信息安全等級保護測評技術標準和需求_第1頁
已閱讀1頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、信息安全等級保護測評技術標準和需求為了保障瀏陽市人民醫(yī)院“核心業(yè)務系統(tǒng)(HIS系統(tǒng))”安全、穩(wěn)定、可靠、高效的運行,按照相關的國家、行業(yè)的安全標準要求,需要對其進行安全等級保護三級測評。測評內容包括:物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。通過測評,對照相應安全等級保護要求進行差距分析,排查系統(tǒng)安全漏洞和隱患并分析其風險,制訂出整改措施,出具測評報

2、告。具體內容包括:1、對瀏陽市人民醫(yī)院“核心業(yè)務系統(tǒng)(HIS系統(tǒng))”的物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理共10個層面通過訪談、檢查、測評等方法進行初測評,找出差距、安全漏洞和隱患并分析其風險,制訂出整改建議報告。2、對經過整改后的信息系統(tǒng)進行回歸測評,并正式形成《信息系統(tǒng)安全等級保護測評報告》。一、測評內容包括信息系統(tǒng)技術安全性測評及信息系統(tǒng)管

3、理安全測評:1、信息系統(tǒng)技術安全性測評包括但不限于:物理安全、網絡安全、主機安全、應用安全、數據安全。2、信息系統(tǒng)管理安全測評包括但不限于:安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。二、測評具體要求:(一)信息系統(tǒng)技術安全性測評1、物理安全測評物理安全檢測應當包含:物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等十個單元。2、網絡安全測評網路安全

4、測評應當包含:結構安全、訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼防范、網絡設備防護等。3、主機安全測評主機安全測評應當包含:身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等。4、應用安全測評應用安全測評應當包含:身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制。5、數據安全及備份恢復測評數據安全及備份恢復測評應當包含:數據完整性、數據保密性

5、、備份和恢復。(二)信息系統(tǒng)管理安全測評1、安全管理制度測評安全管理制度測評應當包含:管理制度、制定與發(fā)布、審批和修訂。2、安全管理機構測評安全管理機構測評應當包含:崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。3、人員安全管理測評備份系統(tǒng)、數據庫、中間件、應用系統(tǒng)、數據安全、安全系統(tǒng)、系統(tǒng)安全策略等。3、服務提供商應描述測評服務的技術方案,包括準備工作、技術措施、人員安排、時間進度、可能對系統(tǒng)造成的影響等。4、安全測評工作應

6、盡量選擇在非業(yè)務繁忙時段進行,將對被測系統(tǒng)可能帶來的影響減至最小。5、服務提供商應書面承諾能夠積極與瀏陽市人民醫(yī)院協作,共同完成本項目的測評工作,項目實施過程中出現問題不得互相推諉,雙方應主動進行溝通,并及時解決問題,確保項目順利實施。(三)項目管理要求對項目進行科學嚴格的管理,通過系統(tǒng)計劃、有序組織、科學指導和有效控制,促進項目全面順利實施,投標人必須提供完整的項目管理方案,項目的方案設計與具體實施應滿足以下原則:1、最小影響原則:工

7、作應盡可能小的影響系統(tǒng)和網絡的正常運行,不能對網絡的運行和業(yè)務的正常運行產生顯著影響(包括系統(tǒng)性能明顯下降、網絡擁塞、服務中斷);2、標準性原則:服務方案的設計與實施應依據國家相關標準進行,包括但不限于《GBT209842007信息安全技術信息安全風險評估規(guī)范》,符合《信息安全等級保護管理辦法(公通字[2007]43號)》、《計算機信息系統(tǒng)安全保護等級劃分準則(GB178591999)》、《信息系統(tǒng)安全等級保護基本要求(GBT22239

8、2008)》、《信息系統(tǒng)安全等級保護實施指南(GBT250582010)》等國家標準;3、規(guī)范性原則:服務提供商工作中的過程和文檔,應具有較好的規(guī)范性,便于項目的跟蹤和控制;4、可控性原則:方法和過程要在雙方認可的范圍之內,安全服務的進度要按照進度表安排實施,保證瀏陽市人民醫(yī)院對于服務工作的可控性;5、整體性原則:評估內容應當整體全面,包括安全涉及的各個層面,避免由于遺漏造成未來的安全隱患;6、保密原則:對過程數據和結果數據嚴格保密,未

9、經授權不得泄露給任何單位和個人,不得利用此數據進行任何侵害采購人的行為,否則瀏陽市人民醫(yī)院有權追究服務提供商的責任。服務提供商需根據上述要求,提供項目詳細的項目管理方案,并予以詳細解釋。(四)服務保障與承諾1、服務提供商應嚴格按照測評人員執(zhí)業(yè)守則,按照國家相關法規(guī)、規(guī)范、標準及制定的測評方案、項目計劃書、實施細則進行測評,在保證質量、安全的前提下,確保在項目規(guī)定的期限內按期完成。2、服務提供商應協助、配合瀏陽市人民醫(yī)院與上級監(jiān)管部門、公

10、安機關的溝通協調。在測評過程中和測評完成后,協助、配合瀏陽市人民醫(yī)院進行相關的信息系統(tǒng)安全整改,確保已定級系統(tǒng)達到等級保護的相關要求,并通過上級監(jiān)管部門和公安機關的審核驗收。3、服務提供商應在項目期內向瀏陽市人民醫(yī)院提供724小時電話咨詢服務,必要時上門服務。跟蹤信息安全等級保護的最新發(fā)展情況,及時告之瀏陽市人民醫(yī)院,提供相應解決方案及建議,協助其持續(xù)符合信息系統(tǒng)信息安全等級保護工作的要求。4、服務提供商應在項目實施過程中,對瀏陽市人民

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論