【HIT180等保专栏（三）】医疗卫生信息安全体系化管理与实施流程

来源： HIT专家网       编辑：小 虫

作为HIT专家网系列丛书的第一部著作，由王晖主编的《医疗卫生行业信息安全等级保护实施指南》（第二版）从等保政策，到等保实施做了系统的阐述， 欢迎大家登录HIT专家网微店订购。

信息安全管理的体系化要求

信息安全管理工作种类繁多，涉及到组织的方方面面，不同部门、不同人员之间需要协调，而且必须尽心尽力才能共同实现组织的安全目标。

但现实情况是，大量组织的不同部门之间缺乏沟通，协调不畅，甚至工作内容还存在矛盾的地方，出现信息安全事件时，互相推诿责任，这些都致使信息安全管理工作效率低下，信息安全技术和管理存在漏洞，信息安全事件频频出现，不可避免地对正常业务的开展带来影响，甚至是毁灭性的影响。

要做好信息安全工作，提升组织的信息安全防护能力，达到预期目标，必须理顺各项安全工作之间的关系，将各种资源的利用率最大化，确保信息安全管理工作有序开展，持续改进信息安全水平，满足各方信息安全要求，信息安全管理工作必须与其他领域的管理活动一样，采用体系化的方法来实施。

实际上，信息安全管理体系（ISMS）早就将体系化方法应用到了信息安全管理工作中。ISO/IEC 27001：2005，《信息安全管理体系要求》，提出了信息安全管理体系化的方法，利用过程方法和PDCA模型开展信息安全管理的各项工作，在整个过程中，规定了管理职责、资源管理、持续改进等多方面的要求，完全从体系化的角度，对信息安全管理工作加以规范，如图1所示。

图1 信息安全管理体系示意图

在信息安全管理体系中，充分利用了PDCA模型，将整个体系的建设划分成了四个阶段：建立、实施和运行、监视和评审、保持和改进，对应PDCA的四个环节。

体系化管理的一个突出的特点是持续改进，一方面持续满足原有要求，另一方面也要做到满足新的要求。这就需要不断对管理活动进行检查，发现问题及时采取纠正措施，从而实现持续的改进。

信息安全等级保护的体系化需求

信息安全等级保护工作涉及众多过程，例如定级备案、建设改建、等级测评、自查、检查等。无论是等级保护主管部门的规划，还是信息系统运营、使用单位的落实，虽然在相关政策和标准中，没有明确说明，但其实都体现了部分体系化要素，最明显的就是过程方法和PDCA模型。

从整体来看等级保护的工作，也体现出了PDCA模型的持续循环机制。定级阶段作为整个等级保护工作的先决条件，定级之后便可开展系统的建设和整改，其中包含系统的规划和设计，即P（规划）阶段的内容，还包含规划工作的具体实施，以及系统的运行，即D（实施）阶段的内容。而后实施的测评、自查和检查等活动都可作为C（检查）阶段的工作内容，对于发现的问题，需要及时整改，即A（处置）阶段的工作内容。

从实践中看，这些方法在信息安全等级保护工作过程中都得到了充分的运用，但过程方法和PDCA模型并不是体系化管理方法的全部内容，还有诸如资源管理、管理职责等要素。ISO 27001在信息安全管理体系中，充分运用了体系化方法，也取得了良好的效果，因此，等级保护工作可以借鉴信息安全管理体系的思路，完善体系化要素在工作中的体现，运用体系化管理方法来实施等级保护工作。

等级保护的各项工作应谨慎的加以规划、实施，通过测评、自查等手段实现系统改进，确保满足相关标准和制度的要求，宜采用PDCA模型，对规划、实施、测评、改进等各项活动加以管理。

此外，等级保护工作的出发点在于对信息系统进行定级和分级保护，围绕着系统而实施一系列的保护活动。信息系统运营、使用单位可能会存在多个系统，尤其当系统处于不同级别的时候，不同系统之间接口的处理就会比较麻烦，需要在规划阶段谨慎规划。

从这个角度，信息安全等级保护工作更应该采用体系化的方法加以实施，首先定义等级保护工作的总体方针和目标，从组织整体业务的角度，利用过程方法梳理不同过程，甚至不同系统之间的联系，通过PDCA模型实现每个过程和等级保护整体工作的不断改进，在管理职责和资源管理方面采用定义清晰、职责明确的要求加以规范，从而确保等级保护工作的有序开展，实现等级保护工作的总体目标，持续满足国家相关要求。