医院信息系统安全等级保护定级报告
一、 医院信息系统描述
(一) 医院于2008年起逐步建立基于医院信息管理、电子 病历的信息系统,该信息系统由医院负责系统管理运维,医院为该信息系统定级的责任单位。
(二) 该信息系统使用了7台HP服务器,安装有Window 2003 Server操作系统,Mysql数据库,用于医院信息管理系统的运行。使用了5台HP服务器,安装有Window 2003 Server操作系统,用于新农合即时结报平台的运行。医院在内外网
之间搭建有天融信防火墙,门诊二楼安有用于无线终端连接内
网的两个无线AP,各科室配有连接医院内网的终端计算机。 (三) 该信息系统主要包含:医院信息管理系统(HIS),电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。
二、 医院信息系统安全保护等级的确定 (一) 业务信息安全保护等级的确定 1、 业务信息描述
本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。旨在保障医院业务正常运行,提高工作效率,增强院务透明度,扩大医院社会影响力。
2、 业务信息受到破坏时所侵害客体的确定
该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。
侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。
3、 信息受到破坏后对侵害客体的侵害程度
当此信息受到破坏后,会对患者、医院和医院职工造成 严重损害。
4、 确定业务信息安全等级
依据信息受到破坏时所侵害的客体以及侵害程度,确定 业务信息安全等级为二级。
(二) 系统服务安全保护等级的确定 1、 系统服务描述
本信息系统主要为医院业务的日常运行,日常办公活动正常开展和提供医疗咨询等服务。
2、 系统服务受到破坏时所侵害客体的确定
该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也会损害社会秩序和公共利益但不侵害国家安全。
客观方面表现的侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务
能力下降,造成不良影响,引起医患法律纠纷等)。可以对社会秩序和公共利益造成一般的损害(造成社会不良影响,引起公共利益的损害等)。
3、 信息受到破坏后对侵害客体的侵害程度
上述结果的程度表现为:患者、医院和医院职工的合法权益造成损害,会出现一定范围的社会不良影响和一定程度的公共利益的损害等。 4、 确定系统服务安全等级
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级为第二级。 (三) 安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定某医院信息系统安全保护等级为第二级。 信息系统名称 某医院信息系统
安全保护等级 第二级 业务信息安全等级 第二级 系统服务安全等级 第二级