一、定級流程
安全保護等級初步確定為第二級及以上的等級保護對象,其運營使用單位應當依據《網絡安全等級保護定級指南》進行初步定級、專家評審、主管部門審批、公安機關備案審查,最終確定其安全保護等級。
二、定級方法
等級保護對象的級別由兩個定級要素決定:a) 受侵害的客體;b) 對客體的侵害程度。定級對象的安全主要包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,安全保護等級也應由業務信息安全(S)和系統服務安全(A)兩方面確定,根據業務信息的重要性和受到破壞后的危害性確定業務信息安全等級;根據系統服務的重要性和受到破壞后的危害性確定系統服務安全等級;由業務信息安全等級和系統服務安全等級的較高者確定定級對象的安全保護等級。參考下列表格:
三、定級報告示例
《信息系統安全等級保護定級報告》
1、XX系統描述
HIS系統是覆蓋XX醫院所有業務和業務全過程的信息管理系統。為醫院所屬各部門提供患者診療信息和行政管理信息的收集、存儲、處理、提取和數據交換的能力並滿足授權用戶的功能需求的平台。系統為由X台服務器、網絡設備X台,有HIS系統應用前台、后台、門診掛號客戶端應用、門診收費客戶端應用、葯品管理客戶端應用、住院收費客戶端應用、中間件應用等應用組成。HIS系統主要面向醫院、醫護人員、醫院管理者、公共衛生機構、區域醫療衛生機構、衛生行政機關等用戶。HIS系統是由XX單位開發,XX單位信息中心維護。HIS系統為XX醫院的定級對象,XX醫院對HIS系統具有信息安全保護責任,承擔HIS系統安全責任的部門是信息中心。HIS系統部署在XX醫院XX機房,沒有互聯網連接、外聯單位和廣域網連接,不存在互聯網邊界和與其他單位的邊界。
2、XX醫院HIS系統安全保護等級的確定
2.1業務信息安全保護等級的確定
(1)業務信息描述
系統存儲着患者診療信息,如患者基本信息、患者診斷數據、葯品信息、住院信息、統方信息等。
(2)業務信息受到破壞時所侵害客體的確定
HIS系統中存儲的信息涉及到大量患者信息,如果數據被泄露和篡改會對患者造成影響並可能造成一定社會影響,故信息受到破壞時侵害的客體是什么社會秩序和公眾利益和公民、法人和其他組織的合法權益。
(3)信息受到破壞后對侵害客體的侵害程度的確定
XX醫院HIS系統如果數據被泄露和篡改,會對我院、就診患者以及公共衛生行政主管部門的合法權益造成嚴重侵害,並有可能造成醫療安全事故的發生,對社會秩序和公共利益造成損害。故信息受到破壞后,會對法人和其他組織的合法權益造成特別嚴重損害,對社會秩序和公共利益造成損害造成嚴重損害。
(4)業務信息安全等級的確定
依據信息受到破壞時所侵害的客體以及侵害程度,確定核心業務信息安全等級為三級。
2.2系統服務安全保護等級的確定
(1)系統服務描述
XX醫院HIS系統的主要服務對象為醫院、患者和醫療公共衛生主管機構,是覆蓋XX醫院所有業務和業務全過程的信息管理系統。
(2)系統服務受到破壞時所侵害客體的確定
系統承載着支持醫院的行政管理與事務處理和對醫院、患者和公共衛生進行信息化管理的業務,故系統服務受到破壞時侵害的客體是什么社會秩序和公眾利益和公民、法人和其他組織的合法權益。
(3)系統服務受到破壞后對侵害客體的侵害程度的確定
一旦系統癱瘓可能造成醫院業務無法正常開展,患者無法及時就醫,甚至有可能造成醫療安全事故的發生,對社會秩序和公共利益將造成損害。故系統服務受到破壞后,會對法人和其他組織的合法權益造成特別嚴重損害,對社會秩序和公共利益造成損害造成嚴重損害。
(4)系統服務安全等級的確定
依據系統服務受到破壞時所侵害的客體以及侵害程度,確定系統服務安全等級為三級。
2.3安全保護等級的確定
鑒於XX醫院HIS系統的業務信息安全等級和系統服務安全等級均為三級,信息系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定,最終確定HIS系統安全保護等級為第三級。
| 信息系統名稱 |
安全保護等級 |
業務信息安全等級 |
系統服務安全等級 |
| XX醫院HIS系統 |
三級 |
三級 |
三級 |
四、行業定級指導意見
1、醫療衛生行業定級指導意見
2、教育行業定級指導意見
3、電力行業定級指導意見
4、金融行業定級指導意見
