信息系统等级保护定级及评测技术要求

信息系统等级保护定级及评测技术要求一、评测内容完成新疆维吾尔自治区卫生计生综合监督业务应用平台和《新疆卫生监督网》两个系统的备案工作(二级)对以上两个信息系统进行等级保护差距测评。客观的评价以上两个信息系统在等级保护工作中取得的成绩，按照科学的评估方法，对信息系统的安全现状进行等级保护差距测评，分析信息系统保护现状和信息安全等级保护基本要求之间的差距，评估目前两个信息系统是否符合国家及行业等级保护的相关标准，并出具等级保护测评报告，为开展系统等级保护整改建设奠定基础。协助新疆维吾尔自治区卫生厅卫生监督所建立信息安全等级保护管理体系。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，结合等级保护测评报告提出的安全管理体系与等级保护基本要求之间的差距，在信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面指导并协助建立健全符合相应等级要求的安全管理制度。协助新疆维吾尔自治区卫生厅卫生监督所进行信息安全等级保护安全技术整改。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距，综合重要信息系统的特点，明确安全需求，设计符合相应等级要求的信息系统安全技术建设整改方案，协助开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。(5)完成信息安全等级保护的最终测评。在指导和协助新疆维吾尔自治区卫生厅卫生监督所对信息系统安全等级保护整改建设项目完成之后，对信息系统进行最终测评，提交各信息系统的测评报告，完成测评备案工作。二、 实施范围本次项目测评范围包括新疆维吾尔自治区卫生计生综合监督业务应用平台和《新疆卫生监督网》，共计两个系统。投标人须出具两个系统的定级报告、差距分析报告、整改建议书及最终测评报告，并协助甲方完成备案工作；须组织专家对差距分析报告及整改建议书进行评审。三、 项目实施原则客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。可重复性和可再现性原则：依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。连续性原则：确保在高速变化的信息安全环境中，在有效的服务期间内，保证采购方风险评估结论的准确性和及时性，对于采购方单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低了采购方单位的成本，从信息安全性上，保证信息安全测评的动态稳定性。扩展性原则：在评估过程结束后，信息安全测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。保密原则：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。互动原则：在整个测评过程中，强调采购方的互动参与，每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。最小影响原则：测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等)，如无法避免，则应做出说明。规范性原则：信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。质量保障原则：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。四、 标准与依据依据国家最新标准及规范要求。五、 实施要求.本项目测评驻场人员要求：本次测评至少需要1名高级测评师，2名中级测评师，6名初级测评师。本次等保测评项目不得转包或者分包，所有驻场测评师必须是中标公司自己的正式在职员工，所有驻场测评师必须持证上岗，响应文件中应提供项目组驻场人员名单以及社保主管部门出具的响应单位为其缴纳社保的证明、驻场人员信息安全等级测评师证书复印件及原件(若不能提供，不得标)，未经采购方同意，项目组成员不得更改。.测评时间要求：由于新疆维吾尔自治区卫生厅卫生监督所本次测评所涉及的应用系统重要性及特殊性，本次测评项目开展过程中不得占用国家规定的工作时间。.报价要求:报价响应包括所投标的物及完成该服务所需的配套费用、税费及包装、运至最终目的地的运输、保险、检测验收、技术支持与培训、售后服务与维保及相关劳务支出等工作所发生的全部费用以及谈判响应单位企业利润、税金和政策性文件规定及合同包含的所有风险、责任等各项应有费用。响应单位必须在谈判响应文件中提供完整、详细、合理、真实的评测方案、计划、人员安排和进度表。供应商响应的服务必须达到采购的要求，必须承诺采购文件中提出的全部要求，如果其中某些条款不响应时，应在响应文件中逐条列出，未列出的视同响应。新疆维吾尔自治区卫生厅卫生监督所申请等级保护测评信息系统简介本单位共有两套信息系统需要开展等级保护测评工作，现在将有关情况分析介绍如下：一、新疆维吾尔自治区卫生计生综合监督业务应用平台该平台是由国家卫生计生委卫生和计划生育监督中心委托北京梦天门科技股份有限公司制作的专门适用于卫生监督业务的信息管理系统，现在正在全国开展应用推广。.应用范围应用推广项目完成后，计划在全疆各级卫生监督机构中实现，卫生监督员在本信息系统平台上完成卫生行政许可、日常性监督检查和卫生行政处罚案件处理等业务工作，以及数据的统计分析工作。同时，该系统还通过接口向国家卫生监督信息报告系统(国家卫生计生委下属卫生计生监督中心委托开发研制，信息系统安全等级保护三级)上报信息数据。.权限分配各单位根据工作的需要分别设立系统管理员、审核员和填报员，完成对基础数据的填报、审核、统计分析等工作。全疆共109家卫生监督机构，约1300名卫生监督员。每家机构一名系统管理员，负责本单位卫生监督员的权限分配。普通卫生监督员负责完成基本数据的填报，审核员负责数据的审核等统计分析。.系统安全防范措施用户使用自己唯一的用户账号、密码和4位验证码登录系统。4.系统信息安全性行政许可子系统中存储有部分生产企业简要的生产工艺、场区布局等信息；行政处罚子系统存储有待处理或已处理的管理相对人违法行为信息；系统设置中有全体卫生监督员(包括卫生监督机构法定代表人个人身份信息)。5.系统架构(注：使用手持机)参见北京梦天门科技股份有限公司网站。/controlHome.dofdispatchTndex二、新疆卫生监督网站采用陕西时光软件有限公司的WebCarrierCMS中大型综合门户管理的系统建立的网站群。.特点WCM前端使用Velocity模板引擎+jsp技术，不需要独立客户端，使用浏览器就可以进行网站的搭建与维护，快速方便，可见即所得。它的WCM内容管理具备信息共享机制，即站群内的网站之间可以相互共享信息。主站能够直接获取各子站最新信息，子站之间需要通过共享权限设置实现共享。统一的登陆界面，采用权限划分用户权限，避免了多个登陆界面，多次登陆的繁琐。管理员可在一个后台操作站群管理、用户管理、内容管理平台及子站后台管理。.应用范围目前已经为我所及全区13个地州市和2个县级卫生监督所建立起网站及子网站。.权限分配各单位根据工作的需要分别设立系统管理员、信息录入员