医疗卫生信息平台安全计划.ppt

安全方案目标1安全等级需求2系统风险分析3安全方案框架和安全风险管理4目录安全技术建设方案5安全方案目标信息系统安全稳定运行BGCFA防止应用系统破坏防止信息网络瘫痪防止业务数据丢失防止终端病毒感染防止卫生信息泄密ED防止恶意渗透攻击防止有害信息传播基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010应用类定级:《信息系统安全保护等级定级指南》GB/T22240-2008建设:《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》GB/T25070-2010测评:《信息系统安全等级保护测评要求》GB/T28448-2012《信息系统安全等级保护测评过程指南》管理:《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006医疗信息系统等级保护核心标准业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据GB/T22240-2008《信息系统安全等级保护定级指南》,吉林省医药卫生信息化平台所涉及信息包括:病人的基本健康信息,病人的诊疗数据,卫生资源数据等等。这些业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。所以本系统信息安全保护等级界定为二级。安全等级需求一、业务信息安全等级业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据GB/T22240-2008《信息系统安全等级保护定级指南》,吉林省医药卫生信息化平台属于为国计民生、经济建设等提供服务的信息系统,其服务范围为区域范围内的普通公民、医疗机构等。该系统服务遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也可能严重侵害社会秩序和公共利益。所以本系统的系统服务安全保护等级界定为三级。安全等级需求二、系统服务安全等级信息系统名称安全保护等级业务信息安全等级系统服务安全等级吉林省医药卫生信息化平台第三级第三级第三级根据GB/T22240-2008《信息系统安全等级保护定级指南》,信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定。所以本系统的系统服务安全保护等级界定为第三级。安全等级需求三、安全保护等级应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。安全等级需求四、第三级的安全保护能力技术要求特点管理要求特点覆盖范围特点策略防护检测恢复统一策略(管理制度体系化)通信边界内部(主要设备)安全等级需求五、第三级安全保护的特点