文档介绍:附件 3 项目评审报告项目名称北京 XX 医院信息系统安全等级保护整改项目项目编码: □□□□□□□□□□□□□□□项目单位: 北京 XX 医院上级单位: 市级部门: 评审方式: 专家评审□中介机构评审□评审日期: 年月日一、项目基本情况项目名称北京 XX医院信息系统安全等级保护整改项目项目单位项目类型 □√项目属性 □□√项目开始时间项目完成时间项目材料及法定手续的完备性二、项目可行性评审立项依据的充分性目前 HIS 的应用已成为医院深化改革、强化管理和发展内涵的重要保障, 其运行数据对医院及患者起着举足轻重的作用。在国内近 17,000 家医院中,31% 的医院已经实施建立了 HIS ,然而调查显示 HIS 管理人员中参加过安全学****的不足 30% ,建立安全机制的医院仅占 10% 左右,而且其安全机制的安全度普遍不高,信息系统安全没有保障。所谓信息系统安全是指采取技术和非技术的各种手段,通过对信息系统建设中的安全设计和运行中的安全管理,使运行在计算机网络中的信息系统有保护,没有危险,即组成信息系统的硬件、软件和数据资源受到妥善的保护,不因自然和人为因素而遭到破坏、更改或者泄露系统中的信息资源,信息系统能连续正常运行。根据国家针对计算机信息系统安全等级保护的相关规定,我院将 HIS 系统定级为三级,其它应用系统(包括 PACS , LIS 等)定位二级。根据信息系统安全等级保护二级及三级的相关规定,需要对医院现有信息系统进行安全整改建设。目标设置的合理性总体目标(一) 业务目标 XX 医院的管理信息系统安全防护水平总体目标是在应用上达到同类型医院一流水平、国内领先,并探索出一套适应 XX 医院服务管理特色的、适合数字化信息处理的数字化医院管理模型与工作流程。实现基础业务流程的信息化,准确、全面的收集费用信息与医疗信息,实现数据共享。在此基础上不断扩展应用,利用数据支持管理与临床、科研等各方面工作。(二) 技术目标从技术方面借助此次安全等级保护三级建设为目标,在实现与达到计算机信息系统三级标准的同时不拘泥于三级标准,更重要的是通过等保三级达标的过程梳理与提高医院管理水平,提升工作人员安全防范意识,提示我院信息系统安全建设等级,我医院的后续发展提供系统安全保障。阶段性目标: 信息系统等级保护安全建设的思路是根据分级分域的原则,按照一个中心下的三重防御体系,建设具有自己特色的信息安全等级保护深度防御体系。一个中心和三重防护体系:按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分,以终端安全为基础对这三部分实施保护, 构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。具体时间与阶段安排: 2012 年项目申报、立项阶段 2013 年项目实施、上线、验收阶段组织实施能力与条件人员条件: 院信息中心在逐步建设、完善、保障已有信息系统的过程中,初步具备了人才、技术、经验、管理等方面的储备,为实现新的发展和跨越提供了人才基础; 外部环境实施条件: 在完善院内信息系统的同时通过近几年项目建设的招投标制度,不断筛选并积累了一批有能力、有实力、有信誉、口碑好的合作单位;另外大量兄弟单位类似项目建设的成功经验的借鉴与参考; 内部环境条件: 我院在项目实施过程中