1
定级流程
保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,较终确定其保护等级。
2
定级方法
等级保护对象的级别由两个定级要素决定:
a) 受侵害的客体;
b) 对客体的侵害程度。定级对象的主要包括业务信息和系统服务,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,保护等级也应由业务信息(S)和系统服务(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务等级;由业务信息等级和系统服务等级的较高者确定定级对象的保护等级。参考下列表格:
3
定级报告示例
《信息系统等级保护定级报告》
一、XX医院HIS系统描述
HIS系统是覆盖XX医院所有业务和业务全过程的信息管理系统。为医院所属各部门提供患者诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力并满足授权用户的功能需求的平台。系统为由X台服务器、网络设备X台,有HIS系统应用前台、后台、门诊挂号客户端应用、门诊收费客户端应用、药品管理客户端应用、住院收费客户端应用、中间件应用等应用组成。HIS系统主要面向医院、医护人员、医院管理者、公共卫生机构、区域医疗卫生机构、卫生行政机关等用户。HIS系统是由XX单位开发,XX单位信息中心维护。HIS系统为XX医院的定级对象,XX医院对HIS系统具有信息保护责任,承担HIS系统责任的部门是信息中心。HIS系统部署在XX医院XX机房,没有互联网连接、外联单位和广域网连接,不存在互联网边界和与其他单位的边界。
二、XX医院HIS系统保护等级的确定
(一)业务信息保护等级的确定
1、业务信息描述
系统存储着患者诊疗信息,如患者基本信息、患者诊断数据、药品信息、住院信息、统方信息等。
2、业务信息受到破坏时所侵害客体的确定
HIS系统中存储的信息涉及到大量患者信息,如果数据被泄露和篡改会对患者造成影响并可能造成一定社会影响,故信息受到破坏时侵害的客体是什么社会秩序和公众利益和公民、法人和其他组织的合法权益。
3、信息受到破坏后对侵害客体的侵害程度的确定
XX医院HIS系统如果数据被泄露和篡改,会对我院、就诊患者以及公共卫生行政主管部门的合法权益造成严重侵害,并有可能造成医疗事故的发生,对社会秩序和公共利益造成损害。故信息受到破坏后,会对法人和其他组织的合法权益造成特别严重损害,对社会秩序和公共利益造成损害造成严重损害。
4、业务信息等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定核心业务信息等级为三级。
(二)系统服务保护等级的确定
1、系统服务描述
XX医院HIS系统的主要服务对象为医院、患者和医疗公共卫生主管机构,是覆盖XX医院所有业务和业务全过程的信息管理系统。
2、系统服务受到破坏时所侵害客体的确定
系统承载着支持医院的行政管理与事务处理和对医院、患者和公共卫生进行信息化管理的业务,故系统服务受到破坏时侵害的客体是什么社会秩序和公众利益和公民、法人和其他组织的合法权益。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
一旦系统瘫痪可能造成医院业务无法正常开展,患者无法及时就医,甚至有可能造成医疗事故的发生,对社会秩序和公共利益将造成损害。故系统服务受到破坏后,会对法人和其他组织的合法权益造成特别严重损害,对社会秩序和公共利益造成损害造成严重损害。
4、系统服务等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度,确定系统服务等级为三级。
(三)保护等级的确定
鉴于XX医院HIS系统的业务信息等级和系统服务等级均为三级,信息系统的保护等级由业务信息等级和系统服务等级较高者决定,较终确定HIS系统保护等级为第三级。
信息系统名称
保护等级
业务信息等级
系统服务等级
XX医院HIS系统
三级
三级
三级
4
行业定级指导意见
1、医疗卫生行业定级指导意见
2、教育行业定级指导意见
3、电力行业定级指导意见
4、金融行业定级指导意见
等保2.0丨系统定级指引!服务类型包含项目计费单位价格食品类营业性演出许可证元/项11食品类食品经营许可证元/项11IT类计算机软件(双软认证)元/项11IT类互联网信息icp元/项11传播媒体类广播电视节目制作经营许可证元/项11传播媒体类出版物零售许可证元/项11企业类电信增值业务元/项11