基于ISMS的医院体检中心信息安全管理系统的设计与实现

摘要

随着社会不断地进步，信息技术快速发展居民生活水平不断提高，人民群众医疗保健观念随之发生重大转变。健康体检中心因此而迅速地大量地出现在居民生活中。同时，黑客技术黑客行为得到了进化，恶意篡改、拖库、通过震网病毒攻击孤立网络等信息安全事件发生频率不断上升。在医疗卫生领域，信息业的快速发展也暴露出了医疗机构信息系统的安全缺陷和医疗隐私泄漏的问题，在个别地方甚至出现了医务工作人员贩卖患者隐私数据的现象。同样由于信息技术的快速发展，医疗卫生领域的信息设备设施、信息系统软件随之频繁更新换代，老设备不兼容新系统、新设备功能过多无从配置，留下了重重安全隐患。随着互联网、计算机、智能手机等设备的普及，人们确实获得了更多的信息，也会被这些信息困扰、煽动甚至教唆，以至于酿成事故。
　　虽然我国在宏观上已有相关控制措施，在行业内有相关的管控制度，但无法杜绝这些悲剧发生。本文以徐州市某医院体检中心为例，试图找到办法确保这个医院体检中心健康、高效、稳定地持续运行。本文通过参照国际标准化组织定义和描述的信息安全管理体系，以风险评估为基础分析了该医院体检中心信息系统的现状，以及现行信息系统存在的问题，归纳出安全需求。通过对信息安全技术和信息安全管理两方面的详细设计和具体实现，构建出该体检中心的信息安全管理体系的技术建设部分、管理建设部分。以期望建立起一套安全、可靠、稳定、高效的体检中心信息安全管理体系，并且借助PDCA模式不断地自我更新。
　　由于该体检中心的规模有限，因此本课题没有全部照搬国际标准化组织的信息安全管理体系，而是以国际标准化组织的文档为参考，去除国际标准化组织文档中不适用于此体检中心的内容，建立了简练实用的信息安全管理体系架构来适配此体检中心的信息建设现状。

目录

声明

摘要

第1章 绪论

1．1 项目实施背景

1．2 国内外同类项目概况

1．3 本项目解决的主要问置

1．4 本文的主要工作

1．5 本文的组织结构

第2章 需求分析

2．1 需求概述

2．1．1 信息安全及其需求

2．1．2 ISMS建立步骤流程

2．2 体检中心概况

2．3 系统目标和要解决的问题

2．4 系统需求获取模式

2．4．1 检查内容

2．4．2 评估方法

2．4．3 风险评估工作过程

2．5 系统问愿和需求描述

2．5．1 系统功能性需求

2．5．2 系统非功能性需求

第3章 系统概要设计

3．1 系统设计目标和原则

3．1．1 医院体检中心信息安全管理体系设计目标

3．1．2 医院体检中心信息安全管理系统的设计原则

3．2 系统技术架构设计

3．2．1 技术架构

3．2．2 管理架构

3．3 系统功能架构

3．3．1 技术架构的预期功能

3．3．2 管理架构的功能

第4章 系统详细设计

4．1 医院体检中心信息安全管理系统架构模型设计

4．2 安全技术方面的方案详细设计

4．2．1 物理安全

4．2．2 主机安全

4．2．3 网络安全

4．2．4 应用安全

4．2．5 数据备份与恢复

4．3 体检中心管理层面体系架构详细设计

4．3．1 体检中心信息安全管理体系设计目标

4．3．2 体检中心信息安全管理体系的设计原则

4．3．3 制度体系

4．3．4 评估体系

第5章 系统实现和测试

5．1 系统总体实现

5．1．1 网络架构

5．1．2 当前信息系统加固

5．2 具体关键实现

5．2．1 VLAN配置

5．2．2 防火墙安装配置

5．2．3 入侵防御系统安装配置

5．2．4 体检服务器双机热备份配置

5．3 系统测试

5．3．1 防火墙功能验证

5．3．2 IDS功能验证

5．3．3 双机热备测试

5．4 制度体系建设

5．4．1 信息安全方针

5．4．2 信息安全组织

5．4．3 资产管理

5．4．4 人力资源管理

5．4．5 文档化体系管理

5．5 评估体系建设

5．5．1 内部ISMS审核

5．5．2 ISMS管理评审

5．5．3 风险管理

5．6 体检中心信息安全管理体系已建立的制度文件清单

5．6．1 体系文件完成状况统计

5．6．2 风险管理类文件完成状况统计

5．6．3 内审文件完成状况统计

5．6．4 管理评审文件完成状况统计

第6章 总结

参考文献

致谢