第PAGE\*Arabic\*MERGEFORMAT7页共NUMPAGES\*MERGEFORMAT7页医院信息安全等级保护的探讨1医院重要信息系统等级保护行业政策1.1国家卫生部文件文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求，工作任务中特别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。1.2XX省卫生厅文件为加强医疗卫生行业信息安全管理，提高信息安全意识，以信息安全等级保护标准促进全行业的信息安全工作，提高全省卫生系统信息安全保护与信息安全技术水平，强化信息安全的重要性。2011年6月7日，XX省卫生厅和XX省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》（浙卫发〔2011〕131号），并一同下发了《XX省医疗卫生行业信息安全等级保护工作实施方案》和《XX省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作，XX省卫生信息中心于2012年4月6日下发了《关于印发的函》。上述文件详细规定了工作目标、工作流程和工作进度，并明确了医疗卫生单位重要信息系统的划分和定级，具有很强的指导性和操作性。2医院信息安全等级保护依据上述行业文件要求，全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责，按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。2.1系统定级2.1.1确定对象我省医院信息化发展较早，各类系统比较完善，但数量繁多。将出现多达几十甚至上百个定级对象的状况，这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背，不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则（gb17859-1999）》等标准，结合我省医院信息化现状及发展需要，经卫生信息化专家和信息安全专家多次论证，本着突出重点、按类归并、相对独立、节约费用的原则，从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑，把医院信息系统划分为以下几类，如表1所示。2.1.2等级评定医院重要信息系统的信息安全和系统服务应用被破坏时，产生的危害主要涉及公民的个人隐私、就医权利及合法权益，对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3]，即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高，结合业务服务及系统应用范畴，实行保护重点、以点带面原则，参考定级如表2所示。2.2系统定级备案省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案；各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。2.3等级保护测评医院重要信息系统完成定级备案后，应依据《XX省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》（浙等保〔2010〕9号）选择XX省信息安全等级保护工作协调小组办公室推荐的等级测评机构，启动等级测评工作，结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息，详细了解信息安全保护现状，分析所收集的资料和数据，查找发现医院重要信息系统漏洞和安全隐患，针对测评报告结果进行分析反馈、沟通协商，明确等级保护整改工作目标、整改流程及注意事项，共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后，医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。2.4等级保护规划建设整改根据《信息系统安全等级保护实施指南》及省实施方案，结合医院信息系统的安全需求分析，判断安全保护现状，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划[4]等，用以指导信息系统安全建设工程实施。引进第三方安全技术服务商，协助完成系统安全规划、建设及整改工作。建设，整改实施过程中按照详细设计方案，设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5]，将规划设计阶段的安全方针和策略，切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点，并结合医院自身信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。3医院重要信息系统安全