差距测评-广东疾病预防控制中心.DOCVIP

广东省儿童预防接种信息报告管理系统信息安全等级保护需求书 项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，广东省疾病预防控制中心全面启动本单位的信息安全等级保护工作。 广东省疾病预防控制中心2011年11月对广东省儿童预防接种信息报告管理系统进行了差距测评。但由于广东省疾病预防控制中心在2013年进行搬迁，从旧址地址：广州市海珠区新港西路176号，搬迁到 新址地址：广州市番禺区大石镇群贤路160号，由此使硬件环境发生较大变化，由旧址有2个未定级小机房，变成现在的B级机房。按照国家相关规定，需要对原系统进行补充差距测评和系统整改，最后进行验收测评。 因此，我中心决定按照信息安全等级保护工作有关规定，邀请符合资格的第三方信息安全等级测评公司（简称第三方测评公司）完成对我中心评定为二级的“广东省儿童预防接种信息报告管理系统”，实施差距测评，出具整改建议方案和验收测评报告。 同时，需协助广东省急性传染病监测信息平台系统（三级）、广东省病媒生物监测网络直报信息系统、广东省儿童青少年健康监测网络系统、中心“卫生与健康”网站 、卫生防病检验实验室信息管理系统、中心办公自动化系统完成上述工作。 项目目标 根据《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》等标准及各个信息系统的安全保护等级，第三方测评公司通过人员访谈、文档审查、实地察看、配置检查、工具检测等方法从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面，判断协各系统现有的安全保护水平与国家信息安全等级保护管理规范和技术标准之间的差距，提出各信息系统的基本安全保护需求、合理的安全加固建议、等级保护差距分析报告和等级保护验收测评报告。 差距测评 差距测评委托具备信息安全等级保护测评资质的第三方测评公司实施，实施完补充出具《差距测评报告》和《安全整改建议》。 信息系统安全等级保护差距测评应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。 系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关。在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。 综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行，由此而获得信息系统对应安全等级保护级别的符合性结论。 验收测评 验收测评是在差距测评后，根据安全建设整改情况进行的另一项测评工作，实施完出具《验收测评报告》。第三方测评公司按标准进行验收测评并提交符合国家信息安全等级保护主管部门要求的验收测评报告，协助我中心的各信息系统通过国家信息安全等级保护主管部门的最终测评验收。 依据及参考规范 第三方测评公司必须依据如下标准实施测评服务： 序号 参照标准 1 《关于信息安全等级保护作的实施意见》（公通字[2004]66) 2 《信息安全等级保护管理办法》（公通字[2007]43号） 3 《信息安全技术信息系统安全等级保护基本要求》-GB/T22239-2008 4 《信息安全技术信息系统安全等级保护定级指南》-GB/T 22240-2008 5 《信息安全技术信息系统安全等级保护实施指南》 6 《信息安全技术信息系统安全等级保护测评要求》 7 《信息安全技术信息系统安全等级保护测评过程指南》 8 《计算机信息系统安全保护等级划分准则》（GB 17859-1999) 9 《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006) 10 《信息安全技术网络基础安全技术要求》（GB/T 20270-2006) 11 《信息安全技术操作系统安全技术要求》（GB/T 20272-2006) 12 《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006) 13 《信息安全技术服务器技术要求》（GB/T 21028-2007) 14 《信