6/6信息系統(tǒng)等級保護(hù)測評項目用戶需求書項目概況根據(jù)《網(wǎng)絡(luò)安全法》和《中華人民共和國計算機(jī)信息系統(tǒng)安全等級保護(hù)條例》等法律法規(guī)要求，醫(yī)院的核心信息系統(tǒng)為關(guān)鍵信息基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全等級保護(hù)等級不低于三級的信息系統(tǒng)，需要每年進(jìn)行等保測評，從物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理制度等各方面進(jìn)行的安全檢測評估?，F(xiàn)對我院8個三級等保信息系統(tǒng)進(jìn)行年度測評。測評系統(tǒng)服務(wù)清單系統(tǒng)名稱證書編號備案等級電子病歷信息平臺44001845195-00004三級PACS系統(tǒng)44001845195-00005三級LIS系統(tǒng)44001845195-00006三級HIS系統(tǒng)44001845195-00003三級廣東省第二人民醫(yī)院信息集成平臺44000045195-22001三級互聯(lián)網(wǎng)醫(yī)院系統(tǒng)44000045195-21001三級廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺44000045195-21002三級移動護(hù)理44000045195-22002三級對以上8個信息系統(tǒng)進(jìn)行測評：三級復(fù)測。服務(wù)內(nèi)容：1、協(xié)助等保測評機(jī)構(gòu)完成差距測評。2、根據(jù)差距測評問題清單，需完成網(wǎng)絡(luò)、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、數(shù)據(jù)庫以及管理制度層面差距整改，且協(xié)助應(yīng)用廠家完成應(yīng)用系統(tǒng)整改。3、收集整改記錄，提供給專業(yè)測評機(jī)構(gòu)，完成等保測評驗收且出具等保測評報告。4、提交等保測評報告至廣州市公安局公共信息網(wǎng)絡(luò)安全綜合管理系統(tǒng)，并收集等保測評報告提交回執(zhí)單。項目需求項目范圍按照國家和行業(yè)的要求，廣東省第二人民醫(yī)院信息系統(tǒng)的安全配置是符合國家等級保護(hù)標(biāo)準(zhǔn)的要求。在本期服務(wù)中，服務(wù)商要提供本年度等保的全生命周期的服務(wù)，提供從差距測評、整改指導(dǎo)、等保驗收、等保測評報告提交回執(zhí)等所有等保階段的服務(wù)。完成醫(yī)院以下信息系統(tǒng)等保2.0測評：電子病歷信息平臺、PACS系統(tǒng)、LIS系統(tǒng)、HIS系統(tǒng)、廣東省第二人民醫(yī)院信息集成平臺、互聯(lián)網(wǎng)醫(yī)院系統(tǒng)、廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺、移動護(hù)理三級等保2.0測評。系統(tǒng)描述電子病歷信息平臺：電子病歷信息平臺包含了醫(yī)生工作站、護(hù)士工作站、會診工作站、質(zhì)控管理、病案管理、病歷維護(hù)、病歷瀏覽、病案借閱、科室質(zhì)控等功能模塊。PACS系統(tǒng)：PACS系統(tǒng)為廣東省第二人民醫(yī)院所屬各部門提供對病人的各種醫(yī)學(xué)影像（包括核磁共振、CT掃描、超聲波等設(shè)備產(chǎn)生的圖像）的收集，存儲、提取等能力，將醫(yī)學(xué)圖像以數(shù)字化的方式進(jìn)行存儲，當(dāng)需要時，在一定的授權(quán)下能快速的調(diào)取使用，并增加了一些輔助診斷功能的影像歸檔及通信系統(tǒng)。PACS信息系統(tǒng)主要由影像處理、報告管理等子模塊組成。LIS系統(tǒng)：LIS信息系統(tǒng)能將實驗儀器與計算機(jī)組成網(wǎng)絡(luò)，使病人樣品登錄、實驗數(shù)據(jù)存取、報告審核、打印分發(fā)，實驗數(shù)據(jù)統(tǒng)計分析等繁雜的操作過程實現(xiàn)了智能化、自動化和規(guī)范化管理。有助于提高實驗室的整體管理水平，減少漏洞，提高檢驗質(zhì)量。主要的功能模塊有：數(shù)據(jù)處理、數(shù)據(jù)查詢、數(shù)據(jù)報表、質(zhì)量控制、試劑管理、基本設(shè)置、系統(tǒng)管理等。HIS系統(tǒng)：HIS系統(tǒng)為廣東省第二人民醫(yī)院所屬各部門提供對病人診療信息和管理信息的錄入、存儲、處理、提取及數(shù)據(jù)交換的能力，并滿足所有授權(quán)用戶的功能需求的應(yīng)用系統(tǒng)。廣東省第二人民醫(yī)院信息集成平臺：廣東省第二人民醫(yī)院信息集成平臺通過系統(tǒng)的建設(shè)，能夠達(dá)成更加科學(xué)、高效、安全的醫(yī)院信息集成模式，優(yōu)化各個業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)流及業(yè)務(wù)流，新的業(yè)務(wù)系統(tǒng)與醫(yī)院現(xiàn)有系統(tǒng)集成以及老的業(yè)務(wù)系統(tǒng)改造的過程會更加順暢快捷，對各個系統(tǒng)的供應(yīng)商的依賴程度會降低?；ヂ?lián)網(wǎng)醫(yī)院系統(tǒng)：互聯(lián)網(wǎng)醫(yī)院系統(tǒng)主要提供廣東省第二人民醫(yī)院健康管理平臺微信公眾號，“叮唄醫(yī)生+”小程序等多途徑免費(fèi)開展醫(yī)生在線問診AI醫(yī)生智能問診、居民個人健康管理等業(yè)務(wù)，為線上患者提供全生命周期智慧醫(yī)療健康信息服務(wù)、移動支付。廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺：廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺系統(tǒng)主要通過對互聯(lián)網(wǎng)醫(yī)院的電子病歷、處方、診療過程視頻的監(jiān)管，判斷醫(yī)生是否符合執(zhí)業(yè)規(guī)定、互聯(lián)網(wǎng)診療是否在規(guī)定范圍內(nèi)、診療行為是否符合診療規(guī)范、藥品作用是否符合規(guī)范。廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺系統(tǒng)部署于廣東省政務(wù)云平臺，所有應(yīng)用均部署于政務(wù)云平臺的政務(wù)外網(wǎng)區(qū)。移動護(hù)理：移動護(hù)理系統(tǒng)是醫(yī)院護(hù)士提供記錄與管理住院患者的有效工具。護(hù)士可以在系統(tǒng)內(nèi)管理患者的基本信息、體征信息、醫(yī)囑信息、各類文書信息等。系統(tǒng)保障了日常護(hù)理工作的有序進(jìn)行和留痕，減少了護(hù)士的日常工作量，推進(jìn)了醫(yī)院無紙化的進(jìn)程現(xiàn)網(wǎng)的網(wǎng)絡(luò)安全設(shè)備清單現(xiàn)網(wǎng)的網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備清單序號設(shè)備名稱品牌用途備注1網(wǎng)絡(luò)核心交換機(jī)華為核心數(shù)據(jù)交換/2服務(wù)器核心交換機(jī)華為核心數(shù)據(jù)交換/3數(shù)據(jù)中心防火墻深信服WAF、IPS防護(hù)/4外網(wǎng)IPS防火墻深信服WAF、IPS防護(hù)/5上網(wǎng)行為管理深信服上網(wǎng)行為審計/6外網(wǎng)WIFI防火墻深信服WAF、IPS防護(hù)/7互聯(lián)網(wǎng)應(yīng)用隔離防火墻深信服WAF、IPS防護(hù)/8終端殺毒軟件卡巴斯基病毒查殺防護(hù)/9日志審計網(wǎng)安可信日志審計/10態(tài)勢感知平臺深信服日志分析平臺/11態(tài)勢感知探針深信服流量收集風(fēng)險感知/12WIFI上網(wǎng)認(rèn)證任子行WiFi互聯(lián)網(wǎng)行為審計/13互聯(lián)網(wǎng)應(yīng)用出口火墻深信服WAF、IPS防護(hù)/14入網(wǎng)規(guī)范管理系統(tǒng)盈高訪問控制/15堡壘機(jī)齊治安全運(yùn)維/16數(shù)據(jù)庫審計安恒安全審計/測評信息系統(tǒng)服務(wù)器設(shè)備數(shù)量序號系統(tǒng)名稱服務(wù)器數(shù)量備注1電子病歷信息平臺4臺/2PACS系統(tǒng)6臺/3LIS系統(tǒng)2臺/4HIS系統(tǒng)4臺/5廣東省第二人民醫(yī)院信息集成平臺4臺/6互聯(lián)網(wǎng)醫(yī)院系統(tǒng)5臺/7廣東省互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺5臺/8移動護(hù)理5臺/服務(wù)要求本項目需要按照等保2.0的流程要求，結(jié)合當(dāng)前、信息系統(tǒng)安全建設(shè)的實際情況進(jìn)行總體設(shè)計，并把整個項目分成以下4個階段，總項目實施周期為3個月。項目階段表階段實施內(nèi)容產(chǎn)出物完成周期等保差距測評現(xiàn)場評測階段通過與評測委托單位進(jìn)行溝通和協(xié)調(diào)，為現(xiàn)場測評的順利開展打下良好基礎(chǔ)，依據(jù)測評方案實施現(xiàn)場測評工作，將測評方案和測評方法等內(nèi)容具體落實到現(xiàn)場測評活動中?，F(xiàn)場測評工作應(yīng)取得報告編制活動所需的、足夠的證據(jù)和資料《系統(tǒng)差距測評報告》20天建設(shè)整改參照《系統(tǒng)差距測評報告》服務(wù)方需完成網(wǎng)絡(luò)設(shè)備基線配置、網(wǎng)絡(luò)安全設(shè)備基線配置、操作系統(tǒng)基線配置、操作系統(tǒng)補(bǔ)丁修復(fù)、數(shù)據(jù)庫配置、管理制度文檔，且協(xié)助應(yīng)用廠家完成應(yīng)用系統(tǒng)整改整改記錄1個月等保驗收滲透測試復(fù)測，測評機(jī)構(gòu)應(yīng)對現(xiàn)場測評獲得的測評結(jié)果進(jìn)行匯總分析，形成等級測評結(jié)論系統(tǒng)驗收測評報告1個月項目完成將系統(tǒng)驗收測評報告提交至“廣州市公安局公共信息網(wǎng)絡(luò)安全綜合管理系統(tǒng)”簽收回執(zhí)10天（1）▲服務(wù)要求本項目包含等保測評和等保整改的費(fèi)用。服務(wù)方需配合測評機(jī)構(gòu)完成8套系統(tǒng)差距測評，督促測評機(jī)構(gòu)出具《系統(tǒng)差距測評報告》。服務(wù)方需根據(jù)《系統(tǒng)差距測評報告》，需完成網(wǎng)絡(luò)、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、數(shù)據(jù)庫以及管理制度層面差距整改。配合需求方完成應(yīng)用系統(tǒng)層面差距清單的整改，督促測評機(jī)構(gòu)出具《系統(tǒng)驗收測評報告》。最終獲取“廣州市公安局公共信息網(wǎng)絡(luò)安全綜合管理系統(tǒng)”提供的等保測評報告簽收回執(zhí)。（2）建設(shè)整改按照《信息系統(tǒng)信息安全等級保護(hù)定級指南》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》GB/T22239-2019的要求，依據(jù)信息系統(tǒng)的安全保護(hù)等級，通過人員訪談、文檔審查、實地察看、配置檢查、工具檢測等方法從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心及備份與恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，判斷網(wǎng)站現(xiàn)有的安全保護(hù)水平與國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求項之間的符合情況。對信息系統(tǒng)進(jìn)行整體、全面、公正的評估，對不符合項進(jìn)行風(fēng)險分析，組織專家團(tuán)隊從以下幾方面進(jìn)行綜合評估，從而輸出《差距測評問題清單》：基礎(chǔ)物理設(shè)施安全：保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。網(wǎng)絡(luò)連接安全：保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。計算環(huán)境的安全：保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。應(yīng)用系統(tǒng)安全：保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實的保護(hù)和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。保障數(shù)據(jù)安全及備份恢復(fù)：保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。安全管理體系保障：根據(jù)國家有關(guān)信息安全等級保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，建立一套切實可行的安全管理體系，加強(qiáng)安全管理機(jī)制。