景德鎮(zhèn)市第三人民醫(yī)院對(duì)景德鎮(zhèn)市第三人民醫(yī)院信息安全等保測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估項(xiàng)目院內(nèi)詢價(jià)，請(qǐng)具備相應(yīng)資質(zhì)的企業(yè)積極參與。

一、報(bào)名時(shí)間：2024年5月 15日 至 2024年5 月22日

二、聯(lián)系人：朱先生0798-8417495（監(jiān)察室）
　　　　　　袁先生0798-8412622 （信息科）
三、報(bào)名方式：快件郵寄（建議使用順豐）
四、郵寄地址：江西省景德鎮(zhèn)市第三人民醫(yī)院  信息科袁先生收或  監(jiān)察室 朱先生收
五、郵寄時(shí)間：截止至2023年5月22日（以寄出時(shí)間為準(zhǔn)）。
六、主要內(nèi)容：景德鎮(zhèn)市第三人民醫(yī)院信息安全等保測(cè)評(píng)及風(fēng)險(xiǎn)評(píng)估項(xiàng)目院內(nèi)詢價(jià)，具體技術(shù)參數(shù)和要求見附件。
七、詢價(jià)要求：請(qǐng)?zhí)峁┵Y質(zhì)證明文件或相應(yīng)的授權(quán)委托書。所提供報(bào)價(jià)材料必須含報(bào)價(jià)的印證材料（如同級(jí)別醫(yī)院中標(biāo)通知書或合同等）或承諾書以防惡意報(bào)價(jià)，務(wù)必蓋章封好寄出。

　　附件：服務(wù)的范圍、技術(shù)參數(shù)和要求

1.服務(wù)范圍

2.技術(shù)要求

主要工作內(nèi)容的具體要求如下：

2.1.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)
具體要求：工作階段、流程、內(nèi)容及成果交付嚴(yán)格遵循《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》等文件，根據(jù)系統(tǒng)等級(jí)開展相應(yīng)級(jí)別的單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)，測(cè)評(píng)報(bào)告內(nèi)容及格式嚴(yán)格遵照公安部（信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板最新版）。
項(xiàng)目交付成果（包括但不限于）：《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告》等。

2.2.風(fēng)險(xiǎn)評(píng)估服務(wù)
具體要求：排查存在的安全隱患和薄弱環(huán)節(jié)，以利有針對(duì)性地進(jìn)行安全建設(shè)整改，從運(yùn)行效率，管理體系，技術(shù)措施等方面，加強(qiáng)信息系統(tǒng)安全保障，提升防御能力，降低安全風(fēng)險(xiǎn)，保證信息系統(tǒng)業(yè)務(wù)正常，安全，有效運(yùn)行。
項(xiàng)目交付成果（包括但不限于）：《風(fēng)險(xiǎn)評(píng)估報(bào)告》。

2.3.滲透測(cè)試服務(wù)
具體要求：對(duì)指定的應(yīng)用系統(tǒng)進(jìn)行非破壞性質(zhì)和針對(duì)性的攻擊測(cè)試，挖掘出漏洞掃描中無法檢測(cè)到的系統(tǒng)深層次漏洞和業(yè)務(wù)邏輯漏洞，對(duì)業(yè)務(wù)系統(tǒng)做更深層次、更全面的安全檢查。
項(xiàng)目交付成果：《滲透測(cè)試報(bào)告》報(bào)告中涵蓋詳細(xì)的修復(fù)建議。

2.4.協(xié)助安全整改工作
具體要求：依照《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見》（公信安[2009]1429號(hào)）嚴(yán)格遵循《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》各項(xiàng)要求，在系統(tǒng)測(cè)評(píng)工作的基礎(chǔ)上，對(duì)現(xiàn)狀進(jìn)行全面的分析，制訂信息安全等級(jí)保護(hù)安全建設(shè)整改方案，方案內(nèi)容包含但不限于：當(dāng)前風(fēng)險(xiǎn)分析、安全需求分析、總體安全策略、安全建設(shè)整改技術(shù)方案設(shè)計(jì)、信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)建議、項(xiàng)目預(yù)算，整改后可能存在的其他問題出具方案后，協(xié)助開展安全整改工作。
項(xiàng)目交付成果（包括但不限于）：醫(yī)院現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D、醫(yī)院規(guī)劃網(wǎng)絡(luò)拓?fù)鋱D、《信息安全等級(jí)保護(hù)安全整改方案》等。

2.5.協(xié)助安全制度建設(shè)
具體要求：依據(jù)《信息安全管理體系規(guī)范》《信息安全管理實(shí)施細(xì)則》，結(jié)合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》內(nèi)容，同時(shí)參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)，對(duì)信息安全管理現(xiàn)狀進(jìn)行需求分析，確定安全管理目標(biāo)和安全策略，針對(duì)信息系統(tǒng)的各類管理活動(dòng)，梳理已存在的系統(tǒng)運(yùn)維管理制度、人員安全管理制度、系統(tǒng)建設(shè)管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等；對(duì)未覆蓋的安全管理的區(qū)域，制定其相關(guān)管理制度和文件。

項(xiàng)目交付成果（包括但不限于）：《信息安全管理制度匯編》等。
2.6.網(wǎng)絡(luò)安全培訓(xùn)
通過開展信息安全培訓(xùn)工作，使單位相關(guān)信息管理人員強(qiáng)化安全意識(shí)，理解安全理論，掌握安全技術(shù)，獲得安全實(shí)踐經(jīng)驗(yàn)，使得信息安全人員能夠掌握安全方面必要的專業(yè)理論和技能，全面提升從事信息管理人員的管理和技術(shù)水平，能夠融會(huì)貫通并應(yīng)用于業(yè)主的安全建設(shè)當(dāng)中。主要流程如下所示：
（1）培訓(xùn)需求收集；
（2）編制培訓(xùn)大綱和計(jì)劃；
（3）編制培訓(xùn)講義；
（4）現(xiàn)場(chǎng)培訓(xùn)準(zhǔn)備；
（5）安全培訓(xùn)技術(shù)交流會(huì)議；
（6）會(huì)后交流。
項(xiàng)目交付成果（包括但不限于）：《網(wǎng)絡(luò)安全培訓(xùn)報(bào)告》等。

2.7.網(wǎng)絡(luò)空間資產(chǎn)管理
1、網(wǎng)絡(luò)空間資產(chǎn)管理系統(tǒng)是面對(duì)復(fù)雜的 IT 環(huán)境、資源不明等情況，通過配置管理庫(kù) CMDB 的管理方式，將物理資源、虛擬資源、網(wǎng)絡(luò)、軟件資源及應(yīng)用系統(tǒng)等海量無序的 IT 資源數(shù)據(jù)整合成為完整、有序的數(shù)據(jù)檔案。
2、對(duì)資產(chǎn)的對(duì)象以及對(duì)象間的關(guān)系進(jìn)行統(tǒng)一管理，核實(shí)云計(jì)算平臺(tái)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)中實(shí)施的變更以及配置項(xiàng)之間的關(guān)系是否已經(jīng)被正確記錄下來，確保配置管理數(shù)據(jù)庫(kù)能夠準(zhǔn)確地反映現(xiàn)存配置項(xiàng)的實(shí)際版本狀態(tài)，實(shí)現(xiàn)資源統(tǒng)一的生命周期管理，支持資源信息配置管理，包含基礎(chǔ)設(shè)施、服務(wù)器、中間件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)軟件等。
3、建立覆蓋信息化所有 IT 資源的配置管理模型，按照分級(jí)分類的模式，易于理解、使用和管理，支持用戶自定義進(jìn)行快速擴(kuò)展，契合實(shí)際需求的模型配置。模型配置能夠覆蓋現(xiàn)有機(jī)房設(shè)施、服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)及數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件及業(yè)務(wù)系統(tǒng)等。
4、通過關(guān)系配置管理，實(shí)現(xiàn)資源與資源之間形成關(guān)系，提供直觀的關(guān)系列表和可視化視圖，幫助管理人員掌握資源的關(guān)聯(lián)關(guān)系，從而實(shí)現(xiàn)一個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)是由哪些資源構(gòu)成的，到達(dá)可觀、可明、可管理，資源關(guān)系模型建立包含：部署、連接、包含、位于等。
5、通過業(yè)務(wù)應(yīng)用視圖可直觀呈現(xiàn)業(yè)務(wù)應(yīng)用的組織架構(gòu)，提供用戶查看各個(gè)組成部分的運(yùn)行狀態(tài)，提高業(yè)務(wù)對(duì)信息化業(yè)務(wù)的整體結(jié)構(gòu)的掌握，實(shí)現(xiàn)對(duì)故障的定位，提高運(yùn)維管理水平，以業(yè)務(wù)應(yīng)用為基準(zhǔn)通過關(guān)聯(lián)資源、組件繪制整體業(yè)務(wù)拓?fù)鋱D。