基于ISMS的医院体检中心信息安全管理系统的设计与实现

作     者：范若愚 

作者单位：山东大学 

学位级别：硕士

导师姓名：鞠雷

授予年度：2015年

学科分类：08[工学] 0839[工学-网络空间安全] 0835[工学-软件工程] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 081202[工学-计算机软件与理论] 

主      题：医院体检中心 信息安全管理 信息安全管理系统 医院体检中心信息安全管理 

摘      要：随着社会不断地进步,信息技术快速发展居民生活水平不断提高,人民群众医疗保健观念随之发生重大转变。健康体检中心因此而迅速地大量地出现在居民生活中。同时,黑客技术黑客行为得到了进化,恶意篡改、拖库、通过震网病毒攻击孤立网络等信息安全事件发生频率不断上升。在医疗卫生领域,信息业的快速发展也暴露出了医疗机构信息系统的安全缺陷和医疗隐私泄漏的问题,在个别地方甚至出现了医务工作人员贩卖患者隐私数据的现象。同样由于信息技术的快速发展,医疗卫生领域的信息设备设施、信息系统软件随之频繁更新换代,老设备不兼容新系统、新设备功能过多无从配置,留下了重重安全隐患。随着互联网、计算机、智能手机等设备的普及,人们确实获得了更多的信息,也会被这些信息困扰、煽动甚至教唆,以至于酿成事故。虽然我国在宏观上已有相关控制措施,在行业内有相关的管控制度,但无法杜绝这些悲剧发生。本文以徐州市某医院体检中心为例,试图找到办法确保这个医院体检中心健康、高效、稳定地持续运行。本文通过参照国际标准化组织定义和描述的信息安全管理体系,以风险评估为基础分析了该医院体检中心信息系统的现状,以及现行信息系统存在的问题,归纳出安全需求。通过对信息安全技术和信息安全管理两方面的详细设计和具体实现,构建出该体检中心的信息安全管理体系的技术建设部分、管理建设部分。以期望建立起一套安全、可靠、稳定、高效的体检中心信息安全管理体系,并且借助PDCA模式不断地自我更新。由于该体检中心的规模有限,因此本课题没有全部照搬国际标准化组织的信息安全管理体系,而是以国际标准化组织的文档为参考,去除国际标准化组织文档中不适用于此体检中心的内容,建立了简练实用的信息安全管理体系架构来适配此体检中心的信息建设现状。