河南理工大学文件-新乡医学院三全学院西区.DOCVIP

PAGE —PAGE 7— 新乡医学院三全学院 重要信息系统等级保护测评服务 技术要求 2018年7月 项目概况 为贯彻党中央、国务院关于网络安全的统筹部署，落实《中华人民共和国网络安全法》的实行国家网络安全等级保护制度要求。根据教育部办公厅《教育行业网络安全综合治理行动方案》部署安排，对我院重要信息系统经过梳理，需对五个重要信息系统进行等级保护测评进行备案。等级保护等级为二级系统，分别为：教务综合系统（教务管理系统、教学平台、学务管理系统）、网站综合系统（网站群、信息门户）、一卡通系统 、办公自动化系统、人力资源管理系统。 二、项目实现的预期目标 此次我院重要信息系统等级保护测评服务的目标就是完成我院教务综合系统、网站综合系统、一卡通系统 、办公自动化系统、人力资源管理系统等共计五个系统的等级保护测评工作。 主要包括： 向市网安提交我院重要信息系统等级报告、备案表及专家定级评审意见等材料，完成五个重要信息系统的备案； 开展等级保护测评工作（分四个步骤：（1）系统调研准备阶段；（2）测评方案及作业指导文件编制阶段；（3）现场测评阶段（4）测评报告编制阶段（编制每个信息系统的等级测评报告）； 编制整改建议及协助整改建设工作； 取得每个信息系统的安全等级保护备案证明。 三、项目主要内容及实施方案 项目范围和内容为：完成我院教务综合、网站综合系统、一卡通系统 、办公自动化系统、人力资源管理系统名称等共计五个系统的二级等级保护测评工作，并取得系统备案证明。 （一）等级测评工作 是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动，是落实信息安全等级保护制度的重要环节。 测评时机：新建及改建信息系统、信息系统整改前、信息系统整改后。 在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求；在信息系统运维过程中，信息系统运营、使用单位定期委托测评机构开展等级测评，对信息系统安全等级保护状况进行安全测试，对信息安全管控能力进行考察和评价，从而判定信息系统是否具备相应等级安全保护能力。而且，等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。 信息安全等级测评工作主要包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。 其中，信息安全等级测评是信息安全等级测评工作的核心。 （二）项目流程图 （三）等级测评要求 对信息安全等级保护合规性状况进行评估，应包括两个方面的内容：一是安全控制合规性评估，主要评估信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体合规性评估，主要评估分析信息系统的整体安全性。其中，安全控制评估是信息系统整体安全测评的基础。 对安全控制合规性评估的描述，使用测评单元方式组织。测评单元分为安全技术和安全管理两大类。安全技术包括：物理安全、网络安全、主机安全、应用安全和数据安全五个层面上的安全控制合规性评估；安全管理包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制合规性评估。 根据《信息系统安全等级保护基本要求》，安全控制合规性评估的主要内容如下： 物理环境测评：包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。 网络系统测评：包括网络架构、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。 主机与数据库测评：主机与数据库身份鉴别、主机与数据库访问控制、主机与数据库 安全审计、主机与数据库入侵防范、主机恶意代码防范、信息资源安全、资源控制 等内容。 应用系统测评：包括应用系统身份鉴别、应用系统访问控制、应用系统安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。 数据及备份恢复测评：包括数据完整性、数据保密性、备份和恢复等内容。 安全管理测评：涵盖管理制度、管理机构、人员管理、系统建设、系统运维等方面。 系统整体合规性评估涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统整体评估要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况，结合《基本要求》，确定系统整体评估的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全