息安全等級保護工作的開展，可以有效解決信息系統所面臨的諸多不安全問題，有利于改善國家信息安全的現狀。

信息安全等級保護是指對國家、法人和其他組織及公民的專有信息及公開信息以及存儲、傳輸、處理這些信息的信息系統實行分等級的安全保護工作，對信息系統中使用到的信息安全產品進行登記管理，對信息安全系統中的安全事件實行與其對應的處理。《信息安全等級保護信息安全等級保護管理辦法》規定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。根據信息系統的保密性以及完整性要求及信息系統所要達到的相應保護等級要求，將信息系統安全保護等級劃分為五級[3]。第一級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級。不同級別的安全保護工作有著不同的監督管理政策。信息系統安全等級保護是根據信息系統應用業務的重要程度及實際安全需求，實行分級、分類的保護，達到保障信息安全的目的。將信息安全等級保護的工作劃為：等級保護定級與備案；系統安全建設與整改；等級測評。

2 醫院信息系統安全等級保護建設與測評

信息系統安全等級保護的核心是對信息系統分等級、按標準進行建設、管理和監督[4]。對于醫院信息系統的定級，衛生部《衛生行業信息安全等級保護工作的指導意見》（衛辦發[2011]85號）中指出“三級甲等醫院的核心業務信息系統”的“安全保護等級原則上不低于第三級”。結合醫院業務及信息系統實際情況，確定醫院核心業務系統：醫院平均日門診量；醫院住院床位數；業務系統承載病患個人隱私信息，一旦泄露對社會秩序構成重大影響的；業務中斷使醫院正常運營蒙受重大經濟損失；其他會對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益造成重大影響的系統。例如醫院的門急診系統，一旦業務系統中斷，一方面會使醫院蒙受經濟損失，另一方面會造成大量患者滯留，延誤治療時機，給患者帶來重大安全隱患。又如電子病歷系統，系統中存儲著大量病人的個人隱私，一旦泄露會對患者和社會秩序帶來重大影響，因此這種安全保護等級應不低于三級。醫院信息系統在建設階段，應該按照《計算機信息系統安全等級保護劃分準則》以及《信息系統安全等級保護基本要求》等技術標準進行搭建、建設符合申請級別的信息安全措施，并制定符合該級別要求的安全管理制度。總體安全設計是提取共性形成模型，針對模型中的共性要素并結合相應等級要求提出安全策略和安全措施要求。

等級測評是測評機構依據國家信息安全等級保護制度規定，受有關單位委托，從安全技術與安全管理兩大項，對信息系統安全等級保護狀況進行全面測試與綜合評估的活動。測評活動主要以溝通、洽談和技術手段為主，并貫穿了整個測評過程。測評準備活動主要分為項目啟動、信息收集與分析、工具和表單準備。方案編制工作主要分為測評對象和測評指標確定、測評內容確定、工具測試方法確定、測評指導書開發。現場測評工作主要分為測評實施準備、現場測評和結果記錄、結果確認和資料歸還。報告編制工作主要分為單元測評結果判定、整體測評、風險分析、等級測評結論和測評報告編制。

3 信息系統安全等級保護的問題

通過信息安全等級保護測評，會發現關于物理安全、操作系統、數據庫系統、網絡設備、應用系統等等方面的漏洞[5]，并且由于醫院信息安全管理中缺少部分安全管理制度，缺少制度的落實實施，也是出現操作系統、數據庫系統、網絡設備、應用系統等漏洞的原因之一。發現這些問題之后，醫院組織相關部門管理人員一起制定了一系列的安全管理制度，來保障對信息安全的有效管理。信息安全是一個動態的系統工程，安全管理制度也有一個不斷完善的過程。經過安全事件的處理和等級保護測評，對信息安全管理策略進行修改，對信息安全管理范圍進行調整，減少對醫院信息系統安全的影響。

4 結束語

在信息快速發展的今天，通過信息安全等級保護評估，優化了信息安全資源，并為醫院信息化建設提供了系統的、可行性的指導和意見，保障了信息在傳輸、管理、控制中的安全，減少了因信息泄露、信息破壞等對國家、經濟、社會等方面造成的影響，促使醫院管理向規范化、科學化方向發展，從而為醫院、社會、國家創造更高的經濟效益。

【參考文獻】

[1]王暉.醫療衛生行業信息安全等級保護實施指南[M].北京：國防工業出版社，2010.

[2]GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求[S].

[3]GB 17859-1999 計算機信息系統安全保護等級劃分標準[S].

[4]范紅，胡志昂，金麗娜，等.信息系統等級保護安全設計技術實現與使用[M].北京：清華大學出版社，2010.

[5]張洋，張常青.關于醫院信息系統數據安全問題及應對措施[J].信息安全與技術，2012（05）：105-106.

[責任編輯：楊玉潔]