温州中医院息安全等级保护.DOCVIP

温州市中医院息安全等级保护 招标内容及要求 一、项目背景 为贯彻落实国家信息安全等级保护制度，温州市中医院决定对本单位开展信息安全等级保护测评工作，并进一步完善温州市中医院的信息系统安全管理体系和技术防护体系、增强信息安全保护意识、明确信息安全保障重点、落实信息安全责任等工作提供依据，切实提高温州市中医院系统信息安全防护能力。 二、项目依据 中办【2003】27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知） 公通字【2004】66号文件（关于印发《信息安全等级保护工作的实施意见》的通知） 公通字【2007】43号文件（关于印发《信息安全等级保护管理办法》的通知） 公信安【2007】861号文件（关于印发《关于开展全国重要信息系统安全等级保护定级工作》的通知） 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 《信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息安全等级保护实施指南》（报批稿） 《信息系统安全保护等级定级指南》（GB/T 22240-2008） 《信息系统安全等级保护测评准则》（送审稿） 《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术网络基础安全技术要求》（GB/T20270-2006） 《信息安全技术操作系统安全技术要求》（GB/T20272-2006） 《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术终端计算机系统安全等级技术要求》（GA/T671） 《信息系统安全安全管理要求》（GB/T20269） 《信息系统安全工程管理要求》（GB/T20282） 《信息安全技术服务器技术要求》 《信息安全技术信息系统安全等级保护基本要求》GB/T aaaaa-xxxx ISO/IEC 27001 信息系统安全管理体系标准 ▲三、项目工作内容 1、本次测评的信息系统清单如下表： 序号 系统名称 级别 1 办公自动化系统 二级 2 门户网站系统 二级 3 基础支撑系统 三级 4 面向病人的综合业务系统 三级 2、等保安全整改方案设计服务 根据等级保护测评报告与风险评估结果，针对存在的安全隐患以及未落实的安全措施制订安全整改方案，明确整改的目标、项目和进度，拟定信息安全标准与规范。 （1）依据安全整改方案，提出符合等级保护《基本办法》要求的安全专用产品，完成相应安全域的划分及拓扑设计。 （2） 依据安全整改方案，落实安全技术措施，提供温州市中医院的信息安全规范与标准。 （3）依据安全整改方案，建立温州市中医院安全管理制度要求。 （4）依据安全整改方案，按照等级保护要求建立相关管理制度。 3、等保第三方测评服务 信息系统整改完成后，中标人负责开展符合国家规定的第三方测评机构测评。经测评，信息系统安全状况未达到安全保护等级要求的，需要再制定方案进行整改。 4、安全服务 (1)安全制度建设服务 中标方 (2)技术咨询 标方能够提供信息安全方面的技术咨询服务，。 在等级保护测评过程中，必须依照以下标准： （1）《信息安全等级保护管理办法》 （2）《信息安全风险评估规范》 （3）《信息系统安全等级保护定级指南》 （4）《信息系统安全等级保护基本要求》 （5）《信息系统安全等级保护测评准则》 （6）《计算机信息系统安全保护等级划分准则》（GB17859-1999） （7）《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006） （8）《信息安全技术 网络基础安全技术要求》（GB/T20270-2006） （9）《信息安全技术 操作系统安全技术要求》（GB/T20272-2006） （10）《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） （11）《信息安全技术 服务器技术要求》 （12）《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006） 6、等级保护测评流程 整个等级保护测评过程至少包括以下几个阶段： a) 确定测评范围 明确本次被测评系统的范围，包括每个信息系统的范围、各个等级信息系统的范围，信息系统的边界等。 b) 获得信息系统的信息 通过调查或查阅资料的方式，了解被测评信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 c) 确定具体的测评对象 初步确定每个等级信息系统的被测评对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。 d) 确定测评工作的方法 根据信息系统安全等级情况、系统规模大小等，明确本次测评的方法。 e) 制定测评工作计划 制定测评工作计划或方案，说明测评范围、测评对象、工作方法、人员组成、