1

定級(jí)流程

保護(hù)等級(jí)初步確定為第二級(jí)及以上的等級(jí)保護(hù)對(duì)象，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)依據(jù)《網(wǎng)絡(luò)等級(jí)保護(hù)定級(jí)指南》進(jìn)行初步定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)備案審查，較終確定其保護(hù)等級(jí)。

2

定級(jí)方法

等級(jí)保護(hù)對(duì)象的級(jí)別由兩個(gè)定級(jí)要素決定：

a) 受侵害的客體；

b) 對(duì)客體的侵害程度。定級(jí)對(duì)象的主要包括業(yè)務(wù)信息和系統(tǒng)服務(wù),與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，保護(hù)等級(jí)也應(yīng)由業(yè)務(wù)信息（S）和系統(tǒng)服務(wù)（A）兩方面確定，根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息等級(jí)；根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)等級(jí)；由業(yè)務(wù)信息等級(jí)和系統(tǒng)服務(wù)等級(jí)的較高者確定定級(jí)對(duì)象的保護(hù)等級(jí)。參考下列表格：

3

定級(jí)報(bào)告示例

《信息系統(tǒng)等級(jí)保護(hù)定級(jí)報(bào)告》

一、XX醫(yī)院HIS系統(tǒng)描述

HIS系統(tǒng)是覆蓋XX醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過(guò)程的信息管理系統(tǒng)。為醫(yī)院所屬各部門(mén)提供患者診療信息和行政管理信息的收集、存儲(chǔ)、處理、提取和數(shù)據(jù)交換的能力并滿(mǎn)足授權(quán)用戶(hù)的功能需求的平臺(tái)。系統(tǒng)為由X臺(tái)服務(wù)器、網(wǎng)絡(luò)設(shè)備X臺(tái)，有HIS系統(tǒng)應(yīng)用前臺(tái)、后臺(tái)、門(mén)診掛號(hào)客戶(hù)端應(yīng)用、門(mén)診收費(fèi)客戶(hù)端應(yīng)用、藥品管理客戶(hù)端應(yīng)用、住院收費(fèi)客戶(hù)端應(yīng)用、中間件應(yīng)用等應(yīng)用組成。HIS系統(tǒng)主要面向醫(yī)院、醫(yī)護(hù)人員、醫(yī)院管理者、公共衛(wèi)生機(jī)構(gòu)、區(qū)域醫(yī)療衛(wèi)生機(jī)構(gòu)、衛(wèi)生行政機(jī)關(guān)等用戶(hù)。HIS系統(tǒng)是由XX單位開(kāi)發(fā)，XX單位信息中心維護(hù)。HIS系統(tǒng)為XX醫(yī)院的定級(jí)對(duì)象，XX醫(yī)院對(duì)HIS系統(tǒng)具有信息保護(hù)責(zé)任，承擔(dān)HIS系統(tǒng)責(zé)任的部門(mén)是信息中心。HIS系統(tǒng)部署在XX醫(yī)院XX機(jī)房，沒(méi)有互聯(lián)網(wǎng)連接、外聯(lián)單位和廣域網(wǎng)連接，不存在互聯(lián)網(wǎng)邊界和與其他單位的邊界。

二、XX醫(yī)院HIS系統(tǒng)保護(hù)等級(jí)的確定

（一）業(yè)務(wù)信息保護(hù)等級(jí)的確定

1、業(yè)務(wù)信息描述

系統(tǒng)存儲(chǔ)著患者診療信息，如患者基本信息、患者診斷數(shù)據(jù)、藥品信息、住院信息、統(tǒng)方信息等。

2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定

HIS系統(tǒng)中存儲(chǔ)的信息涉及到大量患者信息，如果數(shù)據(jù)被泄露和篡改會(huì)對(duì)患者造成影響并可能造成一定社會(huì)影響，故信息受到破壞時(shí)侵害的客體是什么社會(huì)秩序和公眾利益和公民、法人和其他組織的合法權(quán)益。

3、信息受到破壞后對(duì)侵害客體的侵害程度的確定

XX醫(yī)院HIS系統(tǒng)如果數(shù)據(jù)被泄露和篡改，會(huì)對(duì)我院、就診患者以及公共衛(wèi)生行政主管部門(mén)的合法權(quán)益造成嚴(yán)重侵害，并有可能造成醫(yī)療事故的發(fā)生，對(duì)社會(huì)秩序和公共利益造成損害。故信息受到破壞后，會(huì)對(duì)法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，對(duì)社會(huì)秩序和公共利益造成損害造成嚴(yán)重?fù)p害。

4、業(yè)務(wù)信息等級(jí)的確定

依據(jù)信息受到破壞時(shí)所侵害的客體以及侵害程度，確定核心業(yè)務(wù)信息等級(jí)為三級(jí)。

（二）系統(tǒng)服務(wù)保護(hù)等級(jí)的確定

1、系統(tǒng)服務(wù)描述

XX醫(yī)院HIS系統(tǒng)的主要服務(wù)對(duì)象為醫(yī)院、患者和醫(yī)療公共衛(wèi)生主管機(jī)構(gòu)，是覆蓋XX醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過(guò)程的信息管理系統(tǒng)。

2、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定

系統(tǒng)承載著支持醫(yī)院的行政管理與事務(wù)處理和對(duì)醫(yī)院、患者和公共衛(wèi)生進(jìn)行信息化管理的業(yè)務(wù)，故系統(tǒng)服務(wù)受到破壞時(shí)侵害的客體是什么社會(huì)秩序和公眾利益和公民、法人和其他組織的合法權(quán)益。

3、系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度的確定

一旦系統(tǒng)癱瘓可能造成醫(yī)院業(yè)務(wù)無(wú)法正常開(kāi)展，患者無(wú)法及時(shí)就醫(yī)，甚至有可能造成醫(yī)療事故的發(fā)生，對(duì)社會(huì)秩序和公共利益將造成損害。故系統(tǒng)服務(wù)受到破壞后，會(huì)對(duì)法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，對(duì)社會(huì)秩序和公共利益造成損害造成嚴(yán)重?fù)p害。

4、系統(tǒng)服務(wù)等級(jí)的確定

依據(jù)系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體以及侵害程度，確定系統(tǒng)服務(wù)等級(jí)為三級(jí)。

（三）保護(hù)等級(jí)的確定

鑒于XX醫(yī)院HIS系統(tǒng)的業(yè)務(wù)信息等級(jí)和系統(tǒng)服務(wù)等級(jí)均為三級(jí)，信息系統(tǒng)的保護(hù)等級(jí)由業(yè)務(wù)信息等級(jí)和系統(tǒng)服務(wù)等級(jí)較高者決定，較終確定HIS系統(tǒng)保護(hù)等級(jí)為第三級(jí)。

信息系統(tǒng)名稱(chēng)

保護(hù)等級(jí)

業(yè)務(wù)信息等級(jí)

系統(tǒng)服務(wù)等級(jí)

XX醫(yī)院HIS系統(tǒng)

三級(jí)

三級(jí)

三級(jí)

4

行業(yè)定級(jí)指導(dǎo)意見(jiàn)

1、醫(yī)療衛(wèi)生行業(yè)定級(jí)指導(dǎo)意見(jiàn)

2、教育行業(yè)定級(jí)指導(dǎo)意見(jiàn)

3、電力行業(yè)定級(jí)指導(dǎo)意見(jiàn)

4、金融行業(yè)定級(jí)指導(dǎo)意見(jiàn)

等保2.0丨系統(tǒng)定級(jí)指引!