21安全运维服务-中国医学科学院肿瘤医院.doc

21安全运维服务-中国医学科学院肿瘤医院.doc

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
21安全运维服务-中国医学科学院肿瘤医院.doc

中国医学科学院肿瘤医院 安全运维项目需求 2017-9 目录 一、 项目概述 2 二、 服务需求 2 2.1 安全运维服务 2 2.1.1 渗透测试 2 2.1.2 安全加固 3 2.1.3 安全巡检 4 2.1.4 应急响应 4 2.1.5 安全预警 4 2.1.6 安全培训 5 2.2 安全咨询与安全检测服务 5 2.3 备案与测评服务 6 2.3.1 备案服务 6 2.3.2 网站整改 6 2.3.2 三级系统测评服务 6 三、 服务要求 6 四、 资质要求 7 项目概述 随着信息技术在医院业务与管理上的深入应用,医院信息系统、网络的安全性直接关系到医院的正常工作,因此需要引入专业的信息安全服务团队,建立一套安全运维与应急体系,根据医疗行业、国家以及国外的先进的信息安全标准,为我院提供全面、合规、先进的信息安全服务,保障我院业务系统及门户网站安全平稳运行,支持新建系统安全体系的建立与测评,逐步实现动态、完整、高效的信息安全体系。 服务需求2.1.1 渗透测试 要求次数:一年一次 服务对象:有重要系统(HIS、PACS、LIS、OA等)2.1.2 安全加固 要求次数:一年四 服务对象:主机、、设备 安全加固工作投标方要操作,系统厂家、程师配合。2.1.3 安全巡检 要求次数:一年四次 服务对象:所有主机、、设备 加固工作投标方要操作,系统厂家、程师配合。2.1.4 应急响应 协助医院制订各系统应急预案,提供信息安全应急响应服务,当系统遭受网络攻击、系统攻击等相关安全事件时,及时提供解决方案,协助用户解决。当入侵或者破坏发生时,处理方法主要原则是首先恢复计算机、网络服务的正常工作,事后对入侵者进行追查,协助用户分析事件的起因,漏洞及后门检查,同时为用户提供事件的解决方案,尽快恢复服务,修补漏洞。 服务方式可以是远程支持或现场支持,当远程支持无法解决问题时,将派遣专业的紧急响应服务人员在2小时内到达客户所在地提供现场服务。 2.1.5 安全预警 对医院外网重要系统,如门户网站、科研系统、教育系统等进行实时监测,对于黑客的攻击行为及WEBSHELL实时预警,并有专家团队进行分析,以短信或邮件等方式告知用户,如发现网站无法访问、网页被篡改等严重事件时,需立即电话通知用户,必要时到场提供安全服务。 以邮件、电话等方式,将业界动态、国家安全政策及法律法规、漏洞信息、安全产品评测信息、病毒信息等及时传递给用户,对于严重漏洞或重大安全事件,需立即电话通知用户,提供相应的解决方案,必要时到场提供安全服务。 对于操作系统、应用软件的安全漏洞、补丁和安全建议等相关信息12小时内即时口头通知,24小时内邮件正式通知;对于与医院IT资产无关的安全漏洞或者威胁时,每周发布通用安全通告。 2.1.6 安全培训 安全培训包括日常安全运维培训、安全认证培训及安全管理培训等,内容涉及信息系统等级保护、操作系统安全技术、数据库安全技术、网络安全技术、应用系统安全技术、各类安全产品的策略配置标准等,可根据用户需求做相应调整。 通过培训,使用户能够对等级保护、网络技术、信息安全方面有系统的、全面的了解和认识,掌握基本知识、基本理论和相应的技能,掌握产品配置和应用的基础知识及对应的等级保护要求,并基本掌握产品的部署方法和产品策略的配置方法,解决在实际应用中所遇到的基本问题。 2.2 安全咨询服务 医院进行系统建设过程中,人负责设计各新建系统的安全建设方案直到满足安全建设方案与要求,完成系统验收 系统服务对象包括但不限于:医院APP信息平台系统。 建设方案应遵从《GB/T 22239-2008安全保护基本要求》《GB/T 20271-2006信息安全用技术要求》《信息系统保护安全设计要求》《GB/T 20270-2006网络基础安全技术要求》《GB/T 21052-2007系统物理安全技术要求》。与测评服务 服务投标人负责院方新增二级、级系统的备案工。作内容包括帮助院方准备备案材料、院方完成备案流程工作。 遵从《GB/T 22240-2008 系统安全等级保护定级指南》,院方情况对系统进行定级备案工作。 投标人 2.3.2 三级系统测评服务 投标人完成院方三级系统的测评工作,测评报告对象:HIS、平台设立专门的项目组,人数不少于6, 安排1名技术专家,作为本单位的技术顾问,随时沟通咨询,解决信息安全或等级保护相关问题; 协助医院进行公安年度自查工作以及各种监管机关的安全检查; 在国家重要活动、重大会议前,对医院门户网站及其他主要设施进行安全巡查,活动期间进行安全保障; 提供电话支持、现场支持,提供24小时电话支持服务,若电话无法解决的问题,与用户协商时间到场支持。 资质 项目经理应具备信息安全等级保护中级及以上测评师资质证书,项目组其他成员应具备信息安全等级

文档评论(0)

wendang_12 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档