【文章內(nèi)容簡介】 術(shù) 信息技術(shù) 安全性評估準(zhǔn)則四、項(xiàng)目內(nèi)容通過詳細(xì)的系統(tǒng)調(diào)研，開展對其HIS、LIS系統(tǒng)（三級）、PACS和網(wǎng)站（二級）的等級保護(hù)測評工作，找出安全現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設(shè)方案，指導(dǎo)整改工作。最終完成等級保護(hù)測評報(bào)告。測評的內(nèi)容包括但不限于以下內(nèi)容：216。 安全技術(shù)測評：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測評；216。 安全管理測評：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測評。（1）、物理安全根據(jù)臨沂市中醫(yī)院信息系統(tǒng)機(jī)房和現(xiàn)場安全測評記錄，針對機(jī)房和現(xiàn)場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn)行，判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。中標(biāo)人出具加蓋CNAS章的機(jī)房檢測報(bào)告。（2）、網(wǎng)絡(luò)安全根據(jù)臨沂市中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全測評記錄，針對網(wǎng)絡(luò)方面在“結(jié)構(gòu)安全”、“訪問控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。（3）、主機(jī)安全主機(jī)安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)服務(wù)器的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”。（4）、應(yīng)用安全應(yīng)用安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”、“資源控制”方面。（5）、數(shù)據(jù)安全及備份恢復(fù)臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場測評包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個(gè)方面的測評。（6）、安全管理制度根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。（7）、安全管理機(jī)構(gòu)根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。（8）、人員安全管理根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓(xùn)”以及“外部人員訪問管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。（9）、系統(tǒng)建設(shè)管理根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測試驗(yàn)收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務(wù)商選擇”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。（10）、系統(tǒng)運(yùn)維管理根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項(xiàng)的測評結(jié)果。通過現(xiàn)場測評，逐項(xiàng)找出系統(tǒng)現(xiàn)狀與國家相關(guān)標(biāo)準(zhǔn)要求之間的差距，進(jìn)行逐項(xiàng)待整改完畢后，進(jìn)行結(jié)果確認(rèn)，完成信息安全等級保護(hù)測評，出具測評報(bào)告，協(xié)助建立符合等級保護(hù)要求的信息安全管理體系，包含信息安全方針、信息安全策略、運(yùn)行管理制度和運(yùn)維管理制度。并參照國際標(biāo)準(zhǔn)體系ISO 27001和ISO 分析、整體分析，給出差距分析報(bào)告，并給出整改建議方案。并將測評報(bào)告報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。20000制定相應(yīng)流程，促進(jìn)臨沂市中醫(yī)院信息安全管理工作。提供門戶網(wǎng)站7*24小時(shí)網(wǎng)站安全監(jiān)測，對網(wǎng)站頁面掛馬、篡改等事件實(shí)時(shí)監(jiān)測，發(fā)現(xiàn)問題及時(shí)通報(bào)相關(guān)人員，并安排人員及時(shí)處理。服務(wù)期內(nèi)提供不限次數(shù)的應(yīng)急支援服務(wù)，針對發(fā)生的事件協(xié)助分析事件原因，查找問題，并提供安全加固建議。組織技術(shù)培訓(xùn)，對臨沂市中醫(yī)院的技術(shù)人員進(jìn)行等級保護(hù)、安全技術(shù)和項(xiàng)目部署要求等內(nèi)容培訓(xùn)。技術(shù)培訓(xùn)應(yīng)從實(shí)際應(yīng)用出發(fā)，涵蓋網(wǎng)絡(luò)安全的如下方面： 基礎(chǔ)設(shè)施運(yùn)行安全培訓(xùn)、網(wǎng)絡(luò)安全縱深防御體系培訓(xùn)、操作系統(tǒng)安全加固技術(shù)培訓(xùn)、應(yīng)用系統(tǒng)滲透測試檢測與加固培訓(xùn)、數(shù)據(jù)庫安全管理培訓(xùn)、27001安全管理體系培訓(xùn)等。按照GBT209842007信息安全風(fēng)險(xiǎn)評估規(guī)范標(biāo)準(zhǔn)和要求，對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，明確信息系統(tǒng)安全風(fēng)險(xiǎn)，提出合理的、滿足等級保護(hù)要求的總體建設(shè)和管理規(guī)劃，并制定安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。五、成果交付該項(xiàng)目提交的文檔至少包括如下文件：《臨沂市中醫(yī)院XX信息系統(tǒng)安全等級保護(hù)測評方案》《臨沂市中醫(yī)院XX系統(tǒng)信息安全等級保護(hù)測評報(bào)告》《臨沂市中醫(yī)院XX信息安全管理制度匯編》《信息安全風(fēng)險(xiǎn)評估報(bào)告》《信息安全整改方案》第二部分投標(biāo)方資質(zhì)要求《企業(yè)法人營業(yè)執(zhí)照》副本復(fù)印件（蓋章）。法定代表人身份證明書或法人授權(quán)委托書、身份證復(fù)印件。投標(biāo)公司具有信息系統(tǒng)安全等級保護(hù)測評的國家相關(guān)資質(zhì)，有專業(yè)技術(shù)檢測項(xiàng)目組，其中有高級測評師及中級測評師，參與技術(shù)檢測的人員均為中國公民，無違法犯罪記錄并簽訂安全保密協(xié)議。同類項(xiàng)目近幾年的業(yè)績情況及客戶名單。第三部分標(biāo)書、報(bào)價(jià)方式標(biāo)書分正本1份，副本2份，并在標(biāo)書標(biāo)書袋上標(biāo)明“正本”、“副本”字樣。均固定裝訂成一冊，不能活頁裝訂或散裝，蓋單位公章和法定代表人印簽后遞交醫(yī)院招標(biāo)辦。第四部分報(bào)送時(shí)間、地點(diǎn)標(biāo)書報(bào)送時(shí)間截止2018年1月30日16時(shí)。（每日8：00～17：00，周六、周日除外）標(biāo)書報(bào)送地點(diǎn)：臨沂市中醫(yī)醫(yī)院門診七樓招標(biāo)辦。第四篇：《信息安全等級保護(hù)測評機(jī)構(gòu)管理辦法》最新信息安全等級保護(hù)測評機(jī)構(gòu)管理辦法第一條 為加強(qiáng)信息安全等級保護(hù)測評機(jī)構(gòu)管理，規(guī)范等級測評行為，提高測評技術(shù)能力和服務(wù)水平，根據(jù)《信息安全等級保護(hù)管理辦法》等有關(guān)規(guī)定，制定本辦法。第二條 等級測評工作，是指等級測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。等級測評機(jī)構(gòu)，是指依據(jù)國家信息安全等級保護(hù)制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級測評等信息安全服務(wù)的機(jī)構(gòu)。第三條 等級測評機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰推薦、誰負(fù)責(zé)，誰審核、誰負(fù)責(zé)”的原則有序開展。第四條 等級測評機(jī)構(gòu)應(yīng)以提供等級測評服務(wù)為主，可根據(jù)信息系統(tǒng)運(yùn)營使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。第五條 國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室（以下簡稱“國家等保辦”）負(fù)責(zé)受理隸屬國家信息安全職能部門和重點(diǎn)行業(yè)主管部門申請單位提出的申請，并對其推薦的等級測評機(jī)構(gòu)進(jìn)行監(jiān)督管理。省級信息安全等級保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡稱“省級等保辦”）負(fù)責(zé)受理本?。▍^(qū)、直轄市）申請單位提出的申請，并對其推薦的等級測評機(jī)構(gòu)進(jìn)行監(jiān)督管理。第六條 申請成為等級測評機(jī)構(gòu)的單位（以下簡稱“申請單位”）應(yīng)具備以下基本條件：（一）在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；（二）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無違法記錄；（四）測評人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員，不少于10人；（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)滿足測評工作需求；（七）具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等規(guī)章制度；（八）自覺接受等保辦的監(jiān)督、檢查和指導(dǎo)，對國家安全、社會秩序、公共利益不構(gòu)成威脅；（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù)；（十）應(yīng)具備的其他條件。第七條 申請時(shí)，申請單位應(yīng)向等保辦提交以下材料：（一）《信息安全等級保護(hù)測評機(jī)構(gòu)申請表》；（二）從事信息系統(tǒng)安全相關(guān)工作情況；（三）檢測評估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；（四）有關(guān)管理制度建設(shè)情況；（五）申請單位及其測評人員基本情況；（六）應(yīng)提交的其他材料。等保辦收到申請材料后，應(yīng)在10個(gè)工作日內(nèi)組織初審，并出具初審結(jié)果告知書。第八條 通過初審的申請單位，應(yīng)及時(shí)參加指定評估機(jī)構(gòu)組織的測評人員培訓(xùn)。考試合格的人員，取得等級測評師證書。等級測評師分為初級、中級和高級。申請單位應(yīng)至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。第九條 指定評估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對申請單位開展能力評估，出具信息安全等級保護(hù)測評機(jī)構(gòu)能力評估報(bào)告，并及時(shí)將申請單位能力評估有關(guān)情況報(bào)送等保辦。第十條 等保辦組織專家對通過能力評估的申請單位進(jìn)行審核。審核通過的，頒發(fā)《信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書》。省級等保辦應(yīng)及時(shí)將本地等級測評機(jī)構(gòu)推薦情況報(bào)國家等保辦，國家等保辦定期發(fā)布公告，在《中國信息安全等級保護(hù)網(wǎng)》發(fā)布《全國信息安全等級保護(hù)測評機(jī)構(gòu)推薦目錄》。第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級測評機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。（一）等級測評機(jī)構(gòu)名稱、地址、測評人員和主要負(fù)責(zé)人發(fā)生變更的；（二）等級測評機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；（三）其他重大事項(xiàng)發(fā)生變更的。省級等保辦應(yīng)及時(shí)將等級測評機(jī)構(gòu)變更情況報(bào)國家等保辦。第十二條 信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書有效期為三年。等級測評機(jī)構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請復(fù)審。復(fù)審?fù)ㄟ^的等級測評機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過的，等保辦應(yīng)督促其限期整改。省級等保辦應(yīng)及時(shí)將等級測評機(jī)構(gòu)期滿復(fù)審情況報(bào)國家等保辦。第十三條 等級測評師上崗前，等級測評機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的，由等級測評機(jī)構(gòu)配發(fā)上崗證。未取得測評師證書和上崗證的，不得參與等級測評項(xiàng)目。等級測評師離職前，等級測評機(jī)構(gòu)應(yīng)與