笔趣吧

手机浏览器扫描二维码访问

第四节 智慧医疗安全保障（第2页）

4．能力

主要是针对威胁源为人的情况，它是衡量攻击成功可能性的主要因素。

能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源（包括经验）等方面。

针对主要威胁要素，分析医院智能化安全威胁描述见表9-1。

表9-1医院智能化安全威胁描述

续表

三、智慧医疗安全等级保护的实施要点

1．确定安全目标

信息系统的安全保护能力包括对抗能力和恢复能力。

不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力。

将“能力”

分级，是基于系统的保护对象不同，其重要程度也不相同，重要程度决定了系统所具有的能力也就有所不同。

一般来说，信息系统越重要，应具有的保护能力就越高。

因为系统越重要，其所伴随的遭到破坏的可能性越大，遭到破坏后的后果越严重，因此需要提高相应的安全保护能力。

智慧医疗信息系统安全保护能力以达到二级基本要求为例，其目标主要体现为：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击，一般的自然灾难以及其他相当危害程度的威胁源所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后能够在一段时间内恢复部分功能（例如：15分钟内故障无法排除应启动应急预案，及时恢复对外服务，如门急诊挂号收费服务）。

2．判断是否具备定级的基本条件

考虑到信息系统的基本组成要素，即：作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。

单台设备或由单台设备构成的安全域本身无法实现所需的信息系统保护，不能抵御来自内部或外部的攻击，这样的设备或区域必然依靠其所在环境所提供的网络安全和边界防护。

因此作为定级对象的信息系统应当是包括信息系统的核心资产，以及对保护目标提供保护的所有相关设备和人员，只有涵盖了这两部分，才能使信息系统实现其应用目标。

所以，在各HIS系统实施信息安全等级保护时，可根据实际建设情况，确定是否纳入定级对象，并选择标准中适合的技术和管理要求执行。

3．合理选择可实现的安全要求

信息系统安全等级保护测评要求包括可选安全要求和必选安全要求。

从合理利用资源，保障机构自身信息安全，通过等级保护测评或达到等级保护相应等级要求的角度，医疗机构可根据自身信息系统的建设和管理实际，对部分技术要求和管理要求进行选择性使用。

等级保护提供的基本安全要求是保证信息系统具备一定安全保护能力的一种途径和出发点，在此出发点的基础上，可以参考等级保护的其他相关标准和安全方面的其他相关标准，调整和补充基本安全要求，从而实现信息系统在满足等级保护基本要求基础上，根据自身特点实现针对性保护。