“三级等保”调研信息
“三级等保”调研信息
我院将对“三级等保”进行市场调研,请具有合格资质的公司到我院后勤保障部报名。报名资料封面需注明公司名称、项目名称、产品品牌及型号、联系方式、联系邮箱。资质要求:营业执照、法人授权书(法人与业务人员双方签字,并附双方身份证复印件),上述所有资料需真实有效,不得出现遗漏、过期、信息错误等情况,以上所有资料加盖鲜章。并将所有资质资料先发至邮箱:*********@qq.com%EF%BC%88%E5%8A%A1%E5%BF%85%E6%A0%87%E6%B3%A8%E9%A1%B9%E7%9B%AE%E5%90%8D%E7%A7%B0%E5%8F%8A%E5%85%AC%E5%8F%B8%E5%90%8D%E7%A7%B0%EF%BC%89%EF%BC%8C%E5%86%8D%E5%B0%86%E7%BA%B8%E8%B4%A8%E6%8A%A5%E5%90%8D%E8%B5%84%E6%96%99%E6%94%BE%E7%BD%AE%E9%97%A8%E5%8F%A3%E4%BF%9D%E5%AE%89%E5%A4%84%E7%9A%84%E8%B0%83%E7%A0%94%E8%B5%84%E6%96%99%E6%8A%95%E6%94%BE%E7%AE%B1%E9%87%8C%EF%BC%8C%E5%B9%B6%E7%99%BB%E8%AE%B0%E5%A5%BD%E5%8D%B3%E5%8F%AF%E3%80%82">*********@qq.com(务必标注项目名称及公司名称),再将纸质报名资料放置门口保安处的调研资料投放箱里,并登记好即可。
基本需求如下:
一、服务范围
序号 | 项目名称 | 单位 | 数量 | 备注 |
1 | HIS系统/信息平台等级保护(三级)测评服务 | 个 | 1 | |
2 | HERP等级保护(三级)测评服务 | 个 | 1 | |
3 | PACS系统等级保护(三级)测评服务 | 个 | 1 | |
4 | EMR系统等级保护(三级)测评服务 | 个 | 1 | |
5 | 集成平台系统等级保护(三级)测评服务 | 个 | 1 |
二、总体要求
1、项目实施周期要求
在具备测评条件后60个工作日内完成测评工作,并提交测评报告,若非测评方的原因导致项目延迟时间,则测评工作完成时间顺延。
2、测评机构资格要求
测评机构需具备《网络安全等级测评与检测评估机构服务认证证书》且在“四川省信息安全等级保护工作领导小组办公室推荐测评机构名单”中。
3、测评机构优选要求
中国合格评定国家认可委员会(CNAS)颁发的实验室认可证书(证书认可范围包含:软件产品);
具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书;
具有质量体系认证证书、信息安全管理体系认证证书、服务管理体系认证证书,认证范围包括“信息系统测评”;
三、标准和规范
《中华人民共和国网络安全法》
GB/T*****-2019《信息安全技术 网络安全等级保护基本要求》
GB/T*****-2019《信息安全技术 网络安全等级保护定级指南》
GB/T*****-2010《信息安全技术 信息系统安全等级保护实施指南》
GB/T*****-2019《信息安全技术 网络安全等级保护测评要求》
GB/T*****-2018《信息安全技术 网络安全等级保护测评过程指南》
GB/T*****-2018《信息安全技术 网络安全等级保护测试评估技术指南》
《信息安全等级保护管理办法》公通字 [2007] 43号
《网络安全等级保护测评机构管理办法》公信安 [2018] 765号
四、技术要求
1.测评及评估原则
保密性原则:中标人应与采购方签订保密协议,对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害的权益,否则有权追究的责任。
标准性原则:测评及评估方案的设计与实施应依据国家的相关标准进行。
规范性原则:项目实施方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
可控性原则:项目的进度应符合进度安排,保证对测评工作的可控性。
整体性原则:测评及评估的范围和内容应系统、全面、规范,满足等级保护的相关基本要求。
最小影响原则:技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。在线测评及评估应在许可的条件下进行。
2.测评及评估方法
测评及评估方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。
如需对系统安全等级保护测评实施过程中采用在线测评工具,各种工具软件由项目实施方推荐,经确认后由项目实施方提供并在工作中使用。
安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由项目实施方推荐,经确认后由项目实施方提供并在测评中使用。
3.等级保护测评内容
3.1安全物理环境
安全物理环境针对物理机房提出了安全控制要求,主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、安全等级保和电磁防护。
序号 | 工作单元名称 | 工作单元描述 |
1 | 物理位置的选择 | 检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 | 防水和防潮 | 检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 | 防静电 | 检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8 | 温湿度控制 | 检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9 | 电力供应 | 检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10 | 电磁防护 | 检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
3.2安全通信网络
安全通信网络针对网络架构和通信传输提岀了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括网络架构、通信传输和可信验证。
序号 | 工作单元名称 | 工作单元描述 |
1 | 网络架构 | 检查核心设备的CPU和内存使用率,整个网络带宽是否满足现状,VLAN划分是否合理,网络架构是否做到设备冗余、链路。 |
2 | 通信传输 | 检查数据在传输过程中的的完整性和保密性措施。 |
3 | 可信计算 | 检查设备是否进行可信验证。 |
3.3安全区域边界
安全区域边界针对网络边界提出了安全控制要求,主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
序号 | 工作单元名称 | 工作单元描述 |
1 | 边界防护 | 检查网络边界是否有访问控制设备,访问控制策略是否合理,是否关闭了闲置端口等。 |
2 | 访问控制 | 检查网络中的访问控制策略是否合理、有效。 |
3 | 入侵防范 | 检查网络中是否采用了入侵防范措施,验证该措施是否有效。 |
4 | 恶意代码和垃圾邮件防范 | 检查网络中是否有恶意代码和垃圾邮件防范措施。 |
5 | 安全审计 | 检查网络中是否有综合安全审计措施。 |
6 | 可信验证 | 检查设备是否进行可信验证。 |
3.4安全计算环境
安全计算环境针对边界内部提出了安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查所有设备的登录用户是否有身份鉴别措施,是否有复杂度、唯一性等检查。 |
2 | 访问控制 | 检查用户的权限分配情况,默认用户和默认口令使用情况等。 |
3 | 安全审计 | 检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。 |
4 | 入侵防范 | 检查设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
5 | 恶意代码防范 | 检查设备的恶意代码防范情况。 |
6 | 可信验证 | 检查设备是否进行可信验证。 |
7 | 数据完整性 | 检查系统数据的传输完整性和存储完整性措施。 |
8 | 数据保密性 | 检查系统数据的传输保密性和存储保密性措施。 |
9 | 数据备份恢复 | 检查系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
10 | 剩余信息保护 | 检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
11 | 个人信息保护 | 检查系统对个人信息的采集和使用情况。 |
3.5安全管理中心
安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集全等级。
序号 | 工作单元名称 | 工作单元描述 |
1 | 系统管理 | 包括但不限于检查是否对系统管理员进行统一的身份鉴别,操作审计等。 |
2 | 审计管理 | 包括但不限于检查是否对审计管理员进行统一的身份鉴别,操作审计 等。 |
3 | 安全管理 | 检查是否对安全管理员进行统一的身份鉴别,操作审计等 。 |
4 | 集中管控 | 包括但不限于检查是否划分独立的安全管理区域,是否对网络中运行的设备进行状态监测、日志审计、安全审计等,是否对补丁、恶意代代码进行统一管理。 |
3.6安全管理制度
安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
序号 | 工作单元名称 | 工作单元描述 |
1 | 安全策略 | 核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目 标、范围、原则和各类安全策略。 |
2 | 管理制度 | 检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
3 | 制定和发布 | 检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
4 | 评审和修订 | 检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
3.7安全管理机构
安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
序号 | 工作单元名称 | 工作单元描述 |
1 | 岗位设置 | 检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通和合作 | 检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
3.8安全管理人员
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
序号 | 工作单元名称 | 工作单元描述 |
1 | 人员录用 | 检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 安全意识教育和培训 | 检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
4 | 外部人员访问管理 | 检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
3.9安全建设管理
系统建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。
序号 | 工作单元名称 | 工作单元描述 |
1 | 定级和备案 | 检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
2 | 安全方案设计 | 检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 等级测评 | 检查系统之前等级测评的情况,以及之前测评机构的资质等。 |
10 | 服务供应商选择 | 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
3.10安全运维管理
系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。
序号 | 工作单元名称 | 工作单元描述 |
1 | 环境管理 | 检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备维护管理 | 检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 漏洞和风险管理 | 检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 |
6 | 网络和系统安全管理 | 检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容;检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修 改等内容;核查是否具有对日志、监测和报警数据等进行分析统计的报告;核查开通远程运维的审批记录,核查针对远程运维的审计日志是否不可以更改等。 |
7 | 恶意代码防范管理 | 检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 | 配置管理 | 检查是否对基本配置信息进行记录和保存,基本配置信息改变后是否及时更新基本配置信息库等。 |
9 | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 | 变更管理 | 检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 | 备份与恢复管理 | 检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 | 资产管理 | 检查是否有资产清单,清单是否包括资产类别、资产责任部门、 重要程度和所处位置等内容;是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施 的选取上是否不同;核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。 |
13 | 应急预案管理 | 检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
14 | 外包运维管理 | 检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 |
五、测评实施人员要求
1、项目经理要求
必须具备:信息安全等级测评师(高级)证书
优选具备:注册信息系统审计师(CISP-A)、软件性能测试高级工程师证书、注册云安全系统认证专家证书(CCSSP)
2、项目技术负责人要求
必须具备:信息安全等级测评师(中级)及以上证书
优选具备:注册渗透测试工程师(CISP-PTE)证书、工信部颁发的信息安全工程师证书、信息系统项目管理师
3、项目实施测评师要求
必须具备:信息安全等级测评师(中级)及以上证书
优选具备:具有网络安全高级工程师证书、具有注册云安全系统认证专家证书(CCSSP)、具有信息安全风险评估师证书、具有网络与信息安全应急人员证书。
4、项目质量控制工程师要求
必须具备:信息安全等级测评师(中级)及以上证书
优选具备:注册信息系统审计师(CISP-A)、工信部颁发的信息安全工程师证书
截止日期:2023年6月5日下午17:00(非工作日不接受报名)
联系人:王老师
联系地址:四川大学华西第四医院第七教学楼305室
联系电话:********
四川大学华西第四医院
2023年 6月 2日
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
