揭西县棉湖华侨医院信息系统维保服务项目更正公告

序号

具体技术(参数)要求

1

一、系统维保整体概况：

构建揭西县棉湖华侨医院维保服务体系的目的就是要通过运维服务商的工作，保证医院信息系统的稳定运行，在各类故障、安全事件发生之前、发展过程中以及事后处置时采取适当的措施和方法，减少各类系统软件故障给医院信息系统带来的负面影响和造成的损失。

1.1整体思路

为了达到这个目的，在构建揭西县棉湖华侨医院信息系统安全运维服务体系的过程中，应遵循以下思路：

认真研究揭西县棉湖华侨医院的组织架构、网络结构和软件系统构成，设计合理的运维服务体系，能够快速有效的为信息系统提供资源保障。

围绕揭西县棉湖华侨医院的自有系统以及关联的信息系统的实际情况，合理配置安全技术支持驻场服务的驻场工程师队伍。

收集并分析系统运行现状，设定设备运行基线，合理配置定期巡检和技术支持实施人员，开展定期系统运行评估服务，实现服务策略的持续改进。

针对重要系统设备和应用系统，制定应急响应预案，成立专门的应急响应服务小组，及时有效的应对信息系统的各类突发事件。

由专业运维服务商承担揭西县棉湖华侨医院信息系统的运行维护工作，为揭西县棉湖华侨医院所涉及的软件系统提供保修维护及技术支持服务，处理相关技术问题，紧急故障响应，实现对医疗软件的及时运维维护，保障揭西县棉湖华侨医院信息系统的稳定性和可用性。

1.2遵循原则

（1）以业务保障为主要服务目标

维保服务最为重要的目标就是维护揭西县棉湖华侨医院信息系统的正常运行，以快速响应、快速处理，保障系统安全畅通为第一原则，要最大化的保证揭西县棉湖华侨医院信息系统的高可用性。

（2）以高效性为主要服务内容

建立系统维护的快速响应机制，保证业务问题解答、系统故障排除、重大故障的现场处理、紧急工作任务处理等在用户要求的时间内完成。

（3）以安全为主要服务核心

维护要以保证系统数据安全、系统运行安全为前提，严格遵守保密协定，尊重用户利益，外场设备维护工作中，以保证维护人员人身安全为前提，做好防护措施，保证维护工作的顺利进行，对揭西县棉湖华侨医院信息系统目前的医疗信息化软件状况进行安全评估，不断完善当前的信息化安全保障体系，并提供相应的安全加固服务、安全顾问及安全培训服务，并协助做好信息安全等级保护的建设工作，从各种层面上达到规范网络行为、增强安全意识、降低网络风险、提高防范能力的目的。

（4）以主动防御为主要服务基础

目前越来越多的故障都是由隐患逐步演化而成，以往的救火式处理模型将越来越无法满足目前业务系统高可用性需要。所以，本项目将逐步将主动防御模型引入揭西县棉湖华侨医院信息系统运行维护运维架构中，努力促使服务水平提升有质的提高。

主动防御模型是一种积极主动的信息安全防御策略，通过主动发现和应对潜在的安全威胁，提前预防和减少安全事件的发生。相比于被动防御模型，主动防御模型更加主动、主动、灵活，能够更好地保护信息系统的安全。

主动防御模型强调信息安全意识的培养。无论是个人还是医院，都应该意识到信息安全的重要性，增强信息安全防范的意识和能力。通过加强培训和教育，提高医院对安全风险的认知，并掌握相应的安全技能和知识，从而能够主动识别和应对可能的安全威胁。本次要求运维服务商在维保期间在医院有需求的情况下，按医院要求提供本次维保范围清单内的培训，详细培训内容由院方指定。

主动防御模型强调安全策略的制定和执行。基于对安全威胁的分析和评估，制定相应的安全策略和措施，包括密码策略、访问控制策略、网络隔离策略等。同时，要确保这些安全策略得到有效执行，例如加强对用户权限的管理、定期更新系统补丁和安全软件、建立安全审计机制等，以有效地减少安全漏洞和风险。本次要求运维服务商定期每月对安全策略执行情况进行一次巡检。

主动防御模型强调安全监测和事件响应能力的提升。通过建立安全监测系统和安全事件响应机制，及时发现和应对安全事件。安全监测系统可以通过监控网络流量、日志分析和入侵检测等方式，实时监测系统的安全状态，并及时发现异常行为和攻击活动。一旦发现安全事件，应该迅速采取相应的响应措施，如隔离受感染的系统、修复漏洞、恢复数据等，以减少安全事件对系统和数据的影响。本次要求运维服务商驻点工程师实时监测系统的安全状态，在发现安全事件的时候及时采取有效的相应措施，并做好相应的事件处理记录。

主动防御模型还强调持续改进和演进。信息安全技术和威胁形势都在不断变化，因此，主动防御模型要求持续改进和演进，及时更新安全策略和措施，提高安全防护能力。同时，要与其他组织和专家进行合作和交流，共同应对新的安全威胁和挑战。本次要求运维服务商在维保期间在医院有需求的情况下，按医院要求提供本次维保范围清单内的厂商或相关专家交流活动，详细交流内容由院方指定。

主动防御模型是一种积极主动的信息安全防御策略，通过培养信息安全意识、制定安全策略、提升安全监测和事件响应能力，以及持续改进和演进，来保护信息系统的安全。在当前信息安全形势严峻的背景下，采取主动防御模型是一种有效的措施，能够提高信息安全防护水平，保护个人和组织的重要信息资产。

（5）以标准化为主要服务过程

信息系统运行维护服务是一个长期的过程，运维体系建成后仍需不断修正和完善，所以运维服务过程中的文档资料必须要求规范齐全，达到一定级别的运维标准，实现系统运维全文档的准确跟踪记录，这样才能给日后的检查和维护带来更多的便利，也为优化揭西县棉湖华侨医院信息系统提供更多的数据理论依据参考。

5

3.2数据库软件支持服务

1、提供每季度一次对数据库的巡检服务，并向医院提交数据库巡检报告。

2、数据库使用发生异常情况时，提供现场应急处理服务。

6

3.3系统安全检查

为保障运行的安全稳定，降低安全事故发生概率，提供针对应用软件、数据库等系统安全检查方案，包括日常安全检查及阶段安全检查，有明确、有效的工作流程，使系统运行进入良性运行状态。每月进行一次。

系统安全检查需包括但不限于：

1、执行日常安检并进行记录。

2、定期执行更高级别的全面安全检查。

3、对日常安检中的问题、隐患、解决结果以邮件方式及时报告技术团队及院方。

4、对非软件原因造成的安全隐患，向院方提出合理建议。

日常安检项目需包含但不限于

1、检查数据库服务器的错误日志检查。

2、系统任务执行情况检查。

3、医疗系统软件服务器的错误日志检查。

4、医疗系统软件服务器运行情况检查。

5、数据库服务器及FTP服务器磁盘空间查看。

6、查看一致性检查结果。

7、备份服务器同步及检查。

8、执行系统及数据库的监测并保存结果。

9、运行环境备份检查。

序号

具体技术(参数)要求

1

一、系统维保整体概况：

构建揭西县棉湖华侨医院维保服务体系的目的就是要通过运维服务商的工作，保证医院信息系统的稳定运行，在各类故障、安全事件发生之前、发展过程中以及事后处置时采取适当的措施和方法，减少各类系统软件故障给医院信息系统带来的负面影响和造成的损失。

1.1整体思路

为了达到这个目的，在构建揭西县棉湖华侨医院信息系统安全运维服务体系的过程中，应遵循以下思路：

认真研究揭西县棉湖华侨医院的组织架构、网络结构和软件系统构成，设计合理的运维服务体系，能够快速有效的为信息系统提供资源保障。

围绕揭西县棉湖华侨医院的自有系统以及关联的信息系统的实际情况，合理配置安全技术支持驻场服务的驻场工程师队伍。

收集并分析系统运行现状，设定设备运行基线，合理配置定期巡检和技术支持实施人员，开展定期系统运行评估服务，实现服务策略的持续改进。

针对重要系统设备和应用系统，制定应急响应预案，成立专门的应急响应服务小组，及时有效的应对信息系统的各类突发事件。

由专业运维服务商承担揭西县棉湖华侨医院信息系统的运行维护工作，为揭西县棉湖华侨医院所涉及的软件系统提供保修维护及技术支持服务，处理相关技术问题，紧急故障响应，实现对医疗软件的及时运维维护，保障揭西县棉湖华侨医院信息系统的稳定性和可用性。

1.2遵循原则

（1）以业务保障为主要服务目标

维保服务最为重要的目标就是维护揭西县棉湖华侨医院信息系统的正常运行，以快速响应、快速处理，保障系统安全畅通为第一原则，要最大化的保证揭西县棉湖华侨医院信息系统的高可用性。

（2）以高效性为主要服务内容

建立系统维护的快速响应机制，保证业务问题解答、系统故障排除、重大故障的现场处理、紧急工作任务处理等在用户要求的时间内完成。

（3）以标准化为主要服务过程

信息系统运行维护服务是一个长期的过程，运维体系建成后仍需不断修正和完善，所以运维服务过程中的文档资料必须要求规范齐全，达到一定级别的运维标准，实现系统运维全文档的准确跟踪记录，这样才能给日后的检查和维护带来更多的便利，也为优化揭西县棉湖华侨医院信息系统提供更多的数据理论依据参考。

5

3.3系统安全检查

为保障运行的安全稳定，降低安全事故发生概率，提供针对应用软件、数据库等系统安全检查方案，包括日常安全检查及阶段安全检查，有明确、有效的工作流程，使系统运行进入良性运行状态。每月进行一次。

系统安全检查需包括但不限于：

1、执行日常安检并进行记录。

2、定期执行更高级别的全面安全检查。

3、对巡检中发现的问题、隐患、解决方案以邮件方式及时报告技术团队及院方。

4、对非供应商软件原因造成的安全隐患，向院方提出合理建议。

日常安检项目需包含但不限于

1、检查数据库服务器的错误日志检查。

2、系统任务执行情况检查。

3、医疗系统软件服务器的错误日志检查。

4、医疗系统软件服务器运行情况检查。

5、数据库服务器及FTP服务器磁盘空间查看。

6、查看一致性检查结果。

7、备份服务器同步及检查。

8、执行系统及数据库的监测并保存结果。

9、运行环境备份检查。