重庆医科大学附属第一医院.docx
- 文档编号:26836429
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:15
- 大小:58.02KB
重庆医科大学附属第一医院.docx
《重庆医科大学附属第一医院.docx》由会员分享,可在线阅读,更多相关《重庆医科大学附属第一医院.docx(15页珍藏版)》请在冰豆网上搜索。
重庆医科大学附属第一医院
重庆医科大学附属第一医院
信息系统等级保护测评的招标技术参数
2020年5月13日
重庆医科大学附属第一医院按照国家相关法律法规要求,对我单位“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”等级保护2.0测评服务项目进行询价采购。
一、招标采购内容
HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统按等级保护三级开展等级保护测评服务,按需完成系统等级保护备案工作。
二、项目情况
(一)项目简介
网络安全等级保护测评(简称等级测评)是在《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《信息安全等级保护管理办法》(公通字[2007]43号)等法规要求的等级保护制度——定级、备案、建设整改、等级测评、监督检查五个规定动作中的重要一环,依据国家法律、法规和技术标准对被测系统进行技术和管理两个方面进行全面测试、检查和测评,真实反映系统的安全保护能力,寻找问题和差距,为信息系统建设整改提供建议和依据。
网络安全等级保护测评就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,测评安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
使用工具针对关键的设备、重要的网段和高危的漏洞进行渗透测试,形成相应的实施及分析报告。
随着业务系统顺应开放和互连的趋势,信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统信息安全。
必须在一个日趋开放的系统平台上重新审视信息安全问题。
我院“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”涉及资金数额大,对社会影响广泛,是国家政策要求实施安全等级保护的重点系统。
因此,如何建立一个高效的现代信息安全体系,日益成为突出的问题。
“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”网络安全等级保护评测项目即在此种背景下,通过对业务系统进行的一次全面的等级测评,及时、准确的了解当前系统的安全现状,对系统当前存在的风险进行有效的处理,对网络系统当前的某些安全问题(如普遍存在的问题、突出的问题、需要解决问题等)进行实际的解决。
同时,根据我院安全现状,对现有网络架构、安全控制策略和安全管理策略进行调整、修订、完善和扩充,并提出相应的信息系统安全解决方案,为今后的信息系统安全建设提供规范化的指导。
测评过程中应严格按照GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。
本次计划测评的系统基本情况如下:
序号
系统名称
备案号
等级
1
HIS系统
待定
第三级
2
LIS系统
待定
第三级
3
PACS系统
待定
第三级
4
电子病历系统
待定
第三级
5
互联网医院系统
待定
第三级
本项目要求按照国家等级保护相关法规和技术标准,对构成上述信息系统不可分割的软件应用系统与应用软件、物理机房、网络环境与设备、主机(服务器)系统、数据与数据库及其相关管理制度和记录进行风险分析,风险识别采用访谈、检查、工具测试等方式进行。
(二)项目目的
依据国家网络安全管理标准、网络安全等级保护测评指南等相关标准和信息系统安全等级保护的相关制度规定,按照有关管理规范、技术标准,委托测评机构对系统进行等级测评并对存在的问题提出整改建议。
(三)工作依据
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《信息安全等级保护管理办法》(公通字[2007]43号)
《中华人民共和国国家标准GB/T17859-1999计算机信息系统安全保护等级划分准则》
《中华人民共和国国家标准GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》
《中华人民共和国国家标准GB/T22239-2019信息安全技术网络安全等级保护基本要求》
《中华人民共和国国家标准GB/T28448-2019信息安全技术网络安全等级保护测评要求》
《中华人民共和国国家标准GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》
《中华人民共和国国家标准GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》
《中华人民共和国国家标准GB/T20984-2007信息安全技术信息安全风险评估规范》
三、项目的内容和主要活动
(一)等级保护测评的主要工作内容
根据重庆医科大学附属第一医院HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统等5个三级系统的实际情况,在充分了解系统的基本情况下,根据“等保2.0”的技术标准选择测评指标,结合该系统的构成特点,确定具体的测评对象,建立测评方案和测评指导书,通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。
针对应用特点,重点对应用系统常见的SQL和代码注入漏洞、跨站脚本、缓冲期溢出、信息泄漏等进行工具扫描和检测,并对系统进行渗透测试,以发现系统存在的高危漏洞和风险。
通过提出整改建议,帮助我院对应用系统进行安全建设和改进,确保被测系统达到安全保护相应能力的要求。
测评过程中应严格按照GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。
为确保的进度和质量,需要编制合理的测评方案,测评方案是等级测评工作实施的基础,指导等级测评工作的实施活动。
测评方案应包括但不局限于以下内容:
项目概述、项目组织、测评对象、测评指标、测评内容、测评方法、实施计划等。
所有过程需规范化管理,确保按方案有序推进,确保进度和质量。
本次测评的主要工作范围主要包括:
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面,具体如下:
(1)第三级安全通用要求
下表内容为等级保护2.0标准《中华人民共和国国家标准GB/T22239-2019信息安全技术网络安全等级保护基本要求》中第三级安全通用要求部分内容。
序号
工作项目
8.1.1安全物理环境
1
8.1.1.1物理位置选择
2
8.1.1.2物理访问控制
3
8.1.1.3防盗窃和防破坏
4
8.1.1.4防雷击
5
8.1.1.5防火
6
8.1.1.6防水和防潮
7
8.1.1.7防静电
8
8.1.1.8温湿度控制
9
8.1.1.9电力供应
10
8.1.1.10电磁防护
8.1.2安全通信网络
11
8.1.2.1网络架构
12
8.1.2.2通信传输
13
8.1.2.3可信验证
8.1.3安全区域边界
14
8.1.3.1边界防护
15
8.1.3.2访问控制
16
8.1.3.3入侵防范
17
8.1.3.4恶意代码和垃圾邮件防范
18
8.1.3.5安全审计
19
8.1.3.6可信验证
8.1.4安全计算环境
20
8.1.4.1身份鉴别
21
8.1.4.2访问控制
22
8.1.4.3安全审计
23
8.1.4.4入侵防范
24
8.1.4.5恶意代码防范
25
8.1.4.6可信验证
26
8.1.4.7数据完整性
27
8.1.4.8数据保密性
28
8.1.4.9数据备份与恢复
29
8.1.4.10剩余信息保护
30
8.1.4.11个人信息保护
8.1.5安全管理中心
31
8.1.5.1系统管理
32
8.1.5.2审计管理
33
8.1.5.3安全管理
34
8.1.5.4集中管控
8.1.6安全管理制度
35
8.1.6.1安全策略
36
8.1.6.2管理制度
37
8.1.6.3制定和发布
38
8.1.6.4评审和修订
8.1.7安全管理机构
39
8.1.7.1岗位设置
40
8.1.7.2人员配备
41
8.1.7.3授权和审批
42
8.1.7.4沟通和合作
43
8.1.7.5审核和检查
8.1.8安全管理人员
44
8.1.8.1人员录用
45
8.1.8.2人员离岗
46
8.1.8.3安全意识教育和培训
47
8.1.8.4外部人员访问管理
8.1.9安全建设管理
48
8.1.9.1定级和备案
49
8.1.9.2安全方案设计
50
8.1.9.3产品采购和使用
51
8.1.9.4自行软件开
52
8.1.9.5外包软件开发
53
8.1.9.6工程实施
54
8.1.9.7测试验收
55
8.1.9.8系统交付
56
8.1.9.9等级测评
57
8.1.9.10服务商供应商选择
8.1.10安全运维管理
58
8.1.10.1环境管理
59
8.1.10.2资产管理
60
8.1.10.3介质管理
61
8.1.10.4设备维护管理
62
8.1.10.5漏洞和风险管理
63
8.1.10.6网络和系统安全管理
64
8.1.10.7恶意代码防范管理
65
8.1.10.8配置管理
66
8.1.10.9密码管理
67
8.1.10.10变更管理
68
8.1.10.11备份与恢复管理
69
8.1.10.12安全事件处置
70
8.1.10.13应急预案管理
71
8.1.10.14外包运维管理
(2)工具扫描及渗透测试
测评过程中根据项目需要,使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全析工具)对待测系统进行安全分析。
测评过程中,应针对关键设备、重点网段和高危漏洞进行渗透测试,形成相应的实施和分析报告。
(3)网络安全运维和建设整改的技术支持
为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务,配合采购人,为被测信息系统安全整改和加固提供咨询和技术服务。
在合同签订后一年内,配合采购人技术人员或其建设整改运维单位技术人员,为采购人提供7*24小时等级保护安全运维和建设整改的技术支持服务,要求其常驻重庆的技术人员能在2小时内到达采购人指定的重庆主城办公地点。
(4)应急响应支持
针对突发网络安全事件,协助进行应急响应处理,避免事态恶化。
合同签订后一年内,要求具备在接到采购人通知后具备安排1到3名技术人员于2小时内到达现场的能力,以保证在发现被测信息系统受到网络攻击事件时,协助实施有效的紧急救援及恢复补救方案。
为保证满足服务要求,供应商需要在重庆有常驻工作人员,并提供相应证据。
(二)主要评测活动
安全测评工作内容主要由四个基本活动构成:
测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。
双方之间的沟通与洽谈应贯穿整个等级测评过程,按照网络安全等级保护测评过程指南实施,加强质量的监督及复查,保证工作的质量。
(1)测评准备活动
本活动是开展安全测评工作的前提和基础,是整个安全测评过程有效性的保证。
安全测评准备工作是否充分直接关系到后续工作能否顺利开展。
本活动的主要任务是掌握应用系统的详细情况,准备测评工具,为编制测评方案做好准备。
(2)方案编制活动
本活动是开展安全测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评实施手册,形成测评方案。
(3)现场测评活动
本活动是开展安全测评工作的核心活动。
本活动的主要任务是按照安全测评方案的总体要求,严格执行安全测评实施手册,分步实施所有安全测评项目,以了解系统的真实情况,获取足够证据,发现系统存在的安全问题。
现场测评活动主要包括以下三种工作方式:
访谈:
测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。
检查:
不同于行政执法意义上的监督检查,是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。
测试:
等级测评人员使用预定的方法/工具使待测评对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的一种方法。
使用工具针对关键的设备、重要的网段和高危的漏洞进行渗透测试,形成相应的实施及分析报告。
(4)分析与报告编制活动
本活动是给出安全测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果和有关要求,通过技术判定、整体测评和风险分析等方法,找出整个系统的安全保护现状以及相应的风险,形成测评报告文本。
(5)项目验收活动
在完成测评工作后组织由委托方、测评方和上级主管部门参加的项目验收,对项目工作和成果进行总结,完成测评报告的发布和签收工作。
(三)项目实施流程
项目实施的总体流程如下:
各阶段的主要任务和工作产品如下:
(1)项目启动
在项目启动任务中,评测机构组建安全测评组,获取被测单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。
产品:
项目计划书
(2)信息收集和分析
测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写方案和开展现场测评工作奠定基础。
产品:
填好的调查表格
(3)工具和表单准备
项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
产品:
选用的测评清单,打印的各类表单
(4)测评对象确定
根据已经了解到的系统信息,分析整个系统及其涉及的业务应用系统,确定出本次测评对象。
产品:
测评方案的测评对象部分
(5)测评确定
根据已经了解到的被测系统详细情况,确定出本次测评的测评指标。
产品:
测评方案的测评指标部分
(6)工具接入点确定
工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。
产品:
测评方案的测评内容中关于测评工具接入点部分
(7)测评内容确定
本部分确定现场测评的具体实施内容,即单元测评内容。
产品:
测评方案的单元测评实施部分
(8)测评实施手册开发
测评实施手册是具体指导安全测评实施人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。
因此,测评实施手册应当尽可能详尽、充分。
产品:
测评实施手册,测评结果记录表格
(9)测评方案编制
测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。
测评方案应包括但不局限于以下内容:
项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。
产品:
经过评审和确认的测评方案文本。
(10)现场测评准备
启动现场测评,是保证测评机构能够顺利实施测评的前提。
产品:
会议记录,更新后的测评计划和测评程序,确认的测评授权书等。
(11)现场测评和结果记录
现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。
产品:
结果记录
(12)结果确认和资料归还
测评人员在现场测评完成之后,应首先汇总现场测评的测评记录,对漏掉和需要进一步验证的内容实施补充测评。
召开测评现场结束会,测评双方对测评过程中发现的问题进行现场确认。
测评机构归还测评过程中借阅的所有文档资料,并由测评委托单位文档资料提供者签字确认。
产品:
现场测评中发现的问题汇总,证据和证据源记录,测评委托单位的书面认可文件。
(13)单项测评结果判定
主要是针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。
产品:
测评报告的单元测评的结果记录部分。
(14)单元测评结果判定
主要是将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
产品:
测评报告的单元测评的结果汇总部分。
(15)整体测评
针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。
产品:
测评报告的整体测评部分。
(16)风险分析
测评人员依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
产品:
测评报告的测评结果汇总及风险分析和评价部分。
(17)测评报告编制
测评报告应包括但不局限于以下内容:
概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、整改建议等。
产品:
经过评审和确认的被测系统安全测评报告。
(四)工作成果
信息系统网络安全等级测评报告。
含等级测评标准、等级测评过程、等级测评原始记录、存在的问题和风险分析、安全问题整改建议、安全问题风险分析、渗透测试等内容,可视情况进行合并输出,报告清单包含但不限于如下文档:
《重庆医科大学附属第一医院HIS系统等级保护测评报告》
《重庆医科大学附属第一医院LIS系统等级保护测评报告》
《重庆医科大学附属第一医院PACS系统等级保护测评报告》
《重庆医科大学附属第一医院电子病历系统等级保护测评报告》
《重庆医科大学附属第一医院互联网医院系统等级保护测评报告》
四、质量保证及售后服务
1、为了提高项目服务质量,有条件的投标人应尽可能采用中、高级等级测评师交叉评审的方式对最终形成的等级测评报告进行评审。
2、签署保密协议,未经采购人事先书面同意,不得将标书、合同、获得的经营、管理和财务等信息及被测信息系统不可分割的组成部分的任何信息透露给第三方。
3、为我院提供信息安全规划、方针、策略和管理制度体系咨询服务,配合采购人,为被测信息系统安全整改和加固提供咨询和技术服务。
在合同签订后一年内,配合我院技术人员或其建设、整改、运维单位技术人员,为我院提供7*24小时等级保护安全运维和建设整改的技术支持服务,要求其常驻重庆的技术人员能在2小时内到达我院。
为保证及时响应服务要求,投标人注册地须在重庆或在重庆有常驻机构和常驻人员。
4、测评中应严格按照《GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。
5、为我院提供按上级要求报送安全数据等服务,根据我院要求在重大节假日和重大活动期间提供技术服务。
五、测评方要求
1、测评方应具有国家网络安全等级保护工作协调小组办公室颁发的等级测评资质。
2、测评机构能够在公安部中国信息安全等级保护网推荐目录中查询到。
3、测评方必须为本项目成立等级保护测评小组,测评人员均具有信息安全等级测评师证书,参与现场测评工作的持证测评人员至少由5人构成(中级测评师不少于2人,高级测评师不少于1人)。
提供证书的复印件,原件备查。
4、有丰富的成功实施案例,测评等级保护3级系统5个以上,其中医院案例不少于1个。
六、商务要求
本项目工期:
60个工作日。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 重庆 医科大学 附属 第一 医院