數(shù)據(jù)安全治理服務(wù)參數(shù)要求

數(shù)據(jù)安全治理服務(wù)參數(shù)要求我院擬針對電子病歷系統(tǒng)（EMR）采購一套數(shù)據(jù)安全治理服務(wù)，服務(wù)內(nèi)容包括：數(shù)據(jù)安全風險評估服務(wù)、數(shù)據(jù)分類分級服務(wù)、數(shù)據(jù)安全咨詢服務(wù)及服務(wù)期間提供一套數(shù)據(jù)資產(chǎn)安全管理工具，并提供相應(yīng)人員支持。一、項目名稱名稱服務(wù)項詳細說明購買數(shù)量數(shù)據(jù)安全治理服務(wù)數(shù)據(jù)安全風險評估服務(wù)借助數(shù)據(jù)資產(chǎn)分析梳理工具為用戶提供數(shù)據(jù)資產(chǎn)盤點服務(wù)，該服務(wù)通過對業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)、識別、梳理，幫助用戶梳理出業(yè)務(wù)系統(tǒng)中包含的數(shù)據(jù)庫、實例、表、字段、賬號等數(shù)據(jù)資產(chǎn)，以及描繪出各資產(chǎn)之間血緣關(guān)系，構(gòu)建明確的、清晰的數(shù)據(jù)資產(chǎn)清單。輸出《EMR數(shù)據(jù)資產(chǎn)清單》、《EMR數(shù)據(jù)庫賬號權(quán)限分析報告》1借助資產(chǎn)分析梳理工具內(nèi)置標準數(shù)據(jù)分類模型，識別業(yè)務(wù)系統(tǒng)中的個人數(shù)據(jù)敏感數(shù)據(jù)分布和實現(xiàn)數(shù)據(jù)資產(chǎn)價值刻畫，尤其還需要重點關(guān)注業(yè)務(wù)系統(tǒng)中的備份表，里面同樣可能存在著大量的敏感數(shù)據(jù)，日常業(yè)務(wù)運營過程中大多關(guān)注生產(chǎn)系統(tǒng)，缺失對備份表的聚焦，構(gòu)成數(shù)據(jù)泄露的風險源，只有清楚敏感數(shù)據(jù)分布在哪里，才能明確需要實現(xiàn)怎樣的管控策略，為數(shù)據(jù)安全治理各項工作開展提供參考依據(jù)。輸出《EMR個人敏感信息分布報告》通過“工具+人工”的方式對用戶數(shù)據(jù)庫系統(tǒng)進行全面、深入的漏洞檢測和安全基線配置核查，及時發(fā)現(xiàn)高危等漏洞和不合理的數(shù)據(jù)庫安全配置基線，在此基礎(chǔ)上，進一步開展對數(shù)據(jù)庫中特權(quán)賬號進行分析、是否超過最小權(quán)限原則，存在越權(quán)訪問的風險，對發(fā)現(xiàn)的問題及時提出專業(yè)的安全解決方案和建議，輔助用戶完成整改工作。輸出《EMR數(shù)據(jù)庫服務(wù)器系統(tǒng)安全評估報告》、《EMR數(shù)據(jù)庫系統(tǒng)安全評估報告》、《EMR數(shù)據(jù)安全風險評估服務(wù)報告》結(jié)合業(yè)務(wù)系統(tǒng)日常訪問情況，通過對數(shù)據(jù)資產(chǎn)持續(xù)性發(fā)現(xiàn)、挖掘及變更監(jiān)控，及時發(fā)現(xiàn)大量未知、僵尸、復用等數(shù)據(jù)資產(chǎn)，實現(xiàn)暗資產(chǎn)的可視化。同時通過對暗資產(chǎn)的進一步分析，明晰暗資產(chǎn)中存在的脆弱性，對存在有風險隱患的及時處理。輸出《EMR數(shù)據(jù)暗資產(chǎn)分析報告》通過數(shù)據(jù)安全責任邊界從數(shù)據(jù)業(yè)務(wù)域、數(shù)據(jù)運維域、數(shù)據(jù)服務(wù)域和數(shù)據(jù)研發(fā)域等多個維度，對數(shù)據(jù)血緣關(guān)系、業(yè)務(wù)系統(tǒng)共享和API接口調(diào)用情況及數(shù)據(jù)流轉(zhuǎn)關(guān)系進行全面分析，重點關(guān)注API接口資產(chǎn)使用情況，是否傳輸敏感信息數(shù)據(jù)，是否進行加密傳輸、是否越權(quán)訪問、是否對訪問者進行身份認證等，同時還需要明確數(shù)據(jù)的使用者、責任者和所有者，使得數(shù)據(jù)資產(chǎn)具有明確的權(quán)責定義，當安全事件發(fā)生時快速定位出責任方，從而針對性解決?！禘MR數(shù)據(jù)庫系統(tǒng)暴露面分析報告》數(shù)據(jù)分類分級服務(wù)分類分級建設(shè)的第一步是確定分類分級的對象，明確數(shù)據(jù)的管理主體。確定分類分級的范圍才能針對性的建立有效的組織保障體系，明確主體責任。數(shù)據(jù)管理主體的確定是數(shù)據(jù)分類準確性和定級準確性的基本保證。數(shù)據(jù)分類分級服務(wù)工作是一項多部門協(xié)同的大工程，涉及到用戶單位的多個信息系統(tǒng)及其軟件供應(yīng)商，執(zhí)行過程需要投入大量的人力物力。因此，數(shù)據(jù)分類分級工作的開展，需要獲得單位領(lǐng)導和各級相關(guān)部門的大力支持，同時還需要做好各個相關(guān)部門和軟件供應(yīng)商的溝通協(xié)調(diào)工作。組建專門的項目團隊、制定工作流程和制度、確定專門的決策團隊和領(lǐng)導人，以保證分類分級工作可正常有序的開展。從數(shù)據(jù)的安全視角出發(fā)、結(jié)合國家、地方法律法規(guī)和行業(yè)標準，依據(jù)用戶的業(yè)務(wù)情況，遵循安全性、穩(wěn)定性、可執(zhí)行性、時效性等原則，明確數(shù)據(jù)的分類范圍和分級劃分，協(xié)助用戶共同制定數(shù)據(jù)分類分級規(guī)范，為數(shù)據(jù)分類分級開展提供指導依據(jù)。針對明確的信息系統(tǒng)，通過專門的數(shù)據(jù)資產(chǎn)分析工具，為用戶提供數(shù)據(jù)資產(chǎn)盤點服務(wù)，該服務(wù)是通過對業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)、識別、梳理，幫助用戶梳理出業(yè)務(wù)系統(tǒng)中包含的庫、實例、表、字段、賬號等資產(chǎn)，以及各資產(chǎn)之間血緣關(guān)系，構(gòu)建明確的、清晰的數(shù)據(jù)資產(chǎn)清單。借助數(shù)據(jù)資產(chǎn)分析工具，通過內(nèi)置標準數(shù)據(jù)分類模型和自定義分類模型，基于個人信息安全規(guī)范、語義內(nèi)容分析、正則表達式等對個人敏感數(shù)據(jù)和重要業(yè)務(wù)進行自動識別輔以人工打標相結(jié)合，完成數(shù)據(jù)資產(chǎn)分類分級打標工作，標識敏感數(shù)據(jù)、識別敏感數(shù)據(jù)資產(chǎn)，進行分類統(tǒng)計，建立重要的數(shù)據(jù)目錄，為數(shù)據(jù)安全治理各項工作開展提供參考依據(jù)。輸出《EMR數(shù)據(jù)分類分級規(guī)范》、《EMR數(shù)據(jù)分類分級報告》數(shù)據(jù)安全咨詢服務(wù)圍繞實現(xiàn)數(shù)據(jù)安全的目標、依據(jù)國家、地方法律法規(guī)和行業(yè)標準，并結(jié)合用戶的業(yè)務(wù)情況，協(xié)助用戶制定與數(shù)據(jù)安全相匹配的數(shù)據(jù)安全管理制度、數(shù)據(jù)安全運維操作流程規(guī)范、賬號管理、數(shù)據(jù)安全全生命周期管理、數(shù)據(jù)安全運營各場景管理。輸出《EMR數(shù)據(jù)安全管理制度》、《EMR數(shù)據(jù)庫賬號管理規(guī)范》、《EMR數(shù)據(jù)安全運維操作流程》以合規(guī)、業(yè)務(wù)、事件為驅(qū)動，數(shù)據(jù)安全為核心，聚焦數(shù)據(jù)安全生命周期，規(guī)劃設(shè)計全局化和開放性的數(shù)據(jù)安全體系，構(gòu)建數(shù)據(jù)安全組織架構(gòu)及明確各責任主體職責，提升數(shù)據(jù)安全管理融合能力，規(guī)劃業(yè)務(wù)系統(tǒng)安全架構(gòu)，夯實數(shù)據(jù)安全技術(shù)底盤，構(gòu)建數(shù)據(jù)安全運營場景落地，實現(xiàn)“數(shù)據(jù)資產(chǎn)可視化、數(shù)據(jù)資產(chǎn)流轉(zhuǎn)可視化、數(shù)據(jù)資產(chǎn)風險可視化”。輸出《EMR數(shù)據(jù)安全建設(shè)規(guī)劃方案》服務(wù)所需工具要求服務(wù)工具需有效實現(xiàn):數(shù)據(jù)暗資產(chǎn)智能分析、數(shù)據(jù)資產(chǎn)暴露面智能分析、數(shù)據(jù)資產(chǎn)梳理等。服務(wù)廠商資質(zhì)及人員要求為保證我院數(shù)據(jù)安全治理服務(wù)效果及質(zhì)量，投入本項目數(shù)據(jù)安全治理服務(wù)人員至少為3人，其中至少配備2名原廠人員（須提供該人員至少三個月的原廠社保繳納證明），至少1名項目經(jīng)理與2名