信息系统安全等级保护测评服务方案.pdfVIP

信息系统安全等级保护测评服务方案

（一）建设背景

随着医院信息化的快速发展，网络资产正逐渐成为医院日常运营、管理的重要工

具和支撑，各种互联网应用如网上挂号、门诊、电子病历等系统越来越多，Web服务器、

存储设备、网络设备、安全设备越来越复杂，带给管理员的资产管理工作也愈发困难，

久而久之，日积月累，产生大量的无主资产、僵尸资产，并且这些资产长时间无人维护

导致存在大量的漏洞及配置违规，为医院信息系统安全带来极大的隐患。

为贯彻落实国家信息安全等级保护制度，进一步完善医院信息系统安全管理体系

和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,

切实提高医院系统信息安全防护能力,同时加强对医院信息系统安全的指导和检查工作，

特拟请独立、专业的第三方测评机构对医院信息系统进行等级保护测评服务。

（二）项目依据

服务单位应依据国家信息系统安全等级保护相关标准开展工作，依据标准（包括但

不限于）如下国家标准：

1.GB/T22239-2019：《信息安全技术网络安全等级保护基本要求》

2.GB/T22240-2020《信息安全技术网络安全等级保护定级指南》

3.GB/T28448-2019：《信息安全技术网络安全等级保护测评要求》

4.GB/T28449-2018：《信息安全技术网络安全等级保护测评过程指南》

5.GB/T25058-2019《信息安全技术网络安全等级保护实施指南》

（三）项目建设必要性

《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主

保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会

生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、

法人和其他组织的合法权益的危害程度等因素确定。

（四）项目原则

本次信息系统等级保护测评实施方案设计与具体实施应满足以下原则：

1.保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何

单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究服务单

位的责任。

2.标准性原则：测评方案的设计与实施应依据国家信息系统安全等级保护的相关

标准进行。

3.规范性原则：服务单位的工作过程和相关文档，应具有很好的规范性，可以便

于项目的跟踪和控制。

4.可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作

的可控性。

5.整体性原则：测评的范围和内容应当整体全面，包括国家信息系统安全等级保

护相关要求涉及的各个层面。

6.最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；不

能对现有信息系统的正常运行、业务的正常开展产生任何影响。

（五）项目建设内容

（1）项目概况（内容、用途、数量）

信息系统安全等级保护测评服务项目

（2）测评系统清单

依据相关技术规范，对现有的2个三级信息系统进行安全等级保护测评工作。具体

测评系统名称及等级见下表:

序号系统名称系统等级

1基础支撑系统三级

2面向病患的管理系统三级

（3）测评服务对象

通过等级保护测评全面分析应用系统的安全保护措施与等级保护相应级别之间的

差距，进行合规性分析，为系统等级保护加固整改提供客观依据，测评的内容包括但不

限于以下内容：

一是安全通用要求（安全物理环境、安全通信网络、安全区域边界、安全计算环境、

安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运

维管理）。

二是现场测评完成后的整改建议服务。

具体如下：

1.安全物理环境

安全物理环境测评主要关注机房在物理位置选择、物理访问控制、供电等方面的安

全保护能力，具体测评指标描述如下表所示。

序号安全子类测评指标描述

测评机房物理场所在位置上是否具有防