logo资料库

系统安全建设规划文档.docx

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.02M 资料格式:docx 举报 版权申诉
第1页 / 共9页
第2页 / 共9页
第3页 / 共9页
第4页 / 共9页
第5页 / 共9页
第6页 / 共9页
第7页 / 共9页
第8页 / 共9页
资料共9页,剩余部分请下载后查看
    1.1 测评步骤
    1.2 测评的主要内容和目标
    1.3风险评估
    1.4 差距测评
    1.4.1 差距测评主要内容
    1.4.2 差距分析表
    1.5 安全整改
    1.6 整改回归测试
    1.7 等级保护备案
    1.8 小结
    xxx 系统安全方案 目录 导读:................................................................................................................................................ 3 1.1 测评步骤 ..................................................................................................................................... 5
    1.2 测评的主要内容和目标 ............................................................................................................ 6 1.3 风险评估 ......................................................................................................................................6 1.4 差距测评 .....................................................................................................................................7 1.4.1 差距测评主要内容..........................................................................................................7 1.4.2 差距分析表......................................................................................................................7 1.5 安全整改 .....................................................................................................................................8 1.6 整改回归测试 .............................................................................................................................8 1.7 等级保护备案 .............................................................................................................................9 1.8 小结 ..............................................................................................................................................9
    导读: 自网络安全法颁布,成为网络领域的基本法,我国的网络安全进入了一个新时代。新时代的 网络安全观:没有网络安全就没有国家安全,网络安全上升为国家战略,成为总体国家安全 观的重要组成部分。 信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策,是国家信息安 全保障工作的基本制度和基本方法。 等级保护的工作流程包括,定级、备案、建设整改、等级测评。 等级保护建设核心思想:信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、 可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏 网络信息系统应急预案 一、总则 (一)制定目的 为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制, 有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制订本应急预 案。 (二)工作原则 1.统一领导,协同配合。支队信息安全突发事件应急工作由安全管理小组负责人统一领导和 协调,相关部门按照“统一领导、综合协调、分级管理、各司其职”的原则协同配合,具体 实施。 2.明确责任,依法规范。各单位各部门按照“属地管理、分级响应、及时发现、及时报 告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、
    响应、协调和控制。按照“谁主管、谁负责,谁使用、谁负责”的原则,实行责任分工制和 责任追究制。 3.条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合信息安全工作 力量。充分依靠各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系,形 成局域信息安全保障工作合力。 4.防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈” 的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备, 提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全 隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控 制事件影响范围,力争将损失降到最低程度。 二、预警和预防机制 (一)预警 在信息安全突发事件发生后,应及时将有关情况向上级主管部门报告。在进一步综合情况, 研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据所研 究出的决策实施行动方案,发布指示和命令。 (二)预防机制 积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系 统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络 的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。 三、应急处理程序 (一)按照国家有关规定保护现场、相应的日志文件及可以保护的重要数据,通知有关单位
    并及时初步上报有关部门所发生的情况。 (二)联系上级单位应急小组,协调是否采取网络隔离措施,同时获得必要的技术支持。 (三)对所发生的安全事件进行分析,通过行政和技术手段排出存在的隐患; (四)对系统进行恢复和加固处理,及时恢复网络通讯和信息服务。 (五)密切监测本单位网络及信息系统情况,确保运行状态稳定。 (六)将安全事件处理结果上报有关部门。1 项目背景 1.1 测评步骤 信息系统安全等级测评工作可分为六个阶段,如图 2 所示。 定级准备阶段:工作包括医院项目启动、组织机构成立、基础信息及系统资料收集、测评所需工 具准备等。 摸底调查阶段:主要包括三个方面的工作:通过对医院业务子系统的梳理,根据各子系统在医院 业务中的重要性不同确定哪些子系统做为测评对象以及测评等级;结合各子系统具体情况,确定 采用哪些测评方式、测评工具以及测评工具的接入方案;明确每一个子系统的详细的测评内容形 成测评方案。 初步定级阶段:严格按照既定的测评方案进行,并将测评过程中发现的问题收集整理成形成安全 整改方案,医院根据每个子系统测评等级的不同,充分考虑安全性、实用性、经济成本等因素的 前提下进行整改。 评审和审批阶段:各子系统整改完成后,进行等级保护整改回归测试,如能基本达到或超过既定 测评等级要求,则形成等级保护送审资料。 备案阶段:将相关定级申报材料直接报当地公安机关备案。
    定级总结阶段:公安机关通过对等级保护资料审查、现场核查等程序后给予出具等级保护备案证 明材料。 1.2 测评的主要内容和目标 该医院信息化工作发展到目前阶段,已经建设了各种各样的重要、综合性很强的信息子系统,重 要业务子系统越来越多、网络覆盖广度与深度不断增加、跨单位跨部门的横向沟通不断增强,医 院信息化在向广度与深度迅速扩展,同时医院网络系统面临的信息安全风险与挑战也越来越大。 依据上述标准、规范及知道意见,参照行业主管部门已有相关的行业定级指导文件,结合该医院 具体情况,本次信息安全等级保护测评与风险评估具体对象为:核心数据机房、HIS 系统、LIS 系统、PACS 系统、EMR 系统、中医药省级数据中心相关系统;拟按照叁级信息系统进行安全 保护。 1.3 风险评估 风险评估是要了解信息系统的管理、网络和系统安全现状,哪些环节、数据是最重要的、最敏感 的,是否已部署有效的安全措施、管理措施,确定一旦威胁发生其潜在的损失或破坏,对其造成 的损失是否可控、可承受,以确定相应的信息安全保护等级。对当场整理的信息进行深入分析, 从而归纳整理成为信息系统的缺陷评估报告、信息系统使用风险评估报告等,以详细掌握信息系 统在使用过程中潜在的问题或风险。并且将其作为等保差距分析的重要内容,同时为后续的优化 与健全提供资源。
    1.4 差距测评 在经过差距测评与评价后,对医院信息系统的基本情况有了大致的了解,明确进一步明确了目前 信息系统使用以及所需求信息系统之间的距离。 1.4.1 差距测评主要内容 一是单元测评:主要测评基本安全控制在信息系统中的实施配置情况; 二是整体测评:主要测评分析信息系统的整体安全性。 单元测评包含的内容涉及到信息系统安全技术和安全管理上的各个安全控制措施。 整体测评主要是基于单元测评开展深入的测评研究,主要工作项目涵盖了安全控制、区域相互作 用的安全测评和系统结构安全测评。 1.4.2 差距分析表 在开展等保差距分析前要对各项数据进行整理,以归纳出差距分析表,表中要详细罗列需要优化 的内容。优化项目组会根据信息系统所需要的安全需求来针对当前信息系统的安全使用情况进行 优化,去除不合适项目,增加能够满足用户信息系统使用需求的安全保护措施。主要表现在以下 两个方面: l 安全管理差距分析:包括安全管理制度、系统建设管理; l 安全技术差距分析:包括网络安全、数据安全及备份恢复;
    1.5 安全整改 根据国家相关部门对信息系统所提出的一系列要求,全面而科学的评估需要对医院业务网络平台 信息系统风险,协助其合理确定安全保护等级,在这一情况上进行更加合理的设计规划,从而打 造一套详细、全面的安全体系保护方案。该安全体系需要全面保卫网络和基础设施、边界和外部 接入、计算环境、支持性基础设施、数据和系统等方面内容,实现信息资源的机密、完整、可用、 不可抵赖和可审计性,基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。 医院业务网络平台的总体信息安全技术体系改造,包括以下几个方面: l 建设业务网络平台安全基础设施; l 业务网络平台信息系统的边界安全保护; l 业务网络平台信息系统的计算环境安全保护; l 建立业务网络平台信息系统的安全管理和运维体系; l 业务网络平台整体达到等级保护相关等级要求。 1.6 整改回归测试 整改实施工作完成进入整改项目验收阶段,组织专家技术团队对验收方案工程验收方案的符合性 及可行性进行评审,并负责对工程是否达到等保要求进行回归测试,通过对信息系统的等级保护 整改措施落实情况与《信息系统安全等级保护基本要求》的要求之间的符合程度再一次进行评判、 复查,形成回归测试后的信息系统安全等级保护测评报告。
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料