醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南
定 價:28 元
- 作者:王暉 編
- 出版時間:2010/7/1
- ISBN:9787118069365
- 出 版 社:國防工業(yè)出版社
- 中圖法分類:R197.324
- 頁碼:180
- 紙張:膠版紙
- 版次:1
- 開本:16開
《醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南》首先詳細分析了醫(yī)療衛(wèi)生行業(yè)的現(xiàn)狀和安全需求;然后對我國的信息安全等級保護制度進行了介紹,包括其提出、發(fā)展現(xiàn)狀和等級保護的體系;第3章引入了體系化管理方法,闡述了信息安全等級保護工作的體系化需求以及體系化實施流程;第4章是《醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南》的重點,從定級與備案、規(guī)劃與設計、實施與運行、安全檢查、持續(xù)改進5個方面詳細給出了在醫(yī)療衛(wèi)生實施信息安全等級保護的方法和流程;此外,《醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南》還介紹了在醫(yī)療衛(wèi)生行業(yè)中信息安全崗位人員能力的要求以及對其進行評價的方法;最后,以現(xiàn)實案例的方式,描述了醫(yī)療衛(wèi)生行業(yè)實施信息安全等級保護工作的情況。
《醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南》可供醫(yī)療衛(wèi)生行業(yè)從事信息技術(shù)工作的人員閱讀參考。
隨著經(jīng)濟社會發(fā)展,人們健康需求越來越高、越來越多樣化;隨著科學技術(shù)發(fā)展,醫(yī)療衛(wèi)生服務手段越來越先進、越來越可供選擇?梢哉f,醫(yī)療衛(wèi)生工作越來越復雜,它既與神秘的生命科學技術(shù)密切相關,也與經(jīng)濟、政治、倫理等復雜社會因素密切相關。加強衛(wèi)生工作、加快衛(wèi)生改革發(fā)展,涉及人們的生老病死,關系千家萬戶的利益,倍受關注和重視。當前,信息技術(shù)發(fā)展日新月異,正在改變著世界、改變著生活,也為衛(wèi)生部門向全社會提供更好的醫(yī)療衛(wèi)生服務創(chuàng)造了前所未有的機遇。在衛(wèi)生領域,信息化是技術(shù),更是手段,衛(wèi)生信息化建設在衛(wèi)生改革發(fā)展中尤為重要。衛(wèi)生信息化是衛(wèi)生系統(tǒng)中的各類組織,如衛(wèi)生行政部門、醫(yī)療機構(gòu)、衛(wèi)生防病機構(gòu)、衛(wèi)生監(jiān)督執(zhí)法機構(gòu)、婦幼保健機構(gòu)、藥品、衛(wèi)生材料生產(chǎn)、供銷及管理機構(gòu)、醫(yī)學科研及教育機構(gòu)利用現(xiàn)代網(wǎng)絡和計算機技術(shù)對衛(wèi)生信息/數(shù)據(jù)進行搜集、整理、存儲、使用、提供服務,并對衛(wèi)生領域和信息活動和各種要素(包括信息、人、技術(shù)與設備等)進行合理組織與控制,以實現(xiàn)信息及相關資源的合理配置,從而滿足衛(wèi)生行業(yè)信息服務與管理的需求。衛(wèi)生信息化建設包括醫(yī)藥衛(wèi)生信息、醫(yī)療保障信息、藥品監(jiān)測信息等多個信息系統(tǒng),涉及衛(wèi)生改革發(fā)展的方方面面。醫(yī)改方案把衛(wèi)生信息化建設作為深化醫(yī)藥衛(wèi)生體制改革的八大支柱之一,強調(diào)以推進公共衛(wèi)生、醫(yī)療、醫(yī)保、藥品、財務監(jiān)管信息化建設為著力點,整合資源,加強信息標準化和公共服務信息平臺建設,逐步建立統(tǒng)一高效、資源整合、互聯(lián)互通、信息共享、透明公開、使用便捷的醫(yī)藥衛(wèi)生信息系統(tǒng),不斷提高醫(yī)療衛(wèi)生服務水平和工作效率,方便患者就醫(yī),提高醫(yī)療衛(wèi)生機構(gòu)的工作效率,減少資源浪費以及提高政府決策和管理水平服務。
第1章 醫(yī)療衛(wèi)生行業(yè)安全需求
1.1 概述
1.1.1 醫(yī)療信息系統(tǒng)的定義與建設內(nèi)容
1.1.2 醫(yī)療信息系統(tǒng)的特點
1.1.3 公共衛(wèi)生信息系統(tǒng)的定義與建設內(nèi)容
1.1.4 公共衛(wèi)生信息系統(tǒng)的特點
1.2 信息安全現(xiàn)狀
1.2.1 存在的問題
1.2.2 信息安全思考
1.3 安全需求分析
1.3.1 等級保護要求
1.3.2 體系化管理需求
第2章 信息安全等級保護制度
2.1 等級保護制度的提出
2.2 等級保護發(fā)展現(xiàn)狀
2.3 等級保護管理辦法
2.4 信息系統(tǒng)安全等級保護體系
2.4.1 《安全等級保護劃分準則》
2.4.2 《信息系統(tǒng)安全保護等級定級指南》
2.4.3 《信息系統(tǒng)安全等級保護基本要求》
2.4.4 《信息系統(tǒng)安全管理要求》
2.4.5 《信息系統(tǒng)安全通用技術(shù)要求》
2.4.6 《信息系統(tǒng)安全工程管理要求》
2.4.7 《信息系統(tǒng)等級保護安全設計技術(shù)要求》
2.4.8 《信息系統(tǒng)安全等級保護測評要求》
2.4.9 《信息系統(tǒng)安全等級保護測評過程指南》
2.4.10 其他標準
第3章 信息安全體系化管理
3.1 體系化管理方法
3.1.1 概述
3.1.2 過程方法
3.1.3 PDCA模型
3.1.4 管理職責
3.1.5 資源管理
3.1.6 持續(xù)改進
3.2 信息安全管理的體系化要求
3.2.1 必要性
3.2.2 ISMS中體系化方法的運用
3.2.3 信息安全等級保護的體系化需求
3.3 醫(yī)療衛(wèi)生信息安全等級保護的體系化實施
3.3.1 信息安全等級保護實施環(huán)節(jié)
3.3.2 體系化實施流程
第4章 醫(yī)療衛(wèi)生信息安全等級保護實施
4.1 概述
4.1.1 基本原則
4.1.2 角色和職責
4.1.3 實施的基本流程
4.2 定級與備案
4.2.1 定級過程
4.2.2 關于審批流程的說明
4.2.3 等級變更
4.2.4 北京市衛(wèi)生行業(yè)重要信息系統(tǒng)安全等級保護定級建議
4.3 規(guī)劃與設計
4.3.1 要求、目標和范圍
4.3.2 技術(shù)設計概述
4.3.3 管理設計概述
4.3.4 安全方案詳細設計
4.4 實施與運行
4.4.1 管理措施實現(xiàn)
4.4.2 技術(shù)措施實現(xiàn)
4.4.3 安全運行與維護
4.4.4 持續(xù)改進
4.5 安全檢查
4.5.1 二級檢查
4.5.2 三級檢查
4.6 持續(xù)改進
第5章 信息安全崗位人員能力與評價
5.1 必要性
5.2 信息安全崗位能力要求
5.2.1 概述
5.2.2 個人基本素質(zhì)
5.2.3 知識和技能
5.2.4 經(jīng)歷
5.2.5 能力的保持與提高
5.3 信息安全崗位人員評價
5.3.1 概述
5.3.2 評價過程
第6章 醫(yī)療行業(yè)信息安全等級保護實施案例
6.1 北京市紅十字血液中心信息安全等級保護實施案例
6.1.1 血液中心信息化建設現(xiàn)狀
6.1.2 血液中心三級等級保護建設思路
6.1.3 血液中心三級等級保護建設方案
6.1.4 其他信息安全措施
6.1.5 方案優(yōu)勢和特點
6.2 阜外醫(yī)院信息安全等級保護實施案例
6.2.1 醫(yī)院信息化現(xiàn)狀
6.2.2 安全風險與需求
6.2.3 解決方案
6.2.4 網(wǎng)絡安全技術(shù)手段
6.2.5 信息安全管理措施
6.2.6 方案優(yōu)勢
參考文獻
醫(yī)療衛(wèi)生保健是人生在世不可或缺的需求,因此,醫(yī)療保健在世界各國,普遍被列入關乎國計民生和社會發(fā)展的關鍵基礎設施(CI)。信息化的發(fā)展,為醫(yī)療衛(wèi)生保健的服務質(zhì)量帶來了嶄新的前景。因此,醫(yī)療保健信息系統(tǒng)在世界各國,普遍被列入關鍵信息基礎設施(CII)。擁有13億人口的中國,在優(yōu)秀醫(yī)療資源緊缺的發(fā)展階段,要保證國民強身健體,要緩解看病難、吃藥貴,除了要繼續(xù)深化醫(yī)改外,就是必須運用好信息化手段這個關鍵信息基礎設施,提高醫(yī)療保健這個關鍵基礎設施的效率和效益,惠及全民。
信息系統(tǒng)存在的安全問題是影響醫(yī)療保健信息系統(tǒng)發(fā)揮其效率和效益,完成其使命的嚴重隱患。因此,世界各國普遍把醫(yī)療保健信息系統(tǒng)的安全保護列為關鍵信息基礎設施保護(CIIP)。我國在加強信息安全保障工作的相關政策中,提出了信息系統(tǒng)安全等級保護的制度性安排。近幾年,我國各級國家機關和各行各業(yè)的重要信息系統(tǒng)和關鍵信息基礎網(wǎng)絡基本完成了安全定級。醫(yī)療衛(wèi)生信息系統(tǒng)多數(shù)被定為二級或三級系統(tǒng)。目前,信息系統(tǒng)安全等級保護工作進人了安全建設整改的工作階段。在這個工作階段中,各類信息系統(tǒng)和基礎網(wǎng)絡要根據(jù)所定級別,依據(jù)政策、法規(guī)、標準,進行信息安全管理的建設整改和信息安全技術(shù)的建設整改,《醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南》一書的編寫出版恰逢其時。
信息系統(tǒng)安全等級保護建設整改是否達標,要接受主管部門的檢查評估。檢查評估的依據(jù)是與等級保護制度相關的政策、法規(guī)、標準。信息系統(tǒng)的擁有者、使用者對信息系統(tǒng)的安全定級和安全建設整改責無旁貸。消極應對“要我做”,還是積極主動“我要做”體現(xiàn)了兩種不同的態(tài)度。采取我要做的正確態(tài)度的人,在領會有什么合規(guī)性要求的基礎上,必然會結(jié)合自己的實際,將主管部門的要求和自身的需求有機地結(jié)合起來,有效地實施落實。本書的編者,根據(jù)自己在信息安全和醫(yī)療衛(wèi)生領域信息化工作的多年實踐,把國家有關信息系統(tǒng)安全等級保護大量政策、法規(guī)、標準的要求和北京市醫(yī)療衛(wèi)生行業(yè)的信息安全實踐經(jīng)驗相結(jié)合,整理出基本要求、行業(yè)特色需求和如何貫徹實施融為一體的指南,這正是深入貫徹信息系統(tǒng)安全等級保護工作制度,加強信息安全保障工作的有益嘗試,體現(xiàn)了“我要做”的自覺性。