×

Trang web đang được nâng cấp, vui lòng chờ đợi

> Trang chủ > Sản phẩm và giải pháp > Giải pháp an toàn thông tin hệ thống y tế

Bảo vệ cấp độ an toàn thông tin Tổng quan

Information Security Level Protection Overview

Quá trình phát triển bảo vệ cấp độ

Chính sách và quy định
(1994~2005)

  • Lệnh số 147 của Chính phủ năm 1994
  • Văn bản Trung ương Ban [2003] số 27

Hệ thống tiêu chuẩn
(2005~2008)

  • Nguyên tắc phân cấp bảo vệ cấp độ (GB 17859-1990)
  • Hướng dẫn phân cấp bảo vệ cấp độ (GB/T 22240-2008)
  • Yêu cầu cơ bản về bảo vệ cấp độ (GB/T 22239-2008)
  • Yêu cầu kỹ thuật an toàn chung cho hệ thống thông tin (GB/T 20271-2006)

Hệ thống đánh giá
(2008~2010)

  • Chứng nhận tổ chức đánh giá bảo vệ cấp độ (hơn 100 tổ chức)
  • Chứng nhận đào tạo chuyên gia đánh giá bảo vệ cấp độ

Triển khai thực tế
(Từ năm 2010 đến nay)

  • Số lượng hệ thống cấp hai hơn 5 vạn
  • Số lượng hệ thống cấp ba hơn 2 vạn
  • Số lượng hệ thống cấp bốn hơn 100

Ý nghĩa công tác bảo vệ cấp độ

  • (1) Trách nhiệm rõ ràng hơn

    Việc hoàn thành đánh giá bảo vệ cấp độ có nghĩa là tình trạng an ninh hiện tại được cơ quan công an công nhận. Nếu xảy ra sự cố an ninh thì đó là thiên tai hoặc sự cố ngoài ý muốn; nếu không tiến hành đánh giá bảo vệ cấp độ thì tình trạng an ninh không đạt yêu cầu của quốc gia, nếu xảy ra sự cố an ninh thì đó là do con người gây ra, và phải chịu trách nhiệm liên quan.

  • (2) Hệ thống xây dựng an toàn có hệ thống

    đau đầu thì chữa đầu, đau chân thì chữa chân

Giải pháp tổng thể bảo vệ cấp độ Phương án

Level Protection Overall Solution
Với sự hoàn thiện của tiêu chuẩn đánh giá bệnh viện số hóa và việc thực hiện chính sách đánh giá bảo vệ cấp độ của bệnh viện, hệ thống y tế cần tập trung sâu sắc vào các hệ thống kinh doanh cốt lõi như HIS, LIS, PACS để thực hiện công tác bảo vệ cấp độ thô Trên cơ sở đó, định hướng hướng đi cho xây dựng an ninh thông tin sau này. 8XBET Qua khảo sát và phân tích hiện trạng thông tin hóa của bệnh viện, kết hợp các yêu cầu về bảo vệ cấp độ ở các lĩnh vực như an ninh vật lý, an ninh mạng, an ninh máy chủ, an ninh ứng dụng, an ninh dữ liệu, quản trị an ninh, tổ chức an ninh, an ninh nhân sự, xây dựng hệ thống và vận hành hệ thống, hỗ trợ bệnh viện dần hoàn thiện tổ chức an ninh thông tin, thực hiện trách nhiệm an ninh, phát triển xây dựng quy chế quản lý, xây dựng biện pháp kỹ thuật, thực hiện đầy đủ các yêu cầu của hệ thống bảo vệ cấp độ, từ đó nâng cao mức độ quản lý và năng lực bảo vệ an ninh thông tin của hệ thống bệnh viện, giảm thiểu rủi ro và sự cố an ninh, đảm bảo phát triển bền vững của thông tin hóa.
Sau nhiều năm tích lũy kinh nghiệm xây dựng an ninh trong ngành y tế, công ty chúng tôi có thể cung cấp giải pháp toàn diện bao gồm tư vấn, xây dựng và vận hành cho hệ thống thông tin y tế trong suốt vòng đời sử dụng.
Với sự hoàn thiện của tiêu chuẩn đánh giá bệnh viện số hóa và việc thực hiện chính sách đánh giá bảo vệ cấp độ của bệnh viện, hệ thống y tế cần tập trung sâu sắc vào các hệ thống kinh doanh cốt lõi như HIS, LIS, PACS để thực hiện công tác bảo vệ cấp độ thô Trên cơ sở đó, định hướng hướng đi cho xây dựng an ninh thông tin sau này. Qua khảo sát và phân tích hiện trạng thông tin hóa của bệnh viện, kết hợp các yêu cầu về bảo vệ cấp độ ở các lĩnh vực như an ninh vật lý, an ninh mạng, an ninh máy chủ, an ninh ứng dụng, an ninh dữ liệu, quản trị an ninh, tổ chức an ninh, an ninh nhân sự, xây dựng hệ thống và vận hành hệ thống, hỗ trợ bệnh viện dần hoàn thiện tổ chức an ninh thông tin, thực hiện trách nhiệm an ninh, phát triển xây dựng quy chế quản lý, xây dựng biện pháp kỹ thuật, thực hiện đầy đủ các yêu cầu của hệ thống bảo vệ cấp độ, từ đó nâng cao mức độ quản lý và năng lực bảo vệ an ninh thông tin của hệ thống bệnh viện, giảm thiểu rủi ro và sự cố an ninh, đảm bảo phát triển bền vững của thông tin hóa.
Sau nhiều năm tích lũy kinh nghiệm xây dựng an ninh trong ngành y tế, công ty chúng tôi có thể cung cấp giải pháp toàn diện bao gồm tư vấn, xây dựng và vận hành cho hệ thống thông tin y tế trong suốt vòng đời sử dụng.

Phân cấp hệ thống

Tổng quan

Giai đoạn định cấp hệ thống chủ yếu bao gồm việc tham khảo tiêu chuẩn định cấp bảo vệ cấp độ để tiến hành định cấp cho các hệ thống thông tin nội bộ của bệnh viện. Dựa trên nguyên tắc định cấp được nêu trong Thông báo của Bộ Y tế về việc ban hành Hướng dẫn thực hiện bảo vệ cấp độ thông tin an ninh trong ngành y tế, kết hợp với tình hình thực tế của bệnh viện và chính sách địa phương, tiến hành định cấp hệ thống. Đối với khách hàng chưa hiểu rõ quy trình phân loại và định cấp hệ thống thông tin, công ty chúng tôi có thể cung cấp dịch vụ tư vấn định cấp hệ thống thông tin y tế hoàn chỉnh. Có thể dựa trên đặc điểm của đơn vị, cấu trúc tổ chức và đặc điểm hoạt động, giúp khách hàng xác định tiêu chuẩn định cấp cho các hệ thống thông tin y tế khác nhau, hỗ trợ soạn thảo báo cáo định cấp và hoàn thiện hồ sơ đăng ký định cấp.

Các vấn đề mà khách hàng ngành y tế gặp phải

1) Làm thế nào để chọn lọc hệ thống phân cấp, tức là xác định những hệ thống thông tin nào cần được phân cấp;
2) Làm thế nào để phân cấp hợp lý các hệ thống đã chọn, tức là xác định cấp độ bảo vệ cấp độ;
3) Làm thế nào để đăng ký phân cấp, tức là cần chuẩn bị những tài liệu nào, cách nộp hồ sơ đăng ký phân cấp như thế nào.

Giải pháp

1) Tư vấn chính sách, bao gồm tư vấn liên quan đến chính sách quốc gia và quy định ngành liên quan đến bảo vệ cấp độ;
2) Lựa chọn hệ thống định cấp: thông qua phân tích tính chất đơn vị, cấu trúc tổ chức và đặc điểm hoạt động, cuối cùng xác định các hệ thống thông tin cần đăng ký.
3) Hỗ trợ khách hàng xác định cấp độ hệ thống thông tin, giúp viết báo cáo phân cấp hệ thống thông tin;
4) Dịch vụ đăng ký, hỗ trợ khách hàng kiểm tra tài liệu liên quan đến đăng ký, hỗ trợ khách hàng nộp hồ sơ tại cơ quan công an.

Tài liệu tham khảo phân cấp

Đánh giá khoảng cách

Tổng quan

Dựa trên các yêu cầu cơ bản về bảo vệ cấp độ của hệ thống thông tin, từ góc độ kỹ thuật và quản lý, tiến hành đánh giá toàn diện và đa chiều đối với các hệ thống thông tin cốt lõi của bệnh viện, tìm ra khoảng cách giữa các biện pháp bảo vệ an ninh hiện tại và yêu cầu của tiêu chuẩn bảo vệ cấp độ. Tổng kết nhu cầu cải tạo và xây dựng an ninh hiện tại của hệ thống thông tin, cung cấp cơ sở thực tế cho các công việc cải tạo sau này.

Các vấn đề mà khách hàng ngành y tế gặp phải

1) Thiếu nhân viên đánh giá an toàn hệ thống thông tin chuyên nghiệp;
2) Thiếu công cụ và phương pháp đánh giá an toàn độc lập chuyên nghiệp, ví dụ như kiểm tra cấu hình, kiểm thử xâm nhập... các phương pháp đánh giá cấp độ.

Giải pháp

1) Kiểm tra bởi chuyên gia
Các kỹ sư an ninh giàu kinh nghiệm tiến hành kiểm tra thủ công đối với hệ thống thông tin. Nội dung kiểm tra bao gồm kiểm tra kiến trúc mạng, kiểm tra cơ sở cấu hình bảo mật, kiểm tra cơ sở cấu hình chiến lược, kiểm tra bản vá bảo mật, kiểm tra bảo mật nền tảng hệ thống, v.v.
2) Kiểm tra lỗ hổng
Hệ thống quét lỗ hổng độc quyền của chúng tôi tiến hành kiểm tra toàn diện các lỗ hổng trong hệ thống thông tin, bao gồm quét lỗ hổng máy chủ, quét lỗ hổng hệ thống, quét lỗ hổng ứng dụng, quét lỗ hổng mã nguồn, v.v.
3) Kiểm thử xâm nhập
Sử dụng các phương pháp kiểm tra hộp đen/hộp trắng, kiểm tra xâm nhập chuyên gia an ninh tại hiện trường, v.v., để phát hiện các lỗ hổng hoặc rủi ro tồn tại trong hệ thống thông tin.
4) Hoàn thiện quản lý
Kết hợp các yêu cầu quản lý liên quan đến bảo vệ cấp độ, tham khảo các tiêu chuẩn hệ thống như ISO27001, ISO20000, hoàn thiện quy chế nội bộ, ngăn chặn hiệu quả các lỗ hổng quy chế.

Cải tiến hệ thống

Tổng quan

Dựa trên báo cáo đánh giá khoảng cách và các yêu cầu cơ bản về bảo vệ cấp độ của hệ thống thông tin, tiến hành cải tạo các vấn đề an ninh đã phát hiện. Thông qua kế hoạch thiết kế an ninh tổng thể, thực hiện thiết kế kỹ thuật an ninh tổng thể, tích hợp các biện pháp bảo vệ an ninh ở nhiều cấp độ thành một hệ thống bảo vệ an ninh, thực hiện đầy đủ các yêu cầu cơ bản về bảo vệ cấp độ trong các lĩnh vực như an ninh vật lý, an ninh mạng, an ninh máy chủ, an ninh ứng dụng, an ninh dữ liệu, v.v., tối đa hóa khả năng và trình độ bảo vệ an ninh.

Các vấn đề mà khách hàng ngành y tế gặp phải

Làm thế nào để lựa chọn các sản phẩm hoặc dịch vụ an ninh phù hợp để tạo thành một tổ hợp tối ưu giải quyết các vấn đề hiện tại, đảm bảo hiệu quả đầu tư, tránh đầu tư trùng lặp.

Giải pháp

1) Dựa trên báo cáo đánh giá khoảng cách và các yêu cầu cơ bản về bảo vệ cấp độ, hoàn thành kế hoạch thiết kế an ninh tổng thể, đồng thời hỗ trợ khách hàng mua sắm các sản phẩm hoặc dịch vụ an ninh liên quan.
2) Dựa trên báo cáo đánh giá khoảng cách và các yêu cầu cơ bản về bảo vệ cấp độ, hoàn thiện tối ưu hóa kiến trúc hệ thống, cấu hình cơ sở, cấu hình tăng cường bảo mật, v.v.
3) Dựa trên báo cáo đánh giá khoảng cách và các yêu cầu cơ bản về bảo vệ cấp độ, xây dựng chiến lược cấu hình an ninh cho các thiết bị khác nhau, và thực hiện cấu hình hợp lý.
4) Dựa trên báo cáo đánh giá khoảng cách và các yêu cầu cơ bản về bảo vệ cấp độ, bổ sung các quy định nội bộ, bao gồm nhưng không giới hạn ở kiểm tra an ninh, trực an ninh, v.v.

Đánh giá nghiệm thu

Các vấn đề mà khách hàng ngành y tế gặp phải

1) Quy trình đánh giá không rõ ràng, bao gồm những tài liệu cần chuẩn bị, phạm vi đánh giá...
2) Thiếu kinh nghiệm đánh giá thực địa, không biết cần chuẩn bị những công việc nào trước khi thực hiện đánh giá.

Giải pháp

1) Giải thích chính sách mới nhất về bảo vệ cấp độ;
2) Hỗ trợ chuẩn bị tài liệu cần thiết cho đánh giá;
3) Hỗ trợ kỹ thuật trong quá trình thực hiện đánh giá.

Đăng ký hệ thống

Quy trình đăng ký bảo vệ cấp độ là quá trình mà khách hàng thực hiện đăng ký tại cơ quan công an địa phương sau khi được đánh giá bởi cơ quan đánh giá. Quy trình cụ thể được minh họa dưới đây:

Vận hành và bảo trì

Tổng quan

Theo yêu cầu của Quản lý bảo vệ cấp độ thông tin an ninh, hệ thống thông tin cấp ba nên thực hiện tự kiểm tra và kiểm tra của cơ quan thứ ba mỗi năm. Do đó, công ty chúng tôi cung cấp giải pháp bảo vệ an ninh toàn diện và dịch vụ tư vấn kiểm tra cho các hệ thống ứng dụng y tế cốt lõi như HIS, LIS, v.v. trong quá trình vận hành sau này. Trong quá trình tự kiểm tra và kiểm tra an ninh hàng năm của hệ thống cấp ba, chúng tôi cung cấp dịch vụ đảm bảo kỹ thuật.

Sản phẩm và giải pháp

Ví dụ điển hình Ứng dụng

Typical Applications

-Ví dụ thành công

MORE+