《静安区卫生健康委外部信息系统接入管理规范.docx》由会员分享,可在线阅读,更多相关《静安区卫生健康委外部信息系统接入管理规范.docx(7页珍藏版)》请在优知文库上搜索。
1、静安区卫生健康委外部信息系统接入管理规范VLO静安区卫生健康委员会2019年7月目录1 概述错误!未定乂书签o1.1 目的错误!未定义书签。12适用范围.错误!未定乂书签。1.3接入原则错误!未定义书签。2 .系统接入前置要求错误!未定义书签。3 .接入申请及审查错误!未定义书签。31接入申请.错误!未定乂书签。3.2.接入审查错误!未定义书签。4 .检测机构要求错误!未定义书签。5 .接入系统运行管理错误!未定义书签。6.系统退出错误!未定义书签。1.概述1.l目的为进一步加强医疗机构对外部信息系统接入的风险管理,维护区域卫生信息平台及医疗机构的信息系统安全、稳定运行,有效防范数据泄漏、安全
2、事件发生的风险,特制定本管理规范。1.2适用范围本管理规范适用于接入静安卫生专网的外部光纤和外部信息系统等。1 .3接入原则(一)合规审慎原则。须经区卫生健康委评估信息系统接入需求的必要性,审慎批准信息系统外部接入。(二)风险可控原则。须经第三方测评机构识别、监测和防范信息系统外部接入的风险隐患。区域机构要对相关接入系统采取控制措施以及技术手段及时阻断风险传导,维护机构自身信息系统的安全。(三)全程管理原则。区卫生信息中心对信息系统外部接入实施集中统一管理,建立健全明确、清晰的全流程管理机制,包括系统调查、安全防护核查、异常处理、应急处置、退出机制等。2 .系统接入前置要求申请接入的医疗机构(
3、以下简称接入机构)应当履行下列安全保护义务,保障原有系统免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)接入机构应当设立专门的信息安全领导小组,并指定信息安全组长,承担接入系统的安全管理责任。(二)接入系统应当通过“网络安全等级保护基本要求”的三级等保测评,或完成由第三方测评机构进行的系统安全评估。()接入机构需在系统说明书中详细描述需要从本单位系统获取的数据,获取数据后的存储、使用情况,以及系统所产生的业务数据。(四)外部接入信息系统从静安卫生专网获取的数据在传输和使用过程中,须满足数据保密性要求,并具有数据防泄漏保护措施。(五)接入机构须建立安全事件通报和响应处理
4、机制,存在重大安全隐患,应第一时间报告区卫生信息中心,并进行安全应急处置,制定不同事件的应急预案,定期开展演练。(六)接入机构不得直接或间接支持信息技术服务机构等相关方利用外部接入信息系统开展其他商业活动。3 .接入申请及接入审查对于接入的外部系统,过程控制可以分为以下四个步骤:1 .申请:由接入机构向区卫生健康委提出申请,填写“外部系统接入申请表”。2 .批准:静安区卫生健康委批准。3 .审查:第三方测评机构评估安全风险。4 .实施:由信息中心开通相应的权限。3.L接入申请接入机构在满足接入前置条件后,向本区卫生信息中心提交接入申请,申请材料应包括:(一)系统接入申请书(一)系统说明书(详细
5、描述需要获取的数据、获取数据后的存储、使用情况,以及系统所产生的业务数据)(三)安全管理制度(四)信息系统等级保护测评报告(三级)及备案证明或由第三方测评机构出具的安全审核报告扫描件。3 .2.接入审查由第三方测评机构进行接入前安全评估,对于满足接入要求的系统,允许接入;不满足接入条件的,接入机构应根据评估结果进行整改,整改完成后再次提交申请。第三方测评机构审查内容将包括:(一)对接入机构提交的申请文档进行审核,并进行现场核实。(二)对系统源代码进行审计,检测软件包中可能存在的恶意代码和后门。(三)对系统功能及性能进行测试,验证系统是存在重大缺陷,是否满足业务高峰期的性能要求。(四)对系统进行
6、渗透性测试。(五)对系统进行接入前安全评估。4 .测评机构资质对接入系统进行安全性评估的第三方测评机构应当满足以下要求:(一)第三方测评机构应是注册于上海市的事业单位。(二)第三方测评机构应具有公安部授予的网络安全等级保护测评机构推荐证书。(三)第三方测评机构应具有中国合格评定国家认可委员会(CNAS)授予的实验室认可证书(CNAS17025)。(四)第三方测评机构应具有中国合格评定国家认可委员会(CNAS)授予的检验机构认可证书(CNAS17020)o(五)第三方测评机构应具有中国网络安全审查技术与认证中心授予的信息安全风险评估服务资质(CCRC)o(六)第三方测评机构应具备电子病历系统、电
7、子健康档案系统的检测能力。5 .系统运行管理在系统接入后应当遵守下列要求:(一)接入机构和接入厂商签订保密协议,并与接入系统的管理、开发、运维、使用人员签订保密协议,健全风险管理措施。(一)接入厂商对于在静安卫生专网中获取的数据应进行严格保密,禁止以任何形式提供给未经授权的第三方。(三)接入机构应每年对接入系统进行安全性复测。(四)接入机构应至少每年委托第三方测评机构对系统进行漏洞扫描,扫描报告存档备查。(五)接入机构应对系统运行情况进行实时检测,一旦发生安全事件,应立即上报区卫生信息中心,并采取应急措施。(六)外部接入系统应当部署态势感知系统探针,纳入区域安全管理、全网监测。(七)接入机构和
8、系统接入厂商不得擅自修改系统功能及代码,如需进行变更,需要由第三方测评机构进行重新检测。6 .退出机制外部接入系统退出、停止使用,应依据本要求进行退出申请及审查。(一)外部系统接入厂商应清除在平台设备上部署的系统程序。(二)应清除在系统中获取的所有业务数据,并且不以任何其他形式留存。(三)需要与接入机构签订系统退出保密协议,不得泄漏在系统接入运行过程中获取的个人信息、隐私和商业秘密。(四)接入机构委托第三方测评机构对退出系统后的数据清除情况进行评估,并把报告复印件提交信息中心。附件1:静安区医疗机构外部系统接入申请表接入机构基本情况机构名称负责人姓名联系方式接入系统名称(光纤连接填写接入地址)申请接入厂商项目经理姓名及联系方式申请接入时间接入原因接入系统概述(系统描述,包括三级等保证书或其他安全证书取得的情况)申请接入的医疗机构承诺一、对所提供的申请材料实质内容的真实性、合法性负责;二、对接入系统的安全性负责;信息安全领导小组签字(单位盖章):年一月一日静安区卫生健康委相关业务科室意见审批人:年月a静安区卫生健康委意见审批人:年月日第三方测评机构安全评估结论:年一月一日说明:本申报表一式两份,接入机构、区卫生信息中心各一份。