ICS.ICS35.240.99 C47 团体标准 T/GDNS004—2023 医疗机构信息系统等级保护定 级工作指南 GuidelinesforclassifiedProtectionofInformationSystemof MedicalInstitutions 2023-04-19发布 2023-04-24实施 广东省计算机信息网络安全协会 发布 全国团体标准信息平台 T/GDNS004—2023 II目录 前言....................................................................III 医疗机构信息系统等级保护定级工作指南.........................................1 1范围.......................................................................1 2规范性引用文件.............................................................1 3术语和定义.................................................................1 3.1网络安全（cybersecurity）..............................................1 3.2等级保护对象（targetofclassifiedprotection）........................1 3.3受侵害的客体（objectofinfringement）.................................2 4基本原则...................................................................2 5定级原理及流程.............................................................2 5.1定级原理...............................................................2 5.2定级过程...............................................................3 5.2.1确定定级对象.......................................................3 5.2.2确定受侵害客体.....................................................4 5.2.3对客体的侵害程度...................................................5 5.2.4初步确定等级.......................................................5 5.2.1外部专家评审.......................................................6 5.2.1主管部门审核.......................................................6 5.2.2公安机关备案.......................................................6 附录A（资料性）定级对象表.........................................7 附录B（规范性）信息系统定级指引...................................9 附录C（资料性）信息系统安全等级保护定级报告模板..................11 全国团体标准信息平台 T/GDNS004—2023 III前言 本标准按照GB/T1.1《标准化工作导则第1部分：标准化文件的结构和起草规则》要求 编写。 本标准由广东省计算机信息网络安全协会提出并归口。 本标准起草单位：广东省计算机信息网络安全协会、广东省人民医院、中山大学附属第 一医院、南方医科大学南方医院、广州市第一人民医院、中山大学附属肿瘤医院、南部战区 总医院、南方医科大学第三附属医院、中山大学附属第三院、中山大学附属第五医院、中山 大学附属第六医院、中山大学附属第八医院、佛山市妇幼保健院、肇庆市第一人民医院、南 方医科大学珠江医院、广东省妇幼保健院、广州市妇女儿童医疗中心、广州医科大学附属第 一医院、广州医科大学附属第二医院、广州医科大学附属第五医院、广东药科大学附属第一 医院、暨南大学附属第一医院、广州中医药大学第一附属医院、番禺区何贤纪念医院、广州 市番禺区中心医院、佛山市中医院、梅州市人民医院、香港大学深圳医院、清远市人民医院、 粤北人民医院、江门市中心医院、茂名市人民医院、阳江市人民医院、东莞市第六人民医院、 惠州市第六人民医院、粤北第二人民医院、暨南大学附属顺德医院、广东轻工职业技术学院、 广州理想资讯科技有限公司、工业和信息化部电子第五研究所(中国赛宝实验室)、广州市海 珠区社区卫生发展指导中心、广州市番禺区卫生健康局、广东物壹信息科技股份有限公司、 深圳市网安计算机安全检测技术有限公司、中科信息安全共性技术国家工程研究中心有限公 司、深信服科技股份有限公司、广东珠江智联信息科技股份有限公司、奇安信安全技术（广 东）有限公司、广州竞远安全技术股份有限公司、深圳市携网科技有限公司。 本标准起草人：杨洋、余俊蓉、严静东、安文琛、任忠敏、赵霞、银琳、张家庆、周欣、 周邮、陈浩、马丽明、张杏华、陈翔、张巍、赖志存、曹晓均、陈智、陆慧菁、李斌、林嘉 楠、钟军锐、林圻、何颖新、何耀德、梁瑞麟、叶欣、庞勤、邓联丙、廖茂成、温明峰、李 卫昌、曾幸辉、熊劲光、莫谋森、吴鼎宁、吴庆斌、吴龙、张芳建、潘天祥、刘翰腾、曾艺、 辛继胜、欧阳雪源、罗广伟、蔡伟标、张伟、陈涛、黄志群、王健英、彭丽超、龙军、胡建 勋、吴瑞、陈建长、于海峰、成嘉轩、王水兵。 标准为首次发布。 全国团体标准信息平台 全国团体标准信息平台 T/GDNS004—2023 1医疗机构信息系统等级保护定级工作指南 1范围 本标准给出了广东省各级各类医疗机构非涉及国家秘密的等级保护对象的安全保护等 级定级方法和定级流程。 本标准适用于指导各级各类医疗机构开展非涉及国家秘密的等级保护对象的定级工作。 涉及国家秘密的信息系统应根据国家保密局要求，遵循国家涉密信息系统分级保护制度进行 安全防护工作。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，仅 注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本标准。 GB/T22239-2019《信息安全技术网络安全等级保护基本要求》 GB/T22240-2020《信息安全技术网络安全等级保护定级指南》 GB/T25058-2019《信息安全技术网络安全等级保护实施指南》 《医院信息化建设应用技术指引》 《全国医院信息化建设标准与规范(试行)》 《医院信息互联互通标准化成熟度测方案》 《医院分级管理标准》 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件。 3.1 网络安全（cybersecurity） 通过采取必要的措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故， 使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 3.2 等级保护对象（targetofclassifiedprotection） 全国团体标准信息平台 T/GDNS004—2023 2网络安全等级保护工作直接作用的对象。（主要包括信息系统、通信网络设施和数据资 源等）。 3.3 受侵害的客体（objectofinfringement） 受法律保护的等级保护对象受到破坏时所侵害的社会关系。（本标准中简称“客体”）。 4基本原则 等级保护的核心是对系统分等级、按标准进行建设、管理和监督。信息系统网络安全等 级保护实施过程中应遵循以下原则： （1）法规遵从原则 信息系统网络安全等级保护工作开展应符合国家法律法规及行业主管部门相关规定，科 学确定信息系统的安全等级并予以备案，按照相应等级要求组织实施安全保障。 （2）适时调整原则 由于各级各类医疗机构信息系统的应用类型、覆盖范围、外部环境等约束条件，以及加 载、处理的信息处于不断变化与发展之中，因此，医疗机构需要根据内外部环境变化情况， 适时重新确定信息系统的网络安全保护等级，并调整相应的保护措施。 （3）重点保护原则 信息系统网络安全等级保护应突出重点。对关系国家安全、公共健康安全、社会稳定等 方面的重要系统，集中资源优先建设、加强管理和监督。 （4）分域保护原则 网络安全等级保护工作应根据系统的类型、重要程度、业务特点和不同发展水平，分类、 分级、分阶段进行实施，并通过划分不同的安全域，实现不同强度的安全保护。 5定级原理及流程 5.1定级原理 根据国家GB/T22240-2020《信息安全技术网络安全等级保护定级指南》的规定，医 疗机构信息系统的安全保护等级分为以下五级： a)第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害， 但不损害国家安全、社会秩序和公共