信息系统等级保护定级及评测技术要求 .docxVIP

PAGE PAGE 1 / 6 信息系统等级保护定级及评测技术要求 一、评测内容 完成新疆维吾尔自治区卫生计生综合监督业务应用平台和《新疆卫生监督网》两个系统的备案工作（二级） 对以上两个信息系统进行等级保护差距测评。 客观的评价以上两个信息系统在等级保护工作中取得的成绩，按照科学的评估方法，对信息系统的安全现状进行等级保护差距测评，分析信息系统保护现状和信息安全等级保护基本要求之间的差距，评估目前两个信息系统是否符合国家及行业等级保护的相关标准，并出具等级保护测评报告，为开展系统等级保护整改建设奠定基础。矚慫润厲钐瘗睞枥庑赖。矚慫润厲钐瘗睞 枥庑赖賃。 协助新疆维吾尔自治区卫生厅卫生监督所建立信息安全等级保护管理体系。 根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，结合等级保护测评报告提出的安全管理体系与等级保护基本要求之间的差距，在信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面指导并协助建立健全符合相应等级要求的安全管理制度。聞創沟燴鐺險爱氇谴净。聞創沟燴鐺險爱氇谴净祸。 协助新疆维吾尔自治区卫生厅卫生监督所进行信息安全等级保护安全技术整改。 根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距，综合重要信息系统的特点， 明确安全需求，设计符合相应等级要求的信息系统安全技术建设整改方案，协助开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。残骛楼諍锩瀨濟溆塹籟。残骛楼諍锩瀨濟溆塹籟婭。 完成信息安全等级保护的最终测评。 在指导和协助新疆维吾尔自治区卫生厅卫生监督所对信息系统安全等级保护整改建设项目完成之后，对信息系统进行最终测评，提交各信息系统的测评报告，完成测评备案工作。 酽锕极額閉镇桧猪訣锥。酽锕极額閉镇桧猪訣锥顧。 二、实施范围 本次项目测评范围包括新疆维吾尔自治区卫生计生综合监督业务应用平台和《新疆卫生 监督网》，共计两个系统。 投标人须出具两个系统的定级报告、差距分析报告、整改建议书及最终测评报告，并协助甲方完成备案工作；须组织专家对差距分析报告及整改建议书进行评审。彈贸摄尔霁毙攬砖卤庑。 彈贸摄尔霁毙攬砖卤庑诒。 三、项目实施原则 客观性和公正性原则： 测评人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案， 基于明确定义的测评方式和解释，实施评估活动。謀荞抟箧飆鐸怼类蒋薔。謀荞抟箧飆鐸怼类蒋薔點。 可重复性和可再现性原则： 依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。厦礴恳蹒骈時盡继價骚。厦礴恳蹒骈時盡继價骚卺。 连续性原则： 确保在高速变化的信息安全环境中，在有效的服务期间内，保证采购方风险评估结论的准确性和及时性，对于采购方单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低了采购方单位的成本，从信息安全性上，保证信息安全测评的动态稳定性。茕桢广鳓鯡选块网羈泪。茕桢广鳓鯡选块网羈泪镀。 扩展性原则： 在评估过程结束后，信息安全测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。鹅娅尽損鹌惨歷茏鴛賴。鹅娅尽損鹌惨歷茏鴛賴縈。 保密原则： 在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。籟丛妈 羥为贍偾蛏练淨。籟丛妈羥为贍偾蛏练淨槠。 互动原则： 在整个测评过程中，强调采购方的互动参与，每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。預頌圣鉉儐歲龈讶骅 籴。預頌圣鉉儐歲龈讶骅籴買。 最小影响原则： 测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。渗 釤呛俨匀谔鱉调硯錦。渗釤呛俨匀谔鱉调硯錦鋇。 规范性原则： 信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进 行，对操作过程和结果要有相应的记录，并提供完整的服务报告。铙誅卧泻噦圣骋贶頂廡。铙誅卧泻噦圣 骋贶頂廡缝。 质量保障原则： 在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。