各經(jīng)營企業(yè):
我院擬對以下項(xiàng)目開展市場信息征集工作,,請有相關(guān)產(chǎn)品及信息且有合法合格資質(zhì)的供應(yīng)商前來參加。
一,、調(diào)研項(xiàng)目內(nèi)容
|
項(xiàng)目名稱 |
科室 |
主要內(nèi)容 |
備注 |
|
雅安市人民醫(yī)院2025年等級保護(hù)測評服務(wù)項(xiàng)目
|
信息科 |
2025年等保測評服務(wù) (詳細(xì)見附件) |
|
二,、調(diào)研資料要求
1,、具有獨(dú)立承擔(dān)民事責(zé)任的能力,;2,、具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會計(jì)制度,;3、具有履行合同所必須的設(shè)備和專業(yè)技術(shù)能力,;4,、具有依法繳納稅收和社會保障資金的良好記錄;5,、企業(yè)財(cái)務(wù)和經(jīng)營狀況良好,,具備履行合同能力,無不良記錄,,無違法違紀(jì)記錄,;6、具備類似經(jīng)驗(yàn)或業(yè)績及服務(wù)能力,,并具備相關(guān)證明材料,;7、法律,、行政法規(guī)規(guī)定的其他條件,。本項(xiàng)目不接受聯(lián)合體參與。
(一)各企業(yè)需提供以下資料
1,、報(bào)名需提供資格證明文件:
* ①供應(yīng)商有效的企業(yè)法人營業(yè)執(zhí)照副本,、稅務(wù)登記證、組織機(jī)構(gòu)代碼證副本復(fù)印件(若供應(yīng)商已辦理三證合一的,,則只需提供有效的三證合一證書),;有效期內(nèi)安全生產(chǎn)許可證以及公司相關(guān)資質(zhì)證(例:工程類分包資質(zhì)等);
*②經(jīng)辦人員身份證復(fù)印件;
*③法定代表人授權(quán)書(原件),,法人身份證復(fù)印件,;
④相關(guān)證明材料;
⑤ 國家對該行業(yè)要求的其他相關(guān)資質(zhì),;
⑥廠家資質(zhì)(營業(yè)執(zhí)照,、稅務(wù)登記證、組織機(jī)構(gòu)代碼證)復(fù)印件(物資類),;⑦廠家授權(quán)(經(jīng)銷商需提供)(物資類);
*⑧報(bào)名企業(yè)征信報(bào)告(信用中國上自行打印簡版);
*⑨企業(yè)無犯罪證明承諾書自我承諾(加蓋鮮章);
⑩特殊行業(yè)提供相關(guān)人員復(fù)印操作證件(加蓋鮮章);
⑪產(chǎn)品或服務(wù)近期其他醫(yī)院政府采購中標(biāo)價(jià)格(中標(biāo)通知書復(fù)印件),。
*⑫測評公司須符合公安部第三研究所(認(rèn)證中心)發(fā)布的《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)服務(wù)認(rèn)證獲證機(jī)構(gòu)名錄》
(二)注意事項(xiàng)
1.以上資料均需加蓋單位公章,;
2.以上資料需裝訂成冊,、密封并加蓋單位騎縫章;
3.以上資料需調(diào)研當(dāng)天現(xiàn)場遞交,;
4.星標(biāo)條款為必須提供資料,。
(三)特別說明
本次公示的項(xiàng)目調(diào)研需求,,僅為醫(yī)院對市場同類項(xiàng)目的調(diào)研了解,請各參與企業(yè)準(zhǔn)備調(diào)研報(bào)告并講解,,介紹貨物情況及對應(yīng)單價(jià),,給與合理報(bào)價(jià)。
三,、報(bào)名方式和時間
報(bào)名時間:2025年2月24日——2025年2月28日
報(bào)名方式:郵箱報(bào)名(需注明項(xiàng)目名稱+公司名稱+聯(lián)系人+電話+郵箱)相關(guān)資料掃描發(fā)送以下郵箱:至[email protected])
四,、市場調(diào)研時間
2025年3月6日下午15:40
五、市場調(diào)研地點(diǎn)
四川省雅安市雨城區(qū)安康路9號雅安市人民醫(yī)院門診三樓信息科
六,、其他
方案資料隨授權(quán)人帶到現(xiàn)場進(jìn)行拆封,。
聯(lián)系電話:0835-5963108
聯(lián)系人:周老師
雅安市人民醫(yī)院
2025年2月21日
附件
一、項(xiàng)目名稱:雅安市人民醫(yī)院2025年等級保護(hù)測評服務(wù)項(xiàng)目
二,、項(xiàng)目簡介:
本次所需測評系統(tǒng)共計(jì)八個,,具體如下:
|
序號 |
標(biāo)的名稱 |
備注 |
|
1 |
HIS系統(tǒng)等保測評 |
|
|
2 |
LIS系統(tǒng)等保測評 |
|
|
3 |
PACS系統(tǒng)等保測評 |
|
|
4 |
OA系統(tǒng)等保測評 |
|
|
5 |
HERP系統(tǒng)等保測評 |
|
|
6 |
集成平臺系統(tǒng)等保測評 |
|
|
7 |
EMR系統(tǒng)等保測評 |
|
|
8 |
互聯(lián)網(wǎng)醫(yī)院系統(tǒng)等保測評 |
|
三、資格條件:
1,、測評公司須符合公安部第三研究所(認(rèn)證中心)發(fā)布的《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)服務(wù)認(rèn)證獲證機(jī)構(gòu)名錄》
2,、本項(xiàng)目的特定資格要求:
(1)參加本次政府采購活動的供應(yīng)商單位及其現(xiàn)任法定代表人、主要負(fù)責(zé)人在前三年內(nèi)無行賄犯罪記錄,;
(2)具備網(wǎng)絡(luò)安全等級測評與檢測評估機(jī)構(gòu)服務(wù)認(rèn)證證書,;
四、技術(shù)服務(wù)要求:
技術(shù)服務(wù)要求:
一,、等保測評:
按照《中華人民共和國網(wǎng)絡(luò)安全法》和《信息安全等級保護(hù)管理辦法》等相關(guān)要求,,采購網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)供應(yīng)商,對我單位相關(guān)信息系統(tǒng)安全等級狀況開展等級測評工作,,并出具等級保護(hù)測評報(bào)告,。根據(jù)采購人的要求,提供網(wǎng)絡(luò)安全保障等配套服務(wù),。
(1)測評內(nèi)容包括技術(shù)和管理測評:
1.技術(shù)安全性測評包括但不限于:安全物理環(huán)境,、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界,、安全計(jì)算環(huán)境,、安全管理中心。
2.管理安全測評包括但不限于:安全管理制度,、安全管理機(jī)構(gòu),、安全管理人員、安全建設(shè)管理,、安全運(yùn)維管理,。
(2)測評對象及范圍
本次等級保護(hù)測評系統(tǒng)包括:
|
序號 |
系統(tǒng)名稱 |
安全保護(hù)等級 |
|
1 |
HIS系統(tǒng) |
三級 |
|
2 |
LIS系統(tǒng) |
三級 |
|
3 |
PACS系統(tǒng) |
三級 |
|
4 |
OA系統(tǒng)等保測評 |
三級 |
|
5 |
HERP系統(tǒng)等保測評 |
三級 |
|
6 |
集成平臺系統(tǒng)等保測評 |
三級 |
|
7 |
EMR系統(tǒng)等保測評 |
三級 |
|
8 |
互聯(lián)網(wǎng)醫(yī)院系統(tǒng)等保測評 |
三級 |
(3)依據(jù)標(biāo)準(zhǔn)
①《中華人民共和國網(wǎng)絡(luò)安全法》
②GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》
③GB/T28448-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》
④GB/T28449-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》
⑤GB/T36627-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》
⑥《信息安全等級保護(hù)管理辦法》公通字[2007] 43號
⑦《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)管理辦法》公信安[2018] 765號
注:以上標(biāo)準(zhǔn)以最新標(biāo)準(zhǔn)為準(zhǔn)。
(4)測評原則
客觀性和公正性原則:
雖然測評工作不能完全擺脫個人主張或判斷,,但測評人員應(yīng)當(dāng)沒有偏見,,在最小主觀判斷情形下,,按照測評雙方相互認(rèn)可的測評方案,基于明確定義的測評方式和解釋,,實(shí)施測評活動,。
經(jīng)濟(jì)性和可重用性原則:
基于測評成本和工作復(fù)雜性考慮,鼓勵測評工作重用以前的測評結(jié)果,,包括商業(yè)安全產(chǎn)品測評結(jié)果和信息系統(tǒng)先前的安全測評結(jié)果,。所有重用的結(jié)果,都應(yīng)基于結(jié)果適用于目前的系統(tǒng),,并且能夠反映出目前系統(tǒng)的安全狀態(tài)基礎(chǔ)之上,。
可重復(fù)性和可再現(xiàn)性原則:
不論誰執(zhí)行測評,依照同樣的要求,,使用同樣的測評方式,,對每個測評實(shí)施過程的重復(fù)執(zhí)行應(yīng)該得到同樣的結(jié)果�,?稍佻F(xiàn)性和可重復(fù)性的區(qū)別在于,,前者與不同測評者測評結(jié)果的一致性有關(guān),后者與同一測評者測評結(jié)果的一致性有關(guān),。
結(jié)果完善性原則:
測評所產(chǎn)生的結(jié)果應(yīng)當(dāng)證明是良好的判斷和對測評項(xiàng)的正確理解,。測評過程和結(jié)果應(yīng)當(dāng)服從正確的測評方法以確保其滿足了測評項(xiàng)的要求。
(5)項(xiàng)目具體要求
對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行測試評估,,應(yīng)包括兩個方面的內(nèi)容:一是安全控制測評,,主要測評信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;二是系統(tǒng)整體測評,,主要測評分析信息系統(tǒng)的整體安全性,。其中,安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ),。
對安全控制測評的描述,,使用工作單元方式組織。工作單元分為安全技術(shù)和安全管理兩大類,。安全技術(shù)測評包括:安全物理環(huán)境,、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界,、安全計(jì)算環(huán)境,、安全管理中心五個方面;安全管理測評包括:安全管理制度,、安全管理機(jī)構(gòu),、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理五個方面,。
系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)�,、局部結(jié)構(gòu),,也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置,,與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān),內(nèi)容復(fù)雜且充滿系統(tǒng)個性,。因此,,全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的,。測評人員應(yīng)根據(jù)特定信息系統(tǒng)的具體情況,,結(jié)合本標(biāo)準(zhǔn)要求,確定系統(tǒng)整體測評的具體內(nèi)容,,在安全控制測評的基礎(chǔ)上,,重點(diǎn)考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系,,測評安全控制間,、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性,、不同信息系統(tǒng)之間整體安全性等,。
供應(yīng)商根據(jù)國家對信息安全等級保護(hù)工作的相關(guān)法律和技術(shù)標(biāo)準(zhǔn)要求,結(jié)合本項(xiàng)目的系統(tǒng)保護(hù)等級開展實(shí)施與之相應(yīng)的檢查,、訪談,、測試工作。
供應(yīng)商根據(jù)采購人具體要求,,提供安全咨詢等配套服務(wù),,包括但不限于:提供專項(xiàng)檢查服務(wù),如模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)對的業(yè)務(wù)應(yīng)用系統(tǒng)實(shí)施非破壞性的攻擊測試,,從而發(fā)現(xiàn)目前所存在的安全漏洞和可侵入點(diǎn),,出具詳細(xì)的滲透測試報(bào)告。為業(yè)主提供最新的信息安全資訊,,解讀國家網(wǎng)絡(luò)安全法規(guī),、安全標(biāo)準(zhǔn)體系、信息系統(tǒng)安全規(guī)劃及建設(shè),,產(chǎn)品采購選型等咨詢服務(wù),。
二、測評要求
(1)安全物理環(huán)境
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
物理位置選擇 |
通過訪談,、檢查機(jī)房等信息系統(tǒng)物理場所在位置上是否具有防雷,、防風(fēng)和防雨等多方面的安全防范能力。 |
|
2 |
物理訪問控制 |
通過訪談、檢查主機(jī)房出入口,、機(jī)房分區(qū)域情況等過程,,測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。 |
|
3 |
防盜竊和防破壞 |
通過訪談,、檢查機(jī)房的主要設(shè)備,、介質(zhì)和防盜報(bào)警系統(tǒng)等過程,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備,、介質(zhì)等丟失和被破壞,。 |
|
4 |
防雷擊 |
通過訪談、檢查機(jī)房的設(shè)計(jì)/驗(yàn)收文檔,,測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊,。 |
|
5 |
防火 |
通過訪談、檢查機(jī)房的設(shè)計(jì)/驗(yàn)收文檔,,檢查機(jī)房防火設(shè)備等過程,,測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。 |
|
6 |
防水和防潮 |
通過訪談,、檢查機(jī)房的除潮設(shè)備等過程,,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。 |
|
7 |
防靜電 |
通過訪談,、檢查機(jī)房是否采取必要措施防止靜電的產(chǎn)生,。 |
|
8 |
溫濕度控制 |
通過訪談、檢查機(jī)房溫,、濕度情況,,是否采取必要措施對機(jī)房內(nèi)的溫濕度進(jìn)行控制。 |
|
9 |
電力供應(yīng) |
通過訪談,、檢查機(jī)房供電線路,、設(shè)備等過程,是否具備提供一定的電力供應(yīng)的能力,。 |
|
10 |
電磁防護(hù) |
通過訪談,、檢查是否具備一定的電磁防護(hù)能力。 |
(2)安全通信網(wǎng)絡(luò)
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
網(wǎng)絡(luò)架構(gòu) |
通過訪談,、檢查,、測試網(wǎng)絡(luò)拓?fù)淝闆r、抽查核心交換機(jī),、接入交換機(jī)和接入路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備,,測試系統(tǒng)訪問路徑和網(wǎng)絡(luò)寬帶分配情況等過程,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分,、隔離等情況的合理性和有效性,,以及通信線路、關(guān)鍵設(shè)備硬件冗余,系統(tǒng)可用性保證情況,。 |
|
2 |
通信傳輸 |
通過訪談,、檢查、測試通信傳輸過程的數(shù)據(jù)完整性和保密性保護(hù)情況,。 |
|
3 |
可信驗(yàn)證 |
通過訪談,、檢查通信設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序,、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證的保護(hù)情況,。 |
(3)安全區(qū)域邊界
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
邊界防護(hù) |
通過訪談,、檢查,、測試邊界完整性檢查設(shè)備,測評分析跨域邊界的訪問控制和數(shù)據(jù)流通過邊界設(shè)備的控制措施,,非法內(nèi)聯(lián),、外聯(lián)、無線準(zhǔn)入控制的監(jiān)測,、阻斷等能力,。 |
|
2 |
訪問控制 |
通過訪談、檢查,、測試網(wǎng)絡(luò)訪問控制設(shè)備策略部署,,測試系統(tǒng)對外暴露安全漏洞情況等過程,測評分析對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量控制以及基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制能力,。 |
|
3 |
入侵防范 |
通過訪談,、檢查、測試網(wǎng)絡(luò)邊界處,、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)檢測,、防止或限制從內(nèi)部和外部發(fā)起網(wǎng)絡(luò)攻擊行為的防護(hù)能力,以及網(wǎng)絡(luò)行為分析,、監(jiān)測,、報(bào)警能力,特別是新型網(wǎng)絡(luò)攻擊行為的分析,,對攻擊行為的檢測是否涉及攻擊源,、攻擊類型、攻擊目標(biāo),、攻擊事件,、入侵報(bào)警等方面的防范能力。 |
|
4 |
惡意代碼和防垃圾郵件 |
通過訪談,、檢查,、測試關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼、垃圾郵件進(jìn)行檢測、防護(hù)和清除,、惡意代碼防護(hù)機(jī)制的升級和更新維護(hù)等情況,。 |
|
5 |
安全審計(jì) |
通過訪談、檢查網(wǎng)絡(luò)邊界,、重要網(wǎng)絡(luò)節(jié)點(diǎn)安全審計(jì)情況等,,測評分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù),審計(jì)內(nèi)容等情況,。 |
|
6 |
可信驗(yàn)證 |
通過訪談,、檢查邊界設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序,、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證的保護(hù)情況,。 |
(4)安全計(jì)算環(huán)境
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
身份鑒別 |
通過訪談、檢查,、測試對登錄的用戶進(jìn)行身份標(biāo)識和鑒別,,是否具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換,,以及遠(yuǎn)程管理安全,、雙因素鑒別等內(nèi)容。 |
|
2 |
訪問控制 |
通過訪談,、檢查,、測試是否啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問,;是否根據(jù)管理用戶的角色分配權(quán)限,,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限等內(nèi)容,。 |
|
3 |
安全審計(jì) |
通過訪談,、檢查安全審計(jì)范圍及內(nèi)容。 |
|
4 |
入侵防范 |
通過訪談,、檢查,、測試是否能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為,能夠記錄入侵的源IP,、攻擊的類型,、攻擊的目的、攻擊的時間,,并在發(fā)生嚴(yán)重入侵事件時提供報(bào)警,,是否遵循最小化安全裝原則、系統(tǒng)服務(wù),、默認(rèn)共享和高危端口,、終端接入限制,、數(shù)據(jù)有效性檢驗(yàn)、已知漏洞防護(hù)等內(nèi)容,。 |
|
5 |
惡意代碼防范 |
通過訪談,、檢查、測試是否具有防惡意代碼攻擊的技術(shù)措施或主動免疫可信驗(yàn)證機(jī)制,,能否及時識別入侵和病毒行為并將其有效阻斷等內(nèi)容,。 |
|
6 |
可信驗(yàn)證 |
通過訪談、通過訪談安全員,,檢查計(jì)算設(shè)備的系統(tǒng)引導(dǎo),、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證的保護(hù)情況,。 |
|
7 |
數(shù)據(jù)完整性 |
通過訪談,、檢查、測試重要數(shù)據(jù)在傳輸和存儲過程中的完整性保護(hù)情況,,包括鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù),、重要審計(jì)數(shù)據(jù),、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等,。 |
|
8 |
數(shù)據(jù)保密性 |
通過訪談,、檢查、測試重要數(shù)據(jù)在傳輸和存儲過程中的保密性保護(hù)情況,,包括鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù),、重要配置數(shù)據(jù),、重要視頻數(shù)據(jù)和重要個人信息等。 |
|
9 |
數(shù)據(jù)備份恢復(fù) |
通過訪談,、檢查,、測試重要數(shù)據(jù)本地備份與恢復(fù)功能,異地實(shí)時備份功能,,以及重要數(shù)據(jù)處理系統(tǒng)的熱冗余和高可用性保證等,。 |
|
10 |
剩余信息保護(hù) |
通過訪談、檢查,、測試邊界信息在存儲空間被釋放或重新分配前是否有效清除,,存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前是否有效清除等。 |
|
11 |
個人信息保護(hù) |
通過訪談,、檢查,、測試是否僅采集和保存業(yè)務(wù)必須的用戶個人信息,,對用戶個人信息的訪問和使用等。 |
(5)安全管理中心
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
系統(tǒng)管理 |
通過訪談,、檢查,、測試對系統(tǒng)管理員身份鑒別、命令或操作管理,、操作審計(jì),,以及是否通過系統(tǒng)管理對系統(tǒng)資源和運(yùn)行進(jìn)行配置、控制和管理等,。 |
|
2 |
審計(jì)管理 |
通過訪談,、檢查、測試對審計(jì)管理員身份鑒別,、命令或操作管理,、操作審計(jì),以及是否通過審計(jì)管理員對審計(jì)策略,、審計(jì)記錄進(jìn)行分析,、處理等。 |
|
3 |
安全管理 |
通過訪談,、檢查,、測試對安全管理員身份鑒別、命令或操作管理,、操作審計(jì),,以及是否通過安全管理員對安全策略、參數(shù)進(jìn)行配置等,。 |
|
4 |
集中管控 |
通過訪談,、檢查、測試是否具有特定的管理區(qū)域,,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管控,,對網(wǎng)絡(luò)鏈路、安全設(shè)備,、網(wǎng)絡(luò)設(shè)備和服務(wù)的運(yùn)行進(jìn)行集中監(jiān)測,,對分散在各設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析,并確保記錄留存符合法律法規(guī)要求,,對安全策略,、惡意代碼、升級補(bǔ)丁等安全相關(guān)事項(xiàng)進(jìn)行集中管理,,對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別,、報(bào)警和分析等。 |
(6)安全管理制度
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
安全策略 |
通過訪談,、檢查網(wǎng)絡(luò)安全工作的總體方針及安全策略是否全面,、完善,。 |
|
2 |
管理制度 |
通過訪談、檢查管理制度的制定和發(fā)布過程是否遵循一定的流程,。 |
|
3 |
制度和發(fā)布 |
通過訪談,、檢查管理制度定期評審和修訂情況。 |
|
4 |
評審和修訂 |
通過訪談,、檢查管理制度在內(nèi)容覆蓋上是否全面,、完善。 |
(7)安全管理機(jī)構(gòu)
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
崗位設(shè)置 |
通過訪談,、檢查安全主管部門設(shè)置情況以及各崗位設(shè)置和崗位職責(zé)情況,。 |
|
2 |
人員配備 |
通過訪談、檢查各個崗位人員配備情況,。 |
|
3 |
授權(quán)和審批 |
通過訪談,、檢查對關(guān)鍵活動的授權(quán)和審批情況。 |
|
4 |
溝通和合作 |
通過訪談,、檢查內(nèi)部部門間,、與外部單位間的溝通與合作情況。 |
|
5 |
審核和檢查 |
通過訪談,、檢查安全工作的審核和檢查情況,。 |
(8)安全管理人員
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
人員錄用 |
通過訪談、檢查錄用人員時是否對人員提出要求以及是否對其進(jìn)行各種審查和考核,。 |
|
2 |
人員離崗 |
通過訪談,、檢查人員離崗時是否按照一定的手續(xù)辦理。 |
|
3 |
安全意識教育和培訓(xùn) |
通過訪談,、檢查是否對人員進(jìn)行安全方面的教育和培訓(xùn)。 |
|
4 |
外部人員訪問管理 |
通過訪談,、檢查對第三方人員訪問(物理,、邏輯)系統(tǒng)是否采取必要控制措施。 |
(9)安全建設(shè)管理
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
定級和備案 |
通過訪談,、檢查是否按照一定要求確定系統(tǒng)的安全等級,。 |
|
2 |
安全方案設(shè)計(jì) |
通過訪談、檢查整體的安全規(guī)劃設(shè)計(jì)是否按照一定流程進(jìn)行,。 |
|
3 |
產(chǎn)品采購和使用 |
通過訪談,、檢查是否按照一定的要求進(jìn)行系統(tǒng)的產(chǎn)品采購。 |
|
4 |
自行軟件開發(fā) |
通過訪談,、檢查自行開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性,。 |
|
5 |
外包軟件開發(fā) |
通過訪談、檢查外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性和日后的維護(hù)工作能夠正常開展,。 |
|
6 |
工程實(shí)施 |
通過訪談,、檢查建設(shè)的實(shí)施過程是否采取必要的措施使其在機(jī)構(gòu)可控的范圍內(nèi)進(jìn)行,。 |
|
7 |
測試驗(yàn)收 |
通過訪談、檢查系統(tǒng)運(yùn)行前是否對其進(jìn)行測試驗(yàn)收工作,。 |
|
8 |
系統(tǒng)交付 |
通過訪談,、檢查是否采取必要的措施對系統(tǒng)交付過程進(jìn)行有效控制。 |
|
9 |
等級測評 |
通過訪談,、檢查等級測評,、整改情況。 |
|
10 |
服務(wù)商選擇 |
通過訪談,、檢查是否選擇符合國家有關(guān)規(guī)定的安全服務(wù)單位進(jìn)行相關(guān)的安全服務(wù)工作,。 |
(10)安全運(yùn)維管理
|
序號 |
工作單元名稱 |
工作單元描述 |
|
1 |
環(huán)境管理 |
通過訪談、檢查是否采取必要的措施對機(jī)房的出入控制以及辦公環(huán)境的人員行為等方面進(jìn)行安全管理,。 |
|
2 |
資產(chǎn)管理 |
通過訪談,、檢查是否采取必要的措施對系統(tǒng)的資產(chǎn)進(jìn)行分類標(biāo)識管理。 |
|
3 |
介質(zhì)管理 |
通過訪談,、檢查是否采取必要的措施對介質(zhì)存放環(huán)境,、使用、維護(hù)和銷毀等方面進(jìn)行管理,。 |
|
4 |
設(shè)備維護(hù)管理 |
通過訪談,、檢查是否采取必要的措施確保設(shè)備在使用、維護(hù)和銷毀等過程安全,。 |
|
5 |
漏洞和風(fēng)險(xiǎn)管理 |
通過訪談,、檢查安全漏洞和隱患識別、處理情況,,以及是否定期開展安全測評以及安全問題的應(yīng)對措施,。 |
|
6 |
網(wǎng)絡(luò)和系統(tǒng)安全管理 |
通過訪談、檢查是否采取必要的措施對系統(tǒng)的安全配置,、系統(tǒng)賬戶,、漏洞掃描和審計(jì)日志等方面進(jìn)行有效的管理。是否采取必要的措施對網(wǎng)絡(luò)的安全配置,、網(wǎng)絡(luò)用戶權(quán)限和審計(jì)日志等方面進(jìn)行有效的管理,,確保網(wǎng)絡(luò)安全運(yùn)行。 |
|
7 |
惡意代碼防范管理 |
通過訪談,、檢查是否采取必要的措施對惡意代碼進(jìn)行有效管理,,確保系統(tǒng)具有惡意代碼防范能力。 |
|
8 |
配置管理 |
通過訪談,、檢查基本配置信息管理情況 |
|
9 |
密碼管理 |
通過訪談,、檢查是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定。 |
|
10 |
變更管理 |
通過訪談,、檢查是否采取必要的措施對系統(tǒng)發(fā)生的變更進(jìn)行有效管理,。 |
|
11 |
備份與恢復(fù)管理 |
通過訪談,、檢查是否采取必要的措施對重要業(yè)務(wù)信息,系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進(jìn)行備份,,并確保必要時能夠?qū)@些數(shù)據(jù)有效地恢復(fù),。 |
|
12 |
安全事件處置 |
通過訪談、檢查是否采取必要的措施對安全事件進(jìn)行等級劃分和對安全事件的報(bào)告,、處理過程進(jìn)行有效的管理,。 |
|
13 |
應(yīng)急預(yù)案管理 |
通過訪談、檢查是否針對不同安全事件制定相應(yīng)的應(yīng)急預(yù)案,,是否對應(yīng)急預(yù)案展開培訓(xùn),、演練和審查等。 |
|
14 |
外包運(yùn)維管理 |
通過訪談,、檢查外包運(yùn)維服務(wù)商選擇是否符合國家要求,,外包運(yùn)維保密、服務(wù)內(nèi)容管理等,。 |
(11)安全擴(kuò)展要求
按照所測評系統(tǒng)的具體情況選用云計(jì)算安全擴(kuò)展要求,、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求,、工業(yè)控制系統(tǒng)安全擴(kuò)展要求,。
(12)驗(yàn)證測試相關(guān)要求
按照等級保護(hù)測評要求,測評過程中應(yīng)配備必要的工具,、儀器/設(shè)備對信息系統(tǒng)進(jìn)行驗(yàn)證測試,,采用的測評工具的生產(chǎn)商應(yīng)為正規(guī)廠商,具有一定的研發(fā)和服務(wù)能力,,能夠?qū)Ξa(chǎn)品進(jìn)行持續(xù)更新并提供質(zhì)量和安全保障,。
驗(yàn)證測試內(nèi)容包括但不限于以下內(nèi):
1.滲透測試
驗(yàn)證安全策略正確性;保證用戶登錄窗體身份驗(yàn)證的安全性,;非授權(quán)用戶不能瀏覽到未授權(quán)內(nèi)容,;不存在跨站點(diǎn)腳本攻擊漏洞;腳本不存在SQL,、Cookie注入漏洞;安全的處理異常,,沒有出錯頁面泄露系統(tǒng)信息,;應(yīng)用和系統(tǒng)漏洞及其他,并提出整改建議,。驗(yàn)證內(nèi)容包括(但不限于)以下幾個方面:
|
注入 |
失效的身份認(rèn)證 |
|
敏感信息泄露 |
XML外部實(shí)體(XXE) |
|
失效的訪問控制 |
安全配置錯誤 |
|
跨站腳本(XSS) |
不安全的反序列化 |
|
使用含有已知漏洞的組件 |
不足的日志記錄和監(jiān)控 |
2.性能測試
通過模擬手段對網(wǎng)絡(luò)(包括丟包,、時延、帶寬等),、軟件系統(tǒng)(包括負(fù)載,、響應(yīng)),、負(fù)載下硬件占用(包含CPU、內(nèi)存)等進(jìn)行全面的測評評估驗(yàn)證系統(tǒng)的可靠性,、可用性,,通過對測試結(jié)果的分析,給出相應(yīng)的整改建議,。
3.漏洞掃描
據(jù)相關(guān)標(biāo)準(zhǔn),、規(guī)范要求對重要信息系統(tǒng)的安全漏洞進(jìn)行測評。分析總結(jié)系統(tǒng)中存在的主要安全漏洞,,指出系統(tǒng)中可能被利用的安全漏洞,、系統(tǒng)配置錯誤等缺陷以及相應(yīng)的安全加固意見、建議,。
三,、測評工作步驟
供應(yīng)商對信息系統(tǒng)的初次等級測評應(yīng)至少包含以下四項(xiàng)活動:測評準(zhǔn)備活動、方案編制活動,、現(xiàn)場測評活動,、分析與報(bào)告編制活動。供應(yīng)商應(yīng)對等級保護(hù)測評各階段具體工作內(nèi)容進(jìn)行描述,。
1.準(zhǔn)備活動階段:對被測系統(tǒng)進(jìn)行調(diào)研分析,,明確測評對象、測評方法等工作,。
2.方案編制階段:制定信息安全等級保護(hù)測評項(xiàng)目計(jì)劃書,、測評實(shí)施方案,并提交委托方確認(rèn),。
3.現(xiàn)場測評階段:按照等級保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范要求從訪談,、檢查、測試幾方面進(jìn)行測試評估并出具《整改意見》,,并在整改過程中提供技術(shù)咨詢服務(wù),。
4.分析與報(bào)告編制:向委托方提交被測信息系統(tǒng)安全等級保護(hù)測評報(bào)告以及相應(yīng)文檔。
四,、實(shí)施要求
1.系統(tǒng)梳理
協(xié)助完成待測信息系統(tǒng)梳理工作,。
2.初測
對本項(xiàng)目所涉及信息系統(tǒng)進(jìn)行現(xiàn)場測評,初次測評完成后提交初評的整改意見報(bào)告,。
3.整改加固協(xié)助
協(xié)助對測評過程中發(fā)現(xiàn)的安全問題進(jìn)行技術(shù)整改加固工作,,并進(jìn)行整改后的回歸測評。
4.成果遞交
整理測評結(jié)果,,提交被測信息系統(tǒng)安全等級保護(hù)測評報(bào)告以及相應(yīng)滲透測試報(bào)告稿文檔,。
5.現(xiàn)場測評
測評人員必須來我院固定辦公地點(diǎn)進(jìn)行現(xiàn)場測評和技術(shù)測試,不能通過遠(yuǎn)程或者邀請第三方人員進(jìn)行技術(shù)實(shí)施從而完成本項(xiàng)目測評工作。
五,、項(xiàng)目管理與實(shí)施保障
對項(xiàng)目進(jìn)行科學(xué)嚴(yán)格的管理,,通過系統(tǒng)計(jì)劃、有序組織,、科學(xué)指導(dǎo)和有效控制,,促進(jìn)項(xiàng)目全面順利實(shí)施,供應(yīng)商必須提供完整的項(xiàng)目管理方案,,并符合以下要求:
1.供應(yīng)商及其測評人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)國家信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和有關(guān)規(guī)定,,提供客觀、公平,、公正,、有效的等級保護(hù)測評服務(wù),并承擔(dān)相應(yīng)的法律責(zé)任,。
2.應(yīng)具備能夠保證其公正性,、獨(dú)立性的質(zhì)量體系,確保測評活動不受任何可能影響測評結(jié)果的商業(yè),、財(cái)務(wù),、健康、環(huán)境等方面的壓力,。
3.供應(yīng)商在對被測評單位開展等級保護(hù)測評服務(wù)之前需與被測評單位簽訂保密協(xié)議,,測評過程中向被測評單位借閱的文檔資料應(yīng)在測評工作結(jié)束后全部歸還被測評單位,未經(jīng)被測評單位允許,,不得擅自復(fù)制,、保留。
4.供應(yīng)商的崗位配置要至少配置總測評工程師,、技術(shù)負(fù)責(zé)人,、質(zhì)量負(fù)責(zé)人以及團(tuán)隊(duì)人員,其中總測評工程師,、技術(shù)負(fù)責(zé)人和質(zhì)量負(fù)責(zé)人應(yīng)獨(dú)立配置,,不能有兼任的情況。
5.測評人員要求
參與此次等級保護(hù)測評的供應(yīng)商其測評人員應(yīng)具備并符合以下要求:
(1)開展此次等級保護(hù)測評工作的人員僅限于中華人民共和國境內(nèi)的中國公民,,且無犯罪記錄,。
(2)開展此次等級保護(hù)測評工作的人員應(yīng)具備從事信息系統(tǒng)安全測評相關(guān)工作的經(jīng)驗(yàn),包含但不限于:總測評工程師,、項(xiàng)目負(fù)責(zé)人,、質(zhì)量負(fù)責(zé)人、項(xiàng)目測評師等,。
(3)測評項(xiàng)目組人員在對開展等級保護(hù)測評工作之前需簽訂保密協(xié)議。
(4)測評人員人數(shù)必須大于等于4人。
6.測評工具要求
(1) 采用的測評工具必須獲得正版授權(quán),,并在有效期內(nèi),,不得使用盜版軟件。
(2)采用的測評工具在功能,、性能等滿足使用要求前提下,,應(yīng)優(yōu)先采用具有國內(nèi)自主知識產(chǎn)權(quán)的同類產(chǎn)品。
(3)采用的測評工具的生產(chǎn)商應(yīng)為正規(guī)廠商,,具有一定的研發(fā)和服務(wù)能力,,能夠?qū)Ξa(chǎn)品進(jìn)行持續(xù)更新并提供質(zhì)量和安全保障。
(4)測評機(jī)構(gòu)所使用的測評工具不會對系統(tǒng)產(chǎn)生破壞或負(fù)面影響,。
7.由于測評工作存在一定的風(fēng)險(xiǎn),,包括但不限于:數(shù)據(jù)丟失、配置參數(shù)丟失,、網(wǎng)絡(luò)中斷,、服務(wù)中斷等隱患,供應(yīng)商應(yīng)當(dāng)充分識別測評工作可能帶來的風(fēng)險(xiǎn)并告知委托方,,委托方應(yīng)當(dāng)就測評工作存在潛在風(fēng)險(xiǎn)采取必要措施進(jìn)行確認(rèn)后方可開展測評,。
六、網(wǎng)絡(luò)安全保障服務(wù)
1,、重要信息系統(tǒng)滲透測試服務(wù):服務(wù)團(tuán)隊(duì)在服務(wù)期內(nèi)至少1次利用網(wǎng)絡(luò)安全測試工具,,對重要系統(tǒng)進(jìn)行非破壞性模擬黑客攻擊,入侵目標(biāo)系統(tǒng)過程和細(xì)節(jié),,以書面報(bào)告呈現(xiàn),,真實(shí)、深入地找出當(dāng)前信息安全問題和隱患,,提出《滲透測試服務(wù)報(bào)告》以及《風(fēng)險(xiǎn)評估報(bào)告》,,報(bào)告包含解決和處理方案。
2,、服務(wù)人員及時間要求:服務(wù)期內(nèi)提供不低于30天的服務(wù)時間,,提供的專業(yè)滲透測試工程師從業(yè)經(jīng)驗(yàn)不低于3年。
3,、支持自動測試評估,,填入目標(biāo)網(wǎng)絡(luò)地址即可進(jìn)行自動測試評估。
3.1支持目標(biāo)系統(tǒng)信息收集,,包括不限于:系統(tǒng)配置文件,、帳號密碼、截屏,、系統(tǒng)等信息,。
3.2支持弱口令猜解,能夠?qū)FP、MYSQL,、SMB,、SSH、WinRM,、DB2,、POP3、SNMP,、Telnet,、FTP、MSSQL,、Postgresql,、VNC等服務(wù)進(jìn)行暴力破解。
3.3支持漏洞利用攻擊的重放,,重現(xiàn)滲透過程,。