健康信息数据安全保障服务项目需求说明.docx
《健康信息数据安全保障服务项目需求说明.docx》由会员分享,可在线阅读,更多相关《健康信息数据安全保障服务项目需求说明.docx(49页珍藏版)》请在课桌文档上搜索。
1、健康信息数据安全保障服务项目需求说明一、项目概况XX市卫生信息数据中心的硬件平台系统肩负着全市卫生数据存储、处理、共享及交换的任务,是全市卫生健康环网关键核心点,支撑的主要业务系统有XX市政务大脑共享采集的医疗卫生数据库、XX市社区卫生服务信息系统平台、全市预约服务统一平台、全市分级诊疗服务统一平台、全市区域电子病历共享平台、电子健康码平台、远程医疗平台、市妇幼保健系统、核酸检测系统、疫苗接种系统、新冠病毒流行病学问卷调查系统等相关系统,对推动全市区域卫生健康医疗日常业务开展、区域协同、数据集约共享、互联互通和“互联网+健康”服务等方面发挥了非常重要的作用。与市政务大脑共享疫情防控的新冠疫苗接
2、种数据和核酸检测数据,供市政数局、市公安局、市国安局等单位作疫情防控使用;全市医疗卫生机构每日报送疫情排查、医疗救治、卫生防疫和应急资源储备等材料,上述多个系统均保存大量医疗健康数据,关系国计民生,医疗数据一旦遭到篡改、破坏和泄露,势必对医疗机构的声誉、医患双方的隐私及健康安全构成严重威胁,甚至影响社会的和谐稳定。涉及到sqlserveroracle等数据库数据分类。数据内容分类,数据防护个人信息保护;数据保密性需求;勒索病毒的攻击防护;为了确保疫情防控工作及全市卫生健康各个区域业务应用信息系统的稳定运行,保障数据的真实性和隐私性。从微观上包含个体身体健康情况、医疗就诊情况等数据,从宏观上包含
3、疾病传播、区域人口健康状况等数据,根据数据安全法个人信息保护法信息安全技术健康医疗数据安全指南(GB/T39725-2020)等法律法规和技术标准评估数据安全风险及数据安全服务对健康医疗数据提供安全保障。为了保隙业务系统数据,现需采购数据安全若干相关服务,服务期为壹年。二、项目目标以保障XX市卫健数据安全为核心目标,以XX市政务大脑共享采集的医疗卫生数据库、XX市社区卫生服务信息系统平台、全市预约服务统一平台、全市分级诊疗服务统一平台、全市区域电子病历共享平台、电子健康码平台、远程医疗平台、市妇幼保健系统、核酸检测系统、疫苗接种系统、新冠病毒流行病学问卷调查系统等相关系统为主要对象,通过监测有
4、效支撑XX市卫健数据共享开放业务开展的安全体系架构,编制数据安全保障体系规划,指导下属医疗机构落实数据安全保障工作,提高XX市卫生医疗系统数据的安全监测、纵深防御、风险管控和应急响应能力,形成具有主动防御和协同运营能力的数据安全保障体系,全面保障XX市全市卫生医疗系统数据的安全。三、服务内容序号分项名称服务具体内容数量单位1数据安全资产梳理服务数据安全资产梳理,以系统级、表级的颗粒度开展盘点梳理工作,掌握数据分布及使用情况,输出数据资产目录清单。交付物:输出数据资产目录清单,服务期内至少1次(要求第三季度完成资产梳理服务,并提供服务报告)。1项2数据安全分类分级服务基于数据安全合规视角,建立业
5、务系统中的重要数据、个人信息以及组织认定的核心数据等敏感数据识别规范,根据规则通过自动化识别工具结合部分人工服务完成敏感数据识别及分级工作,以满足法律法规、行业监管以及业1项务风险管控的数据分级保护要求。交付物:输出敏感数据识别规范、敏感数据分类分级报告、敏感数据分类分级清单文件,服务期内至少1次(要求第三季度完成数据分类分级服务,并提供上述服务报告)。3数据安全现状评估服务从管理和技术等多维度,制订现状评估计划,拟订调研清单,有序开展现有安全措施现状分析工作,厘清当前的数据安全现状。交付物:输出数据权限清单、数据流向图、数据安全现状评估报告,服务期内至少1次(要求第四季度完成数据安全现状评估
6、服务,并提供上述服务报告)。1项4基础环境风险评估服务漏扫分析,结合对数据库和中间件进行全面的安全配置核查和分析,发现配置的不合规项,提出系统整改修复建议,输出报告。交付物:输出数据安全基础环境风险清单、基线核查报告,服务期内至少1次(要求第四季度完成基础环境评估服务,并提供上述服务报告)。1项5数据安全能力评估服务基于数据安全能力成熟度模型(DSMM)、数据安全治理能力(DSG)等国家、行业以及社会认可的普遍能力目标要求,结合客户自身的安全管理目标诉求,从组织、制度、技术和人员维度,综合评估组织的数据安全能力,明晰组织数据安全能力差距。交付物:输出数据安全能力评估服务报告,服务期内至少1次(
7、要求第四季度完成数据安全能力评估服务,并提供服务报告)。1项6数据安全合规评估服务以法律法规、监管办法等为指导,集合系统信息采集、评估分析、结果判定、处置跟踪四步,提供合规风险检查及风险处置规划。交付物:输出数据安全合规评估服务报告,服务期内至少1次(要求第四季度完成数据安全合规评估服务,并提供服务报告)。1项7数据安全风险评估服务基于数据安全法个人信息保护法基线要求,以DSMM、DSG等相关标准的数据安全能力为目标要求,从组织、制度、技术和人员维度,全面评估数据安全能力差距,开展数据安全风险分析,并给予对应的处置建议。交付物:输出数据安全风险评估服务报告、数据安全风险处置建议,服务期内至少1
8、次(要求第四季度完成数据安全风险评估服务,并提供上述服务报告)。1项8数据安全机制保障设计从组织、制度、人员等管理维度,以数据安全管理要求输出数据安全相关标准制度、流程和规范文件,以满足安全管理要求及实质合规要求。交付物:输出数据安全管理制度、数据安全人员管理制度、数据安全应急响应管理制度,确数据安全组织职能、数据安全组织架构、各岗位的数据安全职责范围和相关要求等,服务期内至少1次(要求第四季度完成机制保障设计,并提供上述管理规范制度)。1项9数据安全体系顶层设计服务开展数据安全现状分析、合规分析及风险评估等工作,针对所识别的组织、制度、人员、技术等脆弱性及风险,以在满足合规基线要求可接受的差
9、距目标为基准,规划可落实的顶层建1项设规划方案设计。交付物:输出数据安全建设详细设计方案,服务期内至少1次(要求第四季度完成数据安全体系顶层设计服务,并提供设计方案)。10数据库保障服务数据库应急响应服务、数据灾难挽救服务。交付物:输出数据库巡检报告、AWR解读报告,服务期内至少4次(要求按每季度完成数据库保障服务,并提供上述服务报告)。1项11数据库安全加固服务包括数据库漏洞修复、数据库基线设计加固、运维人员身份认证及访问控制策略制定、敏感数据脱敏、数据加密存储、安全监控及审计等内容。交付物:输出数据安全加固建议方案,服务期内至少1次(要求第一季度完成数据安全加固服务,并提供服务方案)。1项
10、12数据安全策略制定及管控建议服务数据安全管理,数据资产管理,数据流转规范,数据监控管理等,给出具体实施设计方案,内容包括漏洞修复、基线加固、身份认证、访问控制、数据脱敏、数据加密、安全监控及审计等内容。交付物:输出数据安全管理技术方案,服务期内至少1次(要求第一季度完成数据安全策略制定及管控服务,并提供上述服务报告)。1项13数据库加密存储服务根据合规要求,结合实际情况,建立数据安全存储管理体系与技术规范,通过数据库加密存储工具实现对敏感、重要、核心数据提供落盘加密,防止拖库以及内部人员非法拷贝,保障数据安全。交付物:输出数据安全存储管理规范,服1项务期内至少1次(要求第一季度完成数据库存储
11、加密服务,并提供服务报告)。14敏感数据脱敏服务根据合规要求,参照XX省健康医疗数据脱敏技术规范(标准号:T/GZBC36-2020),结合实际情况,通过服务配套工具对敏感数据进行脱敏处理,根据数据安全应用场景提供静态脱敏和动态脱敏服务,防止各部门对敏感数据使用过程中造成的敏感数据泄露。交付物:输出数据脱敏报告,服务期内至少1次(要求第一季度完成敏感数据脱敏服务,并提供服务报告)。1项15数据库访问控制服务根据合规要求,结合实际情况,对各部门业务、管理充分调研,实现不同岗位、职责人员数据安全管理体系与安全防护策略建设,包括运维人员、开发人员、业务操作人员的正确识别,避免非岗位、职责人员利用岗位
12、、职责工具访问。对敏感数据进行定义与分类分级,对特权账户进行统一管理,防止敏感数据被越权。同时为避免误操作行为,通过数据库访问控制服务工具建立危险操作访问控制与数据恢复机制。交付物:输出数据库访问权控防护报告,服务期内至少1次(要求第一季度完成数据库访问控制服务,并提供服务报告)。1项16数据库安全防护服务根据合规要求,结合实际情况,建立数据库安全防护体系,通过数据库安全防护服务工具对数据库进行来自外部危险隔离,消除应用程序业务逻辑漏洞或者缺陷所导致的数据库安全问题,通过事前探测、事中防护、事后审计,1项实现数据库的漏洞发现、访问行为控制、危险操作阻断、可疑行为审计,防止外部黑客对数据库入侵行
13、为。交付物:输出数据库安全防护服务报告,服务期内至少1次(要求第一季度完成数据库安全防护服务,并提供服务报告)。17API安全监测服务提供接口发现模板,自动发现接口并进行快速梳理APl资产台账;输出API安全监测服务报告,服务期内至少1次。(要求第一季度完成APl资产梳理与监测服务,并提供服务报告)。1项18数据安全管控服务根据合规要求,结合实际情况,提供数据安全实时风险感知分析,通过数据安全管控服务工具实时监控数据整体的运行情况,展示数据的安全情况,出现风险时可快速定位当前被攻击的数据及发起攻击的客户端,让数据更安全,并且数据安全风险感知分析对注入攻击、漏洞攻击、敏感访问、系统运行等进行24
14、小时实时监控。交付物:输出数据安全态势分析服务报告,服务期内至少1次(要求第二季度完成数据安全态势分析服务,并提供服务报告)。1项19数据备份扩容服务现有一套火星舱数据备份系统,为提高循环备份需求,提供现有数据备份容灾单元设备基础上扩容服务,配置212TB裸容量(要求配置26块2TB硬盘);扩容多模光纤双端口万兆以太网卡(SFP)O(要求第一季度完成数据备份扩容服务)。1项四、数据安全服务详细要求4.1 数据安全资产梳理服务服务项服务要求数据资产盘点提供数据资产现状盘点服务:盘点数据资产的颗粒度、存储模式(如IP地址、数据库类型、文件服务器等)、业务属性、使用对象、数据类型等。数据资产识别整理
15、和识别组织数据资源,形成数据资源列表,了解组织的数据量级、分布、存储方式和使用方式,根据组织业务特征和数据价值,确定组织的敏感数据、重要数据、核心数据等,以及数据的访问方式、授权情况等。交付物输出数据资产目录清单,服务期内至少1次。(要求第三季度完成资产梳理服务,并提供服务报告)4.2 数据安全分类分级服务服务项服务要求数据资产探查及分析提供数据资产探查及分析工具服务:工具内置T/GDWJ013-2022XX省医疗健康数据安全分级分类管理技术规范、健康医疗数据安全指南_GB/T39725-2020等相关医疗行业数据分类分级标准,高效开展对业务系统的元数据扫描、识别数据格式和语义内容等,快速完成
16、数据资产的探查和分析。数据分类分级依据国家、地方及行业等相关要求,结合数据梳理结果,制订符合组织业务实际的数据分类分级规范,包括:数据分类分级的原则、方法;数据分类分级保护的总体原则和目标;数据分类分级的日常管理流程等。提供数据分类服务:基于数据性质(特定的数据性质有所区别)、重要程度(与其他数据相比重要程度有区别)、管理需求(因特行的管理目的)或使用需求(与其他数据之间使用范围/目的不同)等进行综合分析,完成数据分类。提供数据定级服务:基于数据影响对象、影响范围、影响程度等,结合数据体量、数据聚合、数据实效性等进行综合分析,完成数据定级。提供分类分级目录形式查看数据资产的自动发现的结果和分类
17、分级情况。提供对业务类型未分类的、字段对应业务类型存在多个分类的字段进行确认,确认完成后输出最终分类分级结果。独立页面展示分类分级总览大屏,包括数据资产的盘点、数据分类分级概况、数据敏感分析、数据库差异分析等内容,大屏显示内容提供自定义配置。提供对数据分类分级清单进行导出服务。提供对数据分类分级报告进行导出服务。输出敏感数据识别规范、敏感数据分类分级报告、敏感数据分类分级清单,服务期内至少1次。交付物(要求第三季度完成数据分类分级服务,并提供上述服务报告)4.3 数据安全现状评估服务服务项服务要求访谈调研通过收集现有的制度办法、访谈和收集相关部门对于数据安全需求和建议,包括但不限于业务、系统等
18、相关内容梳理。权限梳理从组织、业务和安全层面对组织参与数据活动的人员角色进行梳理,组织层面主要是数据安全组织建设角色,决策层、管理处、执行层、审计层和员工;业务层面结合组织实际数据处理活动,包括数据生产/开发、提供、存储和使用、共享、监管(审计)、管理活动,包括:数据提供方、数据使用方、数据监管方(审计)、数据管理方、数据运营方和数据生产/开发方等角色;安全层面从三权分立原则出发,梳理系统平台的安全角色。流向识别根据业务流程规划统一的数据流向,定义数据在各相关系统中的宿主系统,记录系统集成及接口,识别各个数据属性的来源系统及集成目标系统,体现数据在全生命周期中的数据产生、传输、存储、使用等数据
19、流动过程,形成于前后集成系统的数据流向,完成数据属性在业务流程和T系统上的流程关系,从而实现数据的可追溯。现状评估调研组织上级单位对数据安全工作的管理要求,识别适用的数据安全与合规要求,通过对组织的业务、数字化环境、数据类型、安全管理现状、发展战略等开展现状调研工作,了解数据资产构成、特征、范围及流转情况、数据资产与业务系统架构、基础之间的关系等内容。交付物输出数据权限清单、数据流向图、数据库安全现状评估报告,服务期内至少1次。(要求第四季度完成数据安全现状评估服务,并提供上述服务报告)4.4 基础环境评估服务服务项服务要求基础环境脆弱性评估通过人工服务方式从技术脆弱性(物理层、网络层、系统层
20、、应用层等)和管理脆弱性(技术管理脆弱性、组织管理脆弱性)两方而进行脆弱性识别并根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。基础环境漏洞风险评估通过使用漏洞扫描对数据库系统和数据库服务器进行安全扫描,人工验证扫描结果,并对数据库和中间件进行全面的安全配置核查和分析,发现配置的不合规项,以及存在的安全漏洞和薄弱环节,结合医疗行业实际需求提出系统整改修复建议,输出报告。基础环境基线核查通过人工服务方式完成基础环境基线核查内容:(1)主机操作系统检查内容主机操作系统安全配置检查包含但不限于以下内容:帐号和口令管理、认证和授权策略、访问控制
21、、日志审核策略、入侵防范、剩余信息保护、系统资源控制、其它安全配置。(2)数据库检查内容数据库安全配置检查包含但不限于以下内容:帐号和口令管理、认证和授权策略、访问控制、日志审核策略、加密管理、其他安全配置。(3)中间件检查内容中间件安全配置检查包含但不限于以下内容:帐号和口令管理、认证和授权策略、访问控制、日志审核策略、通讯协议、其他安全配置。交付物输出数据安全基础环境风险清单、基线核查报告,服务期内至少1次。(要求第四季度完成基础环境评估服务,并提供上述服务报告)。4.5 数据安全能力评估服务服务项服务要求现状分析依据国家数据安全相关政策、标准,结合组织现状,对组织数据全生命周期安全技术能
22、力和制度规范流程落地建设情况开展全面的安全评估,检验控制措施的有效性。能力分析结合GB/T37988-2019信息安全技术数据安全能力成熟度模型、数据安全治理框架(DSG)sGB/T31509-2015信息安全技术信息安全风险评估指南及组织实际情况,形成数据安全能力评估模型及评估指标开展数据安全能力评估。从组织机构整体数据安全管理需求的角度出发,帮助组织清楚自身的数据安全能力等级,包括系统概况分析、重要数据梳理、过程域解析、过程域评估,进行整体评估分析,理清自身的数据安全能力级别,帮助组织明晰自身在生命周期各阶段的能力现状与目标的差距,为后续数据安全能力级别目标提升提供依据。交付物输出数据安全
23、能力评估报告,服务期内至少1次。(要求第四季度完成数据安全能力评估服务,并提供服务报告)4.6 数据安全合规评估服务服务项服务要求信息采集提供基础信息调研和采集服务:基于业务场景的方式进行调研和访谈,完成组织数据安全合规义务清单梳理。覆盖组织、制度、技术、人员等维度,根据评估类型调整符合组织实际的内容,包括组织建设情况、制度规范建设及落实情况、数据安全相关技术落地情况,以及应急响应、风险评估、教育培训、跨境传输、隐私条款等众多内容。评估分析提供数据安全现状分析服务:结合法规、医疗行业政策等相关条文解读明晰组织的数据安全合规义务。基于组织数据安全现状梳理结果、合规条文解读目标,分析当前安全能力与
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 健康 信息 数据 安全 保障 服务项目 需求 说明
链接地址:https://www.desk33.com/p-526593.html