武陟县人民医院信息安全等级保护
测评服务投标人须知
一、项目名称:武陟县人民医院信息安全等级保护测评服务
二、 地点:武陟县人民医院
三、服务内容:武陟县人民医院 HIS、LIS、PACS、电子病历四个系统信息安全等级保护测评服务、评测报告、整改报告及评测证书等,详细内容如下:
1.协助采购单位组织完成所有被测系统的定级、备案工作
协助采购单位组织完成被测系统中所有信息系统的定级( 二级 )备案工作,包含但不限于完成信息系统定级备案材料、通过信息系统定级专家评审、提交信息系统定级备案材料至网安部门,协助采购单位取得《信息系统备案证明》。
2.网络安全等级保护测评
根据国家安全评估、等级保护相关标准,信息系统的安全评估、等级保护测评应包括以下内容 :
2.1安全物理环境
物理安全测评是对信息系统的机房和办公场所的物理环境安全防护情况进行测评,包括机房位置选址、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
2.2安全通信网络
网络安全测评是对信息系统的网络系统安全防护情况进行测评,包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。
2.3安全区域边界
主机安全测评是对信息系统的服务器、数据库和终端主机系统的安全防护情况进行测评,包括操作系统和数据库层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源控制等方面的安全状况。
2.4安全计算环境
应用安全测评是对信息系统的业务系统的安全防护情况进行测评,包括应用系统层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、应用系统的资源控制等方面的安全状况。
2.5安全管理中心
数据安全及备份恢复测评是对信息系统的数据安全保护情况进行测评,包括数据在传输和存储过程中的完整性、保密性措施,数据备份和恢复措施。
2.6安全管理机构
安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
2.7安全管理制度
安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
2.8人员安全管理
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
2.9安全建设管理
安全建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等情况进行测评。
2.1***安全运维管理
安全运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心,网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。
3.商用密码应用安全性评估指导/咨询
依据 GB/T39786-2***21《信息安全技术 信息系统密码应用基本要求》对信息系统开展了商用密码应用安全性评估工作,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面进行商用密码应用安全性评估,通过初步评估,根据被测信息系统当前的安全状况,给出改进建议,为后续的商用密码应用安全工作提供有效的指导和咨询。
3.1物理和环境安全
信息系统所在物理环境人员进出的身份鉴别、电子门禁记承数据存储的完整性、视频监控记录存储的完整性。
3.2网络和通信安全
网络通信实体的身份鉴别、通信数据的完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证。
3.3设备和计算安全
登录设备用户的身份登别、设备远程管理通道安全、设备系统资源访问控制信息的完整性、重要信息资源安全标记的完整性、设备日志记录的完整性、重要可执行程序完整性和重要可执行程序来源的真实性。
3.4应用和数据安全
应用系统用户的身份鉴别、系统访问控制信息的完整性、重要信息资源安全标记完整性、重要数据传输的机密重要数据有 ;储的机密性、重要数据传输的完整性、重要数据存储的完整性、用户行为的不可否认性。
3.5管理制度
密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行主程记录留存。
3.6人员管理
相关人员了解并遵守相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度。
3.7建设运行
制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行商用密码应用安全性评估、定期开展商用密码应用安全性评估及攻防对抗演习。
3.8应急处置
制定密码应用应急策略、建立安全事件处置程序、及时向有关主管部门上报处置情况。
4.安全管理制度体系建设服务
根据网络安全等级保护和商用密码应用安全性评估中对安全管理层面的需求,协助采购单位建立网络安全和商用密码应用的安全管理体系,建立并完善安全管理、机构设置、人员管理、系统建设和运行等层面的管理制度,补充执行管理制度所需的过程文档。
5.安全培训和咨询服务
培训目的 :使采购人熟悉国家对网络安全等级保护及商用密码应用安全相应法律法规的内容、测评内容及方法。
培训内容 :网络安全等级保护法律法规、测评内容及方法;商用密码应用安全相关法律法规、测评内容及方法;当前网络安全形势及网络安全加固基础知识。
培训对象 :采购人信息安全管理人员。
培训教师 :培训教师须具备相应认证资质与丰富经验。
6.应急响应服务
在国家法定节假日、国家或自治区重要会议、安全事件大规模爆发等重要时刻,提供 7x24小时应急响应支撑服务。
7.安全巡检服务
周期性巡检和安全问题预警。根据《 GB/T 22239信息安全技术 信息系统安全等级保护基本要求》中相关要求,将定期进行安全巡检,调研安全变化趋势,实现对风险的监控。同时收集外部安全威胁情报,结合内部状况进行安全预警。
公司名称:(盖章)
委托代理人:(签字并按手印)
联系电话:
年 月 日
