2021年系统等级保护测评采购项目技术和服务要求.docxVIP

2021年系统等级保护测评采购项目技术和服务要求.docx

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

2021年系统等级保护测评采购项目技术和服务要求

1项目背景

根据《网络安全法》和闽卫规划发明电(2020)295号文:福建省卫生健康委员会福建省公安厅关于进一步推进全省卫生健康行业网络安全等级保护工作的通知要求,我院拟对医院信息系统(HIS)、电子病历系统(EMR)、医学影像系统(PACSRIS)、实验室信息管理系统(LIS)、门户网站、移动APP系统、互联网+健康医疗系统、集成平台、公共显示大屏播报系统开展2021年度安全等级保护测评。

2技术服务要求

2.1业务系统清单

序号 系统名称测评等级

序号 系统名称

测评等级

医院信息系统(HIS)>电了病

历系统(EMR)、医学影像系统

1(PACSRIS)、实验室信息管理 三级 1项

系统(LIS)、门户网站、移动

APP系统、互联网+健康医疗系

统、集成平台、公共显示大屏

播报系统

2.2等级保护测评服务依据标准

投标人需依据国家等级保护相关标准开展工作。

/?GB/T17859-1999《计算机信息系统安全保护等级划分准则》

/?GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

/?GB/T28448-2019信息安全技术网络安全等级保护测评要求

GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

GB/T28449-2018信息安全技术网络安全等级保护测评过程指南/信息安全等级保护管理办法(公通字(2007)43号)

/?测评要求需符合国家最新要求

2.3技术服务内容

2.3.1信息系统评估与测评服务

通过风险评估、安全扫描、渗透测试、现场访谈和资料查阅等测评手段,准确反映采购人待测信息系统的安全防护能力现状,对发现的问题进行深入分析,提岀安全整改建议,最终出具信息系统等级保护测评报告和安全风险评估报告。

★根据公安部第十一局关于印发《网络安全等级保护测评机构管理办法》(公信安(2018)765号)的要求,投标人须具有等保测评资质(须在网络安全等级保护网

()中“全国网络安全等级保护测评机构推荐目录”可查阅)。

2.3.2等级保护测评服务内容

根据国家等级保护相关标准,投标人对采购人信息系统安全等级保护测评的内容包括:

序号 测评内容

(1) 安全物理环境(物理位置选择,物理访问控制,防盗窃和防破坏,防雷击,

1 技术测评防火,防水和防潮,防静电,温湿度控制,

电力供应,电磁防护);

(2) 安全通信网络(网络架构,通信传

输,可信验证);

(3)安全区域边界(边界防护,访问控制,入侵防范,恶意代码和垃圾邮件防范,安全审计,可信验证);

(4)安全计算环境(身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,可信验证,数据完整性,数据保密性,数据备份恢复,剩余信息保护,个人信息保护);

(5)安全管理中心(系统管理,审计管理,安全管理,集屮管控);

(1)安全管理制度(管理制度,制定和发布,评审和修订);

2管理测评(2)

2管理测评

(3) 安全管理人员(人员录用,人员离岗,安全意识教育和培训,外部人员访问管理);

(4)安全建设管理(定级和备案,安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,等级测评,服务投标人选择);

(5)安全运维管理(环境管理,资产管理,介质管理,设备维护管理,漏洞和风险管理,网络与系统安全管理,恶意代码防范管理,配置管理,密码管理,变更管理,备份与恢复管理,安全事件处置,应急预案管理,外包运维管理);

(1) 安全物理环境(基础设施位置);

(2) 安全通信网络(网络架构);

扩展测评3云计算(

扩展测评

3

云计算

(4)安全计算环境(身份鉴别,访问控制,入侵防范,镜像和快照保护,数据完整性和保密性,数据备份恢复,剩余信息保护);

(5) 安全管理中心(集中管控);

(6) 安全建设管理(云服务商选择,供应链管理);

(7) 安全运维管理(云计算环境管理);

4项目成果文档资料:网络安全等级保护测评报告。

2.3.3测评原则

本次安全保护等级保护测评实施应满足以下原则:

(1) 保密原则:中标人对测评的过程数据和结果数据须严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究其责任。

(2) 标准性原则:测评方案的设计与实施须依据国家等级保护的相关标准进行。

(3) 规范性原则:评测工作中的过程和文档,须具有很好的规范性,便于采购人对项目的跟踪和控制。

(4) 可控性原则:测评服务的进度要跟上进度表的安排

文档评论(0)

jiangwen666 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档