开云体育下载官网 网络安全等级保护测评及网络安全服务项目参数

序号

服务类别

服务项目

服务内容

数量及规格

1

网络安全等级保护测评

信息系统等级测评

1、依据网络安全等级保护测评要求，完成医院三个三级信息系统（HIS、HERP、互联网医院）的网络安全等级保护测评工作。结合我院实际情况，对现有三级系统重新整合，将医院四个二级信息系统（LIS、PACS、院感系统、护理系统）定级到HIS系统内，完成系统更名、专家评审、三级系统定级、三级系统测评、三级系统重新备案登记工作。
2、针对医院三个二级系统（通达OA系统、门户网站、预约挂号系统）完成所有测评工作，并出具测评报告。
3、针对我院测评的三级系统和二级系统编制完成对应的《网络安全等级保护XX系统等级测评报告》全套文件。
4、完成定级备案系统更名工作，完成定级备案所需全部资料。
5、测评工作完成后，协助医院在属地遵义市公安局完成三级系统和二级系统备案登记。
6、备案登记和测评工作均需要在2022年9月30日前完成。
7、互联网医院三级等保测评根据本年度医院工作推进按需开展。
8、针对医院存在变更的系统产生的定级服务费用包含在此项目总服务费用中。

3个/三级系统

3个/二级系统

2

网络安全
服务

信息系统整改

1、在网络安全等级保护测评工作中，出具问题清单及相应的整改意见。
2、协助我院对问题清单开展相应的整改工作，并对整改工作进行记录，形成相应的整改报告，最终确保本年度测评结论符合等保2.0管理要求。

全年

网络安全巡检及防护

1、对我院所有信息系统，每3个月进行一次巡检并给出完整的巡检报告。
2、针对巡检结果进行全面的安全评估，针对漏洞、薄弱点、社会环境等其他潜在威胁给出相应的整改方案，并协助我院完成整改工作。
3、每季度向院方提供一份当前的网络环境报告，主要内容为新型病毒、各类系统漏洞等，并配合我方进行相应的整改。
4、针对网络安全巡检及防护工作，年终召开总结会，对本年的工作进行总，内容包含但不限于：（1）本年度所发现的问题。（2）所有问题的整改方案，未整改的说明理由，以及未来可能发生的网络安全事件。（3）陈述本年度的整体网络环境变化，并以此作为背景，分析我院的网络安全状态以及后续的重点改进方向。

全年每季度一次

网络安全培训

1、网络安全意识培训：每年一次现场培训，主要内容为当前环境下的网络安全情况分析、案列分析及重点防护方向，提高我院职工对网络安全的意识。
（1）培训时长2小时以上，结合PPT、视频、新闻截图等资料进行讲解。
（2）培训过程中针对我院的网络环境做出对比，指出我院网络环境的不足之处以及整改的大致过程。
2、网络安全专业技术培训：全年不低于4次线上培训，针对各种漏洞原理解释以及对应的攻击手段进行讲解。
（1）培训时长在两个小时以上，配合软件工具进行模拟攻击。
（2）对攻击步骤及原理进行详解，指导医院专业技术人员参加各类安全竞技比赛。
（3）介绍网络安全相关案例以及应对此类攻防处置方法。

按期开展

应急服务

应急演练

1、按照院方应急预案，组织开展安全应急演练，以提高各部门开展应急工作的水平和效率。应急演练应至少设置两个以上故障事件场景。演练前需由安全服务提供方提供《信息系统应急演练方案》，以供院方讨论后协调实施。安全服务提供方根据当前安全趋势和近期安全事件，提供多种类型的故障事件场景供院方选择。应急演练成果包含《应急演练方案》和《应急演练报告》等相关过程记录资料。
2、根据演练情况，协助院方进一步修订和完善应急预案。

4次/年

应急保障

1、发生重大网络安全事件后，对我方提供有效的指导，帮助我院对受损业务进行恢复将损失最小化，并防止此类事件再次发生。
2、提供7×24小时应急响应支持。
3、接到应急响应需求后，30分钟以内提供远程协助，响应方式包括电话、邮件、微信、QQ等。情况紧急的，4小时内，提供专业工程师到达现场指导处置。
4、响应结束后提交详细《应急响应报告》，并保持一个月的后期跟踪。
5、针对医院在用互联网应用系统，每日开展网页防篡改、敏感信息、非法链接等安全扫描监测，并每日完成反馈。

全年

3

资质条件

公司资质

1、必须具备公安部第三研究所颁发的网络安全安全等级测评与检测评估机构服务认证证书。
2、具备中国信息安全测评中心颁发的信息安全服务二级及以上资质或中国网络安全审查技术与认证中心颁发的信息安全服务三级认证及以上资质。
3、具备中国合格评定国家认可委员会颁发的检验机构认可证书CNAS。
4、具备质量管理体系认证证书（ISO9001），信息安全管理认证证书（ISO27001），信息技术服务管理体系认证证书（ISO20000）。
5、国家信息安全等级保护工作协调小组办公室授予的全国信息安全等级保护测评机构先进单位、省级以上重大活动网络安全保卫技术支撑单位优先。
6、具备省级及以上应急响应支撑单位优先。

人员资质

1、此项目需要配备三人或三人以上安全工程师，至少配备一名项目经理。
2、项目经理必须具备高级测评师资质、通过CISP考核。
3、项目组成员至少有2名具备CISP、PM、CISAW证书或者网络安全等级保护测评师证书。
★4、安全服务驻场人员至少有2名人员具备CISP证书。
5、以上证书有效期需在此项目合同期内有效。

其他要求

1、中标单位安全服务工作中，使用的安全服务工具和软硬件支撑平台均具有正版授权产品，严禁使用盗版或破解版软硬件工具提供安全服务。
2、测评机构为贵州省公安厅推荐机构，有本地化服务能力，在贵州省设立驻地服务机构，能提供两小时内响应，四小时内到达现场的服务（需具有效证明文件，包括营业执照、办公租赁合同或产权证明文件资料等）。
3、中标单位测评团队需严格遵照医院网络与信息安全管理及其他相关制度要求，签订保密协议，并严格落实信息安全保密工作，保证我院所有信息数据不被泄露，不被任何第三方利用。
4、服务过程中涉及的漏洞扫描、渗透测试需经过医院方授权才可开展工作。