医院系统等级保护如何定级

定级对象的网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审，并出具专家评审意见。有行业主管（监管）部门的，还需将定级结果报请行业主管（监管）部门核准，并出具核准意见。最后，网络运营者按照相关管理规定，将定级结果提交公安机关进行备案审核。

初步确定等级

定级方法

定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源。

定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反 映的定级对象安全保护等级称为业务信息安全保护等级；从系统服务安全角度反映的定级对象安全保护 等级称为系统服务安全保护等级。定级方法如图1所示：

图1

定级方法流程说明如下：

a) 确定受到破坏时所侵害的客体

• 确定业务信息受到破坏时所侵害的客体。

• 确定系统服务受到破坏时所侵害的客体。

• 确定业务信息安全保护等级确定系统服务安全保护等级。

b) 确定对客体的侵害程度

• 根据不同的受侵害客体，分别评定业务信息安全被破坏对客体的侵害程度。

• 根据不同的受侵害客体，分别评定系统服务安全被破坏对客体的侵害程度。

c) 确定安全保护等级

• 确定业务信息安全保护等级；

• 确定系统服务安全保护等级；

• 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

综合判定等级

综合判定等级根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表1可得到业务信息安全保护等级。

表1 业务信息安全保护等级矩阵表

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2可得到系统服务安全保护等级。

表2 系统服务安全保护等级矩阵表

定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

确定安全保护等级

安全保护等级初步确定为第二级及以上的，定级对象的网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审，并出具专家评审意见。有行业主管（监管）部门的，还需将定级结果报请行业主管（监管）部门核准，并出具核准意见。最后，网络运营者按照相关管理规定，将定级结果提交公安机关进行备案审核。审核不通过，其网络运营者需组织重新定级；审核通过后最终确定定级对象 的安全保护等级。

对于通信网络设施、云计算平台/系统等定级对象，需根据其承载或将要承载的等级保护对象的重 要程度确定其安全保护等级，原则上不低于其承载的等级保护对象的安全保护等级。

对于数据资源，综合考虑其规模、价值等因素，及其遭到破坏后对国家安全、社会秩序、公共利益 以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为 公民提供公共服务的大数据平台/系统，原则上其安全保护等级不低于第三级。