ImageVerifierCode 换一换
格式:DOC , 页数:9 ,大小:459.54KB ,
资源ID:2269666      下载积分:6 金币
验证码下载
登录下载
邮箱/手机:
验证码: 获取验证码
温馨提示:
支付成功后,系统会自动生成账号(用户名为邮箱或者手机号,密码是验证码),方便下次登录下载和查询订单;
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/2269666.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  
声明  |  会员权益     获赠5币     写作写作

1、填表:    下载求助     留言反馈    退款申请
2、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
3、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
4、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
5、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
6、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
7、本文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。

注意事项

本文(医院信息安全等级保护建设方案.doc)为本站上传会员【精****】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4008-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

医院信息安全等级保护建设方案.doc

1、医院信息系统等级保护建设方案1.为什么需要等级保护?1.1 什么是等级保护?信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 1.2 等级保护的重要性 等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安

2、全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。1.3 国家强制性等保要求国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件关于开展全国重要信息系统安全等级保护定级工作的通知和信息安全等级保护管理办法

3、,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。2. 等级保护实施过程“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1. 系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。2. 安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,

4、根据安全域划分原则设计系统安全域架构。3. 安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。4. 确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。5. 评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。6. 安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。7. 安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行

5、安全管理建设。通过如上步骤,医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。信息系统实施等级保护的过程如图所示:系统定级、备案安全规划设计安全实施实施阶段施安全运维重大变更局部调整系统终止图 信息系统安全等级保护实施的基本过程3.等级保护建设依据 在本次等级保护建设技术方案设计中,参考的主要标准如下: 计算机信息系统安全保护等级划分准则(GB17859-1999)(基础标准) 信息系统安全等级保护基本要求(报批稿) (基线标准) 信息系统安全保护等级定级指南(国标征求意见稿) (辅助标准) 信息安全等级保护实施指南(报批稿) (辅助

6、标准) 信息系统安全等级保护 测评准则(送审稿) (辅助标准) 电子政务信息安全等级保护实施指南(试行) 信息安全技术信息系统通用安全技术要求(GB/T20271-2006) 信息安全技术网络基础安全技术要求(GB/T20270-2006) 信息安全技术操作系统安全技术要求(GB/T20272-2006) 信息安全技术数据库管理系统安全技术要求(GB/T20273-2006) 信息安全技术终端计算机系统安全等级技术要求(GA/T671) 信息系统安全安全管理要求(GB/T20269) 信息系统安全工程管理要求(GB/T20282) 信息安全技术服务器技术要求4. 医院等级保护解决方案4.1系统

7、定级通过分析医院业务系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,以及为了更大强度的保证业务系统的安全,我们把XX医院的业务系统按照等级保护的三级标准进行设计,安全解决方案也将依据等级保护三级的具体要求来编写。 4.2安全域设计根据等级保护相关工作提出的要求,特制定本方案,方案中对医院整个网络实施分区分域的安全域划分,在技术体系方案设计中会详述。根据安全域划分原则设计系统安全域架构,为以有针对性的进行技术加固的控制措施提供有力依据,切实提高业务系统的安全性、可靠性和可用性,为完成核心业务信息系统信息安全等级保护整改工作提供建议。4.3 风险差距分析针对医院业务系统进行风险差距分

8、析,风险差距分析依据信息系统安全等级保护基本要求三级要求包括技术部分和管理部分,如下图:现根据等级保护三级的具体标准要求,就目前客户现状,制定对应的解决方案。4.4整体解决方案4.4.1技术体系方案设计此次医院的安全建设包含了网络安全防护、系统安全防护、应用安全防护及安全管理系统。具体部署方案如下图所示。针对信息系统安全等级保护基本要求,本方案采取了必要的安全技术措施用于满足三级基本要求,整个架构以业务应用为中心,安全管理为支撑,通过以上网络安全建设,医院信息化系统初步具备:层层设防,重点突出,策略联动,管理为上的目标和优势,能够基本满足医院信息安全建设的需求以及通过等级保护测评。4.4.2方

9、案设计阐述首先将医院办公网分为外联区、核心区域、安全管理区、外网办公区、内网办公区、外网应用服务器区、内网服务器区等9个区域,根据所化分区域实现分区分域防护。核心区:在外网外联区部署一台抗拒绝服务系统,防止各种DDoS攻击,外网外联区和外网核心区出口部署防火墙系统和入侵防护系统,在入侵防护系统下端部署防毒墙系统,做到对病毒的防护,同时部署 VPN设备,提供外网办公人员安全的管理内部资源。安全管理区:大多数安全风险是有管理疏忽造成的,有效的安全管理可大大提升工作效率。在安全管理区域部署漏洞扫描系统和配置核查系统,定期对办公网进行漏洞扫描,提前发现安全漏洞和存在威胁的配置情况,通过漏洞扫描系统和配

10、置核查系统的安全解决方案可有效帮助管理员及时修补漏洞和错误配置的修改,杜绝安全风险;在内网核心区和外网核心区的核心交换上部署一台未知威胁分析系统,保证对未知的安全威胁进行分析和防护。部署安全审计系统,对数据库和操作系统进行安全审计,可审计对重要系统的不安全行为、记录违规行为。有效帮助管理员实现安全事件预警、溯源等;通过部署统一安全运维管理平台对安全设备和部分网络设备进行统一管理、状态监控、策略下发、集中审计,在安全区域再部署一台堡垒机系统,实现对内网重要资源的统一管理、统一运维、统一行为审计。同时部署一台无线接入设备,起到无线办公的目的。内网区域(外公、内公、外网应用服务器区、内网服务器区):

11、在外网办公区和内网办公区边界部署一台下一代防火墙,可实现应用层防护以及访问控制、防病毒等功能,可有效杜绝安全威胁行为,起到第三道防护墙的安全作用;同时外网核心区与外网服务器区,对网站应用层防护的不足,在外网服务器区前部署WEB应用防护系统针对应用服务区网站等WEB应用可实现精细防护,可有效杜绝网页挂马、XSS跨站、SQL注入、网页篡改等问题;同时在办公内网的核心区和内网服务器区部署两台IPS入侵防护系统, IPS入侵防护系统可实现2-7层的宽度防御能力,可有效检测和防御恶意攻击行为,并且在内网服务器区域部署一台负载均衡系统,和原有的负载均衡系统保持双机部署。安全管理区-无线接入:安全管理区部署

12、无线接入平台,无线终端通过安全管理区的无线接入平台接入到网络设备,然后进行和内网服务器区域、内网办公区域等区域的数据交互。首先通过安全审计产品进行对无线接入的设备的流量审计、内容审计和行为审计。其次通过堡垒机、内网服务器区域防火墙、内网服务器区域入侵防护产品,对来自无线接入设备的攻击防护,确保无线接入设备不会对内网服务器区域造成威胁和危害。最后可通过配置核查设备和漏洞扫描产品对无线接入设备进行脆弱性分析和发现,主动发现存在脆弱性和威胁性的无线设备。4.4.3安全管理体系设计安全体系管理层面设计主要是依据信息系统安全等级保护基本要求中的管理要求而设计。可从以下方面进行设计:l 安全管理制度根据安

13、全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。通过此次等级保护项目建设,具体形成管理文档如下: 安全总体策略 等级保护体系制定和发布管理规定 等级保护体系评审和修订管理规定l 安全管理机构根据基本要求设置安全管理机构的织形式和运作方式,明确岗位职责;设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员,建立授权与审批制度。通过此次等级保护项目建设,具体形成管理文档如下: 等级保护管理

14、组织架构 信息系统安全检查管理规定 信息中心岗位职责 会议纪要表 外联联络表l 人员安全管理根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。通过此次等级保护项目建设,具体形成管理文档如下: 人力资源安全管理规定 信息安全培训和考核管理规定 第三方安全管理规定l 系统建设管理根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理

15、。通过此次等级保护项目建设,具体形成管理文档如下: 信息系统测试管理办法 信息系统等级保护管理规定 信息平台项目管理规定 安全建设整体规划方案 硬件配套项目系统集成实施方案l 系统运维管理根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等,使系统始终处于相应等级安全状态中。通过此次等级保护项目建设,具体形成管理文档如下: 信息系统安全事件应急预案 系统运维操作手册 信息系统安全基线配置规范 信息系统设备安装操作,维护操作手册 工作环境管理规定 中心机房机房出入审批和登记记录 机房管理办法 信息系统资产管理规定 信息系统存储介质管理规定 中心机房设备运行及维护档案 计算机设备管理规定 信息系统运维监控管理规定 信息技术部网络系统运行管理规定 信息系统帐号权限管理规定 信息系统补丁管理规定 信息系统日志管理规定 信息系统防病毒管理规定 信息系统密码管理规定 信息系统变更管理规定 信息系统备份恢复策略 信息系统备份与恢复管理规定 信息系统安全事件管理规定 信息系统硬件管理办法 信息系统软件管理办法- 9 -

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服