为贯彻落实国家网络安全等级保护制度,进一步加强成都市第四人民医院信息系统的整体安全防护能力,现需对我院 10个信息系统开展网络安全等级保护测评工作,出具公安部门认可的网络安全等级保护测评报告并提供相应安全服务(渗透测试、漏洞扫描、应急演练等)。
一、报名时间
2024年12月23日——2025年1月10日
逾期不再接收资料。
二、报名地点及联系方式
1.报名邮箱:2969782861@qq.com
2.联系人:刘老师
3.联系电话:028-69515761
三、报名时提交材料
调研基本信息表见附件。
四、方案要求
(一)服务范围:
|
序号 |
业务系统 |
安全保护等级 |
|
1 |
His系统 |
3 |
|
2 |
Lis系统 |
3 |
|
3 |
Pacs系统 |
3 |
|
4 |
集成平台 |
3 |
|
5 |
成都市精神病与精神卫生质控中心网站系统 |
3 |
|
6 |
门户网站系统 |
3 |
|
7 |
重精上报系统 |
3 |
|
8 |
电子病历系统 |
3 |
|
9 |
HRP系统 |
3 |
|
10 |
移动端医疗平台 |
3 |
(一)服务范围
(二)服务要求
1、等保测评工作具体内容包括如下:
(1)测评范围
安全技术测评:对采购人被测系统涉及的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术层面进行现场测评和差距分析,记录相关的测评结果。
安全管理测评:对采购人安全管理机构、安全管理制度、安全人员管理、安全建设管理、安全运维管理等管理层面进行现场测评和差距分析,记录相关的测评结果。
(2)形成差距分析报告
依据测评结果和测评标准,对被测评系统进行安全现状分析,形成相应的差距分析报告,为下阶段开展整改工作提供依据。
(3)编制整改建议书
依据测评标准,结合差距分析报告,编制针对被测评系统的整改建议书。
(4)形成等级测评结论及测评报告提交
完成上述等保测评工作和整改后,由中标人出具符合标准要求的《等级保护测评报告》。
2、安全服务工作具体内容包括如下:
(1)漏洞检测服务(2次)
提供全网服务器主机漏洞扫描,利用漏洞扫描工具主动发现系统、主机存在的脆弱性,能对服务范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络设备、服务器主机、数据和用户账号/口令等扫描对象中存在的安全风险、漏洞等。漏扫服务发现的漏洞需从业务视角进行梳理分析,提供专业有效的解决方案,并配合进行漏洞整改方案的实施。
每次漏扫服务实施完成后5个工作日内,中标人需向采购人提供:《XX系统漏洞扫描报告》。
(2)渗透测试服务(2次)
由安全工程师模拟黑客的行为模式,采用黑客的漏洞发现和利用技术,以及尽可能多的攻击方法,对目标应用系统的安全性进行深入分析。渗透测试对象包括互联网应用服务系统(WEB系统)以及相关的其他系统。对WEB系统的渗透测试,需要在互联网网络的任一位置进行渗透测试;对内部系统的渗透测试,必须在内部办公网络进行渗透测试并提供渗透测试报告。
每次渗透测试服务实施完成后5工作日内,中标人需向采购人提供《XX系统渗透测试报告》。
(3)应急演练(1次)
依据法律法规、国际国内标准、行业监管要求等,在总体预案框架下,从业务层面、技术层面,并充分考虑各类灾难场景,帮助客户制定各类应急预案,提升各类突然事件的应急响应速度,保证业务及信息系统正常运行。网络安全应急演练保障活动共分为启动阶段、准备阶段、演练阶段、保障阶段、总结阶段五个阶段,具体工作安排计划如下:
启动阶段:确定演练目标、人员团队职责划分、演练总体流程,后续工作提供指导。
准备阶段:需对演练目标进行安全分析和梳理,开展全面安全评估、关注现有安全能力、完成安全策略的全面优化、人员的全面赋能等。
演练阶段:重点检测演练系统的监测手段和防御手段的有效性及安全人员操作规程熟悉度。
保障阶段:为保障业务系统的平稳运行,避免因安全问题而导致出现重大事故。
总结阶段:对行动中发现的相关问题进行快速整改并进行总结,将经验固化至相关的规章制度中,形成常态化、制度化。
每次应急演练服务实施完成后5个工作日内,中标人需向采购人提供《应急演练报告》。
成都市第四人民医院
2024年12月23日
附件:成都市第四人民医院信息安全等级保护测评服务市场调研基本信息表