本书从网络安全等级保护制度发展的历史入手，讲解网络安全体系建设在我国的发展过程。基于近期开展的中国医院网络安全等级保护状况调查和北京市医疗行业网络安全等级保护现状调研，给出具体的数据分析结果；之后结合国内外文献调研，探讨适合医院的网络安全框架；然后以案例为基础，介绍定级、备案、整改、测评全过程；最后针对等级保护2.0新标准的项目逐条解读，结合案例对比新旧标准的差异，对比不同等级安全要求的差异。本书共7章，主要内容包括：网络安全等级保护制度概述、医疗行业网络安全等级保护现状及建议、医院网络安全框架、医院网络安全等级保护实施、安全通用要求——技术部分解读、安全通用要求——制度部分解读、新技术应用安全要求解读。本书可供医学信息学、网络安全等专业的相关人员学习、参考。

朱卫国，北京协和医院信息管理处处长，北京协和医院普通内科副主任医师，中国协和医科大学临床医学博士。中国医院协会信息专业委员会秘书长，中华医学会全科医学分会青年委员会副主委，中国医药信息学会电子病历与健康档案专业委员会副主委，中国医学装备协会医用洁净装备工程分会手术部智能化专业委员会主委，北京卫生信息技术协会常务理事等。先后参与主持了一体化新HIS、全院级PACS、掌尚协和患者App、HRP等项目建设。获首届“协和杰出青年奖”、2015-2016年度中国医院优秀CIO等称号。

目 录
第1章 网络安全等级保护制度概述 1
1.1 网络安全等级保护的发展 1
1.2 网络安全等级保护制度体系 4
第2章 医疗行业网络安全等级保护现状及建议 6
2.1 中国医院网络安全等级保护现状 6
2.2 相关政策建议 8
第3章 医院网络安全框架 11
3.1 网络安全框架概述 11
3.1.1 主流企业网络安全框架 11
3.1.2 网络安全等级保护安全框架 16
3.2 医院网络安全框架 23
3.2.1 整体框架 23
3.2.2 安全技术体系 24
3.2.3 安全管理体系 25
3.3 医院网络安全规划方法 26
3.3.1 网络安全规划概述 26
3.3.2 规划咨询方法论 26
3.3.3 安全规划实施流程 27
3.4 医院网络安全规划实践 28
3.4.1 安全规划的背景 28
3.4.2 安全规划的开展 29
3.4.3 安全需求分析 29
3.4.4 总体安全设计 31
3.4.5 安全建设项目规划 36
第4章 医院网络安全等级保护实施 39
4.1 定级 39
4.1.1 定级要求 39
4.1.2 定级原则 39
4.1.3 定级原理及流程 40
4.1.4 确定定级对象 44
4.1.5 初步确定等级 46
4.1.6 专家评审 49
4.1.7 主管部门审核 49
4.1.8 公安机关备案审查 49
4.1.9 等级变更 49
4.2 备案 50
4.2.1 备案与受理 50
4.2.2 公安机关受理备案要求 52
4.2.3 对定级不准及不备案情况的处理 53
4.3 安全建设整改 54
4.4 等级测评 54
4.4.1 测评周期 54
4.4.2 测评内容 55
4.4.3 测评机构选择 60
4.5 监督检查 60
4.6 等级保护实施案例 61
4.6.1 系统定级 63
4.6.2 系统备案 63
4.6.3 建设与整改 65
4.6.4 等级测评 68
4.6.5 监督检查 70
第5章 安全通用要求——技术部分解读 71
5.1 安全物理环境 71
5.1.1 一览表 71
5.1.2 物理位置选择 73
5.1.3 物理访问控制 75
5.1.4 防盗窃和防破坏 75
5.1.5 防雷击 76
5.1.6 防火 78
5.1.7 防水和防潮 79
5.1.8 防静电 81
5.1.9 温湿度控制 82
5.1.10 电力供应 83
5.1.11 电磁防护 84
5.2 安全通信网络 85
5.2.1 一览表 85
5.2.2 通信传输 86
5.2.3 可信验证 88
5.2.4 网络架构 90
5.3 安全区域边界 94
5.3.1 一览表 94
5.3.2 边界防护 96
5.3.3 访问控制 98
5.3.4 可信验证 101
5.3.5 入侵防范 102
5.3.6 恶意代码和垃圾邮件防范 106
5.3.7 安全审计 107
5.4 安全计算环境 109
5.4.1 一览表 109
5.4.2 身份鉴别 112
5.4.3 访问控制 118
5.4.4 安全审计 123
5.4.5 入侵防范 126
5.4.6 恶意代码防范 133
5.4.7 可信验证 135
5.4.8 数据完整性 136
5.4.9 数据保密性 138
5.4.10 数据备份恢复 140
5.4.11 剩余信息保护 143
5.4.12 个人信息保护 144
5.5 安全管理中心 145
5.5.1 一览表 145
5.5.2 系统管理 146
5.5.3 审计管理 148
5.5.4 安全管理 152
5.5.5 集中管控 153
第6章 安全通用要求——制度部分解读 158
6.1 安全管理制度 158
6.1.1 一览表 158
6.1.2 评测实践 159
6.1.3 一至三级所需制度参考清单 159
6.2 安全管理机构 160
6.2.1 一览表 160
6.2.2 评测实践 163
6.2.3 一至三级所需制度参考清单 164
6.3 安全管理人员 164
6.3.1 一览表 164
6.3.2 评测实践 167
6.3.3 一至三级所需制度参考清单 168
6.4 安全建设管理 168
6.4.1 一览表 168
6.4.2 评测实践 173
6.4.3 一至三级所需制度参考清单 174
6.5 安全运维管理 175
6.5.1 一览表 175
6.5.2 评测实践 186
6.5.3 一至三级所需制度参考清单 186
第7章 新技术应用安全要求解读 190
7.1 云计算安全 190
7.1.1 一览表 190
7.1.2 安全物理环境 193
7.1.3 安全通信网络 194
7.1.4 安全区域边界 198
7.1.5 安全计算环境 204
7.1.6 安全管理中心 216
7.1.7 安全建设管理 218
7.1.8 安全运维管理 223
7.2 移动互联安全 223
7.2.1 一览表 224
7.2.2 无线接入点的物理位置 225
7.2.3 边界防护 226
7.2.4 访问控制 227
7.2.5 入侵防范 228
7.2.6 移动终端管控 229
7.2.7 移动应用管理 230
7.2.8 移动应用软件采购 230
7.2.9 移动应用软件开发 231
7.2.10 配置管理 232
7.3 物联网安全 232
7.3.1 一览表 233
7.3.2 安全物理环境 234
7.3.3 安全区域边界 236
7.3.4 安全计算环境 238
7.3.5 安全运维管理 243
7.4 工业控制系统安全扩展要求 244
7.4.1 一览表 244
7.4.2 室外控制设备物理防护 246
7.4.3 网络架构 247
7.4.4 通信传输 250
7.4.5 访问控制 250
7.4.6 拨号使用控制 252
7.4.7 无线使用控制 253
7.4.8 控制设备安全 255
7.4.9 产品采购和使用 257
7.4.10 外包软件开发 257
7.5 大数据安全 258
7.5.1 一览表 259
7.5.2 安全物理环境 261
7.5.3 安全通信网络 262
7.5.4 安全计算环境 263
参考文献 282