将互联网应用于医院,增强了就医的便捷性,提高了优质医疗资源的利用效率。但同时,医疗信息系统的网络安全风险也逐渐增加。医院信息系统存储信息量巨大,一旦发生网络安全事件,后果不堪设想。为了保护医院信息系统的安全,早在2011年,原卫生部就下发了《关于全面开展卫生行业信息安全等级保护工作的通知》,要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级。此前在网上看到有小伙伴咨询东莞医院系统三级等保认证的问题,今天这篇文章就来为大家解答一下,需要做等级保护的医院都可以看看~ 一、东莞市医院系统三级等保认证的办理流程是怎样的? 医院信息系统的三级等保认证办理遵循定级备案、测评、整改、监督检查的流程。在定级备案这一步,医院主要是根据定级指南来确定信息系统的等级,然后准备备案材料提交公安机关等待审核,审核通过之后,就可以拿到备案证明。备案成功,就可以进入下一步的测评整改。东莞市医院系统三级等保备案需要提交的材料主要是《信息系统安全等级保护备案表》,同时还需要提供:①系统拓扑结构及说明;②系统安全组织机构和管理制度;③系统安全保护设施设计实施方案或者改建实施方案;④系统使用的信息安全产品清单及其认证、销售许可证明;⑤测评后符合系统安全保护等级的技术检测评估报告;⑥信息系统安全保护等级专家评审意见;⑦主管单位核准信息系统安全保护等级的意见。 如果主管单位或者公安机关有别的要求,医院按要求补足材料即可。 备案之后就是测评整改。测评由具备资质的测评单位来进行,医院可根据公安机关推荐的测评机构名单来选择一个合适的测评机构。测评机构将会对医院的信息系统进行两次测评,一次是差距测评,发现医院信息系统的安全问题;另一次是验收测评,在整改之后进行,测评合格,医院将测评报告提交公安机关,就算是通过了三级等保认证。测评机构收取服务费,三级信息系统的测评费用一般是四万起步,具体要根据医院需要测评的系统数量来定,数量越多费用越高。同时,如果医院没有通过验收测评,需要进行第三次测评,测评机构还会重新收取服务费。 为了能通过验收测评,医院需要对测评发现的安全问题进行整改。整改内容比如安全管理制度的完善,防火墙等安全设备的补足。 二、东莞医院系统三级等保认证如何快速通过测评? 由于测评比较重要,所以我们把这一个部分单独拎出来再说一下。等级保护测评指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。通过等级测评,企业可以明确自己信息系统存在的安全风险,以及信息系统的安全防护是否符合等级保护规章制度的要求。 信息安全等级保护测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评内容如下所示: 测评技术层面具体的对象是: ①机房:本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。 ②业务应用软件:本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。 ③主机操作系统:本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。 ④数据库系统:本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。 ⑤网络设备:本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。 为了快速通过等级测评,医院必须按照等级保护三级标准,来对信息系统进行安全建设。医院最好委托专业的第三方等保服务机构来进行整改,等保服务机构会为医院设计一套专门的整改方案并实施,确保医院信息系统的安全防护状况符合等保要求。等保服务机构比如等保测评网,等保测评网是一站式等级保护解决方案专家,此前为了帮一家互联网医院拿到牌照,等保测评网在一个月内就帮助该医院通过等保认证。