重庆医科大学附属第一医院
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重庆医科大学附属第一医院
信息系统等级保护测评的招标技术参数
2020年5月13日
重庆医科大学附属第一医院按照国家相关法律法规要求,对我单位“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”等级保护2.0测评服务项目进行询价采购。
一、招标采购内容
HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统按等级保护三级开展等级保护测评服务,按需完成系统等级保护备案工作。
二、项目情况
(一)项目简介
网络安全等级保护测评(简称等级测评)是在《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《信息安全等级保护管理办法》(公通字[2007]43号)等法规要求的等级保护制度——定级、备案、建设整改、等级测评、监督检查五个规定动作中的重要一环,依据国家法律、法规和技术标准对被测系统进行技术和管理两个方面进行全面测试、检查和测评,真实反映系统的安全保护能力,寻找问题和差距,为信息系统建设整改提供建议和依据。
网络安全等级保护测评就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,测评安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。使用工具针对关键的设备、重要的网段和高危的漏洞进行渗透测试,形成相应的实施及分析报告。
随着业务系统顺应开放和互连的趋势,信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统信息安全。必须在一个日趋开放的系统平台上重新审视信息安全问题。我院“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”涉及资金数额大,对社会影响广泛,是国家政策要求实施安全等级保护的重点系统。因此,如何建立一个高效的现代信息安全体系,日益成为突出的问题。“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”网络安全等级保护评测项目即在此种背景下,通过对业务系统进行的一次全面的等级测评,及时、准确的了解当前系统的安全现状,对系统当前存在的风险进行有效的处理,对网络系统当前的某些安全问题(如普遍存在的问题、突出的问题、需要解决问题等)进行实际的解决。同时,根据我院安全现状,对现有网络架构、安全控制策略和安全管理策略进行调整、修订、完善和扩充,并提出相应的信息系统安全解决方案,为今后的信息系统安全建设提供规范化的指导。测评过程中应严格按照GB/T 28449-2018 《信息安全技术网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。
本次计划测评的系统基本情况如下:
本项目要求按照国家等级保护相关法规和技术标准,对构成上述信息系统不可分割的软件应用系统与应用软件、物理机房、网络环境与设备、主机(服务器)系统、数据与数据库及其相关管理制度和记录进行风险分析,风险识别采用访谈、检查、工具测试等方式进行。
(二)项目目的
依据国家网络安全管理标准、网络安全等级保护测评指南等相关标准和信息系统安全等级保护的相关制度规定,按照有关管理规范、技术标准,委托测评机构对系统进行等级测评并对存在的问题提出整改建议。
(三)工作依据
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《信息安全等级保护管理办法》(公通字[2007]43号)
《中华人民共和国国家标准GB/T 17859-1999 计算机信息系统安全保护等级划分准则》
《中华人民共和国国家标准GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》
《中华人民共和国国家标准GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》
《中华人民共和国国家标准GB/T 28448-2019 信息安全技术网络安
全等级保护测评要求》
《中华人民共和国国家标准GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南》
《中华人民共和国国家标准GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》
《中华人民共和国国家标准GB/T 20984-2007 信息安全技术信息安全风险评估规范》
三、项目的内容和主要活动
(一)等级保护测评的主要工作内容
根据重庆医科大学附属第一医院HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统等5个三级系统的实际情况,在充分了解系统的基本情况下,根据“等保2.0”的技术标准选择测评指标,结合该系统的构成特点,确定具体的测评对象,建立测评方案和测评指导书,通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。针对应用特点,重点对应用系统常见的SQL和代码注入漏洞、跨站脚本、缓冲期溢出、信息泄漏等进行工具扫描和检测,并对系统进行渗透测试,以发现系统存在的高危漏洞和风险。通过提出整改建议,帮助我院对应用系统进行安全建设和改进,确保被测系统达到安全保护相应能力的要求。测评过程中应严格按照GB/T 28449-2018 《信息安全技术网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。为确保的进度和质量,需要编制合理的测评方案,测评方案是等级测评工作实施的基础,指导等级测评工作的实施活动。测评方案应包括但不局限于以
下内容:项目概述、项目组织、测评对象、测评指标、测评内容、测评方法、实施计划等。所有过程需规范化管理,确保按方案有序推进,确保进度和质量。
本次测评的主要工作范围主要包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面,具体如下:
(1)第三级安全通用要求
下表内容为等级保护2.0标准《中华人民共和国国家标准GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》中第三级安全通用要求部分内容。