文档介绍:XXXX医院信息系统安全等级保护建设方案北京天融信公司2014年07月目录第一章 项目概述 项目背景 设计依据 政策标准 设计原则 6第二章 建设目标与任务 建设目标 建设任务 建设范围 11第三章 安全需求分析 安全现状描述 政策法规要求 等保合规性需求 安全风险防范需求 安全风险识别 现存安全风险 安全风险防范 19第四章 总体方案设计 设计原则 等级保护建设过程 总体建设内容 差距分析评估 总体规划设计 安全整改实施 等级保护测评 系统安全运维 安全保障体系构成 安全技术体系 安全管理体系 安全运维体系 30第五章 等级保护差距分析 确定差距分析评估指标 形成评估指标 制定差距分析评估方案 等级指标对比评估 安全技术评估 安全管理评估 差距分析评估风险规避 33第六章 安全技术体系方案设计 设计思路 总体框架 方案编写结构 安全技术体系设计 确定保护对象 方案设计架构 安全域划分 计算环境防护 区域边界防护 通信网络防护 安全管理中心设计 系统安全加固 81第七章 安全管理体系设计 安全管理体系建设目标 安全管理体系建设流程 建立安全管理组织,落实信息安全责任制 安全管理组织建设原则 安全管理组织总体架构 安全管理岗位和职责 确定安全管理策略,制定安全管理制度 信息安全管理策略体系建设过程 信息安全管理策略体系框架 信息安全总体方针 信息安全策略 信息安全管理体系文档清单 信息安全管理制度的有效发布和执行 信息安全管理制度的运作 落实人员安全管理措施 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 落实系统运维管理措施 信息资产分类管理 运行维护管理 存储介质管理 账号与口令安全管理 防病毒管理 设备配置安全管理 周期性安全风险评估 周期性设备弱点加固 安全监控和安全事件处置 备份与恢复管理 应急预案管理 安全运维服务 落实系统建设管理措施 系统定级 安全方案设计 安全产品采购 自主软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 安全服务商选择 144第八章 整改的落实 安全集成 安全加固 安全加固设计方案 安全加固实施方法 146第九章 保合规审计 现场检查测试前的准备 现场检查测试 综合测评分析 154第十章 协助测评 准备资料 现场协助 156第十一章 项目实施内容 安全集成 安全服务 158项目概述项目背景为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)要求,卫生部结合卫生行业实际,也研究制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)。同时,为了落实85号文,全面提高卫生行业信息安全保障能力和水平,保障和促进卫生信息化健康发展,卫生部决定全面开展信息安全等级保护工作。其中规定: