一、定級流程
安全保護等級初步確定為第二級及以上的等級保護物件,其運營使用單位應當依據《網路安全等級保護定級指南》進行初步定級、專家評審、主管部門審批、公安機關備案審查,最終確定其安全保護等級,
二、定級方法
等級保護物件的級別由兩個定級要素決定:a) 受侵害的客體;b) 對客體的侵害程度,定級物件的安全主要包括業務資訊安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,安全保護等級也應由業務資訊安全(S)和系統服務安全(A)兩方面確定,根據業務資訊的重要性和受到破壞后的危害性確定業務資訊安全等級;根據系統服務的重要性和受到破壞后的危害性確定系統服務安全等級;由業務資訊安全等級和系統服務安全等級的較高者確定定級物件的安全保護等級,參考下串列格:
三、定級報告示例
《資訊系統安全等級保護定級報告》
1、XX系統描述
HIS系統是覆寫XX醫院所有業務和業務全程序的資訊管理系統,為醫院所屬各部門提供患者診療資訊和行政管理資訊的收集、存盤、處理、提取和資料交換的能力并滿足授權用戶的功能需求的平臺,系統為由X臺服務器、網路設備X臺,有HIS系統應用前臺、后臺、門診掛號客戶端應用、門診收費客戶端應用、藥品管理客戶端應用、住院收費客戶端應用、中間件應用等應用組成,HIS系統主要面向醫院、醫護人員、醫院管理者、公共衛生機構、區域醫療衛生機構、衛生行政機關等用戶,HIS系統是由XX單位開發,XX單位資訊中心維護,HIS系統為XX醫院的定級物件,XX醫院對HIS系統具有資訊安全保護責任,承擔HIS系統安全責任的部門是資訊中心,HIS系統部署在XX醫院XX機房,沒有互聯網連接、外聯單位和廣域網連接,不存在互聯網邊界和與其他單位的邊界,
2、XX醫院HIS系統安全保護等級的確定
2.1業務資訊安全保護等級的確定
(1)業務資訊描述
系統存盤著患者診療資訊,如患者基本資訊、患者診斷資料、藥品資訊、住院資訊、統方資訊等,
(2)業務資訊受到破壞時所侵害客體的確定
HIS系統中存盤的資訊涉及到大量患者資訊,如果資料被泄露和篡改會對患者造成影響并可能造成一定社會影響,故資訊受到破壞時侵害的客體是什么社會秩序和公眾利益和公民、法人和其他組織的合法權益,
(3)資訊受到破壞后對侵害客體的侵害程度的確定
XX醫院HIS系統如果資料被泄露和篡改,會對我院、就診患者以及公共衛生行政主管部門的合法權益造成嚴重侵害,并有可能造成醫療安全事故的發生,對社會秩序和公共利益造成損害,故資訊受到破壞后,會對法人和其他組織的合法權益造成特別嚴重損害,對社會秩序和公共利益造成損害造成嚴重損害,
(4)業務資訊安全等級的確定
依據資訊受到破壞時所侵害的客體以及侵害程度,確定核心業務資訊安全等級為三級,
2.2系統服務安全保護等級的確定
(1)系統服務描述
XX醫院HIS系統的主要服務物件為醫院、患者和醫療公共衛生主管機構,是覆寫XX醫院所有業務和業務全程序的資訊管理系統,
(2)系統服務受到破壞時所侵害客體的確定
系統承載著支持醫院的行政管理與事務處理和對醫院、患者和公共衛生進行資訊化管理的業務,故系統服務受到破壞時侵害的客體是什么社會秩序和公眾利益和公民、法人和其他組織的合法權益,
(3)系統服務受到破壞后對侵害客體的侵害程度的確定
一旦系統癱瘓可能造成醫院業務無法正常開展,患者無法及時就醫,甚至有可能造成醫療安全事故的發生,對社會秩序和公共利益將造成損害,故系統服務受到破壞后,會對法人和其他組織的合法權益造成特別嚴重損害,對社會秩序和公共利益造成損害造成嚴重損害,
(4)系統服務安全等級的確定
依據系統服務受到破壞時所侵害的客體以及侵害程度,確定系統服務安全等級為三級,
2.3安全保護等級的確定
鑒于XX醫院HIS系統的業務資訊安全等級和系統服務安全等級均為三級,資訊系統的安全保護等級由業務資訊安全等級和系統服務安全等級較高者決定,最終確定HIS系統安全保護等級為第三級,
|
資訊系統名稱 |
安全保護等級 |
業務資訊安全等級 |
系統服務安全等級 |
|
XX醫院HIS系統 |
三級 |
三級 |
三級 |
四、行業定級指導意見
1、醫療衛生行業定級指導意見
2、教育行業定級指導意見
3、電力行業定級指導意見
4、金融行業定級指導意見
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/17503.html
標籤:其他
上一篇:Nmap總結
下一篇:Shodan使用簡述