@邪恶贝壳
2年前 提问
1个回答

医院等级保护怎么验收

安全侠
2年前

医院等医疗行业的等级保护验收会依据风险评估报告、安全问题整改报告对整个医疗信息系统整体的拓扑结构、安全性、安全功能模块的实现情况进行验收测评,并且给出验收结论。时间限制在5个工作日内,主要会涉及到该项目的负责人、测评负责人、开发商等相关人员。验收完成后需要按照相关要求进行年检,二级系统每2年进行一次测评检查,三级系统每年检查一次。

等级保护测评项目有以下这些:

  • 物理安全:包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。

  • 网络安全:包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。三级要求主要增强点:结构安全扩展到对重要网段采取可靠的技术隔离,在网络边界增加对恶意代码检测和清除;安全审计增强审计数据分析和保护,生成审计报表;访问控制扩展到对进出网络的信息内容过滤。

  • 主机安全:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。三级要求主要增强点:身份鉴别要求对管理用户采用组合鉴别技术。

  • 应用安全:包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。三级要求主要增强点:身份鉴别要求组合鉴别技术;访问控制和安全审计基本同主机安全增强要求;要求对通信过程中的整个报文或会话过程进行加密。

  • 数据安全:包括数据完整性和保密性、数据的备份和恢复。三级要求主要增强点:对系统管理数据、鉴别信息和重要业务数据在存储过程和传输过程中完整性进行检测和恢复,采用加密或其他有效措施实现以上数据传输和存储的保密性;提供异地数据备份等。