为进一步提高信息安全的保障能力,根据《信息安全等级保护管理办法》(2007【43】号)的精神,淮南达实智慧城市投资发展有限公司委托中国科学技术大学信息安全测评中心(DJCP2011340095)对淮南智慧城市民生领域建设PPP项目(智慧医疗)第一、二、三期信息系统建设进行整体测评。
经过严谨专业的测评流程判定,淮南智慧城市民生领域建设PPP项目(智慧医疗)信息系统定级为三级,其中业务信息安全保护等级(S)为三级,系统服务安全保护等级(A)为三级。本次测评分数为81.47分,通过等级保护三级(S3A3G3)标准,是目前国家对非银行机构的最高级认证,属于“监管级别”。
淮南智慧城市民生领域建设PPP项目(智慧医疗)按照国家、省有关文件精神,结合淮南智慧城市建设和大数据发展需求,先行先试,在全国范围内率先以政府和社会资本合作(PPP)模式发展健康医疗大数据,是淮南市第一个实施的PPP智慧医疗项目。自项目建设以来,一直非常重视信息安全问题,致力保证数据保密性、安全性和可用性。2018年8月该项目已通过第一、二期信息系统建设的测评,备案于公安部。
图为2018年通过第一、第二期评测后证书。
公安部备案后,淮南智慧医疗项目信息系统安全等级评测证书不再另行颁发。
本次测评工作于2019年8月20日开始申报,历经一个月的准备和测评过程,于10月10日收到已通过测评的报告。测评以信息安全等级保护相关标准和规范为依据,严格按照中国科学技术大学信息安全测评中心质量体系文件的规定进行。
测评范围主要包括淮南智慧城市民领域建设PPP项目(智慧医疗)信息系统的物理环境、主机、网络、业务应用系统、安全管理制度和人员等。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段,从物理安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等十个方面,对项目进行综合评测。
结合2018年第一、第二期的测评经验,本次测评前,淮南达实团队做了充足的准备和日常维护:在安全管理方面,依据《人员安全管理制度》对覆盖不同类型的系统运维管理员进行技术性的访谈,对系统运维管理的主机房及灾备机房进行严密的日常巡查、在主机和网络安全方面控制使用用户分配质进行监管、在数据保护方面对重要数据进行备份恢复;在应急预案方面定期进行更新和审查等措施,保障业务系统的高可用性。
测评工作完成后,淮南达实总经理何淼组织召开了测评总结会和网络安全学习会,要求高度加强日常信息安全防范意识与责任心,规范团队思维,持续为淮南市提供安全可靠、高效稳定的健康医疗大数据全生命周期保障服务。