信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目用戶需求書

6/6信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目用戶需求書項(xiàng)目概況根據(jù)《網(wǎng)絡(luò)安全法》和《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)條例》等法律法規(guī)要求，醫(yī)院的核心信息系統(tǒng)為關(guān)鍵信息基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí)不低于三級(jí)的信息系統(tǒng)，需要每年進(jìn)行等保測(cè)評(píng)，從物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理制度等各方面進(jìn)行的安全檢測(cè)評(píng)估。現(xiàn)對(duì)我院8個(gè)三級(jí)等保信息系統(tǒng)進(jìn)行年度測(cè)評(píng)。測(cè)評(píng)系統(tǒng)服務(wù)清單系統(tǒng)名稱證書編號(hào)備案等級(jí)電子病歷信息平臺(tái)44001845195-00004三級(jí)PACS系統(tǒng)44001845195-00005三級(jí)LIS系統(tǒng)44001845195-00006三級(jí)HIS系統(tǒng)44001845195-00003三級(jí)廣東省第二人民醫(yī)院信息集成平臺(tái)44000045195-22001三級(jí)互聯(lián)網(wǎng)醫(yī)院系統(tǒng)44000045195-21001三級(jí)廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺(tái)44000045195-21002三級(jí)移動(dòng)護(hù)理44000045195-22002三級(jí)對(duì)以上8個(gè)信息系統(tǒng)進(jìn)行測(cè)評(píng)：三級(jí)復(fù)測(cè)。服務(wù)內(nèi)容：1、協(xié)助等保測(cè)評(píng)機(jī)構(gòu)完成差距測(cè)評(píng)。2、根據(jù)差距測(cè)評(píng)問題清單，需完成網(wǎng)絡(luò)、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)以及管理制度層面差距整改，且協(xié)助應(yīng)用廠家完成應(yīng)用系統(tǒng)整改。3、收集整改記錄，提供給專業(yè)測(cè)評(píng)機(jī)構(gòu)，完成等保測(cè)評(píng)驗(yàn)收且出具等保測(cè)評(píng)報(bào)告。4、提交等保測(cè)評(píng)報(bào)告至廣州市公安局公共信息網(wǎng)絡(luò)安全綜合管理系統(tǒng)，并收集等保測(cè)評(píng)報(bào)告提交回執(zhí)單。項(xiàng)目需求項(xiàng)目范圍按照國(guó)家和行業(yè)的要求，廣東省第二人民醫(yī)院信息系統(tǒng)的安全配置是符合國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)的要求。在本期服務(wù)中，服務(wù)商要提供本年度等保的全生命周期的服務(wù)，提供從差距測(cè)評(píng)、整改指導(dǎo)、等保驗(yàn)收、等保測(cè)評(píng)報(bào)告提交回執(zhí)等所有等保階段的服務(wù)。完成醫(yī)院以下信息系統(tǒng)等保2.0測(cè)評(píng)：電子病歷信息平臺(tái)、PACS系統(tǒng)、LIS系統(tǒng)、HIS系統(tǒng)、廣東省第二人民醫(yī)院信息集成平臺(tái)、互聯(lián)網(wǎng)醫(yī)院系統(tǒng)、廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺(tái)、移動(dòng)護(hù)理三級(jí)等保2.0測(cè)評(píng)。系統(tǒng)描述電子病歷信息平臺(tái)：電子病歷信息平臺(tái)包含了醫(yī)生工作站、護(hù)士工作站、會(huì)診工作站、質(zhì)控管理、病案管理、病歷維護(hù)、病歷瀏覽、病案借閱、科室質(zhì)控等功能模塊。PACS系統(tǒng)：PACS系統(tǒng)為廣東省第二人民醫(yī)院所屬各部門提供對(duì)病人的各種醫(yī)學(xué)影像（包括核磁共振、CT掃描、超聲波等設(shè)備產(chǎn)生的圖像）的收集，存儲(chǔ)、提取等能力，將醫(yī)學(xué)圖像以數(shù)字化的方式進(jìn)行存儲(chǔ)，當(dāng)需要時(shí)，在一定的授權(quán)下能快速的調(diào)取使用，并增加了一些輔助診斷功能的影像歸檔及通信系統(tǒng)。PACS信息系統(tǒng)主要由影像處理、報(bào)告管理等子模塊組成。LIS系統(tǒng)：LIS信息系統(tǒng)能將實(shí)驗(yàn)儀器與計(jì)算機(jī)組成網(wǎng)絡(luò)，使病人樣品登錄、實(shí)驗(yàn)數(shù)據(jù)存取、報(bào)告審核、打印分發(fā)，實(shí)驗(yàn)數(shù)據(jù)統(tǒng)計(jì)分析等繁雜的操作過程實(shí)現(xiàn)了智能化、自動(dòng)化和規(guī)范化管理。有助于提高實(shí)驗(yàn)室的整體管理水平，減少漏洞，提高檢驗(yàn)質(zhì)量。主要的功能模塊有：數(shù)據(jù)處理、數(shù)據(jù)查詢、數(shù)據(jù)報(bào)表、質(zhì)量控制、試劑管理、基本設(shè)置、系統(tǒng)管理等。HIS系統(tǒng)：HIS系統(tǒng)為廣東省第二人民醫(yī)院所屬各部門提供對(duì)病人診療信息和管理信息的錄入、存儲(chǔ)、處理、提取及數(shù)據(jù)交換的能力，并滿足所有授權(quán)用戶的功能需求的應(yīng)用系統(tǒng)。廣東省第二人民醫(yī)院信息集成平臺(tái)：廣東省第二人民醫(yī)院信息集成平臺(tái)通過系統(tǒng)的建設(shè)，能夠達(dá)成更加科學(xué)、高效、安全的醫(yī)院信息集成模式，優(yōu)化各個(gè)業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)流及業(yè)務(wù)流，新的業(yè)務(wù)系統(tǒng)與醫(yī)院現(xiàn)有系統(tǒng)集成以及老的業(yè)務(wù)系統(tǒng)改造的過程會(huì)更加順暢快捷，對(duì)各個(gè)系統(tǒng)的供應(yīng)商的依賴程度會(huì)降低?；ヂ?lián)網(wǎng)醫(yī)院系統(tǒng)：互聯(lián)網(wǎng)醫(yī)院系統(tǒng)主要提供廣東省第二人民醫(yī)院健康管理平臺(tái)微信公眾號(hào)，“叮唄醫(yī)生+”小程序等多途徑免費(fèi)開展醫(yī)生在線問診AI醫(yī)生智能問診、居民個(gè)人健康管理等業(yè)務(wù)，為線上患者提供全生命周期智慧醫(yī)療健康信息服務(wù)、移動(dòng)支付。廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺(tái)：廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺(tái)系統(tǒng)主要通過對(duì)互聯(lián)網(wǎng)醫(yī)院的電子病歷、處方、診療過程視頻的監(jiān)管，判斷醫(yī)生是否符合執(zhí)業(yè)規(guī)定、互聯(lián)網(wǎng)診療是否在規(guī)定范圍內(nèi)、診療行為是否符合診療規(guī)范、藥品作用是否符合規(guī)范。廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺(tái)系統(tǒng)部署于廣東省政務(wù)云平臺(tái)，所有應(yīng)用均部署于政務(wù)云平臺(tái)的政務(wù)外網(wǎng)區(qū)。移動(dòng)護(hù)理：移動(dòng)護(hù)理系統(tǒng)是醫(yī)院護(hù)士提供記錄與管理住院患者的有效工具。護(hù)士可以在系統(tǒng)內(nèi)管理患者的基本信息、體征信息、醫(yī)囑信息、各類文書信息等。系統(tǒng)保障了日常護(hù)理工作的有序進(jìn)行和留痕，減少了護(hù)士的日常工作量，推進(jìn)了醫(yī)院無紙化的進(jìn)程現(xiàn)網(wǎng)的網(wǎng)絡(luò)安全設(shè)備清單現(xiàn)網(wǎng)的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備清單序號(hào)設(shè)備名稱品牌用途備注1網(wǎng)絡(luò)核心交換機(jī)華為核心數(shù)據(jù)交換/2服務(wù)器核心交換機(jī)華為核心數(shù)據(jù)交換/3數(shù)據(jù)中心防火墻深信服WAF、IPS防護(hù)/4外網(wǎng)IPS防火墻深信服WAF、IPS防護(hù)/5上網(wǎng)行為管理深信服上網(wǎng)行為審計(jì)/6外網(wǎng)WIFI防火墻深信服WAF、IPS防護(hù)/7互聯(lián)網(wǎng)應(yīng)用隔離防火墻深信服WAF、IPS防護(hù)/8終端殺毒軟件卡巴斯基病毒查殺防護(hù)/9日志審計(jì)網(wǎng)安可信日志審計(jì)/10態(tài)勢(shì)感知平臺(tái)深信服日志分析平臺(tái)/11態(tài)勢(shì)感知探針深信服流量收集風(fēng)險(xiǎn)感知/12WIFI上網(wǎng)認(rèn)證任子行WiFi互聯(lián)網(wǎng)行為審計(jì)/13互聯(lián)網(wǎng)應(yīng)用出口火墻深信服WAF、IPS防護(hù)/14入網(wǎng)規(guī)范管理系統(tǒng)盈高訪問控制/15堡壘機(jī)齊治安全運(yùn)維/16數(shù)據(jù)庫(kù)審計(jì)安恒安全審計(jì)/測(cè)評(píng)信息系統(tǒng)服務(wù)器設(shè)備數(shù)量序號(hào)系統(tǒng)名稱服務(wù)器數(shù)量備注1電子病歷信息平臺(tái)4臺(tái)/2PACS系統(tǒng)6臺(tái)/3LIS系統(tǒng)2臺(tái)/4HIS系統(tǒng)4臺(tái)/5廣東省第二人民醫(yī)院信息集成平臺(tái)4臺(tái)/6互聯(lián)網(wǎng)醫(yī)院系統(tǒng)5臺(tái)/7廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺(tái)5臺(tái)/8移動(dòng)護(hù)理5臺(tái)/服務(wù)要求本項(xiàng)目需要按照等保2.0的流程要求，結(jié)合當(dāng)前、信息系統(tǒng)安全建設(shè)的實(shí)際情況進(jìn)行總體設(shè)計(jì)，并把整個(gè)項(xiàng)目分成以下4個(gè)階段，總項(xiàng)目實(shí)施周期為3個(gè)月。項(xiàng)目階段表階段實(shí)施內(nèi)容產(chǎn)出物完成周期等保差距測(cè)評(píng)現(xiàn)場(chǎng)評(píng)測(cè)階段通過與評(píng)測(cè)委托單位進(jìn)行溝通和協(xié)調(diào)，為現(xiàn)場(chǎng)測(cè)評(píng)的順利開展打下良好基礎(chǔ)，依據(jù)測(cè)評(píng)方案實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)工作，將測(cè)評(píng)方案和測(cè)評(píng)方法等內(nèi)容具體落實(shí)到現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中?，F(xiàn)場(chǎng)測(cè)評(píng)工作應(yīng)取得報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料《系統(tǒng)差距測(cè)評(píng)報(bào)告》20天建設(shè)整改參照《系統(tǒng)差距測(cè)評(píng)報(bào)告》服務(wù)方需完成網(wǎng)絡(luò)設(shè)備基線配置、網(wǎng)絡(luò)安全設(shè)備基線配置、操作系統(tǒng)基線配置、操作系統(tǒng)補(bǔ)丁修復(fù)、數(shù)據(jù)庫(kù)配置、管理制度文檔，且協(xié)助應(yīng)用廠家完成應(yīng)用系統(tǒng)整改整改記錄1個(gè)月等保驗(yàn)收滲透測(cè)試復(fù)測(cè)，測(cè)評(píng)機(jī)構(gòu)應(yīng)對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果進(jìn)行匯總分析，形成等級(jí)測(cè)評(píng)結(jié)論系統(tǒng)驗(yàn)收測(cè)評(píng)報(bào)告1個(gè)月項(xiàng)目完成將系統(tǒng)驗(yàn)收測(cè)評(píng)報(bào)告提交至“廣州市公安局公共信息網(wǎng)絡(luò)安全綜合管理系統(tǒng)”簽收回執(zhí)10天（1）▲服務(wù)要求本項(xiàng)目包含等保測(cè)評(píng)和等保整改的費(fèi)用。服務(wù)方需配合測(cè)評(píng)機(jī)構(gòu)完成8套系統(tǒng)差距測(cè)評(píng)，督促測(cè)評(píng)機(jī)構(gòu)出具《系統(tǒng)差距測(cè)評(píng)報(bào)告》。服務(wù)方需根據(jù)《系統(tǒng)差距測(cè)評(píng)報(bào)告》，需完成網(wǎng)絡(luò)、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)以及管理制度層面差距整改。配合需求方完成應(yīng)用系統(tǒng)層面差距清單的整改，督促測(cè)評(píng)機(jī)構(gòu)出具《系統(tǒng)驗(yàn)收測(cè)評(píng)報(bào)告》。最終獲取“廣州市公安局公共信息網(wǎng)絡(luò)安全綜合管理系統(tǒng)”提供的等保測(cè)評(píng)報(bào)告簽收回執(zhí)。（2）建設(shè)整改按照《信息系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)指南》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22239-2019的要求，依據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)，通過人員訪談、文檔審查、實(shí)地察看、配置檢查、工具檢測(cè)等方法從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心及備份與恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，判斷網(wǎng)站現(xiàn)有的安全保護(hù)水平與國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求項(xiàng)之間的符合情況。對(duì)信息系統(tǒng)進(jìn)行整體、全面、公正的評(píng)估，對(duì)不符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析，組織專家團(tuán)隊(duì)從以下幾方面進(jìn)行綜合評(píng)估，從而輸出《差距測(cè)評(píng)問題清單》：基礎(chǔ)物理設(shè)施安全：保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。網(wǎng)絡(luò)連接安全：保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。計(jì)算環(huán)境的安全：保障操作系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。應(yīng)用系統(tǒng)安全：保障應(yīng)用程序?qū)訉?duì)網(wǎng)絡(luò)信息的保密性、完整性和信源的真實(shí)的保護(hù)和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。保障數(shù)據(jù)安全及備份恢復(fù)：保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。安全管理體系保障：根據(jù)國(guó)家有關(guān)信息安全等級(jí)保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，建立一套切實(shí)可行的安全管理體系，加強(qiáng)安全管理機(jī)制。