深圳电子病历系统三级等保测评

华清信安创立于2013年，是国内早发布下一代防火墙产品(NGFW)的安全厂商之一，我们的GSDN全局安全交付网络已经发展为国内的安全运营服务网络之一。截止2020年，华清信安及其控股公司已获得软件著作权近50项，申请发明**15项，承担国家科技发展专项和入选科技创新创业计划近10项，通过、保密局等国家机构认证8项，是CCRC认证的安全风险评估、安全运维、应急响应服务的安全企业，被业界评为中国互联网产业成长力网络安全企业、智能安全运营解决方案、网络安全态势感知解决方案、安全服务等荣誉，我们的安全咨询、 TDR智能安全运营服务和USP统一安全平台已获得包括政企、金融、、教育、互联网等在内的近千家客户。
我的系统已经上云或者系统托管到其他地方，系统就不归我管了，就不用做等保了？
背景：系统上云的情况越来越多，不论是公有云（阿里云、腾讯云、亚马逊云等）还是各类私有云（政务云、内部云平台等）或者就是直接托管到IDC机房，一些客户认为系统已经不在自己机房了，所以系统的相应安全运维就不归自己管了，自然等保工作就不需要做了。
：根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。
扩展：系统上云或托管后，并不是安全责任主体转移，只是系统所在机房的变更，当然在公有云模式下，Iaas、Paas、Saas不同模式相应的安全责任会有些区别，但是并不是没有责任。

系统定级越低越好？
背景：一些客户担心系统定级定高了后期给自己工作增加麻烦，一方面等级高了，技术要求高了，需要做的工作多了；另一方面系统需要每年都做测评，也觉得麻烦。所以想着系统定个二级就可以了，自己省事。
：首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的，是以事实为根据，而不是拍脑袋决定的。系统等级定低了，乍一看可能工作上是*做了，但是反而是我们没有落实好网络安全保护义务的直接表现，系统等级低了相应的安全防护要求也低了，那么万一你的系统不小心被攻击破坏造成一定不良影响，在主管部门进行责任认定追查时，很有可能就会因为系统定级不合理，安全责任没有履行到位而被处罚。得不偿失，还是安安稳稳把自己该做的工作做好。
扩展：系统定级按照等保1.0的要求是自主定级，有主管部门的需要主管部门审核，终报送机关进行审核。所以定级并不是想定几级就定几级的。预计今年会发布的等保2.0里定级流程新增了“评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

等级保护的五个级别
级 自主保护级：（*备案，对测评周期无要求）此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成一般损害，不损害、社会秩序和公共利益。
*二级 保护级:（门备案，建议两年测评一次）此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害。会对社会秩序、公共利益造成一般损害，不损害。
* 监督保护级：（门备案，要求每年测评一次）此类信息系统受到破坏后，会对、社会秩序造成损害，对公共利益造成严重损害，对公民、法人和其他组织的合法权益造成特别严重的损害。
* 强制保护级：（门备案，要求半年一次）此类信息系统受到破坏后，会对造成严重损害，对社会秩序、公共利益造成特别严重损害。
*五级 专控保护级：（门备案，依据安全需求进行）此类信息系统受到破坏后会对造成特别严重损害。

海量高价值的患者数据，加上业务的重要性，使得网络成为了网络犯罪分子的重点攻击对象。传统的零散购买硬件安全设备，虽然在应对常规的攻击和威胁上有一定帮助，但行业所面临的威胁更多的还是来自于一些入侵攻击所造成的数据和病人隐私泄露，比如说勒索病毒攻击，防范难度高，需要有更完善的安全技术体系建设。
而等级保护2.0标准在有效平衡安全成本与安**果的基础上，提供了安全建设和管理系统性、针对性、可行性的。
为实现持续保护的安**力，在等保2.0“一个中心、三重防护”的思想下建立等级保护纵深防御体系，对整个信息系统的通信网络、区域边界、计算环境，各个区域都实施信息安全策略和安全机制，保证访问者对每一个系统组件进行访问时都受到多层次**机制的，以实现系统的充分防御，将系统遭受攻击的风险降至，确保系统安全、可靠。
【华清信安等级保护服务优势】
全流程服务：1）安全厂商+等保咨询服务商优势 2）一站式实现等保五个环节全流程服务
项目实施经验：1）丰富经验和资源 2）短的交付周期 3）测评结果 4）项目成功交付
项目团队：1）DJJS能力认证 2）等保测评师（CIIP-E） 3)CISAW安全**
运行**：1）续跟踪服务1年 2）协助年度安全检查 3）定期漏扫/渗透测试 4）应急响应服务
http://bjhqsec.b2b168.com