【法规名称】
【颁布部门】 卫生部
【颁布时间】 2009-05-31
【实施时间】 2009-05-31
【效力属性】 有效
【法规编号】 500971 什么是编号?
【正 文】
第47页 卫生部办公厅关于印发《基于健康档案的区域卫生信息平台建设指南(试行)》的通知
|
[接上页] 基于健康档案的区域卫生信息平台的可靠安全的运行不仅关系到数据中心本身的运行,还关系其他业务部门相关系统的运行,因此它的网络,主机,存储备份设备,系统软件,应用软件等部分应该具有极高的可靠性;同时为保守企业和用户秘密,维护企业和用户的合法权益,数据中心应具备良好的安全策略,安全手段,安全环境及安全管理措施。 众所周知,信息系统完整的安全体系包括以下四个层次,最底层的是物理级安全,其包括计算机安全,硬件安全等,其次是网络级安全,主要包括链路冗余,防火墙等等,再次是系统级安全包括数据灾备,病毒防范等,最后是应用级安全包括统一身份认证,统一权限管理等,而贯穿整个体系的是安全管理制度和安全标准,以实现非法用户进不来,无权用户看不到,重要内容改不了,数据操作赖不掉。整个平台的安全体系如下图: 图5-12 平台安全体系结构图(略) 一、安全等级 基于健康档案的区域卫生信息平台所涉及信息包括:病人的基本健康信息,病人的诊疗数据,卫生资源数据等等。这些业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。一旦业务信息遭到非法入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。程度表现为严重损害,即工作职能收到严重影响,业务能力显著下降,出现较严重的法律问题,较大范围的不良影响等。根据以上描述我们可以确定基于健康档案的区域卫生信息平台业务信息安全保护等级为第二级。
基于健康档案的区域卫生信息平台属于为国计民生、经济建设等提供服务的信息系统,其服务范围为区域范围内的普通公民、医疗机构等。该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现的侵害结果为:(1)可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等);(2)可以对社会秩序公共利益造成侵害(造成社会不良影响,引起公共利益的损害等)。根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。上述结果的程度表现为:对社会秩序和公共利益造成严重损害,即会出现较大范围的社会不良影响和较大程度的公共利益的损害等。由于侵害的客体有两个,侵害的程度也有两个,则业务信息安全保护等级为第二级。
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。所以,基于健康档案的区域卫生信息平台安全保护等级为第三级。
二、物理安全 卫生数据中心是整个基于健康档案的区域卫生信息平台的关键节点,是系统运行的基础,因此必须保证物理环境的安全,主要包括以下几个方面: 信息基础设备应安置在专用的机房,具有良好的电磁兼容工作环境,包括防磁、防尘、防水、防火、防静电、防雷保护,抑制和防止电磁泄漏; 机房环境应达到国家相关标准; 关键设备应有冗余后备系统; 具有足够容量的ups后备电源;电源要有良好的接地。 三、系统安全 基于健康档案的区域卫生信息平台应具备性能完善的系统安全基础设备。包括网络防火墙、入侵检测、病毒防范、用户识别等信息安全软硬件系统,并设专人进行日常监督管理与更新。 利用防火墙在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。 如何防范来自广域网上的安全威胁是本系统安全设计的重点所在。我们采取网络、单机相结合的方式来避免系统遭受计算机病毒的危害。一方面,利用网络防病毒软件来保护服务器,同时实现对网络病毒的监控、报警和实时清除;另一方面,定期使用单机版防病毒软件对工作站进行扫描、杀毒,以消除病毒隐患。防病毒系统的关键在于提高内部工作人员对计算机病毒的认识,不使用盗版软件,对于外来磁盘、软件、文件在使用前及时进行扫描、杀毒,从根本上切断计算机病毒的来源。 | ||||||||||||||||||||||||||||||||||||||||||||||
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!