网络安全等级保护测评服务服务需求书.pdf

网络安全等级保护测评服务服务需求书

一、服务要求：

1）为保证项目如期完成，项目实施方需设立项目团队，并合理配备项

目人员，并接受当地监管部门的监督检查。人员保持相对稳定，其中项目经

理须全程现场参与本项目，不得随意更换，项目团队如有人员变更须经采购

人对应业务部门同意。

2）测评人员人数不得少于4名，其中高级测评师、中级测评师应各不

少于1名。项目经理必须熟练掌握信息安全相关标准与规范，具备丰富的

信息安全测评工作经验，具有成熟的信息安全技术和项目管理能力，能够应

对可能的突发性安全事件应急工作；测评人员应具备丰富的测评项目经验，

熟悉网络安全相关法规，具备独立开展信息安全技术服务的能力。

3）测评人员在入场前须提供身份证、网络（信息）安全等级测评师证

书、社保缴纳证明等原件供采购人进行核对，并签订保密协议，如发现人证

不一致，对投标人按虚假应标处理，采购人有权终止合同。由于本次测评涉

及的业务系统服务不可中断，测评期间需提供7*8小时驻场服务，直至测评

工作结束。

4）投标人需具备网络安全防护专业能力，保证项目实施过程中能够及

时处置网络安全隐患，防止项目实施过程中出现黑客攻击入侵、篡改事件、

感染勒索病毒等安全风险，保障信息系统的稳定运行。

5）投标人需针对本项目设立售后服务机构，人员不得与测评实施人员

重复。售后服务人员需具有利用管理措施和技术手段实施安全服务、建立管

理流程和管控方法的服务能力，可为采购人风险评估、安全运维、安全整改、

系统软件测试验收提供咨询服务和技术指导。

二、技术要求

为贯彻落实国家网络安全等级保护制度，人民医院决定对本单位开展网

络安全等级保护测评工作，并进一步完善人民医院的信息系统安全管理体系

和技术防护体系，增强网络安全保护意识，切实提高人民医院网络安全防护

能力。

依据相关文件及标准要求，对人民医院的信息系统进行等级保护测评。

等级保护测评服务

本次测评的系统为3个三级系统、1个二级系统，测评内容涵盖安全物

理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安

全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

等网络安全的各个层面。

1）测评依据

1、《网络安全法》

2、《计算机信息系统安全保护条例》

3、GB17859—1999《计算机信息系统安全保护等级划分准则》

4、《信息安全等级保护管理办法》

5、GB/T22239—2019《信息安全技术网络安全等级保护基本要求》

6、GB/T28448—2019《信息安全技术网络安全等级保护测评要求》

7、GB/T28449—2018《信息安全技术网络安全等级保护测评过程指

南》

2）测评内容和方法

网络安全等级保护测评内容主要包括安全技术测评和安全管理测评。其

中安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计

算环境和安全管理中心；安全管理测评包括安全管理制度、安全管理机构、

安全管理人员、安全建设管理和安全运维管理。

1.安全物理环境测评包括物理位置选择、物理访问控制、防盗窃和防破

坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防

护等方面；

2.安全通信网络测评主要验证对象为广域网、城域网和局域网等；包括

网络架构、通信传输和可信验证等方面；

3.安全区域边界测评主要对象为系统边界和区域边界等；包括边界防护、

访问控制、入侵防范、恶意代码防范、安全审计和可信验证等方面；

4.安全计算环境测评主要对象为边界内部的所有对象，包括网络设备、

安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉

及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、

可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人

信息保护等方面；

5.安全管理中心测评主要对象为集中管控平台、集中运维平台、日志审

计系统等，包括系统管理、审计管理、安全管理和集中管控等方面；

6.安全管理制度测评主要对象为信息安全管理体系、日常安全管理制度、

重要操作规程及相关执行记录等；

7.安全管理机构测评主要对象为安全管理机构设立文档、信息安全小组

名单、岗位说明书等文档及执行记录；