健康信息数据安全保障服务项目需求说明.docx

健康信息数据安全保障服务项目需求说明一、项目概况XX市卫生信息数据中心的硬件平台系统肩负着全市卫生数据存储、处理、共享及交换的任务，是全市卫生健康环网关键核心点，支撑的主要业务系统有XX市政务大脑共享采集的医疗卫生数据库、XX市社区卫生服务信息系统平台、全市预约服务统一平台、全市分级诊疗服务统一平台、全市区域电子病历共享平台、电子健康码平台、远程医疗平台、市妇幼保健系统、核酸检测系统、疫苗接种系统、新冠病毒流行病学问卷调查系统等相关系统，对推动全市区域卫生健康医疗日常业务开展、区域协同、数据集约共享、互联互通和“互联网+健康”服务等方面发挥了非常重要的作用。与市政务大脑共享疫情防控的新冠疫苗接种数据和核酸检测数据，供市政数局、市公安局、市国安局等单位作疫情防控使用；全市医疗卫生机构每日报送疫情排查、医疗救治、卫生防疫和应急资源储备等材料，上述多个系统均保存大量医疗健康数据，关系国计民生，医疗数据一旦遭到篡改、破坏和泄露，势必对医疗机构的声誉、医患双方的隐私及健康安全构成严重威胁，甚至影响社会的和谐稳定。涉及到sq1server>orac1e等数据库数据分类。数据内容分类，数据防护个人信息保护；数据保密性需求；勒索病毒的攻击防护；为了确保疫情防控工作及全市卫生健康各个区域业务应用信息系统的稳定运行，保障数据的真实性和隐私性。从微观上包含个体身体健康情况、医疗就诊情况等数据，从宏观上包含疾病传播、区域人口健康状况等数据，根据数据安全法个人信息保护法信息安全技术健康医疗数据安全指南(GB/T39725-2023)等法律法规和技术标准评估数据安全风险及数据安全服务对健康医疗数据提供安全保障。为了保隙业务系统数据，现需采购数据安全若干相关服务,服务期为壹年。二、项目目标以保障XX市卫健数据安全为核心目标，以XX市政务大脑共享采集的医疗卫生数据库、XX市社区卫生服务信息系统平台、全市预约服务统一平台、全市分级诊疗服务统一平台、全市区域电子病历共享平台、电子健康码平台、远程医疗平台、市妇幼保健系统、核酸检测系统、疫苗接种系统、新冠病毒流行病学问卷调查系统等相关系统为主要对象，通过监测有效支撑XX市卫健数据共享开放业务开展的安全体系架构，编制数据安全保障体系规划，指导下属医疗机构落实数据安全保障工作，提高XX市卫生医疗系统数据的安全监测、纵深防御、风险管控和应急响应能力，形成具有主动防御和协同运营能力的数据安全保障体系，全面保障XX市全市卫生医疗系统数据的安全。三、服务内容序号分项名称服务具体内容数量单位1数据安全资产梳理服务数据安全资产梳理，以系统级、表级的颗粒度开展盘点梳理工作，掌握数据分布及使用情况，输出数据资产目录清单。交付物：输出数据资产目录清单，服务期内至少1次（要求第三季度完成资产梳理服务，并提供服务报告）。1项2数据安全分类分级服务基于数据安全合规视角，建立业务系统中的重要数据、个人信息以及组织认定的核心数据等敏感数据识别规范,根据规则通过自动化识别工具结合部分人工服务完成敏感数据识别及分级工作，以满足法律法规、行业监管以及业1项务风险管控的数据分级保护要求。交付物：输出敏感数据识别规范、敏感数据分类分级报告、敏感数据分类分级清单文件，服务期内至少1次（要求第三季度完成数据分类分级服务，并提供上述服务报告）。3数据安全现状评估服务从管理和技术等多维度，制订现状评估计划，拟订调研清单,有序开展现有安全措施现状分析工作，厘清当前的数据安全现状。交付物：输出数据权限清单、数据流向图、数据安全现状评估报告，服务期内至少1次（要求第四季度完成数据安全现状评估服务，并提供上述服务报告）。1项4基础环境风险评估服务漏扫分析,结合对数据库和中间件进行全面的安全配置核查和分析，发现配置的不合规项，提出系统整改修复建议，输出报告。交付物：输出数据安全基础环境风险清单、基线核查报告，服务期内至少1次（要求第四季度完成基础环境评估服务,并提供上述服务报告）。1项5数据安全能力评估服务基于数据安全能力成熟度模型（DSMM）、数据安全治理能力（DSG）等国家、行业以及社会认可的普遍能力目标要求,结合客户自身的安全管理目标诉求，从组织、制度、技术和人员维度，综合评估组织的数据安全能力，明晰组织数据安全能力差距。交付物：输出数据安全能力评估服务报告，服务期内至少1次（要求第四季度完成数据安全能力评估服务，并提供服务报告）。1项6数据安全合规评估服务以法律法规、监管办法等为指导，集合系统信息采集、评估分析、结果判定、处置跟踪四步，提供合规风险检查及风险处置规划。交付物：输出数据安全合规评估服务报告，服务期内至少1次（要求第四季度完成数据安全合规评估服务，并提供服务报告）。1项7数据安全风险评估服务基于数据安全法个人信息保护法基线要求，以DSMM、DSG等相关标准的数据安全能力为目标要求，从组织、制度、技术和人员维度，全面评估数据安全能力差距，开展数据安全风险分析，并给予对应的处置建议。交付物：输出数据安全风险评估服务报告、数据安全风险处置建议，服务期内至少1次（要求第四季度完成数据安全风险评估服务，并提供上述服务报告）。1项8数据安全机制保障设计从组织、制度、人员等管理维度，以数据安全管理要求输出数据安全相关标准制度、流程和规范文件，以满足安全管理要求及实质合规要求。交付物：输出数据安全管理制度、数据安全人员管理制度、数据安全应急响应管理制度，确数据安全组织职能、数据安全组织架构、各岗位的数据安全职责范围和相关要求等，服务期内至少1次（要求第四季度完成机制保障设计,并提供上述管理规范制度）。1项9数据安全体系顶层设计服务开展数据安全现状分析、合规分析及风险评估等工作，针对所识别的组织、制度、人员、技术等脆弱性及风险，以在满足合规基线要求可接受的差距目标为基准,规划可落实的顶层建1项设规划方案设计。交付物:输出数据安全建设详细设计方案，服务期内至少1次（要求第四季度完成数据安全体系顶层设计服务，并提供设计方案）。10数据库保障服务数据库应急响应服务、数据灾难挽救服务。交付物：输出数据库巡检报告、AWR解读报告，服务期内至少4次（要求按每季度完成数据库保障服务,并提供上述服务报告）。1项11数据库安全加固服务包括数据库漏洞修复、数据库基线设计加固、运维人员身份认证及访问控制策略制定、敏感数据脱敏、数据加密存储、安全监控及审计等内容。交付物：输出数据安全加固建议方案，服务期内至少1次（要求第一季度完成数据安全加固服务，并提供服务方案）。1项12数据安全策略制定及管控建议服务数据安全管理,数据资产管理,数据流转规范，数据监控管理等,给出具体实施设计方案，内容包括漏洞修复、基线加固、身份认证、访问控制、数据脱敏、数据加密、安全监控及审计等内容。交付物：输出数据安全管理技术方案，服务期内至少1次（要求第一季度完成数据安全策略制定及管控服务,并提供上述服务报告）。1项13数据库加密存储服务根据合规要求，结合实际情况，建立数据安全存储管理体系与技术规范,通过数据库加密存储工具实现对敏感、重要、核心数据提供落盘加密，防止拖库以及内部人员非法拷贝，保障数据安全。交付物：输出数据安全存储管理规范，服1项务期内至少1次（要求第一季度完成数据库存储加密服务，并提供服务报告）。14敏感数据脱敏服务根据合规要求，参照XX省健康医疗数据脱敏技术规范（标准号：T/GZBC36-2023）,结合实际情况,通过服务配套工具对敏感数据进行脱敏处理,根据数据安全应用场景提供静态脱敏和动态脱敏服务，防止各部门对敏感数据使用过程中造成的敏感数据泄露。交付物：输出数据脱敏报告，服务期内至少1次（要求第一季度完成敏感数据脱敏服务，并提供服务报告）。1项15数据库访问控制服务根据合规要求,结合实际情况,对各部门业务、管理充分调研，实现不同岗位、职责人员数据安全管理体系与安全防护策略建设,包括运维人员、开发人员、业务操作人员的正确识别，避免非岗位、职责人员利用岗位、职责工具访问。对敏感数据进行定义与分类分级，对特权账户进行统一管理，防止敏感数据被越权。同时为避免误操作行为,通过数据库访问控制服务工具建立危险操作访问控制与数据恢复机制。交付物：输出数据库访问权控防护报告，服务期内至少1次（要求第一季度完成数据库访问控制服务，并提供服务报告）。1项16数据库安全防护服务根据合规要求，结合实际情况，建立数据库安全防护体系，通过数据库安全防护服务工具对数据库进行来自外部危险隔离,消除应用程序业务逻辑漏洞或者缺陷所导致的数据库安全问题，通过事前探测、事中防护、事后审计，1项实现数据库的漏洞发现、访问行为控制、危险操作阻断、可疑行为审计，防止外部黑客对数据库入侵行为。交付物：输出数据库安全防护服务报告，服务期内至少1次（要求第一季度完成数据库安全防护服务，并提供服务报告）。17API安全监测服务提供接口发现模板，自动发现接口并进行快速梳理AP1资产台账；输出API安全监测服务报告，服务期内至少1次。（要求第一季度完成AP1资产梳理与监测服务，并提供服务报告）。1项18数据安全管控服务根据合规要求，结合实际情况，提供数据安全实时风险感知分析,通过数据安全管控服务工具实时监控数据整体的运行情况,展示数据的安全情况，出现风险时可快速定位当前被攻击的数据及发起攻击的客户端，让数据更安全，并且数据安全风险感知分析对注入攻击、漏洞攻击、敏感访问、系统运行等进行24小时实时监控。交付物：输出数据安全态势分析服务报告，服务期内至少1次（要求第二季度完成数据安全态势分析服务，并提供服务报告）。1项19数据备份扩容服务现有一套火星舱数据备份系统,为提高循环备份需求,提供现有数据备份容灾单元设备基础上扩容服务，配置212TB裸容量（要求配置26块2TB硬盘）；扩容多模光纤双端口万兆以太网卡（SFP）O（要求第一季度完成数据备份扩容服务）。1项四、数据安全服务详细要求4.1 数据安全资产梳理服务服务项服务要求数据资产盘点提供数据资产现状盘点服务：盘点数据资产的颗粒度、存储模式（如IP地址、数据库类型、文件服务器等）、业务属性、使用对象、数据类型等。数据资产识别整理和识别组织数据资源，形成数据资源列表，了解组织的数据量级、分布、存储方式和使用方式，根据组织业务特征和数据价值，确定组织的敏感数据、重要数据、核心数据等，以及数据的访问方式、授权情况等。交付物输出数据资产目录清单，服务期内至少1次。（要求第三季度完成资产梳理服务，并提供服务报告）4.2 数据安全分类分级服务服务项服务要求数据资产探查及分析提供数据资产探查及分析工具服务：工具内置T/GDWJ013-2023XX省医疗健康数据安全分级分类管理技术规范、健康医疗数据安全指南_GB/T39725-2023等相关医疗行业数据分类分级标准，高效开展对业务系统的元数据扫描、识别数据格式和语义内容等，快速完成数据资产的探查和分析。数据分类分级依据国家、地方及行业等相关要求，结合数据梳理结果，制订符合组织业务实际的数据分类分级规范