安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
二、定级方法
三、定级报告示例
《信息系统安全等级保护定级报告》
1、XX系统描述
2、XX医院HIS系统安全保护等级的确定
2.1业务信息安全保护等级的确定
(1)业务信息描述
系统存储着患者诊疗信息,如患者基本信息、患者诊断数据、药品信息、住院信息、统方信息等。
(2)业务信息受到破坏时所侵害客体的确定
HIS系统中存储的信息涉及到大量患者信息,如果数据被泄露和篡改会对患者造成影响并可能造成一定社会影响,故信息受到破坏时侵害的客体是什么社会秩序和公众利益和公民、法人和其他组织的合法权益。
(3)信息受到破坏后对侵害客体的侵害程度的确定
XX医院HIS系统如果数据被泄露和篡改,会对我院、就诊患者以及公共卫生行政主管部门的合法权益造成严重侵害,并有可能造成医疗安全事故的发生,对社会秩序和公共利益造成损害。故信息受到破坏后,会对法人和其他组织的合法权益造成特别严重损害,对社会秩序和公共利益造成损害造成严重损害。
(4)业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定核心业务信息安全等级为三级。
2.2系统服务安全保护等级的确定
(1)系统服务描述
XX医院HIS系统的主要服务对象为医院、患者和医疗公共卫生主管机构,是覆盖XX医院所有业务和业务全过程的信息管理系统。
(2)系统服务受到破坏时所侵害客体的确定
系统承载着支持医院的行政管理与事务处理和对医院、患者和公共卫生进行信息化管理的业务,故系统服务受到破坏时侵害的客体是什么社会秩序和公众利益和公民、法人和其他组织的合法权益。
(3)系统服务受到破坏后对侵害客体的侵害程度的确定
一旦系统瘫痪可能造成医院业务无法正常开展,患者无法及时就医,甚至有可能造成医疗安全事故的发生,对社会秩序和公共利益将造成损害。故系统服务受到破坏后,会对法人和其他组织的合法权益造成特别严重损害,对社会秩序和公共利益造成损害造成严重损害。
(4)系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度,确定系统服务安全等级为三级。
2.3安全保护等级的确定
鉴于XX医院HIS系统的业务信息安全等级和系统服务安全等级均为三级,信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定HIS系统安全保护等级为第三级。