2021年系统等级保护测评采购项目技术和服务要求.docxVIP

2021年系统等级保护测评采购项目技术和服务要求

1项目背景

根据《网络安全法》和闽卫规划发明电(2020)295号文：福建省卫生健康委员会福建省公安厅关于进一步推进全省卫生健康行业网络安全等级保护工作的通知要求，我院拟对医院信息系统(HIS)、电子病历系统(EMR)、医学影像系统(PACSRIS)、实验室信息管理系统(LIS)、门户网站、移动APP系统、互联网+健康医疗系统、集成平台、公共显示大屏播报系统开展2021年度安全等级保护测评。

2技术服务要求

2.1业务系统清单

序号 系统名称测评等级

序号 系统名称

测评等级

医院信息系统(HIS)＞电了病

历系统(EMR)、医学影像系统

1(PACSRIS)、实验室信息管理 三级 1项

系统(LIS)、门户网站、移动

APP系统、互联网+健康医疗系

统、集成平台、公共显示大屏

播报系统

2.2等级保护测评服务依据标准

投标人需依据国家等级保护相关标准开展工作。

/?GB/T17859-1999《计算机信息系统安全保护等级划分准则》

/?GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

/?GB/T28448-2019信息安全技术网络安全等级保护测评要求

GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

GB/T28449-2018信息安全技术网络安全等级保护测评过程指南/信息安全等级保护管理办法（公通字（2007）43号）

/?测评要求需符合国家最新要求

2.3技术服务内容

2.3.1信息系统评估与测评服务

通过风险评估、安全扫描、渗透测试、现场访谈和资料查阅等测评手段，准确反映采购人待测信息系统的安全防护能力现状，对发现的问题进行深入分析，提岀安全整改建议,最终出具信息系统等级保护测评报告和安全风险评估报告。

★根据公安部第十一局关于印发《网络安全等级保护测评机构管理办法》（公信安（2018）765号）的要求，投标人须具有等保测评资质（须在网络安全等级保护网

（）中“全国网络安全等级保护测评机构推荐目录”可查阅）。

2.3.2等级保护测评服务内容

根据国家等级保护相关标准，投标人对采购人信息系统安全等级保护测评的内容包括：

序号 测评内容

（1） 安全物理环境（物理位置选择，物理访问控制，防盗窃和防破坏，防雷击，

1 技术测评防火，防水和防潮，防静电，温湿度控制，

电力供应，电磁防护）；

（2） 安全通信网络（网络架构，通信传

输，可信验证）；

（3）安全区域边界（边界防护，访问控制，入侵防范，恶意代码和垃圾邮件防范,安全审计，可信验证）;

（4）安全计算环境（身份鉴别，访问控制，安全审计，入侵防范，恶意代码防范,可信验证，数据完整性，数据保密性，数据备份恢复，剩余信息保护，个人信息保护）;

（5）安全管理中心（系统管理，审计管理，安全管理，集屮管控）；

（1）安全管理制度（管理制度，制定和发布，评审和修订）；

2管理测评（2）

2管理测评

（3） 安全管理人员（人员录用，人员离岗，安全意识教育和培训，外部人员访问管理）；

（4）安全建设管理（定级和备案，安全方案设计，产品采购和使用，自行软件开发，外包软件开发，工程实施，测试验收，系统交付，等级测评，服务投标人选择）；

（5）安全运维管理（环境管理，资产管理，介质管理，设备维护管理，漏洞和风险管理，网络与系统安全管理，恶意代码防范管理，配置管理，密码管理，变更管理，备份与恢复管理，安全事件处置，应急预案管理，外包运维管理）；

（1） 安全物理环境（基础设施位置）；

（2） 安全通信网络（网络架构）；

扩展测评3云计算（

扩展测评

3

云计算

（4）安全计算环境（身份鉴别，访问控制，入侵防范，镜像和快照保护，数据完整性和保密性，数据备份恢复，剩余信息保护）;

（5） 安全管理中心（集中管控）；

（6） 安全建设管理（云服务商选择，供应链管理）;

（7） 安全运维管理（云计算环境管理）；

4项目成果文档资料：网络安全等级保护测评报告。

2.3.3测评原则

本次安全保护等级保护测评实施应满足以下原则：

（1） 保密原则：中标人对测评的过程数据和结果数据须严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究其责任。

（2） 标准性原则：测评方案的设计与实施须依据国家等级保护的相关标准进行。

（3） 规范性原则：评测工作中的过程和文档，须具有很好的规范性，便于采购人对项目的跟踪和控制。

（4） 可控性原则：测评服务的进度要跟上进度表的安排