文档介绍:XXX三级医院等级保护建设整改计划方案西安交大捷普网络科技5月目录第1章 综述 项目背景 项目目标 参考依据 5第2章 信息系统现实状况和安全需求 信息系统现实状况 医院业务内网现实状况 医院办公外网现实状况 安全需求分析 医院业务内网安全分析 医院办公外网安全分析 医院业务内网和办公外网数据交换分析 11第3章 总体安全计划设计 总体设计思绪 设计标准 体系化设计框架 体系计划 技术体系计划 管理体系计划 运维体系计划 16第4章 信息安全体系具体设计 安全技术体系建设 总体安全计划设计拓扑示意图 网闸技术实施 VPN技术实施 入侵检测技术/入侵防护实施 WEB应用防火墙技术实施 漏洞扫描实施 网络及数据库安全审计技术实施 堡垒主机实施 防病毒技术实施 终端安全管理技术实施 统一身份管理建设 安全管理平台 安全管理体系建设 安全管理体系建设必需性 安全管理体系框架 安全管理体系建设内容 结合等保安全管理体系文档 安全运维体系建设 周期性安全评定 周期性安全加固 定时安全巡检 应急响应方案处理 定时安全通告 安全培训教育 系统上线检测 54第5章 投资概算说明 软硬件产品预算 安全服务预算 58综述项目背景伴随医疗卫生行业信息化建设程度不停推进,医疗卫生业务管理逻辑和价值体系对于信息系统依靠程度不停提升,信息安全隐患不停显露,信息安全保障盲点也日渐凸现,保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避基础内容。《国家信息化领导小组相关加强信息安全保障工作意见》(中办发[]27号)提出“要关键保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面关键信息系统,抓紧建立信息安全等级保护制度,制订信息安全等级保护管理措施和技术指南”。今年卫生部印发了《卫生部办公厅相关开展全国卫生行业信息安全等级保护工作通知》(卫办综函【】1126号)其中强调:“依据国家信息安全等级保护制度,遵照相关标准规范,开展信息安全等级保护定级立案、建设整改和等级测评等工作”,所以开展信息安全等级保护工作已成为全国医疗卫生行业信息化建设关键内容,也是医院实现本身关键业务安全稳定运行关键。XXX医院规模大,技术力量强,集医疗、教学、科研、抢救、保健于一体综合性三级甲等医院,为落实落实《卫生部办公厅相关开展全国卫生行业信息安全等级保护工作通知》(卫办综函【】1126号)、《卫生行业信息安全等级保护工作指导意见》(卫办发【】85号)文件、《北京市卫生局相关深入加强北京市卫生行业信息安全等级保护工作通知》(京卫办字【】26号),切实提升本身信息安全防护能力,拟根据国家信息安全等级保护制度要求,进行信息系统安全等级保护建设。同时,新近颁布“十二五”计划纲要中明确指出要“健全网络和信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评定等制度。”标志着信息安全等级保护工作已经上升到国家战略层面,成为关系国计民生关键任务。本方案经过对XXX关键信息系统技术层面及管理层面全方面评定和了解,整理出高风险安全需求,并结适用户实际业务要求,对XXX整体信息系统安全工作进行计划和设计,并逐步完成安全建设,以满足XXX信息安全目标及国家相关政策和标准要求,同时为全方面提升信息安全管理水平和控制能力打下坚实基础。项目目标经过此次项目,将充足了解XXX本身信息安全现实状况、信息安全风险和安全需求,构建和实施信息技术安全管理体系、安全技术体系和安全运维体系,为未来全方面提升信息安全管理水平和控制能力,适应并符合不停发展改变业务新需求。同时,遵照国家等级保护政策法规和标准建立一整套适合XXX信息系统等级化安全保障体系,并为经过国家等级保护安全测评立案工作做好前期准备。参考依据本文参考国家信息安全政策法规、信息安全标准和相关规范:政策法规《中国计算机信息系统安全保护条例》(国务院[1994]147号)《国家信息化领导小组相关加强信息安全保障工作意见》(申发办[]127号)《信息安全等级保护管理措施》(公通字[]