ICS 35. 240. 99 00 团 体 标 准 T/GDNS011-2023 医疗机构信息系统等级保护定 级工作指南 GuidelinesforclassifiedProtection ofInformation System of MedicalInstitutions 2023-04-19发布 2023-04-24实施 广东省计算机信息网络安全协会 发布
T/GDNS 011-2023 目录 前言.... III 医疗机构信息系统等级保护定级工作指南 1范围.. 2规范性引用文件 3术语和定义.. 3.1网络安全(cybersecurity) 3.2 等级保护对象(target of classifiedprotection) 3.3受侵害的客体(object ofinfringement) 4基本原则.. 5定级原理及流程 5.1定级原理.
5.2定级过程. 5.2.1确定定级对象, 5.2.2确定受侵害客体 5.2.3对客体的侵害程度 5.2.4初步确定等级 5.2.1外部专家评审 5.2.1主管部门审核 5.2.2公安机关备案 附录A (资料性) 定级对象表 附录B (规范性) 信息系统定级指引, 附录C (资料性)信息系统安全等级保护定级报告模板 11 II
T/GDNS 011-2023 前言 本标准按照GB/T1.1《标准化工作导则第1部分:标准化文件的结构和起草规则》要求 编写.
本标准由广东省计算机信息网络安全协会提出并归口.
本标准起草单位:广东省计算机信息网络安全协会、广东省人民医院、中山大学附属第 一医院、南方医科大学南方医院、广州市第一人民医院、中山大学附属肿瘤医院、中国人民 解放军南部战区总医院、南方医科大学第三附属医院、中山大学附属第三院、中山大学附属 第五医院、中山大学附属第六医院、中山大学附属第八医院、佛山市妇幼保健院、肇庆市第 一人民医院、南方医科大学珠江医院、广东省妇幼保健院、广州市妇女儿董医疗中心、广州 医科大学附属第一医院、广州医科大学附属第二医院、广州医科大学附属第五医院、广东药 科大学附属第一医院、暨南大学附属第一医院、广州中医药大学第一附属医院、番禺区何贤 纪念医院、广州市番禺区中心医院、佛山市中医院、梅州市人民医院、香港大学深圳医院、 清远市人民医院、粤北人民医院、江门市中心医院、茂名市人民医院、阳江市人民医院、东 莞市第六人民医院、惠州市第六人民医院、粤北第二人民医院、暨南大学附属顺德医院、广 东轻工职业技术学院、广州理想资讯科技有限公司、工业和信息化部电子第五研究所(中国 赛宝实验室)、广州市海珠区社区卫生发展指导中心、广州市番禺区卫生健康局、广东物壹 信息科技股份有限公司、深圳市网安计算机安全检测技术有限公司、中科信息安全共性技术 国家工程研究中心有限公司、深信服科技股份有限公司、广东珠江智联信息科技股份有限公 司、奇安信安全技术(广东)有限公司、广州竞远安全技术股份有限公司、深圳市携网科技 有限公司.
本标准起草人:杨洋、黄振毅、余俊蓉、严静东、安文琛、任忠敏、赵霞、银琳、张家 庆、周欣、周邮、陈浩、马丽明、张杏华、陈翔、张巍、赖志存、曹晓均、陈智、陆慧菁、 李斌、林嘉楠、钟军锐、林圻、何颖新、何耀德、梁瑞麟、叶欣、庞勤、邓联丙、廖茂成、 温明锋、李卫昌、曾幸辉、熊劲光、莫谋森、吴鼎宁、吴庆斌、吴龙、张芳健、潘天祥、陈 思宇、刘翰腾、曾艺、辛继胜、欧阳雪源、罗广伟、蔡伟标、张伟、陈涛、黄志群、王健英、 彭丽超、龙军、胡建勋、吴瑞、陈建长、于海峰、成嘉轩、王水兵.
标准为首次发布.
III
T/GDNS 011-2023 医疗机构信息系统等级保护定级工作指南 1范围 本标准给出了广东省各级各类医疗机构非涉及国家秘密的等级保护对象的安全保护等 级定级方法和定级流程.
本标准适用于指导各级各类医疗机构开展非涉及国家秘密的等级保护对象的定级工作.
涉及国家秘密的信息系统应根据国家保密局要求,遵循国家涉密信息系统分级保护制度进行 安全防护工作.
2规范性引用文件 下列文件中的条款通过本标准的引用面成为本标准的条款.
凡是注日期的引用文件,仅 注日期的版本适用于本文件.
凡是不注日期的引用文件,其最薪版本(包括的修改单) 适用于本标准.
GB/T22239-2019《信息安全技术网络安全等级保护基本要求》 GB/T22240-2020《信息安全技术网络安全等级保护定级指南》 GB/T25058-2019《信息安全技术网络安全等级保护实施指南》 《医院信息化建设应用技术指引》 《全国医院信息化建设标准与规范(试行)》 《医院信息互联互通标准化成熟度测方案》 《医院分级管理标准》 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.
3. 1 网络安全(cybersecurity) 通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故, 使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力.
3. 2 等级保护对象(target of classifiedprotection)
