信息系統(tǒng)等級保護測評項目用戶需求書

6/6信息系統(tǒng)等級保護測評項目用戶需求書項目概況根據(jù)《網絡安全法》和《中華人民共和國計算機信息系統(tǒng)安全等級保護條例》等法律法規(guī)要求，醫(yī)院的核心信息系統(tǒng)為關鍵信息基礎設施，網絡安全等級保護等級不低于三級的信息系統(tǒng)，需要每年進行等保測評，從物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理制度等各方面進行的安全檢測評估。現(xiàn)對我院8個三級等保信息系統(tǒng)進行年度測評。測評系統(tǒng)服務清單系統(tǒng)名稱證書編號備案等級電子病歷信息平臺44001845195-00004三級PACS系統(tǒng)44001845195-00005三級LIS系統(tǒng)44001845195-00006三級HIS系統(tǒng)44001845195-00003三級廣東省第二人民醫(yī)院信息集成平臺44000045195-22001三級互聯(lián)網醫(yī)院系統(tǒng)44000045195-21001三級廣東省互聯(lián)網醫(yī)療服務監(jiān)管平臺44000045195-21002三級移動護理44000045195-22002三級對以上8個信息系統(tǒng)進行測評：三級復測。服務內容：1、協(xié)助等保測評機構完成差距測評。2、根據(jù)差距測評問題清單，需完成網絡、網絡安全設備、服務器、數(shù)據(jù)庫以及管理制度層面差距整改，且協(xié)助應用廠家完成應用系統(tǒng)整改。3、收集整改記錄，提供給專業(yè)測評機構，完成等保測評驗收且出具等保測評報告。4、提交等保測評報告至廣州市公安局公共信息網絡安全綜合管理系統(tǒng)，并收集等保測評報告提交回執(zhí)單。項目需求項目范圍按照國家和行業(yè)的要求，廣東省第二人民醫(yī)院信息系統(tǒng)的安全配置是符合國家等級保護標準的要求。在本期服務中，服務商要提供本年度等保的全生命周期的服務，提供從差距測評、整改指導、等保驗收、等保測評報告提交回執(zhí)等所有等保階段的服務。完成醫(yī)院以下信息系統(tǒng)等保2.0測評：電子病歷信息平臺、PACS系統(tǒng)、LIS系統(tǒng)、HIS系統(tǒng)、廣東省第二人民醫(yī)院信息集成平臺、互聯(lián)網醫(yī)院系統(tǒng)、廣東省互聯(lián)網醫(yī)療服務監(jiān)管平臺、移動護理三級等保2.0測評。系統(tǒng)描述電子病歷信息平臺：電子病歷信息平臺包含了醫(yī)生工作站、護士工作站、會診工作站、質控管理、病案管理、病歷維護、病歷瀏覽、病案借閱、科室質控等功能模塊。PACS系統(tǒng)：PACS系統(tǒng)為廣東省第二人民醫(yī)院所屬各部門提供對病人的各種醫(yī)學影像（包括核磁共振、CT掃描、超聲波等設備產生的圖像）的收集，存儲、提取等能力，將醫(yī)學圖像以數(shù)字化的方式進行存儲，當需要時，在一定的授權下能快速的調取使用，并增加了一些輔助診斷功能的影像歸檔及通信系統(tǒng)。PACS信息系統(tǒng)主要由影像處理、報告管理等子模塊組成。LIS系統(tǒng)：LIS信息系統(tǒng)能將實驗儀器與計算機組成網絡，使病人樣品登錄、實驗數(shù)據(jù)存取、報告審核、打印分發(fā)，實驗數(shù)據(jù)統(tǒng)計分析等繁雜的操作過程實現(xiàn)了智能化、自動化和規(guī)范化管理。有助于提高實驗室的整體管理水平，減少漏洞，提高檢驗質量。主要的功能模塊有：數(shù)據(jù)處理、數(shù)據(jù)查詢、數(shù)據(jù)報表、質量控制、試劑管理、基本設置、系統(tǒng)管理等。HIS系統(tǒng)：HIS系統(tǒng)為廣東省第二人民醫(yī)院所屬各部門提供對病人診療信息和管理信息的錄入、存儲、處理、提取及數(shù)據(jù)交換的能力，并滿足所有授權用戶的功能需求的應用系統(tǒng)。廣東省第二人民醫(yī)院信息集成平臺：廣東省第二人民醫(yī)院信息集成平臺通過系統(tǒng)的建設，能夠達成更加科學、高效、安全的醫(yī)院信息集成模式，優(yōu)化各個業(yè)務系統(tǒng)間的數(shù)據(jù)流及業(yè)務流，新的業(yè)務系統(tǒng)與醫(yī)院現(xiàn)有系統(tǒng)集成以及老的業(yè)務系統(tǒng)改造的過程會更加順暢快捷，對各個系統(tǒng)的供應商的依賴程度會降低。互聯(lián)網醫(yī)院系統(tǒng)：互聯(lián)網醫(yī)院系統(tǒng)主要提供廣東省第二人民醫(yī)院健康管理平臺微信公眾號，“叮唄醫(yī)生+”小程序等多途徑免費開展醫(yī)生在線問診AI醫(yī)生智能問診、居民個人健康管理等業(yè)務，為線上患者提供全生命周期智慧醫(yī)療健康信息服務、移動支付。廣東省互聯(lián)網醫(yī)療服務監(jiān)管平臺：廣東省互聯(lián)網醫(yī)療服務監(jiān)管平臺系統(tǒng)主要通過對互聯(lián)網醫(yī)院的電子病歷、處方、診療過程視頻的監(jiān)管，判斷醫(yī)生是否符合執(zhí)業(yè)規(guī)定、互聯(lián)網診療是否在規(guī)定范圍內、診療行為是否符合診療規(guī)范、藥品作用是否符合規(guī)范。廣東省互聯(lián)網醫(yī)療服務監(jiān)管平臺系統(tǒng)部署于廣東省政務云平臺，所有應用均部署于政務云平臺的政務外網區(qū)。移動護理：移動護理系統(tǒng)是醫(yī)院護士提供記錄與管理住院患者的有效工具。護士可以在系統(tǒng)內管理患者的基本信息、體征信息、醫(yī)囑信息、各類文書信息等。系統(tǒng)保障了日常護理工作的有序進行和留痕，減少了護士的日常工作量，推進了醫(yī)院無紙化的進程現(xiàn)網的網絡安全設備清單現(xiàn)網的網絡及網絡安全設備清單序號設備名稱品牌用途備注1網絡核心交換機華為核心數(shù)據(jù)交換/2服務器核心交換機華為核心數(shù)據(jù)交換/3數(shù)據(jù)中心防火墻深信服WAF、IPS防護/4外網IPS防火墻深信服WAF、IPS防護/5上網行為管理深信服上網行為審計/6外網WIFI防火墻深信服WAF、IPS防護/7互聯(lián)網應用隔離防火墻深信服WAF、IPS防護/8終端殺毒軟件卡巴斯基病毒查殺防護/9日志審計網安可信日志審計/10態(tài)勢感知平臺深信服日志分析平臺/11態(tài)勢感知探針深信服流量收集風險感知/12WIFI上網認證任子行WiFi互聯(lián)網行為審計/13互聯(lián)網應用出口火墻深信服WAF、IPS防護/14入網規(guī)范管理系統(tǒng)盈高訪問控制/15堡壘機齊治安全運維/16數(shù)據(jù)庫審計安恒安全審計/測評信息系統(tǒng)服務器設備數(shù)量序號系統(tǒng)名稱服務器數(shù)量備注1電子病歷信息平臺4臺/2PACS系統(tǒng)6臺/3LIS系統(tǒng)2臺/4HIS系統(tǒng)4臺/5廣東省第二人民醫(yī)院信息集成平臺4臺/6互聯(lián)網醫(yī)院系統(tǒng)5臺/7廣東省互聯(lián)網醫(yī)療服務監(jiān)管平臺5臺/8移動護理5臺/服務要求本項目需要按照等保2.0的流程要求，結合當前、信息系統(tǒng)安全建設的實際情況進行總體設計，并把整個項目分成以下4個階段，總項目實施周期為3個月。項目階段表階段實施內容產出物完成周期等保差距測評現(xiàn)場評測階段通過與評測委托單位進行溝通和協(xié)調，為現(xiàn)場測評的順利開展打下良好基礎，依據(jù)測評方案實施現(xiàn)場測評工作，將測評方案和測評方法等內容具體落實到現(xiàn)場測評活動中。現(xiàn)場測評工作應取得報告編制活動所需的、足夠的證據(jù)和資料《系統(tǒng)差距測評報告》20天建設整改參照《系統(tǒng)差距測評報告》服務方需完成網絡設備基線配置、網絡安全設備基線配置、操作系統(tǒng)基線配置、操作系統(tǒng)補丁修復、數(shù)據(jù)庫配置、管理制度文檔，且協(xié)助應用廠家完成應用系統(tǒng)整改整改記錄1個月等保驗收滲透測試復測，測評機構應對現(xiàn)場測評獲得的測評結果進行匯總分析，形成等級測評結論系統(tǒng)驗收測評報告1個月項目完成將系統(tǒng)驗收測評報告提交至“廣州市公安局公共信息網絡安全綜合管理系統(tǒng)”簽收回執(zhí)10天（1）▲服務要求本項目包含等保測評和等保整改的費用。服務方需配合測評機構完成8套系統(tǒng)差距測評，督促測評機構出具《系統(tǒng)差距測評報告》。服務方需根據(jù)《系統(tǒng)差距測評報告》，需完成網絡、網絡安全設備、服務器、數(shù)據(jù)庫以及管理制度層面差距整改。配合需求方完成應用系統(tǒng)層面差距清單的整改，督促測評機構出具《系統(tǒng)驗收測評報告》。最終獲取“廣州市公安局公共信息網絡安全綜合管理系統(tǒng)”提供的等保測評報告簽收回執(zhí)。（2）建設整改按照《信息系統(tǒng)信息安全等級保護定級指南》、《信息安全技術網絡安全等級保護基本要求》GB/T22239-2019的要求，依據(jù)信息系統(tǒng)的安全保護等級，通過人員訪談、文檔審查、實地察看、配置檢查、工具檢測等方法從安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心及備份與恢復、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等方面，判斷網站現(xiàn)有的安全保護水平與國家信息安全等級保護管理規(guī)范和技術標準要求項之間的符合情況。對信息系統(tǒng)進行整體、全面、公正的評估，對不符合項進行風險分析，組織專家團隊從以下幾方面進行綜合評估，從而輸出《差距測評問題清單》：基礎物理設施安全：保障網絡周邊環(huán)境和物理特性引起的網絡設備和線路的持續(xù)使用。網絡連接安全：保障網絡傳輸中的安全，尤其保障網絡邊界和外部接入中的安全。計算環(huán)境的安全：保障操作系統(tǒng)、數(shù)據(jù)庫、服務器、用戶終端及相關商用產品的安全。應用系統(tǒng)安全：保障應用程序層對網絡信息的保密性、完整性和信源的真實的保護和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網絡信息系統(tǒng)的安全風險。保障數(shù)據(jù)安全及備份恢復：保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等。安全管理體系保障：根據(jù)國家有關信息安全等級保護方面的標準和規(guī)范要求，建立一套切實可行的安全管理體系，加強安全管理機制。