1

定級流程

保護(hù)等級初步確定為第二級及以上的等級保護(hù)對象，其運(yùn)營使用單位應(yīng)當(dāng)依據(jù)《網(wǎng)絡(luò)等級保護(hù)定級指南》進(jìn)行初步定級、專家評審、主管部門審批、公安機(jī)關(guān)備案審查，較終確定其保護(hù)等級。

2

定級方法

等級保護(hù)對象的級別由兩個定級要素決定：

a) 受侵害的客體；

b) 對客體的侵害程度。定級對象的主要包括業(yè)務(wù)信息和系統(tǒng)服務(wù),與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，保護(hù)等級也應(yīng)由業(yè)務(wù)信息（S）和系統(tǒng)服務(wù)（A）兩方面確定，根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息等級；根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)等級；由業(yè)務(wù)信息等級和系統(tǒng)服務(wù)等級的較高者確定定級對象的保護(hù)等級。參考下列表格：

3

定級報告示例

《信息系統(tǒng)等級保護(hù)定級報告》

一、XX醫(yī)院HIS系統(tǒng)描述

HIS系統(tǒng)是覆蓋XX醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過程的信息管理系統(tǒng)。為醫(yī)院所屬各部門提供患者診療信息和行政管理信息的收集、存儲、處理、提取和數(shù)據(jù)交換的能力并滿足授權(quán)用戶的功能需求的平臺。系統(tǒng)為由X臺服務(wù)器、網(wǎng)絡(luò)設(shè)備X臺，有HIS系統(tǒng)應(yīng)用前臺、后臺、門診掛號客戶端應(yīng)用、門診收費(fèi)客戶端應(yīng)用、藥品管理客戶端應(yīng)用、住院收費(fèi)客戶端應(yīng)用、中間件應(yīng)用等應(yīng)用組成。HIS系統(tǒng)主要面向醫(yī)院、醫(yī)護(hù)人員、醫(yī)院管理者、公共衛(wèi)生機(jī)構(gòu)、區(qū)域醫(yī)療衛(wèi)生機(jī)構(gòu)、衛(wèi)生行政機(jī)關(guān)等用戶。HIS系統(tǒng)是由XX單位開發(fā)，XX單位信息中心維護(hù)。HIS系統(tǒng)為XX醫(yī)院的定級對象，XX醫(yī)院對HIS系統(tǒng)具有信息保護(hù)責(zé)任，承擔(dān)HIS系統(tǒng)責(zé)任的部門是信息中心。HIS系統(tǒng)部署在XX醫(yī)院XX機(jī)房，沒有互聯(lián)網(wǎng)連接、外聯(lián)單位和廣域網(wǎng)連接，不存在互聯(lián)網(wǎng)邊界和與其他單位的邊界。

二、XX醫(yī)院HIS系統(tǒng)保護(hù)等級的確定

（一）業(yè)務(wù)信息保護(hù)等級的確定

1、業(yè)務(wù)信息描述

系統(tǒng)存儲著患者診療信息，如患者基本信息、患者診斷數(shù)據(jù)、藥品信息、住院信息、統(tǒng)方信息等。

2、業(yè)務(wù)信息受到破壞時所侵害客體的確定

HIS系統(tǒng)中存儲的信息涉及到大量患者信息，如果數(shù)據(jù)被泄露和篡改會對患者造成影響并可能造成一定社會影響，故信息受到破壞時侵害的客體是什么社會秩序和公眾利益和公民、法人和其他組織的合法權(quán)益。

3、信息受到破壞后對侵害客體的侵害程度的確定

XX醫(yī)院HIS系統(tǒng)如果數(shù)據(jù)被泄露和篡改，會對我院、就診患者以及公共衛(wèi)生行政主管部門的合法權(quán)益造成嚴(yán)重侵害，并有可能造成醫(yī)療事故的發(fā)生，對社會秩序和公共利益造成損害。故信息受到破壞后，會對法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，對社會秩序和公共利益造成損害造成嚴(yán)重?fù)p害。

4、業(yè)務(wù)信息等級的確定

依據(jù)信息受到破壞時所侵害的客體以及侵害程度，確定核心業(yè)務(wù)信息等級為三級。

（二）系統(tǒng)服務(wù)保護(hù)等級的確定

1、系統(tǒng)服務(wù)描述

XX醫(yī)院HIS系統(tǒng)的主要服務(wù)對象為醫(yī)院、患者和醫(yī)療公共衛(wèi)生主管機(jī)構(gòu)，是覆蓋XX醫(yī)院所有業(yè)務(wù)和業(yè)務(wù)全過程的信息管理系統(tǒng)。

2、系統(tǒng)服務(wù)受到破壞時所侵害客體的確定

系統(tǒng)承載著支持醫(yī)院的行政管理與事務(wù)處理和對醫(yī)院、患者和公共衛(wèi)生進(jìn)行信息化管理的業(yè)務(wù)，故系統(tǒng)服務(wù)受到破壞時侵害的客體是什么社會秩序和公眾利益和公民、法人和其他組織的合法權(quán)益。

3、系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定

一旦系統(tǒng)癱瘓可能造成醫(yī)院業(yè)務(wù)無法正常開展，患者無法及時就醫(yī)，甚至有可能造成醫(yī)療事故的發(fā)生，對社會秩序和公共利益將造成損害。故系統(tǒng)服務(wù)受到破壞后，會對法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，對社會秩序和公共利益造成損害造成嚴(yán)重?fù)p害。

4、系統(tǒng)服務(wù)等級的確定

依據(jù)系統(tǒng)服務(wù)受到破壞時所侵害的客體以及侵害程度，確定系統(tǒng)服務(wù)等級為三級。

（三）保護(hù)等級的確定

鑒于XX醫(yī)院HIS系統(tǒng)的業(yè)務(wù)信息等級和系統(tǒng)服務(wù)等級均為三級，信息系統(tǒng)的保護(hù)等級由業(yè)務(wù)信息等級和系統(tǒng)服務(wù)等級較高者決定，較終確定HIS系統(tǒng)保護(hù)等級為第三級。

信息系統(tǒng)名稱

保護(hù)等級

業(yè)務(wù)信息等級

系統(tǒng)服務(wù)等級

XX醫(yī)院HIS系統(tǒng)

三級

三級

三級

4

行業(yè)定級指導(dǎo)意見

1、醫(yī)療衛(wèi)生行業(yè)定級指導(dǎo)意見

2、教育行業(yè)定級指導(dǎo)意見

3、電力行業(yè)定級指導(dǎo)意見

4、金融行業(yè)定級指導(dǎo)意見

等保2.0丨系統(tǒng)定級指引!