資源大小:392.88 KB |
資源類型:文檔 |
|
下載積分: 30 |
|
|
|
|
資源介紹 |
|
目 錄
1 前言 7
2 范圍 7
3 一般模型 7
3.1 技術(shù)模型 8
3.2 管理模型 9
3.3 應(yīng)用模型 10
4 定級(jí)指導(dǎo) 15
5 威脅分析 15
6 安全目標(biāo) 18
6.1 技術(shù)目標(biāo) 18
6.2 管理目標(biāo) 21
7 安全要求(要素表) 23
8 安全基本要求 28
8.1 二級(jí)(一般)安全要求 28
8.1.1 技術(shù)要求 28
8.1.1.1 物理安全 28
8.1.1.1.1 物理位置的選擇 28
8.1.1.1.2 物理訪問控制 28
8.1.1.1.3 防盜竊和防破壞 29
8.1.1.1.4 防雷擊 29
8.1.1.1.5 防火 29
8.1.1.1.6 防水和防潮 29
8.1.1.1.7 防靜電 30
8.1.1.1.8 溫濕度控制 30
8.1.1.1.9 電力供應(yīng) 30
8.1.1.1.10 電磁防護(hù) 30
8.1.1.2 網(wǎng)絡(luò)安全 31
8.1.1.2.1 結(jié)構(gòu)安全 31
8.1.1.2.2 訪問控制 31
8.1.1.2.3 邊界完整性檢查 31
8.1.1.2.4 網(wǎng)絡(luò)設(shè)備防護(hù) 31
8.1.1.2.5 網(wǎng)絡(luò)可用性 32
8.1.1.3 主機(jī)系統(tǒng)安全 32
8.1.1.3.1 身份鑒別 32
8.1.1.3.2 訪問控制 32
8.1.1.3.3 安全審計(jì) 33
8.1.1.3.4 惡意代碼防范 33
8.1.1.3.5 資源控制 33
8.1.1.3.6 主機(jī)可用性 33
8.1.1.4 應(yīng)用安全 33
8.1.1.4.1 身份鑒別 33
8.1.1.4.2 訪問控制 34
8.1.1.4.3 安全審計(jì) 34
8.1.1.4.4 通信完整性 35
8.1.1.4.5 通信保密性 35
8.1.1.4.6 軟件容錯(cuò) 35
8.1.1.4.7 資源控制 35
8.1.1.5 數(shù)據(jù)安全 35
8.1.1.5.1 完整性 35
8.1.1.5.2 數(shù)據(jù)保密性 35
8.1.1.5.3 備份和恢復(fù) 36
8.1.2 管理要求 36
8.1.2.1 安全管理制度 36
8.1.2.1.1 管理制度 36
8.1.2.1.2 制定和發(fā)布 36
8.1.2.1.3 評審和修訂 37
8.1.2.2 安全管理機(jī)構(gòu) 37
8.1.2.2.1 崗位設(shè)置 37
8.1.2.2.2 人員配備 37
8.1.2.2.3 授權(quán)和審批 37
8.1.2.2.4 溝通和合作 37
8.1.2.2.5 審核和檢查 38
8.1.2.3 人員安全管理 38
8.1.2.3.1 人員錄用 38
8.1.2.3.2 人員離崗 38
8.1.2.3.3 人員考核 38
8.1.2.3.4 安全意識(shí)教育和培訓(xùn) 38
8.1.2.3.5 外部人員訪問管理 39
8.1.2.4 系統(tǒng)建設(shè)管理 39
8.1.2.4.1 系統(tǒng)定級(jí) 39
8.1.2.4.2 安全方案設(shè)計(jì) 39
8.1.2.4.3 產(chǎn)品采購 40
8.1.2.4.4 自行軟件開發(fā) 40
8.1.2.4.5 外包軟件開發(fā) 40
8.1.2.4.6 工程實(shí)施 40
8.1.2.4.7 測試驗(yàn)收 41
8.1.2.4.8 系統(tǒng)交付 41
8.1.2.4.9 安全服務(wù)商選擇 41
8.1.2.5 系統(tǒng)運(yùn)維管理 41
8.1.2.5.1 環(huán)境管理 41
8.1.2.5.2 資產(chǎn)管理 42
8.1.2.5.3 介質(zhì)管理 42
8.1.2.5.4 設(shè)備管理 42
8.1.2.5.5 監(jiān)控管理 43
8.1.2.5.6 網(wǎng)絡(luò)安全管理 43
8.1.2.5.7 系統(tǒng)安全管理 43
8.1.2.5.8 惡意代碼防范管理 44
8.1.2.5.9 密碼管理 44
8.1.2.5.10 變更管理 44
8.1.2.5.11 備份與恢復(fù)管理 44
8.1.2.5.12 安全事件處置 45
8.1.2.5.13 應(yīng)急預(yù)案管理 45
8.2 二級(jí)(增強(qiáng))安全要求 46
8.2.1 技術(shù)要求 46
8.2.1.1 物理安全 46
8.2.1.1.1 物理位置的選擇 46
8.2.1.1.2 物理訪問控制 46
8.2.1.1.3 防盜竊和防破壞 46
8.2.1.1.4 防雷擊 47
8.2.1.1.5 防火 47
8.2.1.1.6 防水和防潮 47
8.2.1.1.7 防靜電 47
8.2.1.1.8 溫濕度控制 47
8.2.1.1.9 電力供應(yīng) 48
8.2.1.1.10 電磁防護(hù) 48
8.2.1.2 網(wǎng)絡(luò)安全 48
8.2.1.2.1 結(jié)構(gòu)安全 48
8.2.1.2.2 訪問控制 49
8.2.1.2.3 安全審計(jì) 49
8.2.1.2.4 邊界完整性檢查 49
8.2.1.2.5 入侵防范 49
8.2.1.2.6 網(wǎng)絡(luò)設(shè)備防護(hù) 49
8.2.1.2.7 網(wǎng)絡(luò)可用性 50
8.2.1.3 主機(jī)系統(tǒng)安全 50
8.2.1.3.1 身份鑒別 50
8.2.1.3.2 訪問控制 50
8.2.1.3.3 安全審計(jì) 51
8.2.1.3.4 入侵防范 51
8.2.1.3.5 惡意代碼防范 51
8.2.1.3.6 資源控制 51
8.2.1.3.7 主機(jī)可用性 51
8.2.1.4 應(yīng)用安全 52
8.2.1.4.1 身份鑒別 52
8.2.1.4.2 訪問控制 52
8.2.1.4.3 安全審計(jì) 53
8.2.1.4.4 剩余信息保護(hù) 53
8.2.1.4.5 通信完整性 53
8.2.1.4.6 通信保密性 53
8.2.1.4.7 軟件容錯(cuò) 53
8.2.1.4.8 資源控制 54
8.2.1.5 數(shù)據(jù)安全 54
8.2.1.5.1 完整性 54
8.2.1.5.2 數(shù)據(jù)保密性 54
8.2.1.5.3 備份和恢復(fù) 54
8.2.2 管理要求 55
8.2.2.1 安全管理制度 55
8.2.2.1.1 管理制度 55
8.2.2.1.2 制定和發(fā)布 55
8.2.2.1.3 評審和修訂 55
8.2.2.2 安全管理機(jī)構(gòu) 56
8.2.2.2.1 崗位設(shè)置 56
8.2.2.2.2 人員配備 56
8.2.2.2.3 授權(quán)和審批 56
8.2.2.2.4 溝通和合作 56
8.2.2.2.5 審核和檢查 56
8.2.2.3 人員安全管理 57
8.2.2.3.1 人員錄用 57
8.2.2.3.2 人員離崗 57
8.2.2.3.3 人員考核 57
8.2.2.3.4 安全意識(shí)教育和培訓(xùn) 57
8.2.2.3.5 外部人員訪問管理 58
8.2.2.4 系統(tǒng)建設(shè)管理 58
8.2.2.4.1 系統(tǒng)定級(jí) 58
8.2.2.4.2 安全方案設(shè)計(jì) 58
8.2.2.4.3 產(chǎn)品采購 59
8.2.2.4.4 自行軟件開發(fā) 59
8.2.2.4.5 外包軟件開發(fā) 59
8.2.2.4.6 工程實(shí)施 59
8.2.2.4.7 測試驗(yàn)收 59
8.2.2.4.8 系統(tǒng)交付 60
8.2.2.4.9 安全服務(wù)商選擇 60
8.2.2.5 系統(tǒng)運(yùn)維管理 60
8.2.2.5.1 環(huán)境管理 60
8.2.2.5.2 資產(chǎn)管理 60
8.2.2.5.3 介質(zhì)管理 61
8.2.2.5.4 設(shè)備管理 61
8.2.2.5.5 監(jiān)控管理 61
8.2.2.5.6 網(wǎng)絡(luò)安全管理 62
8.2.2.5.7 系統(tǒng)安全管理 62
8.2.2.5.8 惡意代碼防范管理 63
8.2.2.5.9 密碼管理 63
8.2.2.5.10 變更管理 63
8.2.2.5.11 備份與恢復(fù)管理 63
8.2.2.5.12 安全事件處置 64
8.2.2.5.13 應(yīng)急預(yù)案管理 64
附錄A基本要求的選擇和使用 65
1、判斷醫(yī)療機(jī)構(gòu)的信息系統(tǒng)是否具備定級(jí)的基本條件 65
2、根據(jù)醫(yī)療機(jī)構(gòu)的分級(jí)選擇不同級(jí)別的基本要求 66
3、部分區(qū)縣中心(含)以上醫(yī)療機(jī)構(gòu)可對二級(jí)(增強(qiáng))要求進(jìn)行選擇使用 66
附錄B基本要求的應(yīng)用注釋 67
B1. 物理環(huán)境的應(yīng)用注釋 67
B2.網(wǎng)絡(luò)隔離的應(yīng)用注釋 67
B3. 版本變更的應(yīng)用注釋 69
B4. 數(shù)據(jù)加密的應(yīng)用說明 69
B5. 其他 69
1 前言
《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào),以下簡稱“27號(hào)文件”)明確要求我國信息安全保障工作實(shí)行等級(jí)保護(hù)制度,提出“抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。2004年9月發(fā)布的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào),以下簡稱“66號(hào)文件”)進(jìn)一步強(qiáng)調(diào)了開展信息安全等級(jí)保護(hù)工作的重要意義,規(guī)定了實(shí)施信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、職責(zé)分工、基本要求和實(shí)施計(jì)劃,部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法。
27號(hào)文件和66號(hào)文件不但為各行業(yè)開展信息安全等級(jí)保護(hù)工作指明了方向,同時(shí)也為各行業(yè)如何根據(jù)自身特點(diǎn)做好信息安全等級(jí)保護(hù)工作提出了更高的要求。醫(yī)療機(jī)構(gòu)作為涉及國計(jì)民生的重要組成部分,其安全保障事關(guān)社會(huì)穩(wěn)定,必須按照27號(hào)文件要求,全面實(shí)施信息安全等級(jí)保護(hù)。因此,組織編制《醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,提出針對醫(yī)療機(jī)構(gòu)信息安全等級(jí)保護(hù)工作的基本思路和具體要求,指導(dǎo)上海市醫(yī)療機(jī)構(gòu)的信息安全保障工作。
2 范圍
本標(biāo)準(zhǔn)規(guī)定了醫(yī)療機(jī)構(gòu)信息系統(tǒng)的基本保護(hù)要求,包括基本技術(shù)要求和基本管理要求,適用于指導(dǎo)本市醫(yī)療機(jī)構(gòu)分等級(jí)的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。
3 一般模型
醫(yī)療機(jī)構(gòu)信息系統(tǒng)(以下簡稱HIS系統(tǒng))模型的構(gòu)造是對HIS系統(tǒng)進(jìn)行威脅分析,從而確定安全保障目標(biāo)的基礎(chǔ)。《HIS系統(tǒng)基本要求》將分別從技術(shù)、管理和業(yè)務(wù)應(yīng)用三個(gè)層面提出各自的參考模型,具體如下。
技術(shù)模型、管理模型和應(yīng)用模型既是三個(gè)相對獨(dú)立的體
掃碼立享400積分
|
|
|
下載地址 |
|
|
| |
