| 序号 | 名称 | 技术参数指标 |
| 1 | 等级保护测评服 务 (1次) | 参照国家等级保护2.0技术标准对焦作煤业(集团)有限责任公司中央医院单位信息系统(HIS、LIS、PACS、EMR系统)按照等级保护第3级标准开展测评和差距分析,出具整改意见和测评报告,协助完成系统定级专家评审工作,完成本次测评报告在网安部门的备案工作,并取得有效的备案证明。 |
| 要求与《信息安全等级保护管理办法》(公通字[2007]43号)、《信息系统安全等级保护实施指南》(信安字[2007]10号)和《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号)(含附件)等公安部信息安全等级保护系列文件要求保持一致。 |
| 单项测评 等级保护单项测评工作可为安全技术测评和安全管理测评两大类。 安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。 详细内容包括: 1.安全物理环境。安全物理环境测评应通过访谈、检查和测试的方式评测信息系统的物理安全保障情况。在内容上,物理安全层面测评实施过程应涉及物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10个工作单元。 2.安全通信网络。安全通信网络测评应通过访谈、检查和测试的方式评测信息系统的网络通信情况。在内容上,安全通信网络层面测评过程应涉及网络架构、通信传输、可信验证3个工作单元的测评。 3.安全区域边界。安全通信网络测评应通过访谈、检查和测试的方式评测信息系统的网络边界防护情况。在内容上,安全区域边界层面测评过程应涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证6个工作单元的测评。 4.安全计算环境。安全计算环境测评应通过访谈、检查和测试的方式评测信息系统的安全计算环境中主机、应用、数据的安全防护情况。在内容上,安全计算环境层面测评实施过程应涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11个工作单元的测评。 5.安全管理中心。安全管理中心应通过访谈、检查和测试的方式评测信息系统的综合安全管理情况。在内容上,安全管理中心实施过程应涉及系统管理、审计管理、安全管理、集中管控4个工作单元的测评。 6.安全管理制度。安全管理制度测评应通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程应涉及安全策略、管理制度、制定和发布、评审和修订4个工作单元的测评。 7.安全管理机构。安全管理机构测评应通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程应涉及岗位设置、人员配备、授权和审批、沟通与合作、审核和检查5个工作单元的测评。 8.人员安全管理。人员安全管理测评应通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程应涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个工作单元的测评。 9.安全建设管理。安全建设管理测评应通过访谈和检查的形式评测系统安全建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全建设管理测评实施过程应涉及系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务投标人选择10个工作单元的测评。 10.安全运维管理。安全运维管理测评应通过访谈和检查的形式评测系统安全运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程应涉及环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理14个工作单元的测评。 |
| 整体测评 1. 等级保护对象整体测评应从安全控制点、安全控制点间和区域间等方面进行测评和综合安全分析从而给出等级测评结论。整体测评包括安全控制点测评、安全控制点间测评和区域间测评。安全控制点测评是指对单个控制点中所有要求项的符合程度进行分析和判定。 2. 安全控制点间安全测评是指对同一区域同一类内的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对等级保护对象整体安全保护能力的影响。 3. 区域间安全测评是指对互连互通的不同区域之间的关联进行测评分析,其目的是确定这些关联对等级保护对象整体安全保护能力的影响。 |
| ※交付物:出具《信息系统安全测评方案》《测评中发现的问题汇总》《网络安全等级测评报告》《XX系统渗透测试报告》《信息系统安全等级测评报告》《网络安全等级测评整改建议》并做好整改工作,提供《整改报告》。提供公安网安部门颁发的《备案证明》或在网络安全等级保护测评项目登记管理系统中的上传记录。 |
| 2 | 安全运维服务(1年) | 1、服务内容 1.1、资产梳理服务 (1年1次) 通过分析服务器、网络设备、安全设备、数据库、中间件、应用组件等资产的信息,收集服务器上的系统账号、开放端口、软件版本和网站后台信息等,协助招标方对资产情况进行全面的梳理。 输出结果:《资产清单》 |
| 1.2安全咨询服务 (实时) 为招标方提供7*24小时咨询热线,随时随地解答招标方的网络安全疑问。 |
| 1.3风险评估服务 (1年1次) 依据《信息安全风险评估规范》等技术标准,从风险管理的角度,运用科学的方法和手段,全面的分析信息系统所面临的威胁及其存在的脆弱性。安全专家将评估安全事件发生后可能造成的危害程度,为招标方提出针对性的防护对策和整改措施。 输出结果:《风险评估报告》 |
| 1.4安全巡检服务 (1年6次) 对信息系统定期巡检,及时发现信息系统(网络架构、网络设备、主机、数据库、安全设备等对象)存在的各种安全隐患,巡检完毕后提供设备巡检报告和加固建议。 输出结果:《巡检报告》 |
| 1.5基线核查 (1年1次) 针对主机、数据库、网络设备、安全设备、应用等对象基于信息安全风险的角度进行配置核查,核查内容包含安全策略设置、审计策略、口令策略、漏洞修复情况、防病毒措施等。 输出结果:《基线核查报告》 |
| 1.6安全加固服务 (1年2次) 依据安全配置标准,对招标方服务器、网络设备、应用系统、操作系统、中间件、数据库等对象进行全面的安全策略加固。 输出结果:《安全加固报告》 |
| 1.7漏洞扫描服务 (1年6次) 对业务系统及数据库系统进行定期现场安全漏洞检测,掌握应用系统存在的安全隐患,及时落实修补措施,并提供巡检报告。 输出结果:《漏洞扫描报告》 |
| 1.8渗透测试服务 (1年4次) 在招标方授权许可的情况下,由供应商渗透测试专家模拟黑客的攻击方法,对信息系统的现状进行安全评估。渗透测试过程包括对系统的弱点、技术缺陷进行分析和利用,将入侵的过程和发现的漏洞详情形成报告反馈给招标方,并提出解决方案,配合招标方修复漏洞。 输出结果《渗透测试报告》 |
| 1.9网络巡检(1年4次) 供应商配合招标方整理出整个网络的拓扑,现场巡检硬件是否有故障、报警。 输出结果:《网络巡检报告》 |
| 1.10攻防演习(1年1次) ①攻防演习事前宣讲会议,制定攻防演习计划·对接到每个技术人员的分工,下达时间点任务。 ②资产排查-提供资产梳理,安全巡检,信息收集,风险评估,基线核查,等服务梳理客户资产威胁点并通过安全加固对风险进行处置并形成《资产梳理》,《安全巡检》等报告。 ③防御-防火墙,IPS,态势感知等网络安全设备策略配置调优,对中高危风险报警进行研判分析和风险处置并形成《安全设备问题处置报告》。 ④检测-通过漏洞扫描,渗透测试发现中高危漏洞,通过安全设备策略调优等方法处理中高危风险问题并形成《漏洞检测报告》。 ⑤监测-在攻防演习期间通过对防火墙,杀毒,日志审计,态势感知等设备的检测,查看风险日志并提出处置技术手段形成《风险处置报告》。 ⑥攻防演习复盘会议,通过对此次攻防演习的全流程分析总结及时发现问题获取经验对技术能力的迭代。 输出结果:《攻防演习报告》 |
| 1.11应急演练服务 (1年1次) 制定各类应急演练实施方案,对相关人员进行应急演练实施方案的教育和培训。定期举行应急演练实施方案的演练,保证当发生安全事件时,能够按照应急演练实施方案对系统进行应急处置,并且在应急演练结束后形成详细的应急演练报告。 输出结果:《应急演练报告》 |
| 1.12安全运营服务(1年6次) 依据安全配置标准,对客户服务器、网络设备、网络安全设备等对象进行全面的安全策略调优。 依托于安全运营平台,安全设备等,建立实时的资产风险模型,进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理体系。通过技术、流程和人有机结合的方式,通过对已有的安全产品、工具、服务产出的数据进行有效的分析,持续为客户输出价值,解决安全风险。 输出结果:《风险研判报告》、《风险处置报告》 |
| 1.13安全体系协助服务 (1年1次) 根据招标方自身情况,协助招标方建立完备的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理全套制度规范。 输出结果:《安全管理制度》 |
| 1.14重保服务 (按需) 在重要会议期间为招标方提供安全保障服务。重要会议活动前开展细致的资产梳理、隐患排查和安全检查;重要会议活动期间开展安全预警、实时安全监测和可用性监测;重要会议活动结束后进行总结分析,提出安全整改建议。 输出结果:《重保报告》 |
| 1.15安全培训服务(1年2次) 投标人邀请安全专家提供专业的安全培训服务。 输出结果:《培训材料》 |
| | | 1.16应急响应(按需) 在发生安全事件后帮助采购人,专业技术人员按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的7*24的紧急响应处理服务,帮助采购人迅速响应和处理信息安全事件。如事件发生后采购人需要则应该1分钟内联系到项目负责人,30分钟内技术到达采购人现场提供专业技术服务。(需提供加盖公章的承诺书) 输出结果:《培训材料》 |
| 3 | 安全服务软件产品(1年) | 服务细项 | 内容及要求 |
| 云端服务平台 | ★服务方应当具备云端7*24小时运行的服务平台,并具备以下能力为招标方提供专属的安全托管服务,支持对接我院现有下一代防火墙/和终端检测与响应,支持实时接收安全设备检测到的安全事件信息、安全日志数据提供托管服务,要求提供云端服务平台以及对接现网防火墙的功能截图并加盖公章 |
| 服务可视化平台 | 服务方需为我院提供服务的在线成果展示门户平台,平台应具备服务质量可视化展示,我院能通过可视化的数据,随时查看服务范围内业务资产安全状态,支持在线展示安全事件工单的处置进程和结果,支持在线对服务SLA进行查阅和监督,清晰的了解服务进展 |
| 配套服务组件 | ★为了保障7*24小时的服务效果和服务质量,要求服务方提供对本次服务资产的云内流量和行为采集服务组件,对云内威胁流量和异常行为数据进行采集;提供对本次服务资产的终端安全服务组件,提供对服务资产的威胁处理、病毒查杀、紧急隔离的能力,要求提供服务组件的软件著作权和上述功能截图,提供服务组件对接云端服务平台的技术证明材料 |
| 专属服务专家 | ★服务方需配置一名安全专家作为专属服务经理,为单位提供不少于5个业务虚拟机/物理机,期限不少于1年的云端持续7*24小时在线安全服务,安全专家需为我院创建专属的服务微信群,对招标方咨询或上报的安全问题进行及时响应并给出建议。 |
| 组件首次策略检查 | 服务方为服务配备的安全组件首次上线后,安全专家无需前往我院设备线上,通过服务平台即可在线对安全组件进行策略检查,给出策略优化方案,确保设备处于最佳防护状态 |
| 节假日守护 | 节假日期间有应急专家在线服务,对发生的重大安全事件进行7*24H在线响应,要求响应速度平均不少于30分钟,并在节假日期间每日进行7*24小时值守总结,在服务群发送节假日值守总结快报 |
| 安全事件快速响应处置 | 服务方安全专家需对服务资产爆发的日常安全事件(如:僵木蠕病毒攻击)进行快速清除,帮助恢复业务,消除或减轻影响,并通过服务群发送安全事件的响应情况通告 |
| 服务方针对重大安全事件需有后端应急专家7*24H快速响应支撑,帮助对事件进行紧急遏制、分析事件的影响范围、针对事件发生原因进行溯源排查、提供对应的安全加固方案等,并通过服务群发送安全事件的响应情况通告 |
| 服务总结报告 | 服务方需每月对招标方服务资产的安全状况进行分析总结,输出《安全运营月报》,并支持定期投递到招标方邮箱 |
| 服务方需总结该年度服务的安全运营情况,输出《年度安全运营总结报告》,并根据招标人需要对报告相关问题就行解读和答疑 |
| 服务承诺函 | ▲要求对上述所有服务内容,提供服务质量承诺函和相关服务能力截图,并加盖服务厂商公章 |
