网络安全等级保护测评项目需求.pdfVIP

网络安全等级保护测评项目需求

一、范围包括

本次项目服务范围包括：协助等级保护定级备案服务、等级保护差距分析服

务（预测评）、通过测评结果提出整改建议服务、等级保护测评服务、安全培训、

应急支持、漏洞检测服务、渗透测试服务、及时通知服务、最新等级保护资料发

放、安全管理体系建设服务。具体报价范围、采购范围及所应达到的具体要求，

以本招标文件中商务、技术和服务的相应规定为准。

二、项目概述

根据国家《网络安全法》要求，为了保障采购人信息系统的平稳正常运行，

维护采购人整体业务的安全性，启动本次安全服务项目。通过本次安全服务项目

实现采购人信息系统的全面测评工作、涵盖技术与管理两大部分，对照国家《信

息安全技术网络安全等级保护基本要求》（GB/T22239-2019），找出信息系统存

在的各类安全风险和隐患。通过对信息系统的测评，发现安全风险，在被非法意

图的攻击者利用前修补漏洞消除风险。提交完整的测评报告，以备存档。同时可

在监管部门检查时，提供详实的文档供查验。

三、主要技术要求

1、信息安全政策依据

（一）信息系统实行安全等级保护；

（二）实行信息安全等级保护，抓紧建立信息安全等级保护制度，制定信息安

全等级保护的管理办法和技术指南；

2、项目实施遵循的技术标准

《网络安全法》

《信息安全等级保护管理办法》

《计算机信息系统安全保护条例》

《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）

《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）

《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）

《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）

《信息安全技术网络安全等级保护实施指南》（GB/T25058-2019）

《网络安全等级保护测评报告模版》（2021年版）等

3、等级保护测评服务

1）信息系统测评对象

本项目测评对象为医院管理系统系统、影像管理系统、电子病历管理系统、检

验系统、家庭医生签约、基层医疗管理系统、公共卫生系统（三级），包括管理、

使用、运维管理制度制定及落实情况，网络设备、服务器、安全设备、应用软件、

数据库、用户终端等安全技术保护情况。

2）信息系统测评内容

（一）安全技术测评

安全物理环境：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、

防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护；

安全通信网络：网络架构、通信传输、可信验证；

安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、

安全审计、可信验证；

安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、

可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息

保护；

安全管理中心：系统管理、审计管理、安全管理、集中管控；

（二）安全管理测评

安全管理制度：安全策略、管理制度、制定和发布、评审和修订；

安全管理机构：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查；

安全人员管理：人员录用、人员离岗、安全意识教育和培训、外部人员访问管

理；

安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、

外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理；

安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险

管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管

理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

3）信息系统测评过程

根据国家标准《信息安全技术网络安全等级保护测评过程指南》（GB/T

28449-2018）的规定，测评过程分为四个阶段：

（一）测评准备阶段：主要任务是掌握被测系统的详细情况，准备测试工具，

为编制测评方案做好准备；

（二）方案编制阶段：主要任务是确定与被测信息系统相适应的测评对象、测

评指标及测评内容等，并根据需要重用或开发测评指导书，形成测评方案；

（三）现场测评阶段：主要任务是按照测评方案的总体要求，严格执行测评指

导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统

的真实保护情况，获取足够证据，发现系统存在的安全问题；

（四）分析与报告编制阶段：