欢迎来到天天文库
浏览记录
ID:14827028
大小:47.00 KB
页数:5页
时间:2018-07-30
《临沂中医医院信息安全等级保护测评项目》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、临沂市中医医院信息安全等级保护测评项目集中竞价采购须知为了公开、公平、公正地集中竞价采购,本着合理、竞争、经济的原则,我院拟对本次采购活动参照招标形式进行集中竞价,相关事项如下:第一部分项目要求一、项目背景为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,在全面了解临沂市中医院现有信息化现况的基础上,开展信息系统安全等级保护测评工作。通过本次工作,发现信息系统中存在的安全风险,分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况,完善工作制度,提出安全建设加固建议。切实加强信息安全防范水平,
2、提高系统抵御风险的能力。二、项目目标、内容按照国家等级保护相关标准和要求,对其HIS、电子病历系统(三级)、PACS和网站(二级)安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,完成等级保护测评报告,并提供后续检测服务。三、项目实施参照法律法规及标准Ø《网络安全法》Ø公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);Ø公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法
3、》(公通字[2007]43号)。Ø《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)Ø《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)Ø《信息安全技术信息系统安全等级保护实施指南》Ø《信息安全技术信息系统安全等级保护测评要求》Ø《信息安全技术信息系统安全等级保护测评过程指南》Ø《计算机信息系统安全保护等级划分准则》(GB17859-1999)Ø《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)Ø《信息安全技术网络基础安全技术要求》(GB/T20270-2006)Ø《
4、信息安全技术操作系统安全技术要求》(GB/T20272-2006)Ø《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)Ø《信息安全技术服务器技术要求》(GB/T21028-2007)Ø《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)Ø《信息安全技术信息系统安全管理要求》(GB/T20269-2006)Ø《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)ØGB/T18336-2001信息技术安全技术信息技术安全性评估准则四、项目内容1.等级测评通过详细的系统调研,开展对其
5、HIS、LIS系统(三级)、PACS和网站(二级)的等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。测评的内容包括但不限于以下内容:Ø安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;Ø安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。(1)、物理安全根据临沂市中医院信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗
6、窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。(2)、网络安全根据临沂市中医院信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。(3)、主机安全主机安全现场测评包括对临沂市中医院信息系统服务器的测评,测
7、评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。(4)、应用安全应用安全现场测评包括对临沂市中医院信息系统的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。(5)、数据安全及备份恢复临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。(6)、安全管理制度根据现场安全测评记录,针对临沂市中医院信息系统在安全管理制
8、度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。(7)、安全管理机构根据现场安全测评记录,针对临沂市中医院信息系统在安全管
此文档下载收益归作者所有