招标文件
招标项目技术、服务、政府采购合同内容条款及其他商务要求
(一)项目背景
1.资中县人民医院依据《中华人民共和国网络安全法》的相关要求,现需对本单位的信息系统进行网络安全等级保护测评工作。按照《中华人民共和国网络安全法》要求“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”以及《信息安全等级保护管理办法》要求“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评”。
2.资中县人民医院2022年度信息系统安全等级保护测评中包含4项等级保护测评系统,分别为HIS系统、LIS系统、PACS系统、EMR系统。
(二)项目要求
1.测评内容
供应商对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及
信息系统整体结构安全性、不同信息系统之间整体安全性等。
供应商根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查、访谈、测试工作。
2.测评对象
2.1本次等级保护测评系统:
|
序号 |
系统名称 |
安全保护等级 |
|
1 |
HIS 系统 |
三级 |
|
2 |
LIS 系统 |
三级 |
|
3 |
PACS 系统 |
三级 |
|
4 |
EMR 系统 |
三级 |
3.依据标准
所用的标准如有更新版本,如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行。
3.1《中华人民共和国网络安全法》
3.2GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
3.3GB/T28448-2019《信息安全技术网络安全等级保护测评要求》
3.4GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》
3.5GB/T36627-2018《信息安全技术网络安全等级保护测试评估技术指南》
3.6《信息安全等级保护管理办法》公通字[2007]43号
3.7《网络安全等级保护测评机构管理办法》公信安[2018]765号
4.测评原则
4.1客观性和公正性原则:
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
4.2经济性和可重用性原则:
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的
系统,并且能够反映出目前系统的安全状态基础之上。
4.3可重复性和可再现性原则:
不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
4.4结果完善性原则:
测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
5.测评要求
5.1安全物理环境
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
物理位置选择 |
通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。 |
|
2 |
物理访问控制 |
通过访谈、检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
|
3 |
防盗窃和防破坏 |
通过访谈、检查机房的主要设备、介质和防盗报警系统等过程, 测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
|
4 |
防雷击 |
通过访谈、检查机房的设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
|
5 |
防火 |
通过访谈、检查机房的设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
|
6 |
防水和防潮 |
通过访谈、检查机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
|
7 |
防静电 |
通过访谈、检查机房是否采取必要措施防止静电的产生。 |
|
8 |
温湿度控制 |
通过访谈、检查机房温、湿度情况,是否采取必要措施对机房内的温湿度进行控制。 |
|
9 |
电力供应 |
通过访谈、检查机房供电线路、设备等过程,是否具备提供一定的电力供应的能力。 |
|
10 |
电磁防护 |
通过访谈、检查是否具备一定的电磁防护能力。 |
- 5.2安全通信网络
序号
工作单元名称
工作单元描述
1
网络架构
通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络宽带分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性,以及通信线路、关键设备硬件冗余,系统可用性保证情况。
2
通信传输
通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。
3
可信验证
通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
详见招标文件
收藏