附件*:
*.项目目标及范围
依据《中华人民共和国****法》、公安部《信息安全等级保护管理办法》、****省信息安全等级保护工作领导小组办公室“关于开展第*级以上重要信息系统****等级保护测评工作的通知”【川等保发(****)**号】中的要求,对我单位信息系统开展等级保护测评。本次需对以下信息系统提供信息安全等级测评工作:***系统(系统等级:*级)、***系统(系统等级:*级)、****系统(系统等级:*级)、***系统(系统等级:*级)、云门诊系统(*级)、信息集成平台(系统等级:*级),同时针对相关系统进行渗透测试和攻防演练等内容。
*.等级保护测评要求
(*)基本要求
依据国家等级保护相关政策、标准以及其它相关要求,并结合我单位信息系统具体情况,对各信息系统进行等级保护测评,内容包括:
*.定级咨询,对我单位信息系统进行梳理,按照等级保护相关政策、标准要求对系统进行定级梳理,为系统合理定级提供建议和参考。
*.等级测评,至少包括:按照****等级保护测评依据及相关标准对系统从技术、管理等方面进行安全等级测评工作。
*.服务期为合同签订后***日。
(*)详细内容
*.安全物理环境:安全物理环境等级测评将通过访谈和检查的方式评测该信息系统的物理环境安全保障情况,主要涉及对象为机房。
物理位置选择:通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
物理访问控制:通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
防盗窃和防破坏:通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
防雷击:通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。
防火:通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。
防水和防潮:通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。
防静电:通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。
温湿度控制:通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。
电力供应:通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供*定电力供应的能力。
电磁防护:通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备*定的电磁防护能力。
*.安全通信网络:安全通信网络测评将通过访谈、检查和测试的方式评测该信息系统的通信****保障情况。主要涉及对象为网络拓扑结构。
网络架构:测评分析网络架构与网段划分、隔离等情况的合理性和有效性。
通信传输:测评通信过程中的完整性、保密性等。
可信验证:基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证。
*.安全区域边界:安全区域边界安全测评将通过访谈、检查和测试的方式评测该信息系统的区域边界安全保障情况。
边界防护:测评分析信息系统网络边界安全防护的状况。
访问控制:测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。
入侵防范:测评分析信息系统对攻击行为的识别和处理情况。
恶意代码和垃圾邮件防范:测评分析信息系统网络边界和核心网段对病毒等恶意代码及垃圾邮件的防护情况。
安全审计:测评分析信息系统审计配置和审计记录保护情况。
可信验证:基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证。
*.安全计算环境:安全计算环境测评将通过访谈、检查和测试的方式评测该信息系统的各类计算环境,包括网络互联设备、安全设备、服务器、数据库、终端、应用软件等的安全保障情况。
身份鉴别:检查服务器的身份标识与鉴别和用户登录的配置情况。
访问控制:检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。
安全审计:检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。
入侵防范:检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。
恶意代码防范:检查服务器的恶意代码防范情况,如服务器是否安装统*管理的恶意代码防范软件,是否及时升级病毒库等。
可信验证:基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证。
数据完整性:测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。
数据保密性:测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。
数据备份恢复:测评信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。
剩余信息保护:测评鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。
个人信息保护:测评是否仅采集和保存业务必需的用户个人信息;是否禁止未授权访问和使用用户个人信息。
*.安全管理中心:安全管理中心测评将通过访谈和检查的方式评测该信息系统的安全管理保障情况。
系统管理:测评信息系统的系统管理员对系统的管理情况。
审计管理:测评信息系统的安全审计员对系统的审计情况。
安全管理:测评信息系统的安全管理员对系统的安全策略的配置情况。
集中管控:测评网络链路、安全设备、网络设备和服务器等设备的运行状况的集中监测、分析、报警等。
*.安全管理制度:安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
安全策略:测评信息安全工作的总体方针、安全策略,总体目标、范围、原则和安全框架等。
管理制度:测评信息系统管理制度在内容覆盖上是否全面、完善。
制定和发布:测评信息系统管理制度的制定和发布过程是否遵循*定的流程。
评审和修订:测评信息系统管理制度定期评审和修订情况。
*.安全管理机构:安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
岗位设置:测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。
人员配备:测评信息系统各个岗位人员配备情况。
授权和审批:测评信息系统对关键活动的授权和审批情况。
沟通与合作:测评信息系统内部部门间、与外部单位间的沟通与合作情况。
审核和检查:检查信息系统安全工作的审核和测评情况。
*.安全管理人员:安全管理人员测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
人员录用:测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
人员离岗:测评信息系统人员离岗时是否按照*定的手续办理。
安全意识教育和培训:测评是否对人员进行安全方面的教育和培训。
外部人员访问管理:测评对第*方人员访问(物理、逻辑)系统是否采取必要控制措施。
*.安全建设管理:安全建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
定级和备案:测评是否按照*定要求确定系统的安全等级并完成备案工作。
安全方案设计:测评系统整体的安全规划设计是否按照*定流程进行。
产品采购和使用:测评是否按照*定的要求进行系统的产品采购。
自行软件开发:测评自行开发的软件是否采取必要的措施保证开发过程的安全性。
外包软件开发:测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。
工程实施:测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
测试验收:测评系统运行前是否对其进行测试验收工作。
系统交付:测评是否采取必要的措施对系统交付过程进行有效控制。
等级测评:测评是否依据国家要求完成等级测评和整改工作。
服务供应商选择:测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。
**.安全运维管理:安全运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
环境管理:测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
资产管理:测评是否采取必要的措施对系统的资产进行分类标识管理。
介质管理:测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
设备维护管理:测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
漏洞和风险管理:测评是否采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补。测评是否定期开展安全测评。
网络和系统安全管理:测评是否采取必要的措施对网络和系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。
恶意代码防范管理:测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。
配置管理:测评是否记录和保存系统的基本配置信息
密码管理:测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。
变更管理:测评是否采取必要的措施对系统发生的变更进行有效管理。
备份与恢复管理:测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。
安全事件处置:测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。
应急预案管理:测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。
外包运维管理:测评外包运维服务商的选择是否符合国家的有关规定并签订相关协议。
(*)测评资源配置及项目管理要求
供应商应根据我单位的实际情况,在项目实施期间配置人数不少于*人的专业等级保护测评人员团队完成相关测评工作。供应商不得因测评干扰我院相关系统的正常运行,严禁将在测评中获取的我院系统数据外泄或私用。测评期间如遇我院出现****问题,供应商应及时响应并配合处理。
供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任。
供应商应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。
供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留。
(*)测评工具要求
采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件。采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品。采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障。
测评机构所使用的测评工具不会对单位系统产生破坏或负面影响以及不影响医院业务正常开展。
(*)测评结论
编制并提交****等级保护测评报告,报告需提交公安机关有关部门备案,且能满足合规性要求。报告采用书面和电子档结合的方式提交。纸质档*式*份,电子档以*盘或光盘形式提交。供应商应当配合并协助我单位完成相关系统在公安机关的等级保护备案。
供应商提供的服务应满足国家标准、行业标准和国家相关政策文件要求。所用的标准应按相关法律法规要求采用最新版本,如果这些标准的内容有矛盾时,应按照最高标准的条款执行或按双方协商同意的标准或条款执行。
现行标准如下(包括但不限于以下标准)
**/******-****《****技术信息系统安全等级保护基本要求》
**/******-****《信息安全技术信息系统安全等级保护定级指南》
**/******-****《信息安全技术****等级保护实施指南》
**/******-****《信息安全技术****等级保护测评要求》
**/******-****《信息安全技术****等级保护测评过程指南》
*.渗透测试
供应商在保证采购人信息系统正常运行前提下,模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞,帮助采购人理解应用系统当前的安全状况,发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法,切实保证信息系统安全。供应商在得到客户授权后方可开始实施渗透工作。
*.攻防演练
根据采购人的时间安排,派出****技术人员至现场组建实战攻防演练工作小组,制定工作小组的沟通、协作、响应流程,提供安全体系优化方案,完善技术防御体系。
针对互联网暴露面和内部系统完成资产梳理、安全检查、配置核查及安全加固,包括漏洞整改、弱口令整改、访问控制策略优化、系统安全评估及加固等相关工作。
通过部署蜜罐诱骗攻击、***、防火墙及****网络监测系统,对网络攻击进行检测、识别、分析和告警。
现场防守小组当检测到安全事件时,即刻在现场进行实时分析与研判,当发现有针对性或攻击方正在攻击所保护的信息系统时立刻采取行动,封锁攻击行为,同时输出应急处置报告。
在对安全事件进行原因初步分析和影响抑制后,防守小组将对当前安全事件进行进*步处理并对证据进行留存。由防守小组成员从网络流量情况、主机系统日志、网站服务日志、业务应用日志、数据库日志等,结合已有安全设备数据,分析入侵方式,还原造成安全事件的过程,同时输出溯源报告。
演练完毕后,根据整个演练情况进行分析汇总并提交《网络攻防演练总结》,针对安全事件现象、处理过程、处理结果进行陈述,同时对入侵原因进行分析,并给出相应的安全加固建议和安全防御体系建设指导。