解决方案

医院等级保护解决方案

时间:2013-04-22 作者: 来源:
方案背景
2009年新医改方案发布,提出以“为群众提供安全、有效、方便、廉价的卫生医疗服务”为目标,建立健全覆盖城乡居民的基础医疗卫生制度;将建设卫生医疗信息系统作为新医改的四梁八柱之一,大力推进医疗卫生信息化建设,以推进公共卫生、医疗、医保、药品、财务监管信息化为着力点,整合资源,加强信息标准化和公共服务信息平台建设,逐步实现高效统一、互通互联。

电子病历得到了大力的推广,电子病历自身信息的完整性、防篡改也将变得尤为重要。区域信息化建设促进了卫生医疗资源的共享和整合,需要完整的安全措施防攻击、防渗透,保证数据的安全性,用详细的权限分级管理保护患者的隐私,采用电子签名等技术手段实现数据的可追溯性和不可否认性,都成为卫生医疗行政部门首要考虑的问题。

国家对于信息系统安全等级保护在医疗机构的推广力度越来越强,在全国很多省份已经完成业务系统信息安全等级的上报、定级,部分省份在进行三级医院评审中,明确将信息安全的关键措施作为评级的重要指标。部分省份的卫生医疗管理部门不定期地组织信息安全检查工作,发现安全问题,立即要求进行整改。

综上所述,卫生医疗机构的信息安全越来越重要,从国家卫生医疗行政部门到各级医院,对信息安全的重视也与日俱增。

天融信医院等级保护解决方案
结合医院信息系统等级保护建设整改框架的设计思路,采用如下图所示信息系统安全等级保护模型:


 
以下按照一个中心三重防护的信息系统安全等级保护设计原则,从信息系统等级保护建设整改框架的各层面分别进行设计。

1)安全技术体系设计

物理安全环境建设
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体参考国标A类机房建设国家标准设计。

安全区域边界建设
根据三重防护的思想和控制要求,并结合等级保护基本要求的相关安全控制项,安全区域边界的建设通过防火墙、入侵检测、入侵防御、防病毒网关等安全产品实现,满足其安全控制措施的要求。

安全通信网络建设
安全通信网络的建设通过VPN、网络安全审计等安全产品实现,满足其安全控制措施的要求。通信网络安全:解决信息在通信过程中的机密性、完整性及可用性。

安全计算环境建设
安全计算环境的建设通过主机核心防护系统、系统和数据库审计、PKI/CA系统、web应用防火墙以及系统和应用的安全改造实现。
 
2)安全管理与运维体系
 
安全体系管理层设计主要依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从五个维护设计,包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和安全运维管理。

方案收益
实施信息安全等级保护建设工作可为医院信息化建设带来收益:
·有利于提高卫生医疗机构信息和信息系统安全建设的整体水平,并通过等级保护测评;
·在卫生医疗行业内实施信息安全等级保护,能够有效地提高医院信息系统安全建设的整体水平;
·有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。