前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全等級保護管理辦法范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

安全等級保護管理辦法范文第1篇

關鍵詞：信息安全等級保護；機構管理；信息中心隨著《信息安全等級保護實施指南》和《信息安全等級保護管理辦法》等一系列文件頒布以來，醫院如何開展等級保護工作，確保信息安全，已經變成熱門話題。其中，負責醫院信息安全等級保護工作的組織管理機構，主要從管理層和用戶層對醫院信息安全等級保護進行管理建設。管理層的主要工作是制定醫院信息安全等級保護工作的管理辦法；用戶層的主要工作是依據管辦法要求，進行溝通合作以及運行監控和審查檢查工作。

1信息安全機構管理目的

信息安全等級保護工作是解決信息安全問題的基本方法，而信息安全不僅靠物理安全、網絡安全、主機安全等具體技術上的實現，還需要建立健全的信息安全機構管理制度，貫徹信息安全工作和維持信息安全的建設成果，在技術和管理兩個維度下保障信息安全保護體系在持續的運營工作中發揮應有的信息安全保護作用[1]。

2信息安全機構管理思路

2.1加強安全管理建設是實現等級保護組織機構管理的基礎 醫院信息安全管理需要由醫院信息化領導機構協調進行。為了完成和強化信息安全的管理，需要建立相應的信息安全管理機構，這是醫院信息安全等級保護實施的必要條件[2]。同時，安全組織管理建設也是重要組成內容，包括健全組織體系，明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳部門，制定系統安全保障方案，實施安全宣傳教育、安全監管和安全服務等。

2.2相關管理辦法制定是規范等級保護組織機構管理的根本保證 醫院信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險，其安全威脅無時無處不在。對于醫院信息系統的安全問題，不能企圖單憑利用一些集成了信息安全技術的安全產品來解決，而必須配合等級保護的信息系統安全保障體系，制定相關管理辦法，全方位綜合解決系統安全問題。

2.3定期審查監控是實施等級保護組織機構管理的具體表現 根據醫院對于信息安全等級保護的要求，安全等級保護除重視技術解決方案外，更應明確定期審查、檢查和監控的必要性。包括：指定專員定期對系統進行安全巡查，檢查的內容包含例如系統運行情況、系統漏洞確認、系統數據備份、現有安全技術措施有效性、安全配置與安全策略一致性、安全管理制度的執行情況等等。

3信息安全機構管理措施

醫院信息安全管理體系依賴于信息安全等級保護管理建設的機構管理。根據醫院當前信息安全管理需要和機構管理特點，和信息安全等級保護管理所要求的系統建設管理、系統運維管理、安全管理機構、安全管理制度和人員安全管理，筆者從崗位設置、人員配備、授權、審批、審查和溝通交流等方面分析醫院信息管理機構建設，切實做到提升醫院信息等級保護管理的能力。

3.1崗位設置 信息中心內部根據崗位劃分不同，設置多個安全管理崗位包括系統管理員、網絡管理員、安全管理員、安全審計員崗位，各崗位人員應按照自己的崗位職責，落實本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領導負責指導和管理，同時成立了醫院級別的信息安全工作領導小組，由黨委書記擔任領導小組組長，由信息中心負責管理工作的具體落實，制定各信息系統相關崗位的崗位職責和工作標準并形成文件。

3.2人員配備 信息中心采用安全責任層層落實制，中心主任對醫院所有信息化相關系統負責，網絡工程師對醫院所有網絡建設及維護負責，系統工程師對醫院服務器、數據庫、存儲和信息系統負責，信息安全工程師對醫院網絡安全、信息安全、機房物理安全負責，安全審計工程師對所有人的信息安全工作進行監督和審計，保證信息安全工作層層做實。

3.3授權和審批 醫院信息中心對于外部廠商人員的相關操作均需進行審批流程，通過軟件記錄其所有操作行為，并保存進檔。對于中心內部工作人員執行嚴格的離崗流程，由所在部門主管負責回收本部門負責的相關權限，所有權限回收后方可辦理正常的離職手續。

信息中心對于客戶端操作系統權限、應用系統操作權限、數據庫操作權限進行分級控制。內網客戶端硬盤分區全部使用NTFS，管理員密碼由信息中心網絡組每月定時更換；對所有應用系統功能進行編號，對功能進行模塊化管理，并對模塊進行分級控制；同時，設置數據庫用戶，將不同應用的數據分別管理，賦予創建、修改、刪除表及表內數據權限。

3.4審查和檢查 醫院信息中心日常檢查由信息安全管理員進行，自檢內容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件，病毒庫是否為最新版本，終端操作系統是否安裝最新補丁，是否設置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項記錄是否完整等。

構建信息安全綜合防護體系保證醫院各系統能夠長期穩定安全運行，滿足了醫院不斷擴展的業務應用和管理需要。本文對信息安全機構管理的目的、思路和措施進行了詳細的分析闡述，對相關工作人員和機構具有一定的啟示意義。同時，通過梳理分析業務特點和管理流程，依據等級保護相關政策和標準，明確安全管理需求，筆者所在醫院信息管理中心整理并制定出符合醫院信息系統實際情況的一套信息安全管理體系文件，并在2012年公安局等級保護測評中被評為三級。

參考文獻：

[1]蘇丹.醫院信息系統安全與管理[J].中國信息界(e醫療),2013,(05):58-59.

安全等級保護管理辦法范文第2篇

關鍵詞：等級保護；信息安全；風險評估

中圖分類號：TP309 文獻標識碼：A文章編號：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著信息化的快速發展，計算機網絡與信息技術在各個行業都得到了廣泛應用，對信息系統進行風險分析和等級評估，找出信息系統中存在的問題，對其進行控制和管理，己成為信息系統安全運行的重點。

一、信息系統安全

信息安全的發展大致為以下幾個階段，20世紀40-70年代，人們通過密碼技術解決通信保密，保證數據的保密性和完整性；到了70-90年代，為確保信息系統資產保密性、完整性和可用性的措施和控制，采取安全操作系統設計技術；90年代后，要求綜合通信安全和信息系統安全，確保信息在存儲、處理和傳輸過程中免受非授權的訪問，防止授權用戶的拒絕服務，以及包括檢測、記錄和對抗此類威脅的措施，代表是安全評估保障CC；今天，要保障信息和信息系統資產，保障組織機構使命的執行，綜合技術、管理、過程、人員等，需要更加完善的管理機制和更加先進的技術，出臺的有BS7799/ISO17799管理文件[1]。

二、信息安全等級保護

信息安全等級保護是指對信息系統分等級實行安全保護，對信息系統中發生的信息安全事件等分等級響應、處置，對設備設施、運行環境、系統軟件以及網絡系統按等級管理。風險評估按照風險范疇中設定的相關準則進行評估計算，同時結合信息安全管理和等級保護要求來實施。現在越來越注重將安全等級策略和風險評估技術相結合的辦法進行信息系統安全管理，國內2007年下發《信息安全等級保護管理辦法》，規范了信息安全等級保護的管理。ISO/IEC 27000是英國標準協會的一個關于信息安全管理的標準[2]。

三、等級保護劃分

完整正確地理解安全保護等級的安全要求，并合理地確定目標系統的保護等級，是將等級保護合理地運用于具體信息系統的重要前提[3]。國家計算機等級保護總體原則《計算機信息系統安全保護等級劃分準則》（GB 17859）將我國信息系統安全等級分為5個級別，以第1級用戶自主保護級為基礎，各級逐漸增強。

第一級：用戶自主保護級，通過隔離用戶和數據，實施訪問控制，以免其他用戶對數據的非法讀寫和破壞。

第二級：系統審計保護級，使用機制來鑒別用戶身份，阻止非授權用戶訪問用戶身份鑒別數據。

第三級：安全標記保護級，提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述。

第四級：結構化保護級，將第三級的自主和強制訪問控制擴展到所有的主體和客體。加強鑒別機制，系統具有相當的抗滲透能力。

第五級：訪問驗證保護級，訪問監控器仲裁主體對客體的全部訪問，具有極強的抗滲透能力。

四、信息系統定級

為提高我國基礎信息網絡和重要信息系統的信息安全保護能力和水平，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作[4]，定級范圍包含：

1.電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。

2.鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通等重要信息系統。

3.市（地）級以上黨政機關的重要網站和辦公信息系統。

4.涉及國家秘密的信息系統。各行業根據行業特點指導本地區、本行業進行定級工作，保障行業內的信息系統安全。

五、等級保護在行業中應用

（一）等級保護在電力行業信息安全中的應用

國家電網公司承擔著為國家發展電力保障的基本使命，對電力系統的信息安全非常重視，已經把信息安全提升到電力生產安全的高度，并陸續下發了《關于網絡信息安全保障工作的指導意見》和《國家電網公司與信息安全管理暫行規定》。

（二）電信網安全防護體系研究及標準化進展

《國家信息化領導小組關于加強信息安全保障工作的意見》和《2006~2020年國家信息化發展戰略》的出臺，明確了我國信息安全保障工作的發展戰略[5]。文中也明確了“國家公用通信網”包括通常所指“基礎電信網絡”、“移動通信網”、“公用互聯網”和“衛星通信網”等基礎電信網絡。將安全保障的工作落實到電信網絡，充分研究安全等級保護、安全風險評估以及災難備份及恢復三部分內容，將三部分工作有機結合，互為依托和補充，共同構成了電信網安全防護體系。

六、結束語

安全等級保護是指導信息系統安全防護工作的基礎管理原則，其核心內容是根據信息系統的重要程度進行安全等級劃分，并針對不同的等級，提出安全要求。我國信息安全等級保護正在不斷地完善中，相信信息保護工作會越做越好。

參考文獻：

[1]徐超漢.計算機信息安全管理[M].北京:電子工業出版社,2006,36-89

[2]ISO27001.信息安全管理標準[S].2005

[3]GB17859計算機信息系統安全保護等級劃分準則[S].1999

[4]關于開展全國重要信息系統安全等級保護定級工作的通知［EB/OL］.公信安[2007]861號,20070716.

安全等級保護管理辦法范文第3篇

一、工作目標

依據國家信息安全等級保護制度，遵循相關標準規范，在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力，為衛生信息化健康發展提供可靠保障，全面維護公共利益、社會秩序和國家安全。

二、工作原則

（一）遵循標準，重點保護。遵循國家信息安全等級保護相關標準規范，結合衛生行業信息系統特點，優先保護重要衛生信息系統，優先滿足重點信息安全需求。

（二）行業指導，屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。地方各級衛生行政部門要按照國家信息安全等級保護制度有關要求，做好本地區衛生信息系統安全等級保護的指導和管理工作。衛生行業各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。

（三）同步建設，動態完善。在信息系統規劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用范圍等條件改變導致安全需求發生變化時，應當重新調整信息系統安全保護等級，及時完善安全保障措施。

三、工作機制

地方各級衛生行政部門承擔本地衛生信息安全責任，信息化工作領導小組統籌組織本地衛生信息安全等級保護工作。衛生部信息化工作領導小組負責對全國衛生行業信息安全等級保護工作的組織協調、監督指導，并組織開展部機關信息安全等級保護工作。省級、地市級衛生行政部門信息化工作領導小組負責對本地區衛生行業信息安全等級保護工作的組織協調、監督指導，并組織開展本單位信息安全等級保護工作。

衛生部建立信息安全等級保護工作聯絡員機制，各省級衛生行政部門應當設置信息安全等級保護工作聯絡員。聯絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準，掌握本地區信息安全等級保護工作動態和總體情況，代表本地區與衛生部及同級信息安全等級保護管理部門進行日常聯系和交流，協調落實本地區信息安全等級保護工作。

衛生部和各省級衛生行政部門應當分別建立信息安全技術專家委員會，參與信息系統定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛生行業、公安機關及信息安全技術等專家。

四、工作任務

（一）定級備案。

1．衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查，對未定級、定級不準的信息系統,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。

國家信息安全等級保護制度將信息安全保護等級分為五級：第一級為自主保護級，第二級為指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級。以下重要衛生信息系統安全保護等級原則上不低于第三級：

（1）衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統；

（2）國家、省、地市三級衛生信息平臺，新農合、衛生監督、婦幼保健等國家級數據中心；

（3）三級甲等醫院的核心業務信息系統；

（4）衛生部網站系統；

（5）其他經過信息安全技術專家委員會評定為第三級以上（含第三級）的信息系統。

2.擬定為第三級以上（含第三級）的衛生信息系統，應當經信息安全技術專家委員會論證、評審。

3.衛生行業各單位在確定信息系統安全保護等級后，對第二級以上（含第二級）信息系統，應當報屬地公安機關及衛生行政部門備案。跨省全國聯網運行并由衛生部定級的信息系統，由衛生部報公安部備案；在各地運行、應用的分支系統，應當報屬地公安機關備案。

（二）建設與整改。

1.對已確定安全保護等級的第二級以上（含第二級）衛生信息系統，應當按照國家信息安全等級保護工作規范和《信息安全技術信息系統安全等級保護基本要求》等國家標準，開展安全保護現狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。

2.根據信息系統安全保護現狀分析結果，按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標準，制訂信息系統安全等級保護建設整改方案。第三級以上（含第三級）衛生信息系統安全建設整改方案應當經信息安全技術專家委員會論證。

3.衛生行業各單位應當按照信息系統安全建設整改方案，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術防護體系和信息安全管理體系，有效保障衛生信息系統安全。

（三）等級測評。

1.系統建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構，對第三級以上（含第三級）衛生信息系統進行等級測評。

2.測評合格后，應當將測評報告報屬地公安機關及衛生行政部門備案。

3.應當每年對第三級以上（含第三級）衛生信息系統進行等級測評。對于重要部門的第二級信息系統，可參照上述要求進行等級測評。

（四）宣傳培訓。

1.各級衛生行政部門信息化工作領導小組應當對本地區各級各類醫療衛生機構開展等級保護政策和標準規范培訓，提高各單位信息安全管理人員的技術能力和管理水平。

2.衛生行業各單位應當開展內部信息安全培訓，提升全員信息安全意識，規范信息安全操作行為，提高信息安全保障能力。

（五）監督檢查。

1.衛生部信息化工作領導小組負責督導檢查各地醫療衛生機構信息安全等級保護工作落實情況，并督促部機關重要信息系統責任單位開展信息安全等級保護工作。

2.省級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。

3.省級衛生行政部門信息化工作領導小組應當于每年年底，向衛生部信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。

五、工作要求

（一）高度重視，加強領導。衛生行業各單位要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要負責同志要負總責，分管負責同志要具體抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事日程和工作績效考核指標，一級抓一級，層層抓落實。

安全等級保護管理辦法范文第4篇

信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節點之間的相互認證以及訪問控制；應用平臺則需要有針對各個用戶的認證以及訪問控制，這就需要保證每一個數據的傳輸的完整性和保密性，當然也需要保證應用系統的可靠性和可用性。一般電力企業主要采用的措施有：

1.1信息安全等級保護

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定，及時在當地公安機關進行備案，然后根據對應等級要求，組織好評測，然后開展針對性的防護，從而提供全面的保障。

1.2網絡分區和隔離

運用網絡設備和網絡安全設備將企業網絡劃分為若干個區域，通過在不同區域實施特定的安全策略實現對區域的防護，保證網絡及基礎設置穩定正常，保障業務信息安全。

1.3終端安全防護

需要部署（實施）防病毒系統、上網行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒；可以對互聯網訪問行為監管，為網絡的安全防護管理提供安全保障；可以自動下發操作系統補丁，提高終端的安全性。

2.構建信息安全防護體系

電力企業應充分利用已經成熟的信息安全理論成果，在此基礎上在設計出具有可操作性，能兼顧整體性，并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系，從而保障信息安全。

2.1建立科學合理的信息安全策略體系

信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規范和多方面的細則，所涉及的基本要素包括信息管理和信息技術這兩方面，其覆蓋了信息系統的網絡層面、物理層面、系統層面以及應用層面這四大層面。

2.2建設先進可靠的信息安全技術防護體系

結合電力企業的特點，在企業內部形成分區、分域、分級、分層的網絡環境，然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區域邊界防護。通過統一規劃，解決系統之間、系統內部網段間邊界不清晰，訪問控制措施薄弱的問題，對不同等級保護的業務系統分級防護，避免安全要求低的業務系統的威脅影響到安全要求高的業務系統，實現全方位的技術安全防護。同時，還要結合信息機房物流防護、網絡準入控制、補丁管理、PKI基礎設施、病毒防護、數據庫安全防護、終端安全管理和電子文檔安全防護等細化的措施，形成覆蓋企業全領域的技術防護體系。

2.3設置責權統一的信息安全組織體系

在企業內部設置網絡與信息安全領導機構和工作機構，按照“誰主管誰負責，誰運營誰負責”原則，實行統一領導、分級管理。信息安全領導機構由決策層組成，工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門，包含安全管理員、系統管理員、網絡管理員和應用管理員，并分配相關安全責任，使信息安全在組織內得以有效管理。

2.4構建全面完善的信息安全管理體系

對于電力企業的信息安全防范來說，單純的使用技術手段是遠遠不夠的，只有配合管理才能提供有效運營的保障。

2.4.1用制度保證信息安全

企業要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件，指明信息安全的發展方向，為信息安全提供管理指導和支持；安全管理辦法是對信息安全各方面內容進行管理的方法總述；安全管理流程是在信息安全管理辦法的基礎上描述各控制流程；安全規范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素，人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現企業工作人員的規范管理，明確員工信息安全責任和義務，避免人為風險。

2.4.3建設時就考慮信息安全

在網絡和應用系統建設時，就從生命周期的各階段統籌考慮信息安全，遵照信息安全和信息化建設“三同步”原則，即“同步規劃、同步建設、同步投入運行”。

2.4.4實施信息安全運行保障

主要是以資產管理為基礎，風險管理為核心，事件管理為主線，輔以有效的管理、監視與響應功能，構建動態的可信安全運行保障。同時，還需要不斷完善應急預案，做好預案演練，可以對信息安全事件進行及時的應急響應和處置。

3.總結

安全等級保護管理辦法范文第5篇

信息安全等級保護建設背景

信息安全等級保護制度是我們國家在國民經濟和社會信息化的發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度，能夠充分調動國家、法人和其他組織及公民的積極性，發揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統安全建設更加突出重點、統一規范、科學合理，對促進我國信息安全的發展將起到重要推動作用。

2011年，原衛生部了《關于全面開展衛生行業信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號）。針對醫療衛生行業的信息系統，原衛生部辦公廳于2011年下發了《衛生行業信息安全等級保護工作的指導意見》（衛發辦〔2011〕85號）要求三級甲等醫院的核心業務信息系統信息安全等級保護定級不低于第三級，并且要求2015年12月30日前完成信息安全等級保護建設整改工作，并通過等級測評。

醫療行業面臨的主要風險

1.醫療行業特點

隨著我國醫療衛生事業的迅速發展，醫學科學的不斷進步，醫藥衛生事業體制改革的逐步深入，醫院生存和發展的外部環境和內部機制都發生了很大的變化。當今計算機信息和網絡通信技術的深入發展為提高醫院管理水平創造了良好的條件，醫院信息化建設也因此逐漸在我國各級醫院中迅猛發展。目前醫療行業信息化有如下特點：系統運行連續性要求高，要求7×24小時不間斷服務；網絡間斷時間不允許超過2小時；信息高度集成，所有信息需要集中使用；異構系統多，系統復雜度高；系統間接口復雜，涉及廠家多；系統內存儲資料價值較高，存儲著醫院大量運用數據，其中包含大量患者隱私；存儲的數據內容本身具備法律效力；核心網絡采用網絡物理隔離。

2.信息系統的威脅來源

信息系統的威脅來源主要可以分為兩個方面，一個是環境因素造成的威脅，另一個方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環境危害或自然災害，以及軟件、硬件、數據、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預謀的內部人員對信息系統進行惡意破壞，采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益。而外部人員也可以利用信息系統的脆弱性，對網絡或系統的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。對于無意的情況來說，通常指管理人員沒有意識到問題或者沒有盡心盡責的工作。例如，內部人員由于缺乏責任心，或者由于不關心或不專注，或者沒有遵循規章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統故障或被攻擊。

3.信息系統負面影響

醫院內部的信息系統如果受到威脅、入侵或被破壞等，會給國家、醫院以及人民的利益帶來嚴重的影響。

系統如果出現宕機的現象，首先會造成患者情緒激動，耽誤治療流程，甚至會威脅到患者生命的安危。其次會造成門診業務人員、主治醫生、護士等工作人員的工作慌亂，甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領導、醫院院長電話問詢，信息中心則會電話不斷、手忙腳亂。醫院業務停頓，從經濟上受損失，而媒體也會曝光醫院，使得醫院信譽受損。

如果醫院信息系統的內部信息丟失，則會造成員工信息被公開、患者信息泄露等風險。例如，據《勞動報》報道，一名負責開發、維護市衛生局出生系統數據庫的技術部經理利用工作之便，在2011年至2012年4月期間，每月兩次非法進入該院數據庫，偷偷下載新生兒出生信息并進行販賣，累計達到了10萬條，給醫療衛生行業帶來了嚴重的負面影響。

信息安全等級保護建設體系

由于醫院信息系統復雜的特點、面臨的威脅及產生負面影響的嚴重性，醫院開展信息安全等級保護建設工作就尤為重要，急需一套適合醫院的等級保護安全防御體系。

信息安全等級保護體系主要包括技術與管理兩方面，在安全技術方面包括：物理安全、網絡安全、主機安全、應用安全、數據安全；在安全管理方面包括：安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理。這10個方面里每一項都有若干控制項，順利通過測評至少要達到控制項的80%以上（表1）。

如表1所示，控制項中G表示基本要求類，三級必須達到G3標準；S表示業務信息安全類，A表示系統服務保證類，三級標準中S與A任選一項達到三級即可。

根據信息安全等級保護標準，我院主要建設經驗如下：

1.信息安全技術

（1）物理安全：數據中心機房是物理安全的核心，機房的裝修工程、動力配電系統、空調新風系統、消防系統、綜合布線系統等均需按照A級機房標準進行建設。此外，日常的管理工作也尤為重要，在物理權限控制方面應配備門禁系統，并且應做到兩種或兩種以上的身份識別機制，如指紋加密碼或IC卡加密碼等。環境監控方面除了每天定時的人員巡檢還應在機房及各設備間部署監控系統，利用傳感器監控溫濕度、漏水、電壓、設備狀態等信息，一旦發生異常通過短信及時告知機房管理人員。

（2）網絡安全：按照等級保護思路進行安全域的劃分，將不同級別的信息系統通過防火墻和網閘進行隔離，根據每個安全域的特點設定不同的安全策略。服務器安全域制定細粒度訪問控制列表，僅開放必要的端口，并在旁路架設網絡流量審計設備和入侵檢測系統，對所有流量進行記錄及審計，能夠及時發現攻擊行為；客戶端安全域制定網絡準入和非法外聯策略，禁止未經授權的計算機隨意接入醫院網絡，并且通過管理軟件和網閘控制內網的計算機隨意訪問外網或互聯網；架設安全管理域，該區域主要用于對網絡設備、服務器、安全設備的管理，并集中收集設備的日志，及時通過分析日志發現安全隱患。

（3）安全：服務器進行統一安全策略的制定，部署網絡版殺毒系統、補丁分發系統、入侵防范系統等，并結合服務器承載的業務特點制定詳細的資源控制列表，按照最小授權原則，授予最低資源訪問權限。

（4）應用安全：部署數據庫審計系統，對所有流經數據庫的網絡流量進行數據分析，制定審計策略，發生違規數據操作及時通過短信報給安全審計人員；同時部署CA數字簽名系統，醫生通過USBKEY進行系統登錄，并對其所有操作進行數字簽名，有效保證了應用系統的安全性及數據的不可抵賴性。

（5）數據安全：利用專業的數據備份軟件在異地部署數據備份中心，對各系統數據庫和文件繼續高頻率集中加密備份，并且應至少六個月進行一次數據還原演練，保證在出現問題是可以有效進行恢復。

2.信息安全管理

（1）安全管理制度：從醫院層面制定信息安全管理制度，對信息安全制度進行重新整理修改，規定信息安全的各方面應遵守的原則、方法和指導策略，指定具體管理規定、處罰措施。制度應具備可操作性，同時應由專人負責隨時進行修正，并由信息安全領導小組進行評審，最終進行。

（2）安全管理機構：組織建立信息安全工作領導小組，設置信息安全管理崗位，設立獨立的系統管理員、網絡管理員、安全管理員、安全審計員等崗位，制定各崗位的工作職責，與各崗位相關人員簽署保密協議。同時制定溝通協作機制，內部定期組織會議進行信息安全工作部署，外部每日向公安局上報備案信息系統的安全情況，與數據庫、存儲、網絡設備、安全設備等廠商簽署協議，提供所有設備的備機備件，每月進行設備巡檢，并要求在發生緊急事件時及時到場提供技術支持。

（3）人員安全管理：在人員錄用方面，嚴格審查人員的背景、身份，并簽署保密協議，人員離崗時執行離崗流程，各部門主管負責回收本部門負責的相關權限，所有權限回收后方可辦理離職手續。同時定期對人員進行相關培訓，每周進行一次內部培訓，每年進行兩次外部培訓。對于外部廠商人員，其對設備的相關操作均需進行審批流程，并通過技術手段記錄所有操作行為，做好操作記錄，并不定期進行行為審計。