文档介绍:上海市医院计算机信息网络系统安全策略上海市卫生局信息中心2002年12月目录第一章 总则 3第二章 医院计算机信息网络系统安全策略 3第三章 安全技术策略 51 安全技术策略主要内容 52如何制定安全技术策略 5第四章 安全管理策略 61 安全管理策略主要内容 62 如何制定安全管理策略 6第五章 医院信息系统应急预案 71 应急预案的主要内容 72 如何制定应急预案 7附录1医院计算机信息网络系统安全技术策略 82医院计算机信息网络系统安全管理策略 163医院信息系统应急预案 (简称安全策略)是为保证医院计算机信息网络系统(简称网络系统)安全运行而制定的一系列规定和技术措施的总合,是正常使用和管理医院计算机信息网络系统的正式描述,是医院计算机信息网络系统使用和管理人员必须遵守的规则。2为加强上海市医院计算机信息网络系统安全管理,根据《中华人民共和国计算机信息网络系统安全保护条例》(国务院147号)和《计算机信息网络系统安全保护等级划分准则》(GB17859-1999)等有关规定,结合上海市医院的实际情况,制定本策略。3本策略所提到的“医院计算机信息网络系统”指医院内部使用的、为医教研管服务的联网计算机系统,包含HMIS、CIS、PhIS、LIS、EPR、PACS、远程医学(远程医疗咨询和远程医学教育)系统等。4本策略所提到的信息“安全”定义:医院计算机信息网络系统采用安全技术和安全管理,保护所用的计算机硬件、软件和数据等资源不因偶然或恶意的原因而遭到破坏、更改和泄露,保证系统连续正常运行。5上海市各级各类医疗单位内部的计算机信息网络系统的安全管理适用本策略。6本策略所涉及内容为与医院计算机信息网络系统的稳定性、健壮性、可靠性、安全性、保密性、故障处理与恢复等方面有关的技术和管理体系。7本规定为上海市各级各类医院计算机信息网络系统的安全建设提供指导。,提供网络系统安全保护的内容、目标和方法,规定各部门要遵守的规范及应负的责任,使得网络系统的安全有个统一、可靠的依据。、不断完善的过程。安全策略在制定时必须兼顾条文的可理解性、技术的可实现性、实施的可操作性。::网络系统中所有的网络布线、网络设备、服务器、操作系统、数据库、应用软件等各类资源。:根据保护内容的重要性,保护目标分为A、B、C、D四类:涉及到核心机密信息或提供关键服务的为A类(如HIS数据库服务器);含有敏感信息或提供重要服务的为B类(WEB服务器或E-Mail服务器等);能够访问A类和B类主机且不含敏感信息的为C类(如HIS工作站),不能够访问A类和B类主机,不含敏感信息且可以从外部访问的为D类(访问的工作站)。不同的目标采用不同的安全策略。4安全策略分安全技术策略和安全管理策略两个方面:安全技术策略是针对网络系统中的各类资源的配置、防护、冗余、存放、备份、访问、防攻击等提出的技术规范要求和相关技术措施;安全管理策略指必须建立相应的安全组织、管理制度、操作规范和培训制度。:网络系统的安全可以采用物理隔离、防辐射、防自然灾害、防火墙、防病毒等措施实现;对于数据信息的安全可以采用授权访问、认证访问技术来实现;对于网络传输的安全可以采用安全隧道技术来实现;对于数据信息的存储安全可以采用数据备份技术来实现。6安全责任:网络系统的安全必须明确每个部门及其相关人员的安全责任和义务,将其列入工作考核之中。:为了确保任务的落实,提高大家的安全意识和警惕性,必须规定相关的处罚条款,并组建监督、管理机构(如医院计算机网络系统安全领导小组),以保证各项条款的严格执行。:由于医院业务的不间断特性,为了确保医院信息系统的连续稳定运行,必须制定完善的应急预案,建立故障的及时发现、快速诊断、逐级上报、协同处理、迅速恢复、善后总结的全方位应急体系,将中断时间、故障损失和社会影响降到最低程度。,使其具有信息安全所需要的技术结构和功能保证的信息安全相关产品和系统的整体。信息安全技术策略应主要考虑以下内容: