服务名称

服务内容要求

等级保护测评服务

一、总体要求

依据《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家标准及行业标准为我院提供信息安全等级保护测评服务，按照公安部统一制订的《信息系统安全等级保护测评报告模板》格式出具具有法律效力的测评报告；投标人应按照《吉林省网络安全等级保护测评机构管理办法（试行）》第十五条，与我院签署测评服务协议，依据有关标准规范开展测评业务，防范测评风险，客观准确地反映被测评对象的安全保护状况。本次测评系统包括2个三级系统（具体包括：HIS系统、PACS系统）。

二、实施原则

符合性原则：应符合国家信息安全等级保护制度及相关法律法规。

标准性原则：方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。

规范性原则：项目实施应由专业的等级保护测评师依照规范的操作流程进行，以便于项目的跟踪和控制。

可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。

最小影响原则： 项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。

三、等级保护测评内容具体要求：

1、前期准备阶段：（1）项目启动，双方签订测评委托书、测评申请书、保密协议。中标供应商制作测评项目计划书，得到我院同意认可并签字，准备项目正式启动。（2）前期调研，中标供应商开展对我院被测评系统的详细调研，包括系统所在的物理环境、网络环境、主机环境、应用系统情况、安全管理情况等等被测评系统的基本信息，物理位置，行业特征，管理框架，管理策略，网络及设备部署情况，用户范围，用户类型，被测系统所处的运行环境及面临的威胁等，我院将提供所有纸制及电子档资料，并派专人进行全程配合调研。

2、方案编制阶段：中标供应商应依据前期准备阶段的调研结果，明确被测系统的整体结构，设备情况，网络结构和外部边界情况等。明确系统现有区域划分。明确系统主要设备和主要承载的业务、软件安装情况及各设备之间的关系。明确系统网络和应用拓扑架构，依据GB/T 28448-2012中关于测评对象的选取原则，结合被测系统的安全级别和重要程度，综合分析后确定测评对象，根据类别加以描述，测评对象包括但不限于机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。依据三级标准，明确具体测评内容，并依据具体测评内容，编制测评方案和测评指导书。

3、现场测评阶段：依据测评方案、测评项目计划和测评指导书，采用访谈、核查和测试等方式，对被测系统的物理、网络、主机、应用、数据、管理制度等各方面开展现场测评工作，我院将提供配合人员和各项资源。中标供应商应保证现场测评阶段所有由我院提供的纸制及电子档资料的完整性和保密性，在现场测评阶段结束后一并归还于我院。

4、报告编制阶段。中标供应商依据现场对各单元测评的结果，对被测系统进行综合分析与判定，并从整体安全角度出发，进行整体分析与判定，综合考虑区域间、层面间等因素，综合分析与判断被测系统的安全防护能力与风险，形成测评结论，按照公安部统一制订的《信息系统安全等级保护测评报告模板》格式出具具有法律效力的测评报告。

5、项目验收阶段，中标供应商在报告编制完成后，在合同规定时间内，向我院提供等级保护测评报告；最终项目验收标准以测评报告提交给我院为依据。