项目说明和采购需求

一、项目背景及详细要求 

1、项目背景 

等级保护是国家关于网络安全的基本政策和法律要求，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），（以下简称27号文）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

2017年6月1日实施的《中华人民共和国网络安全法》第二十一条、第三十八条明确要求实行网络安全等级保护制度，关键信息基础设施的运营者应当自行或委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

为进一步加强自治区卫生健康委员会网络安全防护能力，认真贯彻和执行公安部、网信办网络安全等级保护需求，切实做好自治区卫生健康委员会等级保护测评和安全防护评估工作，结合自治区卫生健康委员会业务系统实际情况，对宁夏卫生健康信息系统开展网络安全等级保护测评工作。

2、项目目的 

通过等级保护测评工作发现信息系统在安全方面的不足之处，找出自治区卫生健康委员会各信息系统与国家和行业等级保护标准要求和之间的差距，可以有效地提高自治区卫生健康委员会网络安全建设的整体水平，并且指明方向，有利于在信息化建设过程中同步建设网络安全设施，保障网络安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施。为信息系统的安全提供合理化建议，并协助自治区卫生健康委员会设计详细和合理的等级保护整改方案，通过安全建设整改工作能够使各信息系统达到相应安全保护等级的能力要求。具体如下：

（1）通过等级保护预测评，对自治区卫生健康委员会信息系统安全防护体系能力的分析与确认，发现存在的安全隐患，协助进行整改，全面达到国家网络安全等级保护相关要求；

（2）对自治区卫生健康委员会信息系统的安全状态做出判断，验证其是否符合等级保护要求，提出安全防护相关合理化建议，提升安全运维水平。同时，将测评结论作为进一步完善系统安全防护措施的依据。

（3）提升自治区卫生健康委员会网络安全事件应急响应及安全事件分析，使技术人员更全面掌握了解信息系统安全状况，提升人员安全威胁处置能力。

（4）遵循国家等级保护有关规定的要求，对信息系统安全建设进行符合性测评，出具网络安全等级保护测评报告。

3、项目内容 

1、对以下完成定级备案的信息系统严格按照等保2.0相关要求开展信息系统网络安全等级保护测评工作，并对差距项提出整改建议。

序号	系统名称	系统级别
1	居民电子健康卡（码）系统	三级
2	全员人口信息系统	三级
3	宁夏健康扶贫动态管理系统	三级
4	宁夏远程医疗服务系统	三级
5	120 急救网络一体化系统	三级
6	免疫规划信息系统	三级
7	中医协同应用系统	三级

8	宁夏城乡居民健康档案管理系统	三级
9	宁夏区域医疗卫生信息平台	三级
10	“省院合作”政策试点项目	三级
11	国家卫生计生统计信息网络直报系统	三级
12	宁夏家庭医生签约服务平台	三级

4、项目依据 

参考：

Ø《中华人民共和国网络安全法》

Ø《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

Ø《计算机信息系统 安全保护等级划分准则》（GB 17859-1999）

Ø《信息系统安全等级保护实施指南》(GB/T25058-2010)

Ø《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

Ø《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

Ø《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

Ø《信息安全等级保护备案实施细则》（公信安[2007]1360号）

Ø《信息安全技术 网络安全等级保护安全设计技术要求》（GBT 25070-2019）

Ø《信息安全技术 网络安全等级保护测评过程指南》（GBT 28449-2018）

Ø《信息安全技术 网络安全等级保护测试评估技术指南》（GB_T 36627-2018）

Ø《网络安全等级保护测评报告模板（2021版）》

5、项目要求 

1、自项目合同签订之日起，40个工作日内完成系统梳理和测评工作并出具测评相关报告。

2、现场测评活动中，必须使用漏洞扫描、渗透测试等验证性测试方法，对自治区卫生健康委员会的信息系统进行全面的工具测试，确保全面的找出系统漏洞薄弱点，并协助建设方完成漏洞修复或风险降低工作。

二、测评工作内容 

1、等级测评内容 

测评的内容包括但不限于以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。

安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

1、安全物理环境 

根据自治区卫生健康委员会信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

2、安全通信网络 

安全通信网络现场测评主要针对系统网络架构方面，在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

3、安全区域边界 

安全区域边界现场测评主要针对网络安全区域边界进行测评，测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“ 可信验证”等。

4、安全计算环境 

安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。

5、安全管理中心 

安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。

6、安全管理制度 

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在安全管理制度方面的“ 安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

7、安全管理机构 

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在安全管理机构方面的“ 岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

8、安全管理人员 

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在人员安全管理方面的“ 人员录用”、“人员离岗”、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

9、安全建设管理 

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在系统建设管理方面的“ 定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

10、安全运维管理 

根据现场安全测评记录，针对自治区卫生健康委员会信息系统在系统运维管理方面的“ 环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“ 网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

2、项目实施要求 

1、保密要求 

测评机构对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务：

（1）测评机构应按要求与自治区卫生健康委员会信息中心签署保密协议。

（2）主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。

（3）不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的自治区卫生健康委员会信息中心关于该项目的商业秘密。

（4）不得向不承担同等保密义务的任何第三人披露自治区卫生健康委员会信息中心关于该项目的商业秘密。

（5）不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用自治区卫生健康委员会信息中心关于该项目的商业秘密。

（6）不论何种原因终止参与自治区卫生健康委员会信息中心关于该项目的工作后，都不得利用该项目之商业秘密为其他与自治区卫生健康委员会信息中心有竞争关系的企业（包括自办企业）服务。

（7）该项目的商业秘密所有权始终全部归属自治区卫生健康委员会信息中心，测评机构不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权，在本协议签订前测评机构已依法具有某些所有权者除外。

（8）如发现自治区卫生健康委员会信息中心关于该项目的商业秘密被泄露或者自己过失泄露秘密，应当采取有效措施防止泄密进一步扩大，并及时向自治区卫生健康委员会信息中心报告。

2、服务要求

（1）提供给自治区卫生健康委员会信息中心与项目相关的技术文档。

（2）一旦收到自治区卫生健康委员会信息中心的服务请求，测评机构项目组成员应立即给予响应。双方确认需要到现场服务时，从确认时间开始，测评机构工程师在 24 小时内到达用户现场，提供服务。

（3）提供技术服务热线，并安排专业人员为自治区卫生健康委员会信息中心解答本项目有关技术问题，接收到用户要求服务的通知后，有关技术人员应立即做出响应。

3、交付物 

根据《网络安全等级保护测评机构管理办法》（公信安〔2018〕765）号要求，成果交付物为：

1、所有登记备案的信息系统出具由测评机构法人审签的正式纸质测评报告2套。

2、所有登记备案的信息系统出具纸质安全整改建议方案2套。

3、测评活动原始记录材料1份。

4、质量保证 

1、为保证网络安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。

2、参与等级测评的每个人都应具有等级测评师安全服务资质。

3、等级测评结果必须通过自治区卫生健康委员会信息中心组织的评审和审批。