序號(hào)

工作項(xiàng)

具體要求

交付材料

1

★等保建設(shè)支撐服務(wù)

服務(wù)目的：協(xié)助我院開展等級(jí)保護(hù)建設(shè)工作，為我院等級(jí)保護(hù)建設(shè)提供關(guān)鍵意見和建議，提示我院安全建設(shè)水平。
服務(wù)內(nèi)容：協(xié)助我院開展定級(jí)備案工作，根據(jù)我院實(shí)際情況和相關(guān)標(biāo)準(zhǔn)，出具等級(jí)保護(hù)建設(shè)方案及建議，并協(xié)助我也準(zhǔn)備測(cè)評(píng)及復(fù)測(cè)資料準(zhǔn)備等，以及測(cè)評(píng)完成后每年風(fēng)險(xiǎn)評(píng)估工作的開展等，確保醫(yī)院等保建設(shè)工作的順利開展。并對(duì)后期網(wǎng)絡(luò)安全建設(shè)和改進(jìn)工作提供建設(shè)性意見和建議。
1、根據(jù)需要協(xié)助我院對(duì)現(xiàn)有系統(tǒng)進(jìn)行定級(jí)定審，備案的資料提交；
2、協(xié)助我院完成定級(jí)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、安全整改等相關(guān)工作。
服務(wù)頻次：按需提供服務(wù)

《等級(jí)保護(hù)建設(shè)方案》
《等級(jí)保護(hù)整改意見及建議》
其他過程材料

2

★等保測(cè)評(píng)及復(fù)測(cè)服務(wù)

服務(wù)目的：根據(jù)等級(jí)保護(hù)要求，完成等保測(cè)評(píng)工作，滿足相關(guān)國家法規(guī)及行業(yè)標(biāo)準(zhǔn)要求，并按要求開展復(fù)測(cè)工作。
服務(wù)內(nèi)容：對(duì)我院現(xiàn)有系統(tǒng)開展等級(jí)保護(hù)測(cè)評(píng)工作，出具相應(yīng)信息系統(tǒng)的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》，并安全要求開展后期的復(fù)測(cè)工作。
1、測(cè)評(píng)系統(tǒng)包括但不限于HIS系統(tǒng)、LIS、PACS系統(tǒng)測(cè)評(píng)工作

2、針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問題提供技術(shù)支持工作，提出整改意見，指導(dǎo)用戶完成安全管理制度、安全基線、安全漏洞、滲透測(cè)試方面的整改工作和驗(yàn)證工作。

3、根據(jù)等級(jí)保護(hù)相關(guān)要求，對(duì)我院定級(jí)系統(tǒng)開展復(fù)測(cè)工作，并出具相關(guān)復(fù)測(cè)報(bào)告。
服務(wù)頻次：1次/年

《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》

《等級(jí)保護(hù)測(cè)評(píng)差距分析及整改建議》

《網(wǎng)絡(luò)安全等級(jí)保護(hù)復(fù)測(cè)報(bào)告》

3

★漏洞掃描

服務(wù)目的：通過專業(yè)的自動(dòng)化工具，定期對(duì)全網(wǎng)資產(chǎn)進(jìn)行安全漏洞發(fā)現(xiàn)，最大范圍發(fā)現(xiàn)網(wǎng)內(nèi)存在的安全隱患，并提供整改建議，降低安全風(fēng)險(xiǎn)。
服務(wù)內(nèi)容：每季度對(duì)本單位網(wǎng)絡(luò)設(shè)備、安全設(shè)備等提供一次安全掃描服務(wù)，及時(shí)發(fā)現(xiàn)安全隱患并提供加固建議。
1、使用專業(yè)的企業(yè)級(jí)漏洞掃描工具，對(duì)全網(wǎng)資產(chǎn)進(jìn)行漏洞發(fā)現(xiàn)掃描；
2、通過人工對(duì)掃描結(jié)果進(jìn)行分析，輸出手工報(bào)告，準(zhǔn)確描述風(fēng)險(xiǎn)點(diǎn)、風(fēng)險(xiǎn)范圍、安全隱患等問題；
3、對(duì)客戶提供安全整改建議，包括漏洞修復(fù)和風(fēng)險(xiǎn)降低方案，在保證業(yè)務(wù)持續(xù)性的同時(shí)，最大程度降低安全隱患。若建議和方案中涉及軟硬采購的，由醫(yī)院處理，其余的由中標(biāo)方處理。
服務(wù)頻次：1次/季度

《XX季度安全漏洞掃描分析報(bào)告》

4

★滲透測(cè)試

服務(wù)目的：通過人工的方式，以黑客攻擊的視角，對(duì)醫(yī)院網(wǎng)站系統(tǒng)進(jìn)行深度的滲透測(cè)試，最大程度發(fā)現(xiàn)web網(wǎng)站系統(tǒng)存在的安全漏洞和邏輯漏洞，降低網(wǎng)站系統(tǒng)被黑客入侵的可能。
服務(wù)內(nèi)容：每年對(duì)互聯(lián)網(wǎng)網(wǎng)站提供一次深度人工滲透測(cè)試服務(wù)，深入發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，滲透測(cè)試，滲透測(cè)試內(nèi)容至少包括注入攻擊、跨站腳本攻擊、錯(cuò)誤認(rèn)證和會(huì)話管理攻擊、偽造跨站請(qǐng)求攻擊、安全配置錯(cuò)誤漏洞、邏輯漏洞、傳輸安全隱患等。
服務(wù)頻次：1次/年

《XX系統(tǒng)滲透測(cè)試報(bào)告》

5

★基線核查

服務(wù)目的：通過自動(dòng)化工具或人工的方式，對(duì)業(yè)務(wù)系統(tǒng)、主機(jī)進(jìn)行配置核查，發(fā)現(xiàn)安全配置不合規(guī)情況并提供整改建議，提升安全防御能力。
服務(wù)內(nèi)容：提供一次全量資產(chǎn)基線核查服務(wù)，幫助客戶了解單位資產(chǎn)配置安全情況。
1、分別系統(tǒng)不同定級(jí)，對(duì)所有windows service服務(wù)器及中間件進(jìn)行基線核查；
2、分別系統(tǒng)不同定級(jí)，對(duì)所有l(wèi)inux service服務(wù)器及中間件進(jìn)行基線核查；
3、按照等保一級(jí)標(biāo)準(zhǔn)，對(duì)單位所有辦公PC開展基線排查
4、輸出含問題總結(jié)、風(fēng)險(xiǎn)分析、整改建議的基線核查核查報(bào)告，并協(xié)助客戶完成整改工作。
服務(wù)頻次：1次/年

《安全基線核查及分析報(bào)告》

6

★安全運(yùn)維服務(wù)

服務(wù)目的：通過定期的巡檢、審查、審計(jì)等手段，及時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)安全隱患，并及時(shí)進(jìn)行處置和查缺補(bǔ)漏。
服務(wù)內(nèi)容：每月對(duì)本單網(wǎng)絡(luò)設(shè)備、安全設(shè)備提供一次安全巡檢服務(wù)，包括安全日志分析、基線核查、策略優(yōu)化等
1、每月對(duì)現(xiàn)場(chǎng)對(duì)客戶已有日志審計(jì)系統(tǒng)存儲(chǔ)安全日志進(jìn)行一次審計(jì)排查，發(fā)現(xiàn)安全隱患；
2、每月對(duì)現(xiàn)場(chǎng)對(duì)客戶已有IPS/IDS以及其他安全設(shè)備告警日志進(jìn)行一次審查；
3、每月對(duì)現(xiàn)場(chǎng)對(duì)客戶服務(wù)器工作狀態(tài)進(jìn)行一次排查，及時(shí)發(fā)現(xiàn)異常
4、對(duì)以上安全運(yùn)維、巡查形成科學(xué)的巡查報(bào)告；
服務(wù)頻次：1次/月

《XX月安全巡檢報(bào)告》
《XX月安全運(yùn)維服務(wù)報(bào)告》

7

策略評(píng)估與優(yōu)化

服務(wù)目的：對(duì)各類安全設(shè)備的防護(hù)策略進(jìn)行安全評(píng)估，發(fā)現(xiàn)策略弱點(diǎn)，并提出策略優(yōu)化建議。

服務(wù)內(nèi)容：

1、根據(jù)安全運(yùn)維工作需要，對(duì)安全設(shè)備自身的配置進(jìn)行變更調(diào)整，如登錄口令、登錄方式、密碼復(fù)雜度等設(shè)備運(yùn)維策略；

2、對(duì)安全設(shè)備業(yè)務(wù)訪問策略進(jìn)行梳理分析，發(fā)現(xiàn)過期、冗余、無效、不明確用途等策略，根據(jù)分析結(jié)果提供優(yōu)化調(diào)整建議；協(xié)助客戶完成優(yōu)化調(diào)整。

服務(wù)頻次：1次/年

《XX設(shè)備策略分析報(bào)告及優(yōu)化建議》

8

★安全培訓(xùn)

服務(wù)目的：通過安全培訓(xùn)，增強(qiáng)醫(yī)院相關(guān)人員安全意識(shí)、安全技能，提升人防安全水平。
服務(wù)內(nèi)容：每年對(duì)單位人員進(jìn)行安全培訓(xùn)，針對(duì)安全意識(shí)、安全管理、安全技術(shù)進(jìn)行針對(duì)性培訓(xùn)，以加強(qiáng)人員的安全意識(shí)。
1、培訓(xùn)地點(diǎn)、形式、規(guī)模由客戶決定
2、每場(chǎng)培訓(xùn)時(shí)常不低于1天（5個(gè)課時(shí)）
3、需提供培訓(xùn)內(nèi)容2倍以上的培訓(xùn)主題供客戶選擇
4、培訓(xùn)完成后需安排考試測(cè)評(píng)，以檢驗(yàn)培訓(xùn)成果。
服務(wù)頻次：1次/年

《安全培訓(xùn)大綱》
《XX安全培訓(xùn)課件》
《XX安全培訓(xùn)測(cè)評(píng)結(jié)果》

9

★應(yīng)急響應(yīng)

服務(wù)目的：提供安全事件響應(yīng)服務(wù)，協(xié)助單位對(duì)在第一時(shí)間對(duì)網(wǎng)絡(luò)安全事件開展排查、分析、溯源、處置、恢復(fù)、跟蹤等服務(wù)。
服務(wù)內(nèi)容：在發(fā)生網(wǎng)站掛馬、主機(jī)中毒、流量異常等情況時(shí)們提供7*24小時(shí)遠(yuǎn)程或現(xiàn)場(chǎng)應(yīng)急響應(yīng)服務(wù)。
1、當(dāng)發(fā)生重大安全事件時(shí)，必須保證4小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)
2、應(yīng)急響應(yīng)應(yīng)包括事件的排查、分析、處置、恢復(fù)、溯源、跟蹤等過程，并形成詳細(xì)的處置報(bào)告文檔。
服務(wù)頻次：按需

《XXX安全事件應(yīng)急處置報(bào)告》

10

★安全加固

服務(wù)目的：對(duì)上級(jí)單位公發(fā)表的安全預(yù)警和漏掃種發(fā)現(xiàn)的安全漏洞，提供安全安全加固建議。
服務(wù)內(nèi)容：對(duì)上級(jí)單位公發(fā)表的安全預(yù)警和漏掃種發(fā)現(xiàn)的安全漏洞，提供安全安全加固建議，如有需要，可以協(xié)助業(yè)務(wù)系統(tǒng)廠商進(jìn)行安全加固。

服務(wù)頻次：1次/季度

《XXX漏洞安全加固建議》

11

安全預(yù)警

服務(wù)目的：對(duì)當(dāng)前流行的、重大的安全事件或安全知識(shí)進(jìn)行推送，提示單位安全反應(yīng)和應(yīng)對(duì)能力。
服務(wù)內(nèi)容：每月向指定郵箱推送當(dāng)前比較重大的安全事件預(yù)警或安全知識(shí)百科,,如有爭對(duì)醫(yī)療行業(yè)的特重大安全風(fēng)險(xiǎn)則實(shí)時(shí)推送。

服務(wù)頻次：1次/每月

《XX月安全預(yù)警/安全知識(shí)》

12

專項(xiàng)排查

服務(wù)目的：對(duì)上級(jí)單位發(fā)布安全漏洞或者當(dāng)前流行的對(duì)醫(yī)療行業(yè)具有較大威脅的安全事件，開展專項(xiàng)排查工作，最大程度降低風(fēng)險(xiǎn)帶來的危害。。
服務(wù)內(nèi)容：對(duì)上級(jí)單位發(fā)布安全漏洞或者當(dāng)前流行的對(duì)醫(yī)療行業(yè)具有較大威脅的安全事件，開展專項(xiàng)排查工作，并根據(jù)排查結(jié)果給出整改建議，最大程度降低風(fēng)險(xiǎn)帶來的危害。

服務(wù)頻次：按需

《XX預(yù)警專項(xiàng)排查報(bào)告及整改建議》

13

專項(xiàng)支撐

服務(wù)目的：協(xié)助單位完成上級(jí)單位指派的網(wǎng)絡(luò)安全任務(wù)。
服務(wù)內(nèi)容：按需協(xié)助單位完成上級(jí)單位指派的網(wǎng)絡(luò)安全任務(wù)，如衛(wèi)健局的應(yīng)急演練防守等。

服務(wù)頻次：按需

14

設(shè)備升級(jí)

服務(wù)目的：對(duì)維保期內(nèi)的安全設(shè)備進(jìn)行特征庫升級(jí)，以獲得最新的安全防護(hù)能力

服務(wù)內(nèi)容：對(duì)維保期內(nèi)具有檢測(cè)功能的安全設(shè)備的特征庫進(jìn)行定期升級(jí)，保持設(shè)備以最新特征庫運(yùn)行。當(dāng)發(fā)生重大漏洞時(shí)，應(yīng)實(shí)時(shí)更新設(shè)備特征庫。

服務(wù)頻次：按需

《XX設(shè)備升級(jí)記錄》

15

基線規(guī)范設(shè)計(jì)

服務(wù)目的：參照等保三級(jí)相關(guān)規(guī)范，對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等安全基線進(jìn)行設(shè)計(jì)，形成醫(yī)院自己的安全基線規(guī)范要求

服務(wù)內(nèi)容：針對(duì)交換機(jī)、路由器、服務(wù)器、PC等設(shè)備進(jìn)行設(shè)備配置規(guī)范設(shè)計(jì)，如禁止不必要網(wǎng)絡(luò)服務(wù)、修改不安全的配置、使用最小特權(quán)原則對(duì)設(shè)備進(jìn)行訪問控制、對(duì)系統(tǒng)進(jìn)行軟件升級(jí)等，形成自己的安全基線規(guī)范要求。

服務(wù)頻次：1次/年

《XX醫(yī)院安全基線規(guī)范要求》