中心医院网络安全等级保护测评项目需求

中心医院网络安全等级保护测评项目需求基本要求（1）服务期限：被测信息系统满足测评条件后90日内完成等保测评工作。（2）服务地点：中心医院指定地点。（3）服务要求：1）为保证项目如期完成，需设立项目组织机构，并合理配备测评人员（测评人员可在网络安全等级保护网查询）。人员保持相对稳定，其中项目经理不得随意更换，如有更换须经采购人对应业务部门同意，且采购人有权要求更换任何不合适的人员。2）测评人员人数不得少于4名，其中高级测评师、中级测评师应各不少于1名。项目经理必须熟练掌握信息安全相关标准与规范，具备丰富的信息安全测评工作经验，具有成熟的信息安全技术和项目管理能力，能够应对可能的突发性安全事件应急工作；测评人员应具备丰富的测评项目经验，熟悉网络安全相关法规，具备独立开展信息安全技术服务的能力。3）需具备网络安全防护专业能力，保证项目实施过程中能够及时处置网络安全隐患，防止项目实施过程中出现黑客攻击入侵、篡改事件、感染勒索病毒等安全风险，保障信息系统的稳定运行。4）需针对本项目设立售后服务机构，人员不得与测评实施人员重复。售后服务人员需具有丰富网络安全相关经验，可为采购人安全整改、系统软件测试验收提供咨询服务和技术指导。技术要求为贯彻落实国家网络安全等级保护制度，中心医院决定对本单位开展网络安全等级保护测评工作，并进一步完善中心医院的信息系统安全管理体系和技术防护体系，增强网络安全保护意识，切实提高中心医院网络安全防护能力。依据相关文件及标准要求，对中心医院的信息系统进行等级保护测评。等级保护测评服务本次测评的系统为5个三级系统（一体化HIS+EMR系统、集成平台及数据中心系统、LIS系统、PACS系统、互联网医疗服务平台），测评内容涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等网络安全的各个层面。测评依据（1）《网络安全法》（2）《计算机信息系统安全保护条例》（3）GB17859—1999《计算机信息系统安全保护等级划分准则》（4）《信息安全等级保护管理办法》（5）GB/T22239—2019《信息安全技术网络安全等级保护基本要求》（6）GB/T28448—2019《信息安全技术网络安全等级保护测评要求》（7）GB/T28449—2018《信息安全技术网络安全等级保护测评过程指南》测评内容和方法网络安全等级保护测评内容主要包括安全技术测评和安全管理测评。其中安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心；安全管理测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。（1）安全物理环境测评包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面；（2）安全通信网络测评主要验证对象为广域网、城域网和局域网等；包括网络架构、通信传输和可信验证等方面；（3）安全区域边界测评主要对象为系统边界和区域边界等；包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证等方面；（4）安全计算环境测评主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面；（5）安全管理中心测评主要对象为集中管控平台、集中运维平台、日志审计系统等，包括系统管理、审计管理、安全管理和集中管控等方面；（6）安全管理制度测评主要对象为信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等；（7）安全管理机构测评主要对象为安全管理机构设立文档、信息安全小组名单、岗位说明书等文档及执行记录；（8）安全管理人员测评主要对象为人事管理制度、外部人员访问要求等安全管理制度及执行记录；（9）安全建设管理测评将主要对象为系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录；（10）安全运维管理测评主要对象为系统运维过程中涉及的安全管理制度及执行记录；测评过程根据国家标准《信息安全技术网络安全等级保护测评过程指南》（GB∕T28449-2018）的规定，测评过程分为四个阶段：（一）测评准备活动：掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。（二）方案编制活动：整理测评准备活动中获取的定级对象相关资料，为现场测评活动提供最基本的文档和指导方案。（三）现场测评活动：依据测评方案实施现场测评工作，将测评方案和测评方法等内容具体落实到现场测评活动中。（四）报告编制活动：在现场测评工作结束后，