“三級等保”調研信息
| 招標編號 | 【正式會員登錄后可瀏覽】 | 采購業主 | 【正式會員登錄后可瀏覽】 |
招標公司 | 【正式會員登錄后可瀏覽】 |
|---|---|---|---|---|---|
| 聯系人 | 【正式會員登錄后可瀏覽】 | 聯系電話 | 【正式會員登錄后可瀏覽】 | 通訊地址 | 【正式會員登錄后可瀏覽】 |
| 郵政編碼 | 【正式會員登錄后可瀏覽】 | 截止日期 | 【正式會員登錄后可瀏覽】 |
公告摘要
各有關單位請于2023.06.05前與公告中聯系人聯系,及時參與投標等相關工作,以免錯失商業機會。
部分信息內容如下:(查看詳細信息請登錄)
我院將對“三級等保”進行*場調研,請具有合格資質的公司到我院后勤保障部報名。報名資料封面需注明公司名稱、項目名稱、產品品牌及型號、聯系方式、聯系郵箱。資質要求:營業執照、法人授權書(法人與業務人員雙方簽字,并附雙方身份證復印件),上述所有資料需真實有效,不得出現遺漏、過期、信息錯誤等情況,以上所有資料加蓋鮮章。并將所有資質資料先發至郵箱:***********(務必標注項目名稱及公司名稱),再將紙質報名資料放置門口保安處的調研資料投放箱里,并登記好即可。
基本需求如下:
一、服務范圍
序號
項目名稱
單位
數量
備注
*
HIS系統/信息平臺等級保護(三級)測評服務
個
*
*
HERP等級保護(三級)測評服務
個
*
*
PACS系統等級保護(三級)測評服務
個
*
*
EMR系統等級保護(三級)測評服務
個
*
*
集成平臺系統等級保護(三級)測評服務
個
*
二、總體要求
*、項目實施周期要求
在具備測評條件后**個工作日內完成測評工作,并提交測評報告,若非測評方的原因導致項目延遲時間,則測評工作完成時間順延。
*、測評機構資格要求
測評機構需具備《網絡安全等級測評與檢測評估機構服務認證證書》且在“**省信息安全等級保護工作領導小組辦公室推薦測評機構名單”中。
*、測評機構優選要求
中國合格評定國家認可委員會(CNAS)頒發的實驗室認可證書(證書認可范圍包含:軟件產品);
具有中國網絡安全審查技術與認證中心頒發的信息安全風險評估服務資質證書;
具有質量體系認證證書、信息安全管理體系認證證書、服務管理體系認證證書,認證范圍包括“信息系統測評”;
三、標準和規范
《中華人民**國網絡安全法》
GB/T*****-****《信息安全技術網絡安全等級保護基本要求》
GB/T*****-****《信息安全技術網絡安全等級保護定級指南》
GB/T*****-****《信息安全技術信息系統安全等級保護實施指南》
GB/T*****-****《信息安全技術網絡安全等級保護測評要求》
GB/T*****-****《信息安全技術網絡安全等級保護測評過程指南》
GB/T*****-****《信息安全技術網絡安全等級保護測試評估技術指南》
《信息安全等級保護管理辦法》公通字[****] **號
《網絡安全等級保護測評機構管理辦法》公信安[****] ***號
四、技術要求
*.測評及評估原則
保密性原則:中標人應與采購方簽訂保密協議,對測評的過程數據和結果數據嚴格保密,未經授權不得泄露給任何單位和個人,不得利用此數據侵害的權益,否則有權追究的責任。
標準性原則:測評及評估方案的設計與實施應依據國家的相關標準進行。
規范性原則:項目實施方工作中的過程和文檔,應具有規范性,便于項目跟蹤和控制。
可控性原則:項目的進度應符合進度安排,保證對測評工作的可控性。
整體性原則:測評及評估的范圍和內容應系統、全面、規范,滿足等級保護的相關基本要求。
最小影響原則:技術測評及評估工作應盡可能小的影響在線系統和網絡的正常運行,不能對現有運行系統造成影響。在線測評及評估應在許可的條件下進行。
*.測評及評估方法
測評及評估方法包括訪談、檢查和測試三種方法,可細化為文檔審查、配置檢查、工具測試和實地察看等多種方法。
如需對系統安全等級保護測評實施過程中采用在線測評工具,各種工具軟件由項目實施方推薦,經確認后由項目實施方提供并在工作中使用。
安全測評工具軟件運行可能需要的硬件平臺(如筆記本電腦、PC、工作站等)和操作系統軟件等由項目實施方推薦,經確認后由項目實施方提供并在測評中使用。
*.等級保護測評內容
*.*安全物理環境
安全物理環境針對物理機房提出了安全控制要求,主要對象為物理環境、物理設備和物理設施等;涉及的安全控制點包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、安全等級保和電磁防護。
序號
工作單元名稱
工作單元描述
*
物理位置的選擇
檢查機房,測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。
*
物理訪問控制
檢查機房出入口等過程,測評信息系統在物理訪問控制方面的安全防范能力。
*
防盜竊和防破壞
檢查機房內的主要設備、介質和防盜報警設施等過程,測評信息系統是否采取必要的措施預防設備、介質等丟失和被破壞。
*
防雷擊
檢查機房設計/驗收文檔,測評信息系統是否采取相應的措施預防雷擊。
*
防火
檢查機房防火方面的安全管理制度,檢查機房防火設備等過程,測評信息系統是否采取必要的措施防止火災的發生。
*
防水和防潮
檢查機房及其除潮設備等過程,測評信息系統是否采取必要措施來防止水災和機房潮濕。
*
防靜電
檢查機房等過程,測評信息系統是否采取必要措施防止靜電的產生。
*
溫濕度控制
檢查機房的溫濕度自動調節系統,測評信息系統是否采取必要措施對機房內的溫濕度進行控制。
*
電力供應
檢查機房供電線路、設備等過程,測評是否具備為信息系統提供一定電力供應的能力。
**
電磁防護
檢查主要設備等過程,測評信息系統是否具備一定的電磁防護能力。
*.*安全通信網絡
安全通信網絡針對網絡架構和通信傳輸提岀了安全控制要求。主要對象為廣域網、城域網、局域網的通信傳輸以及網絡架構等;涉及的安全控制點包括網絡架構、通信傳輸和可信驗證。
序號
工作單元名稱
工作單元描述
*
網絡架構
檢查核心設備的CPU和內存使用率,整個網絡帶寬是否滿足現狀,VLAN劃分是否合理,網絡架構是否做到設備冗余、鏈路。
*
通信傳輸
檢查數據在傳輸過程中的的完整性和保密性措施。
*
可信計算
檢查設備是否進行可信驗證。
*.*安全區域邊界
安全區域邊界針對網絡邊界提出了安全控制要求,主要對象為系統邊界和區域邊界等;涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。
序號
工作單元名稱
工作單元描述
*
邊界防護
檢查網絡邊界是否有訪問控制設備,訪問控制策略是否合理,是否關閉了閑置端口等。
*
訪問控制
檢查網絡中的訪問控制策略是否合理、有效。
*
入侵防范
檢查網絡中是否采用了入侵防范措施,驗證該措施是否有效。
*
惡意代碼和垃圾郵件防范
檢查網絡中是否有惡意代碼和垃圾郵件防范措施。
*
安全審計
檢查網絡中是否有綜合安全審計措施。
*
可信驗證
檢查設備是否進行可信驗證。
*.*安全計算環境
安全計算環境針對邊界內部提出了安全控制要求,主要對象為邊界內部的所有對象,包括網絡設備、安全設備、服務器設備、終端設備、應用系統、數據對象和其他設備等;涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證。
序號
工作單元名稱
工作單元描述
*
身份鑒別
檢查所有設備的登錄用戶是否有身份鑒別措施,是否有復雜度、唯一性等檢查。
*
訪問控制
檢查用戶的權限分配情況,默認用戶和默認口令使用情況等。
*
安全審計
檢查是否開啟安全審計功能,是否能審計到每個用戶,審計記錄是否有保護措施。
*
入侵防范
檢查設備在運行過程中的入侵防范措施,如關閉不需要的端口和服務、最小化安裝、部署入侵防范產品等。
*
惡意代碼防范
檢查設備的惡意代碼防范情況。
*
可信驗證
檢查設備是否進行可信驗證。
*
數據完整性
檢查系統數據的傳輸完整性和存儲完整性措施。
*
數據保密性
檢查系統數據的傳輸保密性和存儲保密性措施。
*
數據備份恢復
檢查系統的安全備份情況,如重要信息的備份、硬件和線路的冗余等。
**
剩余信息保護
檢查系統的剩余信息保護情況,如將用戶鑒別信息以及文件、目錄和數據庫記錄等**所在的存儲空間再分配時的處理情況。
**
個人信息保護
檢查系統對個人信息的采集和使用情況。
*.*安全管理中心
安全管理中心針對整個系統提出了安全管理方面的技術控制要求,通過技術手段實現集中管理;涉及的安全控制點包括系統管理、審計管理、安全管理和集全等級。
序號
工作單元名稱
工作單元描述
*
系統管理
包括但不限于檢查是否對系統管理員進行統一的身份鑒別,操作審計等。
*
審計管理
包括但不限于檢查是否對審計管理員進行統一的身份鑒別,操作審計 等。
*
安全管理
檢查是否對安全管理員進行統一的身份鑒別,操作審計等 。
*
集中管控
包括但不限于檢查是否劃分獨立的安全管理區域,是否對網絡中運行的設備進行狀態監測、日志審計、安全審計等,是否對補丁、惡意代代碼進行統一管理。
*.*安全管理制度
安全管理制度測評是對信息系統的安全管理制度體系和制度內容、制定和發布流程、評審和修訂機制等情況進行測評。
序號
工作單元名稱
工作單元描述
*
安全策略
核查網絡安全工作的總體方針和安全策略文件是否明確機構安全工作的總體目 標、范圍、原則和各類安全策略。
*
管理制度
檢查有關管理制度文檔和重要操作規程等過程,測評信息系統管理制度在內容覆蓋上是否全面、完善。
*
制定和發布
檢查有關制度制定要求文檔等過程,測評信息系統管理制度的制定和發布過程是否遵循一定的流程。
*
評審和修訂
檢查管理制度評審記錄等過程,測評信息系統管理制度定期評審和修訂情況。
*.*安全管理機構
安全管理機構測評是對信息系統的安全管理組織和崗位設置、人員配備、授權和審批、溝通和**、審核和檢查等情況進行測評。
序號
工作單元名稱
工作單元描述
*
崗位設置
檢查部門/崗位職責文件,測評信息系統安全主管部門設置情況以及各崗位設置和崗位職責情況。
*
人員配備
檢查人員名單等文檔,測評信息系統各個崗位人員配備情況。
*
授權和審批
檢查相關文檔,測評信息系統對關鍵活動的授權和審批情況。
*
溝通和**
檢查相關文檔,測評信息系統內部部門間、與外部單位間的溝通與**情況。
*
審核和檢查
檢查記錄文檔等過程,測評信息系統安全工作的審核和檢查情況。
*.*安全管理人員
人員安全管理測評是對信息系統相關內部人員的人員錄用、人員離崗、人員考核、安全意識教育和培訓,以及外部人員訪問管理等情況進行測評。
序號
工作單元名稱
工作單元描述
*
人員錄用
檢查人員錄用文檔等過程,測評信息系統錄用人員時是否對人員提出要求以及是否對其進行各種審查和考核。
*
人員離崗
檢查人員離崗安全處理記錄等過程,測評信息系統人員離崗時是否按照一定的手續辦理。
*
安全意識教育和培訓
檢查培訓計劃和執行記錄等文檔,測評是否對人員進行安全方面的教育和培訓。
*
外部人員訪問管理
檢查有關文檔等過程,測評對第三方人員訪問(物理、邏輯)系統是否采取必要控制措施。
*.*安全建設管理
系統建設管理測評是對信息系統建設過程中的系統定級、安全方案設計、產品采購和使用、自主軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統定級備案、等級測評、安全服務商選擇等情況進行測評。
序號
工作單元名稱
工作單元描述
*
定級和備案
檢查系統定級相關文檔等過程,測評是否按照一定要求確定系統的安全等級。
*
安全方案設計
檢查系統安全建設方案等文檔,測評系統整體的安全規劃設計是否按照一定流程進行。
*
產品采購和使用
測評是否按照一定的要求進行系統的產品采購。
*
自行軟件開發
檢查相關軟件開發文檔等,測評自行開發的軟件是否采取必要的措施保證開發過程的安全性。
*
外包軟件開發
檢查相關文檔,測評外包開發的軟件是否采取必要的措施保證開發過程的安全性和日后的維護工作能夠正常開展。
*
工程實施
檢查相關文檔,測評系統建設的實施過程是否采取必要的措施使其在機構可控的范圍內進行。
*
測試驗收
檢查測試驗收等相關文檔,測評系統運行前是否對其進行測試驗收工作。
*
系統交付
檢查系統交付清單等過程,測評是否采取必要的措施對系統交付過程進行有效控制。
*
等級測評
檢查系統之前等級測評的情況,以及之前測評機構的資質等。
**
服務供應商選擇
測評是否選擇符合國家有關規定的安全服務單位進行相關的安全服務工作。
*.**安全運維管理
系統運維管理測評是對信息系統運行維護過程中的環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等情況進行測評。
序號
工作單元名稱
工作單元描述
*
環境管理
檢查機房安全管理制度,機房和辦公環境等過程,測評是否采取必要的措施對機房的出入控制以及辦公環境的人員行為等方面進行安全管理。
*
資產管理
檢查資產清單,檢查系統、網絡設備等過程,測評是否采取必要的措施對系統的資產進行分類標識管理。
*
介質管理
檢查介質管理記錄和各類介質等過程,測評是否采取必要的措施對介質存放環境、使用、維護和銷毀等方面進行管理。
*
設備維護管理
檢查設備使用管理文檔和設備操作規程等過程,測評是否采取必要的措施確保設備在使用、維護和銷毀等過程安全。
*
漏洞和風險管理
檢查系統對于漏洞和安全隱患風險的管理,是否有報告、記錄等文檔,是否定期開展安全測評等。
*
網絡和系統安全管理
檢查系統和網絡的安全管理文檔,是否明確了角色劃分、權限劃分,是否覆蓋安全策略、賬戶管理、配置文件的生成及備份、變更審批等內容;檢查運維操作日志是否覆蓋網絡和系統的日常巡檢、運行維護、參數的設置和修 改等內容;核查是否具有對日志、監測和報警數據等進行分析統計的報告;核查開通遠程運維的審批記錄,核查針對遠程運維的審計日志是否不可以更改等。
*
惡意代碼防范管理
檢查惡意代碼防范管理文檔和惡意代碼檢測記錄等過程,測評是否采取必要的措施對惡意代碼進行有效管理,確保系統具有惡意代碼防范能力。
*
配置管理
檢查是否對基本配置信息進行記錄和保存,基本配置信息改變后是否及時更新基本配置信息庫等。
*
密碼管理
測評是否能夠確保信息系統中密碼算法和密鑰的使用符合國家密碼管理規定。
**
變更管理
檢查變更方案和變更管理制度等過程,測評是否采取必要的措施對系統發生的變更進行有效管理。
**
備份與恢復管理
檢查系統備份管理文檔和記錄等過程,測評是否采取必要的措施對重要業務信息,系統數據和系統軟件進行備份,并確保必要時能夠對這些數據有效地恢復。
**
資產管理
檢查是否有資產清單,清單是否包括資產類別、資產責任部門、 重要程度和所處位置等內容;是否依據資產的重要程度對資產進行標識,不同類別的資產在管理措施 的選取上是否不同;核查資產管理制度是否明確資產的標識方法以及不同資產的管理措施要求。
**
應急預案管理
檢查應急響應預案文檔等過程,測評是否針對不**全事件制定相應的應急預案,是否對應急預案展開培訓、演練和審查等。
**
外包運維管理
檢查外包運維服務情況,單位是否符合國家有關規定,協議是否明確約定外包運維的范圍和工作內容等。
五、測評實施人員要求
*、項目經理要求
必須具備:信息安全等級測評師(高級)證書
優選具備:注冊信息系統審計師(CISP-A)、軟件性能測試高級工程師證書、注冊**全系統認證專家證書(CCSSP)
*、項目技術負責人要求
必須具備:信息安全等級測評師(中級)及以上證書
優選具備:注冊滲透測試工程師(CISP-PTE)證書、工信部頒發的信息安全工程師證書、信息系統項目管理師
*、項目實施測評師要求
必須具備:信息安全等級測評師(中級)及以上證書
優選具備:具有網絡安全高級工程師證書、具有注冊**全系統認證專家證書(CCSSP)、具有信息安全風險評估師證書、具有網絡與信息安全應急人員證書。
*、項目質量控制工程師要求
必須具備:信息安全等級測評師(中級)及以上證書
優選具備:注冊信息系統審計師(CISP-A)、工信部頒發的信息安全工程師證書
截止日期:****年*月*日下午**:**(非工作日不接受報名)
聯系人:王老師
聯系地址:**********第七教學樓***室
聯系電話:********
**********
****年 *月 *日
- 招標導航
-
施工準備 土地整理 三通一平
工程施工 地基與基礎工程 樁基工程 預應力工程 防水工程 保溫工程 爆破工程 加固除險工程 改造改建工程 回填工程 燃氣工程 防腐工程 電氣防雷工程 空調采暖工程 地下室 停車場 鋼結構 膜結構 給排水 聲屏障 道路工程 橋梁工程 市政工程
園林景觀綠化 古建筑 噴泉 水幕 雕塑 草坪 亮化工程 照明 燈光
弱電 安防 綜合布線 消防工程 門禁 救生 智能建筑 有線電視 數字會議 廣播 音響工程 大屏幕
裝飾裝修 吊頂 粉刷 彩繪 幕墻 外立面
工程服務 審計 監理 勘察 規劃 設計
建筑材料 門窗 座椅 地板 混凝土構件 水泥 建筑鋼材 木構件 涂料 攔污柵 除塵器 管材 土工材料 土工格柵 土工布
更多>>
為保證您能夠順利投標,請在投標或購買招標文件前向招標代理機構或招標人咨詢投標詳細要求,有關招標的具體要求及情況以招標代理機構或招標人的解釋為準。
