包邮医院网络安全等级保护(2.0)实施指南

目 录
第1章 网络安全等级保护制度概述 1
1.1 网络安全等级保护的发展 1
1.2 网络安全等级保护制度体系 4
第2章 医疗行业网络安全等级保护现状及建议 6
2.1 中国医院网络安全等级保护现状 6
2.2 相关政策建议 8
第3章 医院网络安全框架 11
3.1 网络安全框架概述 11
3.1.1 主流企业网络安全框架 11
3.1.2 网络安全等级保护安全框架 16
3.2 医院网络安全框架 23
3.2.1 整体框架 23
3.2.2 安全技术体系 24
3.2.3 安全管理体系 25
3.3 医院网络安全规划方法 26
3.3.1 网络安全规划概述 26
3.3.2 规划咨询方法论 26
3.3.3 安全规划实施流程 27
3.4 医院网络安全规划实践 28
3.4.1 安全规划的背景 28
3.4.2 安全规划的开展 29
3.4.3 安全需求分析 29
3.4.4 总体安全设计 31
3.4.5 安全建设项目规划 36
第4章 医院网络安全等级保护实施 39
4.1 定级 39
4.1.1 定级要求 39
4.1.2 定级原则 39
4.1.3 定级原理及流程 40
4.1.4 确定定级对象 44
4.1.5 初步确定等级 46
4.1.6 专家评审 49
4.1.7 主管部门审核 49
4.1.8 公安机关备案审查 49
4.1.9 等级变更 49
4.2 备案 50
4.2.1 备案与受理 50
4.2.2 公安机关受理备案要求 52
4.2.3 对定级不准及不备案情况的处理 53
4.3 安全建设整改 54
4.4 等级测评 54
4.4.1 测评周期 54
4.4.2 测评内容 55
4.4.3 测评机构选择 60
4.5 监督检查 60
4.6 等级保护实施案例 61
4.6.1 系统定级 63
4.6.2 系统备案 63
4.6.3 建设与整改 65
4.6.4 等级测评 68
4.6.5 监督检查 70
第5章 安全通用要求——技术部分解读 71
5.1 安全物理环境 71
5.1.1 一览表 71
5.1.2 物理位置选择 73
5.1.3 物理访问控制 75
5.1.4 防盗窃和防破坏 75
5.1.5 防雷击 76
5.1.6 防火 78
5.1.7 防水和防潮 79
5.1.8 防静电 81
5.1.9 温湿度控制 82
5.1.10 电力供应 83
5.1.11 电磁防护 84
5.2 安全通信网络 85
5.2.1 一览表 85
5.2.2 通信传输 86
5.2.3 可信验证 88
5.2.4 网络架构 90
5.3 安全区域边界 94
5.3.1 一览表 94
5.3.2 边界防护 96
5.3.3 访问控制 98
5.3.4 可信验证 101
5.3.5 入侵防范 102
5.3.6 恶意代码和垃圾邮件防范 106
5.3.7 安全审计 107
5.4 安全计算环境 109
5.4.1 一览表 109
5.4.2 身份鉴别 112
5.4.3 访问控制 118
5.4.4 安全审计 123
5.4.5 入侵防范 126
5.4.6 恶意代码防范 133
5.4.7 可信验证 135
5.4.8 数据完整性 136
5.4.9 数据保密性 138
5.4.10 数据备份恢复 140
5.4.11 剩余信息保护 143
5.4.12 个人信息保护 144
5.5 安全管理中心 145
5.5.1 一览表 145
5.5.2 系统管理 146
5.5.3 审计管理 148
5.5.4 安全管理 152
5.5.5 集中管控 153
第6章 安全通用要求——制度部分解读 158
6.1 安全管理制度 158
6.1.1 一览表 158
6.1.2 评测实践 159
6.1.3 一至三级所需制度参考清单 159
6.2 安全管理机构 160
6.2.1 一览表 160
6.2.2 评测实践 163
6.2.3 一至三级所需制度参考清单 164
6.3 安全管理人员 164
6.3.1 一览表 164
6.3.2 评测实践 167
6.3.3 一至三级所需制度参考清单 168
6.4 安全建设管理 168
6.4.1 一览表 168
6.4.2 评测实践 173
6.4.3 一至三级所需制度参考清单 174
6.5 安全运维管理 175
6.5.1 一览表 175
6.5.2 评测实践 186
6.5.3 一至三级所需制度参考清单 186
第7章 新技术应用安全要求解读 190
7.1 云计算安全 190
7.1.1 一览表 190
7.1.2 安全物理环境 193
7.1.3 安全通信网络 194
7.1.4 安全区域边界 198
7.1.5 安全计算环境 204
7.1.6 安全管理中心 216
7.1.7 安全建设管理 218
7.1.8 安全运维管理 223
7.2 移动互联安全 223
7.2.1 一览表 224
7.2.2 无线接入点的物理位置 225
7.2.3 边界防护 226
7.2.4 访问控制 227
7.2.5 入侵防范 228
7.2.6 移动终端管控 229
7.2.7 移动应用管理 230
7.2.8 移动应用软件采购 230
7.2.9 移动应用软件开发 231
7.2.10 配置管理 232
7.3 物联网安全 232
7.3.1 一览表 233
7.3.2 安全物理环境 234
7.3.3 安全区域边界 236
7.3.4 安全计算环境 238
7.3.5 安全运维管理 243
7.4 工业控制系统安全扩展要求 244
7.4.1 一览表 244
7.4.2 室外控制设备物理防护 246
7.4.3 网络架构 247
7.4.4 通信传输 250
7.4.5 访问控制 250
7.4.6 拨号使用控制 252
7.4.7 无线使用控制 253
7.4.8 控制设备安全 255
7.4.9 产品采购和使用 257
7.4.10 外包软件开发 257
7.5 大数据安全 258
7.5.1 一览表 259
7.5.2 安全物理环境 261
7.5.3 安全通信网络 262
7.5.4 安全计算环境 263
参考文献 282