医院系统三级等保认证如何快速通过测评?费用多少?
来源:本站
作者:中联信科
日期:2021-04-25 11:55:56
浏览:
1240
将互联网应用于医院,增强了就医的便捷性,提高了优质医疗资源的利用效率。但同时,医疗信息系统的网络安全风险也逐渐增加。医院信息系统存储信息量巨大,一旦发生网络安全事件,后果不堪设想。为了保护医院信息系统的安全,早在2011年,原卫生部就下发了《关于全面开展卫生行业信息安全等级保护工作的通知》,要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级。此前在网上看到有小伙伴咨询东莞医院系统三级等保认证的问题,今天这篇文章就来为大家解答一下,需要做等级保护的医院都可以看看~
一、医院系统三级等保认证的办理流程是怎样的?
医院信息系统的三级等保认证办理遵循定级备案、测评、整改、监督检查的流程。在定级备案这一步,医院主要是根据定级指南来确定信息系统的等级,然后准备备案材料提交公安机关等待审核,审核通过之后,就可以拿到备案证明。备案成功,就可以进入下一步的测评整改。东莞市医院系统三级等保备案需要提交的材料主要是《信息系统安全等级保护备案表》,同时还需要提供:①系统拓扑结构及说明;②系统安全组织机构和管理制度;③系统安全保护设施设计实施方案或者改建实施方案;④系统使用的信息安全产品清单及其认证、销售许可证明;⑤测评后符合系统安全保护等级的技术检测评估报告;⑥信息系统安全保护等级专家评审意见;⑦主管单位核准信息系统安全保护等级的意见。
如果主管单位或者公安机关有别的要求,医院按要求补足材料即可。
备案之后就是测评整改。测评由具备资质的测评单位来进行,医院可根据公安机关推荐的测评机构名单来选择一个合适的测评机构。测评机构将会对医院的信息系统进行两次测评,一次是差距测评,发现医院信息系统的安全问题;另一次是验收测评,在整改之后进行,测评合格,医院将测评报告提交公安机关,就算是通过了三级等保认证。测评机构收取服务费,三级信息系统的测评费用一般是四万起步,具体要根据医院需要测评的系统数量来定,数量越多费用越高。同时,如果医院没有通过验收测评,需要进行第三次测评,测评机构还会重新收取服务费。
为了能通过验收测评,医院需要对测评发现的安全问题进行整改。整改内容比如安全管理制度的完善,防火墙等安全设备的补足。
二、医院系统三级等保认证如何快速通过测评?
由于测评比较重要,所以我们把这一个部分单独拎出来再说一下。等级保护测评指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。通过等级测评,企业可以明确自己信息系统存在的安全风险,以及信息系统的安全防护是否符合等级保护规章制度的要求。
信息安全等级保护测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评内容如下所示:
测评技术层面具体的对象是:
①机房:本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。
②业务应用软件:本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
③主机操作系统:本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
④数据库系统:本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
⑤网络设备:本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
为了快速通过等级测评,医院必须按照等级保护三级标准,来对信息系统进行安全建设。医院最好委托专业的第三方等保服务机构来进行整改,等保服务机构会为医院设计一套专门的整改方案并实施,确保医院信息系统的安全防护状况符合等保要求。等保服务机构比如中联科技,中联科技是一站式等级保护解决方案专家,此前为了帮一家互联网医院拿到牌照,中联科技在一个月内就帮助该医院通过等保认证。
三、医院系统三级等保认证快速通过测评,就找中联科技!
在详细整理国家相关等保规范的基础上,中联整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,为东莞医院提供了等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,能帮助医院高效通过等保测评。
如下是中联科技为某中医信息系统设计的整改方案:
针对智慧中医应用系统安全问题,例如数据库安全方面可以采用数据库审计、数据库防火墙、数据库加密、数据库脱敏等手段进行安全加固。整体而言,可以从主动防御体系的思路做安全建设,这涉及四道防线:
1.第一道防线:检查预警。通过数据库漏扫产品对数据库威胁进行检查分析,给出安全建议。
2.第二道防线:主动防御。通过数据库安全运维产品的身份识别、运维审批、流程管理,防止非法人员操作;防止外部攻击破坏;与此同时做好内部防护,防止内部超级权限。
3.第三道防线:底线防守。
阈值管控:规避批量恶意访问,针对大批量医疗泄密进行告警控管,防止医疗数据批量查询;
数据库加密产品:防止防止医患数据泄露 “脱库”;
数据库脱敏产品:医疗数据去隐私化,防止泄漏真实数据给第三方。
4.第四道防线:事后追查。利用数据库审计产品来区分是外部威胁还是内鬼作案,可以对安全事件进行责任追溯。
安全防护:
1.业务入口通过WAF+SSL证书,提供来自互联网的CC攻击、SQL注入、XSS跨站攻击、木马上传等所有web攻击,保障业务的可用性、机密性和安全性;
2.系统通过ECS自建Nginx负载流量至后端应用服务器,应用服务器共用一个数据库;
3.云安全中心带有主机防病毒、漏洞扫描,补丁修复,密码防暴力破解等功能,结合基于大数据安全分析,看清业务的安全现状;
4.通过数据库审计对所有数据库会话行为进行审计和应用关联,及时发现非法操作行为;
5.ECS快照备份实现每日一全备,数据库通过DBS实现异地备份;
6.堡垒机实现主机管理的双因子认证,统一运维管理入口,实现运维审计。