马鞍山立医疗集团基础支撑系统及网站OA系统.DOC

马鞍山市市立医疗集团基础支撑系统及网站OA系统 等级保护测评服务方案 第一章 项目概述 1、项目名称:市立医疗集团基础支撑系统及网站OA系统等级保护测评服务 2、项目建设单位和负责人、项目责任人:市立医疗集团 信息中心 辛国 张婷婷 3、项目建设方案编制依据 依据标准包括但不限于如下国家标准： GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 信息安全技术信息系统安全等级保护实施指南（报批稿） 信息系统安全等级保护测评准则（送审稿） 4、项目概况 等级保护是国家关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），（以下简称27号文）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）（以下简称66号文）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法， 27号文、66号文和223号令不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。信息化作为国家信息化战略的重要组成部分，其安全保障事关国家安全和社会稳定，必须按照27号文件要求，全面实施信息安全等级保护。 为深入贯彻省卫生厅《安徽省卫生行业信息安全等级保护工作实施指南（试行）》和2011年12月9日国家卫生部《关于印发卫生行业信息安全等级保护工作的指导意见的通知》（卫办发〔2011〕85号）文件精神，结合我集团卫生信息安全实际需求，并根据定级结果对已定级信息系统实施等级保护定级及测评工作。 信息系统等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统等级保护状况进行检测评估的活动。等级测评是标准符合性评判活动，即依据信息安全等级保护的国家标准或行业标准，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判。通过等级保护测评，可以全面掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力，提升自身的安全性。 第二章 测评系统信息化现状分析 市立医疗集团需测评的信息系统为基础支撑系统和网站OA系统 2.1基础支撑系统基本现状 市立医疗集团主要网络设备为思科交换机。为了更好的解决上述传统单一物理服务器部署应用方式所造成的弊端，市立医疗集团采用VMware虚拟架构软件的服务器虚拟架构解决方案。安全设备包含防火墙、入侵检测、网络版杀毒软件、桌面安全软件等。集团中心机房是业务生产的核心区域，为新建机房，设计标准严格按A类机房建设，完全符合《信息系统等级保护基本要求》技术要求，有容灾备份系统及异地灾备机房。 2.2 网站OA系统基本现状 市立医疗集团主要网络设备为华为交换机。安全设备包含防火墙、网页防篡改等。集团中心机房是业务生产的核心区域，为新建机房，设计标准严格按A类机房建设，完全符合《信息系统等级保护基本要求》技术要求。 服务方案 3.1 测评服务应满足的原则 本次等级保护测评实施方案设计与具体实施应满足以下原则： 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害马鞍山市医疗集团信息系统的行为，否则马鞍山市医疗集团有权追究投标人的责任。 标准性原则：测评机构案的设计与实施应依据国家等级保护的相关标准进行。 规范性原则：测评工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。 可控性原则：测评服务的进度要跟上进度表的安排，保证马鞍山市医疗集团对于测评工作的可控性。 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 最小影响原则：