2021年系統(tǒng)等級保護(hù)測評采購項目技術(shù)和服務(wù)要求

1、2021年系統(tǒng)等級保護(hù)測評采購項目技術(shù)和服務(wù)要求1項目背景根據(jù) 網(wǎng)絡(luò)安全法和閩衛(wèi)規(guī)劃發(fā)明電2020295號文：福建省衛(wèi)生健康委員會 福建省公安廳關(guān)于進(jìn)一步推進(jìn)全省衛(wèi)生健康行業(yè)網(wǎng)絡(luò)安全等級保護(hù)工作的通知要求，我院擬對 醫(yī)院信息系統(tǒng)（HIS）、電子病歷系統(tǒng)（EMR）、醫(yī)學(xué)影像系統(tǒng)（PACSRIS)、實驗室信息管理系統(tǒng)（LIS）、門戶網(wǎng)站、移動APP系統(tǒng)、互聯(lián)網(wǎng)+健康醫(yī)療系統(tǒng)、集成平臺、公共顯示大屏播報系統(tǒng) 開展2021年度安全等級保護(hù)測評。2技術(shù)服務(wù)要求2.1業(yè)務(wù)系統(tǒng)清單序號系統(tǒng)名稱測評等級數(shù)量1醫(yī)院信息系統(tǒng)（HIS）、電子病歷系統(tǒng)（EMR）、醫(yī)學(xué)影像系統(tǒng)（PACSRIS)、實驗室信息管理系統(tǒng)（L

2、IS）、門戶網(wǎng)站、移動APP系統(tǒng)、互聯(lián)網(wǎng)+健康醫(yī)療系統(tǒng)、集成平臺、公共顯示大屏播報系統(tǒng)三級1項2.2等級保護(hù)測評服務(wù)依據(jù)標(biāo)準(zhǔn)投標(biāo)人需依據(jù)國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)開展工作。GB/T 17859-1999 計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GBT 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GBT 25070-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè) 計技術(shù)要求GBT 28448-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求GBT 22240-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南GBT 28449-2018 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南信息安全等級保護(hù)管理

3、辦法(公通字200743號)測評要求需符合國家最新要求2.3技術(shù)服務(wù)內(nèi)容2.3.1信息系統(tǒng)評估與測評服務(wù)通過風(fēng)險評估、安全掃描、滲透測試、現(xiàn)場訪談和資料查閱等測評手段，準(zhǔn)確反映采購人待測信息系統(tǒng)的安全防護(hù)能力現(xiàn)狀，對發(fā)現(xiàn)的問題進(jìn)行深入分析，提出安全整改建議，最終出具信息系統(tǒng)等級保護(hù)測評報告和安全風(fēng)險評估報告。根據(jù)公安部第十一局關(guān)于印發(fā)網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)管理辦法（公信安2018765號）的要求，投標(biāo)人須具有等保測評資質(zhì)（須在網(wǎng)絡(luò)安全等級保護(hù)網(wǎng)（）中“全國網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)推薦目錄”可查閱）。2.3.2等級保護(hù)測評服務(wù)內(nèi)容根據(jù)國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)，投標(biāo)人對采購人信息系統(tǒng)安全等級保護(hù)測評

4、的內(nèi)容包括：序號測評內(nèi)容1技術(shù)測評（1）安全物理環(huán)境（物理位置選擇，物理訪問控制，防盜竊和防破壞，防雷擊，防火，防水和防潮，防靜電，溫濕度控制，電力供應(yīng)，電磁防護(hù)）；（2）安全通信網(wǎng)絡(luò)（網(wǎng)絡(luò)架構(gòu)，通信傳輸，可信驗證）；（3）安全區(qū)域邊界（邊界防護(hù)，訪問控制，入侵防范，惡意代碼和垃圾郵件防范，安全審計，可信驗證）；（4）安全計算環(huán)境（身份鑒別，訪問控制，安全審計，入侵防范，惡意代碼防范，可信驗證，數(shù)據(jù)完整性，數(shù)據(jù)保密性，數(shù)據(jù)備份恢復(fù)，剩余信息保護(hù)，個人信息保護(hù)）；（5）安全管理中心（系統(tǒng)管理，審計管理，安全管理，集中管控）；2管理測評（1）安全管理制度（管理制度，制定和發(fā)布，評審和修訂）；（2）

5、安全管理機構(gòu)（崗位設(shè)置，人員配備，授權(quán)和審批，溝通和合 作，審核和檢查）；（3）安全管理人員（人員錄用，人員離崗，安全意識教育和培訓(xùn)，外部人員訪問管理）；（4）安全建設(shè)管理（定級和備案，安全方案設(shè) 計，產(chǎn)品采購和使用，自行軟件開發(fā)，外包軟件開發(fā)，工程實施，測試驗收，系統(tǒng)交付，等級測評，服務(wù)投標(biāo)人選擇）；（5）安全運維管理（環(huán)境管理，資產(chǎn)管理，介質(zhì)管理，設(shè)備維護(hù)管理，漏洞和風(fēng)險管理，網(wǎng)絡(luò)與系統(tǒng)安全管理，惡意代碼防范管理，配置管理，密碼管理，變更管理，備份與恢復(fù)管理，安全事件處置，應(yīng)急預(yù)案管理，外包運維管理）；3擴展測評云計算（1）安全物理環(huán)境（基礎(chǔ)設(shè)施位置）；（2）安全通信網(wǎng)絡(luò)（網(wǎng)絡(luò)架構(gòu)）；（3

6、）安全區(qū)域邊界（訪問控制，入侵防范，安全審計）；（4）安全計算環(huán)境（身份鑒別，訪問控制，入侵防范，鏡像和快照保護(hù)，數(shù)據(jù)完整性和保密性，數(shù)據(jù)備份恢復(fù)，剩余信息保護(hù)）；（5）安全管理中心（集中管控）；（6）安全建設(shè)管理（云服務(wù)商選擇，供應(yīng)鏈管理）；（7）安全運維管理（云計算環(huán)境管理）；4項目成果文檔資料：網(wǎng)絡(luò)安全等級保護(hù)測評報告。2.3.3測評原則本次安全保護(hù)等級保護(hù)測評實施應(yīng)滿足以下原則：（1）保密原則：中標(biāo)人對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)須嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進(jìn)行任何侵害采購人的行為，否則采購人有權(quán)追究其責(zé)任。（2）標(biāo)準(zhǔn)性原則：測評方案的設(shè)計與實施須依據(jù)國家等

7、級保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。（3）規(guī)范性原則：評測工作中的過程和文檔，須具有很好的規(guī)范性，便于采購人對項目的跟蹤和控制。（4）可控性原則：測評服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證采購人對于測評工作的可控性。（5）整體性原則：測評的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括國家等級保護(hù)相關(guān)要求涉及的各個層面。（6）最小影響原則：測評工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)，并在可控范圍內(nèi)；測評工作不能對現(xiàn)有信息系統(tǒng)的正常運行、業(yè)務(wù)的正常開展產(chǎn)生任何影響。2.3.4等級測試的整體要求（1）等級保護(hù)測評實施過程中所使用到的各種工具軟件均由中標(biāo)人推薦，經(jīng)采購人確認(rèn)后由中標(biāo)人提供并在測評中使用。（2）安全測評工具軟件運行需要的所有硬件平臺（如筆記