落实信息安全等级保护
做好北京地区卫生行业信息安全实践经验
郑攀① 王晖①
①北京市公共卫生信息中心 ,100050, 北京市宣武区北纬路 59号
摘 要 等级保护工作作为近年来我国积极推广并实施的信息安全建设工作,在我国政府、
卫生、金融等领域中得到了普及。但如何能够有效、正确地贯彻等级保护相关法律法规,成
为各领域研究和探讨的重点。本文阐述了近几年北京市卫生行业在贯彻等级保护相关法律法
规和配套政策中的具体做法及成效,可以用于卫生行业及其他行业进行等级保护建设工作的
参考之用。
主题词 等级保护 卫生行业
1 背景
随着国家不断深化医疗卫生体制改革,卫生行业信息化应用不断普及。医疗
卫生信息化已成为支撑医疗卫生保障、公共卫生服务等核心业务的重要支柱。
2007 年 6月,国家四部委联合下发了《信息安全等级保护
管理办法
关于高温津贴发放的管理办法稽核管理办法下载并购贷款管理办法下载商业信用卡管理办法下载处方管理办法word下载
》(公通
字[2007]43 号),明确了信息安全等级保护
制度
关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载
的基本内容、流程及工作要求,
也明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作
中的
职责
岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx
、任务等。在这样的大背景下,北京市卫生局在市公安局的指导下,全
面开展了北京地区卫生行业的等级保护工作。
北京市各级各类医疗机构数量众多总数达到 6000 余家,其中仅二级以上医
疗机构就有 170余家。卫生行业的信息安全管理涉及单位多、工作难度大,如何
贯彻落实国家等级保护工作要求、强化信息安全管理,形成自顶向下的信息安全
管理体系,是卫生行业信息安全等级保护工作面临的重要课题。
2 具体做法
在等级保护法律法规及配套政策逐步完善的大背景下,结合卫生行业信息系
统的特点及安全需求,北京市卫生行业近年来在落实与推动等级保护方面做了许
多工作,一方面满足国家等级保护相关法律法规的要求,另一方面切实提高了卫
生行业信息系统的安全性、稳定性,为以后卫生行业的信息化发展奠定了更加坚
实的基础。
2.1 建立信息安全检查机制 从 2008年开始,每年年初北京市卫生局都组织召开
卫生信息化工作会,会上总结前一年信息安全总体工作,并对信息安全先进单位
进行表彰,同时对全年卫生信息安全工作提出部署,明确全行业信息安全保障重
点任务,为落实全年信息安全工作的组织开展奠定了坚实的基础。
市卫生局联合市公安局开展全行业信息安全检查工作。针对卫生行业机构众
多的特点,检查工作由市区两级卫生行政部门与市区两级公安部门联合进行。全
市三级医疗机构及市卫生局直属单位由市卫生局、市公安局负责,区县医疗卫生
机构由区县卫生局与区县公安分局联合进行。
联合检查重点针对各单位信息安全责任落实情况、信息系统等级保护工作落
实情况以及信息系统安全保障工作落实情况。检查后对各单位信息安全工作存在
的问题提出整改意见,并以书面形式进行反馈,要求各单位根据检查结果进行认
真整改。各单位针对检查中发现的安全隐患、漏洞等风险制定技术整改和管理措
施并认真落实,最大限度地降低网络与信息安全风险。
2.2 强化信息安全培训工作 通过几年的信息安全检查,我们发现卫生行业对信
息安全等级保护制度了解不够,对等级保护工作如何在卫生行业贯彻实施存在疑
问。2010 年我们出版了《医疗卫生行业信息安全等级保护实施指南》一书,该
书
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
了医疗卫生行业信息安全需求,建议应利用体系化管理的思路在卫生行业
推动信息安全等级保护工作。
北京市卫生局在全市各行业中,率先尝试开展了信息安全人员准入机制,以
该书为教材,组织了全市 50 余家医疗卫生机构信息安全人员培训。通过贯彻培
训等级保护相关文件、介绍信息安全等级保护体系化实施方法和医疗卫生机构信
息安全等级保护具体实施案例等方面的工作,提高了信息安全岗位人员能力。
2.3 取得成绩 几年来的北京市卫生行业信息安全工作取得了一定的进展。特别
是顺利完成了奥运、国庆的信息安全保障任务并获得了市级表彰,使我们增强了
信息系统安全保障工作的信心。医疗卫生机构认识到了信息安全工作的重要性,
强化了信息安全保障工作。取得这些成绩首先与市卫生局坚持贯彻国家信息安全
等级保护制度的努力密不可分;其次与近几年市公安局通力合作,联合进行行业
信息安全管理的工作机制关系密切;而且市卫生局也及时与行业内医疗卫生机构
进行沟通,政策制定符合卫生行业客观规律。
3 研究总结
通过近几年由市卫生局牵头对北京地区卫生行业的等级保护工作统一化管
理,对于等级保护工作的贯彻、落实;对医疗卫生机构信息安全保障都起到了至
关重要的作用。
第一,等级保护的行业化统一管理,能促进等级保护工作实施流程的进一步
规范。
在等级保护工作的实施过程中,虽然有《信息系统安全等级保护实施指南》
等一系列的
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
做指导,但卫生行业机构众多、发展不一,容易在等级保护实施
工作中出现杂乱无章的局面。卫生行业主管部门能够站在行业的角度,分析行业
特点明确等级保护的工作重点。一方面可以积极、及时地贯彻落实等级保护的各
项标准政策,检查等级保护工作的实施有效性,并给予指导意见。另一方面可以
使卫生行业各个机构的等级保护工作得到统一、规范的管理。
第二,等级保护的行业化统一管理,可以进一步加强监管机制,提高卫生行
业信息系统的安全性。
等级保护工作的实施是加强信息安全的重要举措,卫生信息系统中存储着大
量涉及居民健康情况的敏感信息,一旦信息被窃取或非法篡改,将对社会和公民
造成极大影响。因此,加强等级保护工作的意义重大。对于卫生行业来说,统一
化的管理能够对等级保护工作状况进行监管,了解和掌握卫生行业信息系统安全
现状和薄弱环节,有针对性的进行管理。
信息系统等级保护是当前我国信息安全界的热点,各行业都在理解等级保护
政策的基础上,总结着适合自身行业特点的等级保护实施细则。卫生行业更要结
合自身的行业特殊性,贯彻实施等级保护的各项要求。北京市近几年虽在卫生行
业信息安全工作方面进行了一些探索和实践,但与其他行业相比起步晚、底子薄,
还需进一步地研究及完善。
浙公网安备 33021202002483