01
医院等级保护政策及现状
医疗行业政策发展历程
《卫生行业信息安全等级保护工作的指导意见》
● 三级医院重要业务系统:等保三级
● 二级医院重要业务系统:等保二级
《2016 三级综合医院评审标准考评办法(完整版)》
● 规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求
《国家健康医疗大数据标准、安全和服务管理办法(试行)》
● 承载健康医疗大数据的平台必须通过等级保护(未规定级别)
● 一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主
《互联网诊疗管理办法(试行)》
《互联网医院管理办法(试行)》
《互联网医院基本标准(试行)》
● 医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护
● 互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护
● 信息系统实施第三级信息安全等级保护
医院落实等级保护现状
02
等级保护解决方案
工作阶段
解决方案
● 提前开展等保自查工作
● 减少后续测评过程中的整改工作量
● 缩短项目周期,提升信息系统安全水平
01 现状调研
● 信息系统详细调研
《信息系统详细调研表》
● 等保测评指标调研(技术+管理)
《现场记录表》
● 漏洞扫描/渗透测试
《漏洞扫描/渗透测试原始材料》
02 差距分析
● 依据现状调研结果,进行差距分析工作
《信息系统等保差距分析报告》
《漏洞扫描报告》
《渗透测试报告》
《信息系统等保建设方案》
03 协助整改
● 依据《差距分析报告》和《建设方案》,协助贵单位对信息系统进行建设整改
安全策略调整
漏洞整改
安全产品/服务部署
安全产品/服务策略调整
管理制度补充
服务优势
01 全流程服务
● 安全厂商+等保咨询服务商
● 实现等保五个步骤(定级、备案、整改、测评、检查)的全流程服务
02 售后运行保障
● 测评工作完成后持续服务1年
● 协助客户通过网安抽查
● 定期漏扫/渗透测试
● 应急响应服务
03 项目实施经验
● 等保各个关键环节积累了丰富经验和优质资源,保证项目最短的交付周期和最好的测评结果,项目100%成功交付
04 项目团队
● DJJS能力证书
● 等保测评师证书(CIIP-E)
● CISAW安全保障证书
● 每年100+等保咨询服务项目
● 权威专家库(公安部/保密局/工信部)
03
典型案例:某医院系统
项目需求
1.等保2.0要求合规
2.等保测评分数80分以上
3.保障系统安全运行
当前整个系统未进行划区域管理,整个系统中缺乏对网络攻击行为、恶意代码行为、应用层攻击行为等有效的防御手段,另外整个系统缺乏有效的安全审计手段,未建立有效的安全闭环安全防御体系,没有可持续优提升化的安全运营服务机制,无法满足网络安全等级保护2.0三级的要求。
实施流程
1.华清全线安全产品支撑
2.安全策略调整,保障合规性和安全性
根据“一个中心,三重防护”体系框架,结合等级保护三级要求,构建安全机制和策略,形成本项目系统的安全保护环境;建设方案将系统分为如下四部分:安全接入区、前置服务区、核心交换区、业务服务区、安全运维审计区和各个办公区;通过各个安全组件的搭配与协调,共同组建符合等级保护3级标准的信息系统。
整改概览
01 技术层面整改合规
● 安全策略调整
● 漏扫/渗透整改
● 安全产品部署/策略调整
02 管理层面整改合规
● 安全管理制度体系建设
● 日常工作记录整理
04
TDR智能安全解决方案