返回
信息安全等级保护测评技术标准和需求

信息安全等级保护测评技术标准和需求

ID:34896263

大小:30.00 KB

页数:3页

时间:2019-03-13

信息安全等级保护测评技术标准和需求_第1页
信息安全等级保护测评技术标准和需求_第2页
信息安全等级保护测评技术标准和需求_第3页
资源描述:

《信息安全等级保护测评技术标准和需求》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息安全等级保护测评技术标准和需求为了保障浏阳市人民医院“核心业务系统(HIS系统)”安全、稳定、可靠、高效的运行,按照相关的国家、行业的安全标准要求,需要对其进行安全等级保护三级测评。测评内容包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。通过测评,对照相应安全等级保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,制订出整改措施,出具测评报告。具体内容包括:1、对浏阳市人民医院“核心业务系统(HIS系统)”的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、

2、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理共10个层面通过访谈、检查、测评等方法进行初测评,找出差距、安全漏洞和隐患并分析其风险,制订出整改建议报告。2、对经过整改后的信息系统进行回归测评,并正式形成《信息系统安全等级保护测评报告》。一、测评内容包括信息系统技术安全性测评及信息系统管理安全测评:1、信息系统技术安全性测评包括但不限于:物理安全、网络安全、主机安全、应用安全、数据安全。2、信息系统管理安全测评包括但不限于:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。二、测评具体要求:(一)信息系统技术安全性测评1、

3、物理安全测评物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。2、网络安全测评网路安全测评应当包含:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。3、主机安全测评主机安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。4、应用安全测评应用安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。5、数据安全及备份恢复测评数据

4、安全及备份恢复测评应当包含:数据完整性、数据保密性、备份和恢复。(二)信息系统管理安全测评1、安全管理制度测评安全管理制度测评应当包含:管理制度、制定与发布、审批和修订。2、安全管理机构测评安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。3、人员安全管理测评人员安全管理测评应当包含:人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。4、系统建设管理测评系统建设管理测评应当包含:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全服务商选择。5、系

5、统运维管理测评系统运维管理测评应当包含:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。(三)风险分析和评价依据GB/T20984-2007《信息安全技术信息安全风险评估规范》,针对浏阳市人民医院“核心业务系统(HIS系统)”采用风险分析方法,分析信息系统测评结果中存在的安全问题可能对信息系统安全造成的影响,并给出发现的安全问题以及风险分析及评价情况。三、实施和保障方案(一)项目进度要求本项目测评实施要求同步实施、重点先行、阶段性成果展现相

6、结合。具体实现进度要求如下:本次信息系统安全等级保护测评服务工作分为:测评准备、方案编制、现场测评、问题整改、回归测评、报告编制等几个阶段。(1)第一阶段:组建项目组,制定信息安全测评项目计划书、测评实施方案以及人员安全培训计划,并提交浏阳市人民医院审核。(2)第二阶段:进行现场测评,同时对浏阳市人民医院信息安全相关管理和技术人员进行安全技术培训。初次测评完成后,提交初评的整改意见报告。(3)第三阶段:协助浏阳市人民医院针对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的回归测评。(4)第四阶段:整理测评结果,向浏阳市人民医院提交被测信息系统安全等级保

7、护测评报告以及相应文档。(二)项目实施要求依据国家各项相关标准法规和浏阳市人民医院现有的规范、制度,同时结合项目实际需要,对信息安全等级保护项目工作中的定级、备案、测评(包括测评范围、测评方法等)、整改(包括整改方法、范围等)过程中,所需的产品、技术、制度、流程、建设要求和实施规范等方面,提供咨询、测评、整改建议以及整个建设过程的监督和管理等服务。提供的整改方案,包括整体流程、技术方法和服务方案等,发现系统不足,明确安全风险隐患和差距,提出整改意见,协助浏阳市人民医院信息安全管理人员进行整改。投标人负责提供的服务内容至少应包括,但不限于以下各项:1、服务提供商在信

8、息安全等级

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。