01
医院等级保护政策及现状
医疗行业政策发展历程
《卫生行业信息安全等级保护工作的指导意见》
● 三级医院重要业务系统:等保三级
● 二级医院重要业务系统:等保二级
《2016 三级综合医院评审标准考评办法(完整版)》
● 规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求
《国家健康医疗大数据标准、安全和服务管理办法(试行)》
● 承载健康医疗大数据的平台必须通过等级保护(未规定级别)
● 一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主
《互联网诊疗管理办法(试行)》
《互联网医院管理办法(试行)》
《互联网医院基本标准(试行)》
● 医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护
● 互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护
● 信息系统实施第三级信息安全等级保护
医院落实等级保护现状
02
典型案例:某医院系统
项目需求
1.等保2.0要求合规
2.等保测评分数80分以上
3.保障系统安全运行
当前整个系统未进行划区域管理,整个系统中缺乏对网络攻击行为、恶意代码行为、应用层攻击行为等有效的防御手段,另外整个系统缺乏有效的安全审计手段,未建立有效的安全闭环安全防御体系,没有可持续优提升化的安全运营服务机制,无法满足网络安全等级保护2.0三级的要求。
实施流程
解决方案
1.华清全线安全产品支撑
2.安全策略调整,保障合规性和安全性
根据“一个中心,三重防护”体系框架,结合等级保护三级要求,构建安全机制和策略,形成本项目系统的安全保护环境;建设方案将系统分为如下四部分:安全接入区、前置服务区、核心交换区、业务服务区、安全运维审计区和各个办公区;通过各个安全组件的搭配与协调,共同组建符合等级保护3级标准的信息系统。
整改概览
01 技术层面整改合规
● 安全策略调整
● 漏扫/渗透整改
● 安全产品部署/策略调整
02 管理层面整改合规
● 安全管理制度体系建设
● 日常工作记录整理
TDR智能安全解决方案
TDR智能安全运营平台
all in one 丰富的功能集