第四十九条 中医医院应当按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)进行网络安全等级保护定级、备案、测评、安全建设整改等。

　　第五十条 中医医院应当按照《密码法》等有关法律法规使用商用密码保护信息系统和网络设施，同步规划、同步建设、同步运行商用密码保障系统，定期委托商用密码检测机构开展商用密码应用安全性评估。

　　第五十一条 安全技术主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面进行安全防范和保护，基本要求包括：

　　——安全物理环境：从物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面实施安全防范。

　　——安全通信网络：包括网络架构、通信传输和可信验证，网络架构保证网络设备的业务处理能力，网络带宽满足业务高峰期需要，通信线路、关键网络设备和关键计算设备提供硬件冗余;通信传输采用校验技术或密码技术保证数据的完整性、保密性;可信验证对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并将验证结果形成审计记录送至安全管理中心。

　　——安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证，部署防火墙设备、网闸或其他访问控制设备，具备精细粒度的访问控制，部署检测设备实现探测网络入侵和非法外联行为。

　　——安全计算环境：主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等。

　　——安全管理中心：包括系统管理、审计管理、安全管理和集中管控。

　　——采用云计算、移动互联、物联网等技术时，按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)进行安全防护。

　　第五十二条 中医医院应当建立网络安全工作管理平台，实现对信息系统的安全定级备案、差距分析、整改建设、等级测评、监督检查、系统废止等全面管理。

　　第五十三条 中医医院应当每年开展文档核验、漏洞扫描、渗透测试等形式的安全自查，明确安全自查的频率，及时发现、整改可能存在的问题和隐患，并按要求将相关情况上报有关主管监管机构。

　　第五十四条 中医医院应当按照网络安全等级保护相关要求加强内部人员和外部人员的安全管理。

　　——内部人员安全管理：制定人员录用、管理考核、教育培训、离岗离职、保密协议等相关管理制度，定期开展技能考核。

　　——外部人员安全管理：包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外部人员，以及临时来访的第三方人员，制定相应访问管理制度和操作规程。长期驻场的外部人员，参照内部人员安全要求管理。

　　第五十五条 中医医院运行维护安全管理应当实现体系化，对环境、资产、介质、设备、数据进行综合监控管理，对重要信息系统的资源进行监控保护;对信息系统安全运行维护所需要的密码保护、病毒扫描、变更等事件，建立运行维护管理制度，及时上报网络与信息安全漏洞、事件发生和处理情况。

　　第五十六条 中医医院应当建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度，定期检查或评估医疗设备信息和网络安全，并采取相应的安全管控措施，确保医疗设备网络安全。

　　第五十七条 中医医院应当遵守《数据安全法》《个人信息保护法》等法律法规，履行数据安全保护义务，坚持保障数据安全与发展并重，实行数据分类分级保护。关键信息基础设施运营者应当拟定关键信息基础设施安全保护计划，建立健全数据安全和个人信息保护制度。

　　第五十八条 中医医院信息系统突发事件应急管理的基本要求包括：

　　——应对原则：统一领导、分级控制、预防为主、健全制度、快速响应、有效配合。

　　——建立突发事件应对体系，包括组织机构、工作职责、应急预案、应急演练、通信系统以及必要的物资储备等。

　　——应急预案采用手工、半手工、备用系统等多种可使业务持续运行的手段，对关键业务的处理流程制定应急操作步骤，定期按照计划实施演练。

　　——建立信息系统预警等级制度，发生信息系统突发事件，立即上报和确定等级，启动相应应急预案。

　　——定期开展应对信息系统突发事件的宣传和技术培训，保证应急预案的有效实施，不断提高信息系统的应急能力。

　　第五十九条 鼓励中医医院开展信息系统审计工作，建立信息系统审计制度，医院审计部门或委托第三方在系统设计、实施、运行、验收等阶段对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制。

　　第六十条 中医医院应当加强信息系统风险评估，定期对信息系统的风险进行有效的识别、分析和控制，包括硬件资源的破坏与丢失、数据与程序文件的破坏与丢失、对实现系统功能的不利影响和对系统资源的非法使用等;针对风险分析结果制定相应的预防措施;保密分析过程与结果，避免非法利用系统弱点。

总共7页  [1] [2] [3] [4] 5 [6] [7] 
上一页  下一页