医院信息系统安全等级保护体系
(一)医院信息系统安全等级保护体系的主要组成
信息系统安全等级保护体系主要由以下四大类组成:
(1)信息系统安全等级保护的法律、法规和政策依据。信息系统安全等级保护政策、法律、法规的依据是信息系统安全等级保护的基本依据和出发点。
(2)信息系统安全等级保护标准体系。信息系统安全等级保护标准体系,是信息安全等级保护在信息系统安全技术和安全管理方面的规范化标准,是从技术和管理方面,以标准的形式对信息安全等级保护的法律、法规、政策的规定进行的规范化描述。
(3)信息系统安全等级保护管理体系。信息系统安全等级保护管理体系,是对实现信息系统安全等级保护所采用的安全管理措施的描述。该标准对信息系统安全等级保护安全系统工程管理、安全系统运行控制和管理、安全系统监督检查和管理等相关问题进行描述。
(4)信息系统安全等级保护技术体系。信息系统安全等级保护技术体系,是对实现信息系统安全等级保护所采用的安全技术的描述。本标准体系从信息系统安全的基本属性、信息系统安全的组成与相互关系、信息系统安全的五个等级、信息系统安全等级保护的基本框架、信息系统安全等级保护基本技术、信息系统安全等级保护支撑平台技术、等级化安全信息系统的构建技术等方面对相关的技术问题进行了描述。[1]
(二)医院信息系统安全等级保护体系框架
根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239—2019),信息安全体系框架分为技术和管理两大类要求,医疗卫生行业等级保护安全体系规划严格根据技术与管理要求进行设计,并且从过程和PDCA模型的角度组织各项等级保护工作。
以《信息安全技术网络安全等级保护基本要求》为指导,根据具体的基本要求设计本级系统的保护环境模型,参照最新《信息安全技术信息系统等级保护安全设计技术要求》,保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计,内容涵盖基本要求的五个方面,同时,结合管理要求,可形成相应信息安全保护体系模型。信息安全等级保护二级框架如图6-1所示,信息安全等级保护三级框架如图6-2[2]所示。
图6-1 信息安全等级保护二级框架示意图
图6-2 信息安全等级保护三级框架示意图