资源预览内容
第1页 / 共164页
第2页 / 共164页
第3页 / 共164页
第4页 / 共164页
第5页 / 共164页
第6页 / 共164页
第7页 / 共164页
第8页 / 共164页
第9页 / 共164页
第10页 / 共164页
亲,该文档总共164页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
范文范例 学习指导XXXX医院信息系统安全等级保护建设方案北京天融信公司2014年 07月 word完美整理版 范文范例 学习指导目录第一章项目概述41.1项目背景41.2设计依据51.3政策标准51.4设计原则6第二章建设目标与任务82.1建设目标82.2建设任务92.3建设范围11第三章安全需求分析113.1安全现状描述123.2政策法规要求123.3等保合规性需求163.4安全风险防范需求163.4.1安全风险识别163.4.2现存安全风险183.4.3安全风险防范19第四章总体方案设计214.1设计原则214.2等级保护建设过程234.3总体建设内容244.3.1差距分析评估244.3.2总体规划设计254.3.3安全整改实施254.3.4等级保护测评254.3.5系统安全运维254.4安全保障体系构成264.4.1安全技术体系274.4.2安全管理体系294.4.3安全运维体系30第五章等级保护差距分析305.1确定差距分析评估指标305.1.1形成评估指标305.1.2制定差距分析评估方案315.2等级指标对比评估315.2.1安全技术评估325.2.2安全管理评估325.3差距分析评估风险规避33第六章安全技术体系方案设计346.1设计思路346.2总体框架366.3方案编写结构386.4安全技术体系设计386.4.1确定保护对象386.4.2方案设计架构396.4.3安全域划分396.4.4计算环境防护436.4.5区域边界防护676.4.6通信网络防护726.4.7安全管理中心设计766.4.8系统安全加固81第七章安全管理体系设计867.1安全管理体系建设目标867.2安全管理体系建设流程877.3建立安全管理组织,落实信息安全责任制927.3.1安全管理组织建设原则927.3.2安全管理组织总体架构947.3.3安全管理岗位和职责967.4确定安全管理策略,制定安全管理制度1017.4.1信息安全管理策略体系建设过程1017.4.2信息安全管理策略体系框架1027.4.3信息安全总体方针1047.4.4信息安全策略1067.4.5信息安全管理体系文档清单1147.4.6信息安全管理制度的有效发布和执行1157.4.7信息安全管理制度的运作1167.5落实人员安全管理措施1177.5.1人员录用1177.5.2人员离岗1187.5.3人员考核1187.5.4安全意识教育和培训1197.5.5外部人员访问管理1197.6落实系统运维管理措施1207.6.1信息资产分类管理1207.6.2运行维护管理1227.6.3存储介质管理1237.6.4账号与口令安全管理1247.6.5防病毒管理1267.6.6设备配置安全管理1277.6.7周期性安全风险评估1287.6.8周期性设备弱点加固1307.6.9安全监控和安全事件处置1317.6.10备份与恢复管理1337.6.11应急预案管理1367.6.12安全运维服务1387.7落实系统建设管理措施1397.7.1系统定级1397.7.2安全方案设计1407.7.3安全产品采购1407.7.4自主软件开发1417.7.5外包软件开发1417.7.6工程实施1427.7.7测试验收1427.7.8系统交付1437.7.9系统备案1437.7.10等级测评1437.7.11安全服务商选择144第八章整改的落实1448.1安全集成1458.2安全加固1458.2.1安全加固设计方案1458.2.2安全加固实施方法146第九章保合规审计1499.1现场检查测试前的准备1509.2现场检查测试1529.3综合测评分析154第十章协助测评15610.1准备资料15610.2现场协助156第十一章项目实施内容15711.1安全集成15711.2安全服务158第一章 项目概述1.1 项目背景为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)要求,卫生部结合卫生行业实际,也研究制定了卫生行业信息安全等级保护工作的指导意见(卫办发201185号)。同时,为了落实85号文,全面提高卫生行业信息安全保障能力和水平,保障和促进卫生信息化健康发展,卫生部决定全面开展信息安全等级保护工作。其中规定:1)2011年12月30日前将本地区已定级备案的卫生信息系统情况报送卫生部;2)卫生行业各单位要于2012年5月30日前完成本单位信息系统的定级备案工作。3)于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。在这样的大背景下,对于新建XXXX医院,在信息系统建设同时需要考虑信息安全的同步建设。在系统建设完成同时,信息安全的防护能力也达到一定级别,以避免重复建设或整改建设所带来的巨大资金投入和人力投入。信息安全是信息系统建设中非常重要的一环,信息规划阶段是考虑信息安全体系建设的最佳时机。根据国家信息安全技术信息系统安全等级保护实施指南(GB/T222402008)(下文简称“定级指南”)、信息安全技术信息系统安全等级保护基本要求(GB/T-22239-2008)(下文简称“基本要求”)、信息安全技术 信息系统等级保护安全设计技术要求(GB/T 25070-2010)(下文简称“安全设计技术要求”)等文件要求,按照统筹资源,重点保护,适度安全的原则,依据等级保护定级结果,结合各安全域实际情况,按照“层层递进,纵深防御”的思想进行安全防护等级保护设计。1.2 设计依据本方案依据信息安全技术 信息系统等级保护安全设计技术要求GB/T 25070-2010中信息安全系统建设需求,重点关注应用系统进行信息安全体系规划。1.3 政策标准本方案重点参考以下的政策和标准如下所述:指导思想中办200327号文件(关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知)公通字200466号文件(关于印发信息安全等级保护工作的实施意见的通知)公通字200743号文件(关于印发信息安全等级保护管理办法的通知)卫办发201185号文件(卫生行业信息安全等级保护工作的指导意见)卫办综函20111126号文(卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知)京公网安字(2012)739号文北京市卫生局、北京市公安局关于开展北京市医疗机构卫生行业信息安全专项检查工作的通知等级保护GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求系统定级GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南技术方面GB/T 20270-2006 信息安全技术 网络基础安全技术要求GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求GA/T671-2006 信息安全技术终端计算机系统安全等级技术要求GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求管理方面GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求ISO/IEC 27001 信息系统安全管理体系标准方案设计GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求方案架构IATF 信息保障技术框架1.4 设计原则等级保护是国家信息安全建设的重要政策,其核心是对信息系统分等级、按标准进行建设、管理和监督。对于XXXX医院系统信息安全建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务信息系统,在方案设计中应当遵循以下的原则:1) 适度安全原则任何信息系统都不能做到绝对的安全,在进行信息安全等级保护规划中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷,因此在进行等级保护设计的过程中,一方面要严格遵循基本要求,从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对XXXX医院系统信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。2) 重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;3) 技术管理并重原则信息安全问题从来就不是单纯的技术问题,把防范恶意入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障XXXX医院系统信息系统的整体安全性,形成技术和管理两个部分的建设方案。4) 分区分域建设原则对信息系统进行安全保护的有效方法就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性,比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延;5) 标准性原则XXXX医院系统信息安全保护体系应当同时考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考ISO27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性;6) 动态调整原则信息安全问题不是静态的,它总是随着XXXX医院系统管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施;7) 标准性原则信息安全建设是非常复杂的过程,在设计信息安全系统,进行安全体系规划中单纯依赖经验,是无法对抗未知的威胁和攻击,因此需要遵循相应的国内及国际安
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号