某省医院科学院-网络安全建设整改实施方案.docxVIP

PAGE 8 某省医院科学院 网络安全建设整改方案  目录 TOC \o 1-3 \h \z \u 1. 背景 4 1.1. 项目背景 4 1.2. 项目建设目标 4 1.3. 项目建设法律依据 5 2. 现状分析 6 2.1. 业务现状 6 2.2. 威胁分析 6 2.2.1. 技术层面 7 2.2.2. 管理层面 11 3. 需求分析 13 3.1. 等保三级信息系统安全建设的基本要求 13 一、技术要求 14 3.1.1. 物理和环境安全 14 3.1.2. 网络和通信安全 15 3.1.3. 设备和计算安全 17 3.1.4. 应用和数据安全 18 二、管理要求 20 3.1.5. 安全策略和管理制度 20 3.1.6. 安全管理机构和人员 21 3.1.7. 安全建设管理 22 3.1.8. 安全运维管理 24 3.2. 等保三级信息系统网络运营者的保护义务 28 3.2.1. 一般安全保护要求 28 3.2.2. 特殊安全保护要求 29 3.2.3. 其他安全保护要求 29 3.2.4. 产品服务采购要求 30 3.2.5. 技术维护要求 30 3.2.6. 监测预警和信息通报要求 31 3.2.7. 数据和信息安全保护要求 31 3.2.8. 应急处置要求 31 3.2.9. 密码管理要求 31 3.3. 需求分析小结 32 4. 解决方案 33 4.1. 物理和环境安全设计 33 4.2. 网络和通信安全设计 33 4.3. 设备和计算安全设计 34 4.4. 应用和数据安全设计 35 4.5. 安全策略和管理制度完善 35 4.6. 安全管理机构和人员机制整改 36 4.6.1. 建立交流机制 36 4.6.2. 人员安全管理 37 4.6.3. 职位与职责设置 38 4.6.4. 人事日常培训、考核 39 4.7. 安全运维管理整改 41 4.7.1. 软件管理 41 4.7.2. 设备管理 42 4.7.3. 备份管理 43 4.7.4. 技术文档管理 44 4.7.5. 系统运维管理 44 4.8. 残余风险分析与控制 44 5. 我公司优势 46 5.1. 业界领先的反病毒引擎 46 5.2. 能力型安全厂商可靠赋能 46 5.3. 专业可靠全面的安全服务 47  背景 项目背景 某省医院科学院（以下简称：某省医院科学院）目前已根据卫生部《卫生行业信息安全等级保护工作的指导意见》相关要求，依照2018年6月27日公安部《网络安全等级保护条例（征求意见稿）》（等保2.0要求）、《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对某省医院科学院的核心业务——医院信息系统进行了等级保护定级，初步定级为三级，并按信息系统编制定级报告和定级备案表，将定级材料提交当地公安机关备案。 作为受到总书记高度认可的民营企业中的“国家队”，我公司公司肩负着维护国家网络空间安全的重任，以自主创新的威胁检测防御技术为某省医院科学院提供符合等保建设要求的综合网络安全产品和服务，推动积极防御、威胁情报与架构安全、被动防御的有效融合，达成有效防护、高度自动化和可操作化的安全业务价值。我们将通过整合前端的产品、服务能力与后端的分析、情报能力，形成一个整体的等保三级建设整改方案，帮助某省医院科学院提升安全防护水平，有效应对高级、复杂网络安全威胁。 某省医院科学院邀请了具有等级保护测评资质的单位对医院信息系统进行了测评，按照相关标准得出等级保护差距及整改建议。我公司将根据等保2.0标准、《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》等，结合“黑龙江省卫生厅文件（黑卫发【2013】84号）《关于印发三甲医院信息安全等级保护工作实施方案的通知》”的要求及《某省医院科学院信息系统安全等级测评报告》，针对某省医院科学院存在的安全隐患和差距，明确信息系统安全整改需求，制订某省医院科学院信息安全等级保护整改建设方案。 项目建设目标 本项目的建设目标主要是根据等级保护相关要求与规定，通过等级保护技术体系建设、管理体系建设，使得某省医院科学院的安全建设整改方案最终既可以满足等级保护的相关要求，又能够全方面为某省医院科学院的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。 本次等级保护整改建设将完成以下目标： 1、