PDF《江苏省卫生计生信息系统》

7、信息系统等级保护安全设计技术要求 (GB/T 25070-2010)

8、信息系统安全等级保护测评要求

9、信息系统安全等级保护测评过程指南

10、信息系统安全管理要求 (GB/T 20269-2006)

11、信息系统安全工程管理要求 (GB/T 20282-2006)

12、卫生行业信息安全等级保护工作指导意见(卫办发[2011]85 号)

13、江苏省实施《人口健康信息管理办法》细则(苏卫规划[2015]38 号) 1.5 基本原则 等级保护的核心是对系统分等级、按标准进行建设、管理和监督.信息系统安 全等级保护实施过程中应遵循以下原则:

1、自主保护原则 卫生计生信息系统等级保护贯彻 谁主管谁负责、谁运营谁负责 的原则,由 信息系统建设运营责任单位,依照国家相关法规和标准,科学确定信息系统的安全 等级并予以备案,按照相应等级要求组织实施安全保障.

2、重点保护原则 卫生计生信息系统等级保护应突出重点.对关系国家安全、公共健康安全、社 会稳定等方面的重要系统,集中资源优先建设、加强管理和监督.

3、分域保护原则 卫生计生信息系统等级保护根据系统的类型、重要程度、业务特点和不同发展 水平,分类、分级、分阶段进行实施,并通过划分不同的安全域,实现不同强度的 安全保护.

4、同步建设原则 卫生计生信息系统在新建、改建、扩建时应当同步进行信息安全建设,保证信 息安全与信息化建设相适应.

5、动态调整原则

6 由于卫生计生信息系统的应用类型、覆盖范围、外部环境等约束条件,以及加 载、 处理的信息处于不断变化与发展之中, 因此, 安全保护等级需要根据变化情况, 适时重新确定,并调整相应的保护措施.

7

第二章 工作流程与职责 2.1 等级保护实施基本工作流程 卫生计生信息系统安全等级保护是一个不断循环、不断提高的过程,实施安全 等级保护的完整过程包括六个主要阶段:定级备案、安全规划设计、安全建设与整 改、等级测评、安全运维、系统终止.如图

1 所示. 图1安全等级保护实施的基本过程

8

1、信息系统定级备案阶段 定级阶段主要包括确定定级对象、确定受侵害客体与侵害程度、初步确定安全 等级、定级报告编写、定级结果审核和批准等几个主要工作内容.卫生计生各单位 对所建设、运营的相关信息系统进行识别和描述,明确定级对象,根据本标准中的 定级方法科学确定定级对象的安全等级,将定级意向上报所在地市级卫生计生行政 部门或其授权的机构;

其确认批复后,系统建设运营单位负责报市级公安机关网监 部门备案;

公安机关网监部门审定后, 将备案结果反馈给地市级卫生计生行政部门, 卫生计生行政部门登记后下发相关单位.

2、安全规划设计阶段 安全规划设计阶段主要包括安全需求分析、安全建设规划两项主要工作内容. 根据信息系统的安全保护级别,分析判断卫生计生信息系统的安全保护现状,明确 安全现状与信息安全等级保护要求之间的差距,确定初步安全需求;

同时根据卫生 计生信息系统的业务特点,设计出合理的、满足信息安全等级保护要求的总体安全 方案, 并制定安全建设规划, 以指导后续卫生计生信息系统的安全建设及工程实施.

3、安全建设与整改阶段 安全建设与整改阶段主要包括安全方案详细设计、安全详细设计方案的实施两 个主要活动.通过安全方案详细设计,将规划设计阶段的总体安全方案和安全建设 方案落实到卫生计生信息系统建设中,最终形成满足安全需求的卫生计生信息系统 安全技术和管理体系.