欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    广州市番禺区第二人民医院信息化建设项目需求书.docx

    • 资源ID:95405239       资源大小:29.27KB        全文页数:15页
    • 资源格式: DOCX        下载积分:15金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要15金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    广州市番禺区第二人民医院信息化建设项目需求书.docx

    广州市番禺区第二人民医院信息化建设项目需求书2023年5月(3)对涉及的相关设备运行集中监测情况,审计数据汇总、分析、留存时 间情况进行检查。1. 1.3. 6. 6 安全管理制度测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的安全管理制度,进行安全策略、 管理制度、指定和发布、评审和修订层面的差距测评。测评流程:(1)以会议形式对所有管理员进行管理制度安全访谈;(2)对相关管理制度以及制度发布方式进行查阅,验证用户已有文档与测 评标准要求的符合程度。1. 1.3. 6. 7 安全管理机构测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的安全管理机构,进行岗位设置、 人员配备、授权和审批、沟通和合作、审核和检查层面的差距测评。测评流程:(1)以会议形式对所有管理员进行管理制度安全访谈;(2)对相关岗位与人员安排以及记录文档是否齐备进行查阅,验证用户已 有文档与测评标准要求的符合程度。1. 1.3.6. 8 安全管理人员测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的安全建设管理,进行人员录用、 人员离岗、安全意识教育和培训、外部人员访问管理层面的差距测评。测评流程:(1)以会议形式对所有管理员进行管理制度安全访谈;(2)对相关人员安全管理制度以及记录文档是否齐备进行查阅,验证用户已有文档与测评标准要求的符合程度。1. 1.3. 6.9 安全建设管理测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的安全建设管理,进行定级和备 案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、等级测评、 服务供应商选择、工程实施、系统交付层面的差距测评。测评流程:(1)以会议形式对所有管理员进行管理制度安全访谈;(2)对相关安全建设管理制度和软件验收报告等文档是否齐备进行查阅, 验证用户已有文档与测评标准要求的符合程度。1. 1.3.6. 10安全运维管理测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的安全运维管理,进行环境管理、 资产管理、介质管理、设备维护管理、漏洞和风险管理层面、网络和系统安全管 理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安 全事件处置、应急预案管理、外包运维管理层面的差距测评。测评流程:(1)以会议形式对所有管理员进行管理制度安全访谈;(2)对相关安全运维管理制度和策略、操作规程和手册等文档进行查阅, 验证用户已有文档与测评标准要求的符合程度。测评总结及报告1. 1. 3. 7. 1阶段性报告为保证信息系统等级保护差距测评阶段工作的顺利开展及透明性,在服务中 根据现有的测评记录,定期服务工作汇报,向各位管理员汇报每周的测评工作及后期服务工作安排。1. 1.3. 7.2 分析测评结果根据测评结果的符合性判定情况,检验各测评对象的单个测评项,对测评结 果是否符合要求进行判断,即单项判定,形成单项判定结论,判定结论分为三种 情况:高、中、低。根据单项判定结论将单项测评的数据按照层面进行汇总分析,以表格的形式, 分别统计安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管 理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运 维管理等各层面的不同测评对象的单项测评结论,并对安全问题的严重程度进行 统计。根据单项判定结论和数据汇总统计分析情况进行系统整体测评分析,分析单 项判定结果为不符合的测评项是否影响系统的整体安全保护能力,分析系统的整 体结构是否合理。1. 1. 3. 7. 3 形成测评结论在数据汇总分析的基础上,结合系统整体测评结果及被测系统的实际情况等, 分析测评结论为不符合的测评项是否影响系统安全目标实现,是否影响系统安全 保护能力。根据系统安全保护现状与等级保护基本要求之间的差距,分析系统存在的问 题,给出系统等级测评结论,并提出改进建议。1. 1.3. 7.4 报告编制本阶段是一个自下而上的逐步汇总、形成等级测评结论的过程,首先根据现 场测评结果和测评要求,对测评结果进行分析,得出单项测评结果判定。系统整体测评分析:综合分析被测系统各个层面的安全控制状况及系统的整 体安全保护能力是否达到其相应等级的保护要求,并给出最终结论。根据上述分析过程和最终结论,并指出系统中存在的主要问题和整改建议。1. 1.3. 7.5 服务产出物单位基本信息表(1份)XX等级保护差距测评问题单(8份)XX等级保护验收测评报告(8份)1.2等保整改服务1.2. 1基础整改服务等保整改服务,配合医院完成定级系统的等保测评工作,根据等保差距分析 报告及整改建议,提供建设整改服务,进行安全整改,负责组织、协调等工作完 成等保测评验收等,以达到通过等保验收的目的。结合我院的实际情况,需要第三方服务商对我院的重要网络安全设备资产及 终端电脑进行相关的安全策略整改及安全软件安装服务,主要包括访问控制策略、 密码复杂度配置、安全审计策略配置、防病毒软件安装等,通过该工作可以提高 我院整体的安全性,减少安全薄弱环节。(1)服务器安全加固服务服务器的安全加固,将重点针对HS、apache、mysql、MS SQL server, oracle 等服务器及系统服务进行安全加固。加固主要内容包括:1 .服务器操作系统的身份鉴别安全加固,配置登陆失败、操作超时、限制非 法登录以及自动退出等;2 .配置服务器账号登录密码强度策略;3 .严格控制服务器操作系统的远程管理,限制远程管理终端,配置使用加密 远程管理方式等;4 .对服务器操作系统账号的权限进行紧缩,遵循“最小权限”原则,防止对 系统的越权访问;5 .清理不再使用、旧的系统账号;6 .禁用系统多余的、系统缺省打开却不必要服务系统服务,删除不再使用的共享;7 .开启系统日志审计功能,对系统事件的日期、时间、类型、主体标识、客 体标识等进行记录,并定期分析;8 .配置服务器操作系统的防病毒及防恶意代码功能,安装防病毒软件,定期 进行病毒查杀;9 .检查分析现有系统的安全漏洞和黑客后门等,更新服务器系统安全补丁;10 .对服务器操作系统的运行状态、系统服务等进行监控;11 .配置应用平台(HS、apache等)的安全参数,加强应用安全。(2)关键网络设备加固1 .根据相关策略对设备进行检查与设置,并进行优化调整;2 .对其配置进行检查,根据对实际应用情况的分析,删除冗余的配置,启用 路由器中的ACL配置,提高接入的安全性等措施优化配置,实现设备加固。(3)安全设备加固1 .根据相关策略对设备进行检查与设置,并进行优化调整。2 .对其配置进行检查,根据对实际应用情况的分析,删除冗余的配置,提高 接入的安全性等措施优化配置,实现设备加固。(4)管理制度梳理完成基本管理制度修编。1.2. 2配套服务工具1.3. 评方法与工具要求1.4. 1测评方法1. 3. 1. 1人员访谈与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。1.3. 1.2配置检查利用上机验证的方式检查主机操作系统、数据库、网络设备、安全设备、应 用系统等配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的 内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的 完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的 要求。1.4. 1.3 文档审查检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、 安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、 系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机 房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。1. 3. 1. 4 实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、 业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应 等级的安全要求。一、项目名称HIS和集成平台系统安全等级保护三级测评及整改服务项目二、采购内容序号名称内容详细描述数量/单位1信息系 统安全 等级保 护测评 服务等保测评+整改 服务1.完成信息系统的差距测评;2根据差距测评问题清单,提供整改建议和 规避办法,协助医院完成系统差距整改;3 .完成等保测评验收且出具等保测评报告;4 .提交等保测评报告给市公安局,并拿回笔 评报告提交回执单。2个三、服务内容要求1.1 等保测评服务1. 1. 1测评对象序号信息系统系统描述等级备注1HIS系统,集成 平台系统通过对信息的收集、存储、传递、统计、分析、 综合查询、报表输出和信息共享,及时为医院 领导及各部门管理人员提供全面、准确的各种 数据。三级2个1. 1.2测评要求按照等保2.0的相关要求对信息系统安全等级保护状况进行测试评估,包括安全通用要 求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安 全扩展要求。安全通用要求规定了不管等级保护对象形态如何必须满足的要求,评单元分为安全技术 测评和安全管理测评两大类,技术要求包括:安全物理环境、安全通信网络、安全区域边界、 安全计算环境、安全管理中心;管理要求包括:安全管理制度、安全管理机构、安全管理人 员、安全建设管理、安全运维管理。云计算拓展要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、 安全建设管理。移动互联网拓展要求包括:安全物理环境、安全区域边界、安全计算环境、安全建设管 理。物联网安全拓展要求包括:安全物理环境、安全区域边界、安全建设管理。工业控制系统安全拓展要求包括:安全物理环境、网络通信网络、安全区域边界、安全 计算环境。1. 1.3测评方法等级测评的方法主要有人员访谈、现场检查、测试验证。1. 1. 3. 1人员访谈访谈对象主要是:信息安全主管,信息安全管理员,网络管理员,应用管理员,设备安 全管理员和用户访谈工具主要是:技术和管理核查表;访谈适用的情况有:了解和明确管理方面的问题;了解信息系统的全局性(包括局 部)的非细节性技术安排问题,一般不涉及到具体的实现细节措施;访谈获得的证据,一般不作为系统测评判定的主要依据,只作为参考的依据。但是 对低级别的系统,有些访谈结果是可以作为测评的依据。1. 1.3.2 现场检查现场检查主要有核查、审查、评审、观察、对照和分析等;检查对象包括:文档、记录、机制、设备等;检查工具主要是:技术和管理核查表;检查人员不直接操作设备,主要在被测人员操作下查看结果和记录;比如:要求打印防火墙的策略,提交检查。1. 1.3.3 测评验证测试验证须由测试人员自己动手,操作工具设备开展工作;测试验证主要分有:功能、性能测试、攻击测试、渗透测试等类型;测评对象主要包括:安全机制,设备等;测试借助的设备主要有:扫描检测工具,网络协议分析仪,攻击工具,渗透工具集等;对技术要求来讲,测试的目的是验证信息系统当前安全机制运行的有效性和安全强 度等。1. 1.3.4实施流程网络安全等级保护测评包括等级保护安全分析和等级保护验收测评,具体实施流程如图2所示:等级测评项目启动测时活动准备信息收集与分析工具和表单准符测评对欧确定方盍制活动测辞工只接入点确定测评内容确定测时指导15开发测评方案编制测评实施准备_L_沟通与洽或一现场舞猛动现场测过和结果记录结果确认和位料口还单项测评结果判定Y 分析叼辔编制活动单元测评结果判定整体测评风险分析等级测评结论形成测评报告编制图2 :实施不思图调查问卷调查问卷是现场核查的方法之一。调查问卷根据规范制定,其调查内容应涵盖被测信 息系统的各个方面,利用调查问卷对系统安全技术、安全管理措施等进行逐项审核,将调查 结果记录在相应的问卷上,供现场核查分析之用。系统安全性技术检查工具典型的系统安全性技术检查工具有以下几种:a) Web应用安全扫描器:主要扫描Web应用安全中存在的危险函数调用、软件陷门;b)基于主机的扫描器:检测主机操作系统中与系统密切相关的安装配置问题及其他系 统目标的安全策略漏洞情况;c)基于网络的扫描器:通过网络扫描确定系统的状态及收集信息,判断网络中是否存在安 全隐患。例如操作系统类型、开放的端口及服务、安全漏洞及木马程序等。检测范围包括测 评系统相关的设备:服务器、防火墙、交换机、路由器等网络中所有设备;d)网络协议分析仪:分析信息系统传输数据流,检测信息系统异常现象;0)入侵检测工具:分析系统外部或内部的入侵行为及其行为特征(根据用户需求);f)其它检查工具。测评工具使用原则a)根据信息系统安全要求配置测评工具,选择适用的、针对性强的测评工具;b)应优先选用性能较好,由国内开发的测评工具或经过测评认证安全的测评工具;c)对已经投入运行的系统不使用攻击性测试工具,防止系统崩溃造成不必要的损失;d)使用攻击性测试工具要经过被测评用户授权。测评方法测评流程在整个项目过程中,将在不同阶段派遣不同人员参与项目,主要包括以下几个角色:管理人员:项目启动会、计划、监督、协调组织项目验收等管理性工作。安全工程师:会议、座谈、现场走访、问卷调查、调查和收集现有单位相关材料。咨询师:交流安全需求、安全策略分析、网络规划、安全建议。攻防人员:使用专业工具进行技术类指标的评定,对指标验证后提出建议。文档人员:整理文档、书写报告。1. 1.3.5 测评标准 网络安全等级保护基本要求(GB/T22239-2019) 网络安全等级保护设计技术要求(GB/T25070-2019) 网络安全等级保护测评要求(GB/T28448-2019) 网络安全等级保护测评过程指南(GB/T28449-2018)1. 1.3.6现场测评内容根据国家发文标准网络安全等级保护基本要求(GB/T22239-2019),等级保护测评内 容如下:基本要求管理要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理技术要求1. 1.3. 6. 1 安全物理环境测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对物理机房和办公环境,进行物理位置的选择、物理访问 控制、防盗窃和破坏、温湿度控制、防水防潮、防火、防静电、防雷击、电力供 应和电磁防护等设施及管理层面的差距测评。测评流程:(1)机房及办公环境现场查看;(2)对机房管理员及安全管理员进行安全访谈;(3)机房及办公相关管理及验收文档查阅。1. 1.3. 6. 2 安全通信网络测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,对等级保护信息系统相关的网络整体和设备,进行网络结构、 通信传输、可信验证等安全策略及管理层面的差距测评。测评流程:(1)查看网络结构图;(2)对网络管理员及安全管理员进行安全访谈;(3)网络设备相关管理及验收文档查阅。(4)由管理员登录相关设备(如交换机、防火墙、路由器等)进行查看相 应安全策略配置。1. 1.3.6. 3 安全区域边界测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的网络整体和设备,进行边界防 护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等安 全策略及管理层面的差距测评。测评流程:(1)查看网络结构图;(2)对网络管理员及安全管理员进行安全访谈;(3)网络设备相关管理及验收文档查阅。(4)由管理员登录相关设备(如交换机、防火墙、路由器等)进行查看相应安全策略配置;1. 1.3. 6.4 安全计算环境测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的主机系统安全,进行身份鉴别、 访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据 保密性、数据备份恢复、剩余信息保护、个人信息保护等安全策略层面,结合漏 洞扫描、渗透测试的差距测评。主机测评流程:(1)和系统管理员确认服务器IP及系统类型;(2)对系统管理员及安全管理员进行安全访谈;(3)等级保护信息系统主机系统相关管理及操作手册文档查阅;(4)由系统管理员远程服务器系统,测评人员根据等保要求进行查看相应 安全策略配置;(5)评测人员使用扫描工具对信息系统相关服务器进行漏洞扫描。应用测评流程:(1)和应用管理员确认应用系统及中间件控制台URL;(2)对应用管理员及安全管理员进行安全访谈;(3)对被测的应用系统相关管理、操作手册和验收文档进行查阅;(4)由应用管理员登录中间件控制台,测评人员进行应用配置策略检查;(5)使用扫描工具对应用系统进行扫描,需要管理员提供对应网段和调整 相关策略和端口。1. 1.3. 6.5 安全管理中心测评根据信息系统等级保护GB/T 28448-2019信息安全技术网络安全等级保护 测评要求的标准,需对等级保护信息系统相关的安全管理中心,进行系统管理、 审计管理、安全管理、集中管控等安全策略及管理层面的差距测评。测评流程:(1)对系统管理员、审计管理员及安全管理员进行安全访谈;(2)由安全管理员登录集中管理设备,测评人员进行配置策略检查;

    注意事项

    本文(广州市番禺区第二人民医院信息化建设项目需求书.docx)为本站会员(太**)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开