- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
网络安全等级保护测评服务服务需求书
一、服务要求:
1)为保证项目如期完成,项目实施方需设立项目团队,并合理配备项
目人员,并接受当地监管部门的监督检查。人员保持相对稳定,其中项目经
理须全程现场参与本项目,不得随意更换,项目团队如有人员变更须经采购
人对应业务部门同意。
2)测评人员人数不得少于4名,其中高级测评师、中级测评师应各不
少于1名。项目经理必须熟练掌握信息安全相关标准与规范,具备丰富的
信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应
对可能的突发性安全事件应急工作;测评人员应具备丰富的测评项目经验,
熟悉网络安全相关法规,具备独立开展信息安全技术服务的能力。
3)测评人员在入场前须提供身份证、网络(信息)安全等级测评师证
书、社保缴纳证明等原件供采购人进行核对,并签订保密协议,如发现人证
不一致,对投标人按虚假应标处理,采购人有权终止合同。由于本次测评涉
及的业务系统服务不可中断,测评期间需提供7*8小时驻场服务,直至测评
工作结束。
4)投标人需具备网络安全防护专业能力,保证项目实施过程中能够及
时处置网络安全隐患,防止项目实施过程中出现黑客攻击入侵、篡改事件、
感染勒索病毒等安全风险,保障信息系统的稳定运行。
5)投标人需针对本项目设立售后服务机构,人员不得与测评实施人员
重复。售后服务人员需具有利用管理措施和技术手段实施安全服务、建立管
理流程和管控方法的服务能力,可为采购人风险评估、安全运维、安全整改、
系统软件测试验收提供咨询服务和技术指导。
二、技术要求
为贯彻落实国家网络安全等级保护制度,人民医院决定对本单位开展网
络安全等级保护测评工作,并进一步完善人民医院的信息系统安全管理体系
和技术防护体系,增强网络安全保护意识,切实提高人民医院网络安全防护
能力。
依据相关文件及标准要求,对人民医院的信息系统进行等级保护测评。
等级保护测评服务
本次测评的系统为3个三级系统、1个二级系统,测评内容涵盖安全物
理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安
全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
等网络安全的各个层面。
1)测评依据
1、《网络安全法》
2、《计算机信息系统安全保护条例》
3、GB17859—1999《计算机信息系统安全保护等级划分准则》
4、《信息安全等级保护管理办法》
5、GB/T22239—2019《信息安全技术网络安全等级保护基本要求》
6、GB/T28448—2019《信息安全技术网络安全等级保护测评要求》
7、GB/T28449—2018《信息安全技术网络安全等级保护测评过程指
南》
2)测评内容和方法
网络安全等级保护测评内容主要包括安全技术测评和安全管理测评。其
中安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计
算环境和安全管理中心;安全管理测评包括安全管理制度、安全管理机构、
安全管理人员、安全建设管理和安全运维管理。
1.安全物理环境测评包括物理位置选择、物理访问控制、防盗窃和防破
坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防
护等方面;
2.安全通信网络测评主要验证对象为广域网、城域网和局域网等;包括
网络架构、通信传输和可信验证等方面;
3.安全区域边界测评主要对象为系统边界和区域边界等;包括边界防护、
访问控制、入侵防范、恶意代码防范、安全审计和可信验证等方面;
4.安全计算环境测评主要对象为边界内部的所有对象,包括网络设备、
安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉
及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、
可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人
信息保护等方面;
5.安全管理中心测评主要对象为集中管控平台、集中运维平台、日志审
计系统等,包括系统管理、审计管理、安全管理和集中管控等方面;
6.安全管理制度测评主要对象为信息安全管理体系、日常安全管理制度、
重要操作规程及相关执行记录等;
7.安全管理机构测评主要对象为安全管理机构设立文档、信息安全小组
名单、岗位说明书等文档及执行记录;
文档评论(0)