您當前位置:景德鎮(zhèn)市第三人民醫(yī)院 >> 院務公開 >> 瀏覽文章
景德鎮(zhèn)市第三人民醫(yī)院信息安全等保測評及風險評估項目院內詢價公告
時間:2024年05月06日信息來源:本站原創(chuàng)
景德鎮(zhèn)市第三人民醫(yī)院對景德鎮(zhèn)市第三人民醫(yī)院信息安全等保測評及風險評估項目院內詢價,請具備相應資質的企業(yè)積極參與。
一、報名時間:2024年5月 6 日 至 2024年5 月13日
二、聯(lián)系人:朱先生0798-8417495(監(jiān)察室)
袁先生0798-8412622 (信息科)
三、報名方式:快件郵寄(建議使用順豐)
四、郵寄地址:江西省景德鎮(zhèn)市第三人民醫(yī)院 信息科袁先生收或 監(jiān)察室 朱先生收
五、郵寄時間:截止至2023年5月13日(以寄出時間為準)。
六、主要內容:景德鎮(zhèn)市第三人民醫(yī)院信息安全等保測評及風險評估項目院內詢價,具體技術參數(shù)和要求見附件。
七、詢價要求:請?zhí)峁┵Y質證明文件或相應的授權委托書。所提供報價材料必須含報價的印證材料(如同級別醫(yī)院中標通知書或合同等)或承諾書以防惡意報價,務必蓋章封好寄出。
附件:服務的范圍、技術參數(shù)和要求
1.服務范圍
2.技術要求
主要工作內容的具體要求如下:
2.1.信息系統(tǒng)等級保護測評
具體要求:工作階段、流程、內容及成果交付嚴格遵循《信息安全技術 信息系統(tǒng)安全等級保護測評要求》和《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》等文件,根據(jù)系統(tǒng)等級開展相應級別的單項測評和整體測評,測評報告內容及格式嚴格遵照公安部(信息系統(tǒng)安全等級測評報告模板最新版)。
項目交付成果(包括但不限于):《信息系統(tǒng)安全等級測評報告》等。
2.2.風險評估服務
具體要求:排查存在的安全隱患和薄弱環(huán)節(jié),以利有針對性地進行安全建設整改,從運行效率,管理體系,技術措施等方面,加強信息系統(tǒng)安全保障,提升防御能力,降低安全風險,保證信息系統(tǒng)業(yè)務正常,安全,有效運行。
項目交付成果(包括但不限于):《風險評估報告》。
2.3.滲透測試服務
具體要求:對指定的應用系統(tǒng)進行非破壞性質和針對性的攻擊測試,挖掘出漏洞掃描中無法檢測到的系統(tǒng)深層次漏洞和業(yè)務邏輯漏洞,對業(yè)務系統(tǒng)做更深層次、更全面的安全檢查。
項目交付成果:《滲透測試報告》報告中涵蓋詳細的修復建議。
2.4.協(xié)助安全整改工作
具體要求:依照《信息安全等級保護安全建設整改工作指導意見》(公信安[2009]1429號)嚴格遵循《信息安全等級保護安全建設整改工作指南》各項要求,在系統(tǒng)測評工作的基礎上,對現(xiàn)狀進行全面的分析,制訂信息安全等級保護安全建設整改方案,方案內容包含但不限于:當前風險分析、安全需求分析、總體安全策略、安全建設整改技術方案設計、信息系統(tǒng)安全產品選型及技術指標建議、項目預算,整改后可能存在的其他問題出具方案后,協(xié)助開展安全整改工作。
項目交付成果(包括但不限于):《信息安全等級保護安全整改方案》等。
2.5.協(xié)助安全制度建設
具體要求:依據(jù)《信息安全管理體系規(guī)范》《信息安全管理實施細則》,結合《信息系統(tǒng)安全等級保護基本要求》內容,同時參照《信息系統(tǒng)安全管理要求》等標準,對信息安全管理現(xiàn)狀進行需求分析,確定安全管理目標和安全策略,針對信息系統(tǒng)的各類管理活動,梳理已存在的系統(tǒng)運維管理制度、人員安全管理制度、系統(tǒng)建設管理制度、定期檢查制度等,規(guī)范安全管理人員或操作人員的操作規(guī)程等;對未覆蓋的安全管理的區(qū)域,制定其相關管理制度和文件。
項目交付成果(包括但不限于):《信息安全管理制度匯編》等。
2.6.網絡安全培訓
通過開展信息安全培訓工作,使單位相關信息管理人員強化安全意識,理解安全理論,掌握安全技術,獲得安全實踐經驗,使得信息安全人員能夠掌握安全方面必要的專業(yè)理論和技能,全面提升從事信息管理人員的管理和技術水平,能夠融會貫通并應用于業(yè)主的安全建設當中。主要流程如下所示:
(1)培訓需求收集;
(2)編制培訓大綱和計劃;
(3)編制培訓講義;
(4)現(xiàn)場培訓準備;
。5)安全培訓技術交流會議;
(6)會后交流。
項目交付成果(包括但不限于):《網絡安全培訓報告》等。
2.7.網絡空間資產管理
1、網絡空間資產管理系統(tǒng)是面對復雜的 IT 環(huán)境、資源不明等情況,通過配置管理庫 CMDB 的管理方式,將物理資源、虛擬資源、網絡、軟件資源及應用系統(tǒng)等海量無序的 IT 資源數(shù)據(jù)整合成為完整、有序的數(shù)據(jù)檔案。
2、對資產的對象以及對象間的關系進行統(tǒng)一管理,核實云計算平臺基礎設施和應用系統(tǒng)中實施的變更以及配置項之間的關系是否已經被正確記錄下來,確保配置管理數(shù)據(jù)庫能夠準確地反映現(xiàn)存配置項的實際版本狀態(tài),實現(xiàn)資源統(tǒng)一的生命周期管理,支持資源信息配置管理,包含基礎設施、服務器、中間件、數(shù)據(jù)庫、網絡設備、業(yè)務系統(tǒng)軟件等。
3、建立覆蓋信息化所有 IT 資源的配置管理模型,按照分級分類的模式,易于理解、使用和管理,支持用戶自定義進行快速擴展,契合實際需求的模型配置。模型配置能夠覆蓋現(xiàn)有機房設施、服務器、網絡、存儲及數(shù)據(jù)庫、中間件、應用軟件及業(yè)務系統(tǒng)等。
4、通過關系配置管理,實現(xiàn)資源與資源之間形成關系,提供直觀的關系列表和可視化視圖,幫助管理人員掌握資源的關聯(lián)關系,從而實現(xiàn)一個業(yè)務應用系統(tǒng)是由哪些資源構成的,到達可觀、可明、可管理,資源關系模型建立包含:部署、連接、包含、位于等。
5、通過業(yè)務應用視圖可直觀呈現(xiàn)業(yè)務應用的組織架構,提供用戶查看各個組成部分的運行狀態(tài),提高業(yè)務對信息化業(yè)務的整體結構的掌握,實現(xiàn)對故障的定位,提高運維管理水平,以業(yè)務應用為基準通過關聯(lián)資源、組件繪制整體業(yè)務拓撲圖。