等保2.0下系统定级备案指引
一、定级步骤
安全性维护等級基本明确为CFA二级及左右的分级保护另一半,其经营应用企业理应根据《网络信息安全分级保护定级手册》开展基本定级、权威专家审查、主管机构审核、公安部门办理备案核查,最后明确其安全性维护等級。
二、定级方式
分级保护另一半的级別由2个定级因素决策:a) 受损害的行为主体;b) 对行为主体的损害水平。定级另一半的安全性包括业务流程网络信息安全和系统服务安全性,与之有关的受损害行为主体和对行为主体的损害水平将会不一样,因而,安全性维护等級也应由业务流程网络信息安全(S)和系统服务安全性(A)两层面明确,依据业务流程信息内容的必要性和严重破坏后的不良影响明确业务流程网络信息安全等級;依据系统软件服务的重要性和严重破坏后的不良影响明确系统服务安全级别;由业务流程网络信息安全等級和系统服务安全级别的较厉害的人明确定级另一半的安全性维护等級。参照以下报表:
三、定级汇报实例
《信息管理系统安全级别维护定级汇报》
一、XX医院门诊HIS系统软件叙述
HIS系统软件是遮盖XX医院门诊全部业务流程和业务流程过程的管理信息系统。为医院门诊隶属各单位出示病人诊治信息内容和行政部门信息管理的搜集、储存、解决、获取和数据传输的工作能力并考虑受权客户的作用要求的服务平台。系统软件为由X台网络服务器、计算机设备X台,有HIS系统软件运用前台接待、后台管理、门诊挂号手机客户端运用、医院门诊收费标准手机客户端运用、药品监管手机客户端运用、住院治疗收费标准手机客户端运用、分布式数据库运用等运用构成。HIS系统软件关键朝向医院门诊、医务人员、医院门诊管理人员、公共卫生服务组织、地区医疗服务组织、环境卫生行政单位等客户。HIS系统软件是由XX企业开发设计,XX企业网络信息中心维护保养。HIS系统软件为XX医院门诊的定级另一半,XX医院门诊对HIS系统软件具备网络信息安全维护义务,担负HIS系统优化义务的单位是网络信息中心。HIS系统软件布署在XX医院门诊XX主机房,沒有互联网技术联接、外联企业和广域网联接,找不到互联网技术界限和与别的企业的界限。
HIS系统软件的网址拓扑图给出:
二、XX医院门诊HIS系统优化维护等級的明确
(一)业务流程网络信息安全维护等級的明确
1、业务流程信息内容叙述
系统软件储存着病人诊治信息内容,如病人基本资料、病人确诊统计数据、药品信息、住院治疗信息内容、统方信息内容等。
2、业务流程信息内容严重破坏时需损害行为主体的明确
HIS系统软件中储存的信息内容涉及很多病人信息内容,假如统计数据被泄漏和伪造会对病人导致危害并将会导致必须社会发展危害,故信息内容严重破坏时损害的行为主体是啥公共秩序和群众权益和中国公民、法定代表人和别的机构的合法权利。
3、信息内容严重破坏后对损害行为主体的损害水平的明确
XX医院门诊HIS系统软件假如统计数据被泄漏和伪造,会对全院、就医病人及其公共卫生服务行政部门主管机构的合法权利导致比较严重损害,并有将会导致诊疗安全生产事故的产生,对公共秩序和集体利益导致危害。故信息内容严重破坏后,会对法定代表人和别的机构的合法权利导致非常比较严重危害,对公共秩序和集体利益导致危害导致比较严重危害。
4、业务流程网络信息安全等級的明确
根据信息内容严重破坏时需损害的行为主体及其损害水平,明确关键业务流程网络信息安全等級为3级。
(二)系统服务安全性维护等級的明确
1、系统服务叙述
XX医院门诊HIS系统软件的关键服务项目另一半为医院门诊、病人和诊疗公共卫生服务主管机构,是遮盖XX医院门诊全部业务流程和业务流程过程的管理信息系统。
2、系统服务严重破坏时需损害行为主体的明确
系统软件背负着适用医院门诊的行政管理学与事务管理和对医院门诊、病人和公共卫生服务开展数字化管理的业务流程,故系统服务严重破坏时损害的行为主体是啥公共秩序和群众权益和中国公民、法定代表人和别的机构的合法权利。
3、系统服务严重破坏后对损害行为主体的损害水平的明确
如果系统软件偏瘫将会导致医院门诊业务流程没法一切正常进行,病人没法立即就诊,乃至有将会导致诊疗安全生产事故的产生,对公共秩序和集体利益将导致危害。故系统服务严重破坏后,会对法定代表人和别的机构的合法权利导致非常比较严重危害,对公共秩序和集体利益导致危害导致比较严重危害。
4、系统服务安全级别的明确
根据系统服务严重破坏时需损害的行为主体及其损害水平,明确系统服务安全级别为3级。
(三)安全性维护等級的明确
由于XX医院门诊HIS系统软件的业务流程网络信息安全等級和系统服务安全级别均为3级,信息管理系统的安全性维护等級由业务流程网络信息安全等級和系统服务安全级别较厉害的人决策,最后明确HIS系统优化维护等級为CFA三级。
信息管理系统名字
安全性维护等級
业务流程网络信息安全等級
系统服务安全级别
XX医院门诊HIS系统软件
3级
3级
3级
四、制造行业定级实施意见
1、医疗服务制造行业定级实施意见
2、教育培训行业定级实施意见
3、金融业定级实施意见