第一篇：有關等級保護現場測評時的一些體會

有關等級保護現場測評時的一些體會

現場測評是開展等保保護測評一項重要工作過程，目的是跟客戶當面溝通，現場檢查，獲取系統真實安全信息，查找安全問題。

很多同事，尤其是剛參加現場測評的，總感覺難度很大，碰到現場一些問題，不好處理，工作起來顧慮重重，畏手畏腳，總覺得咱是去做服務的，低人一等。

總結來說，現場測評時經常遇到的問題主要有：

一、客戶不愿意配合，可能真是是對方很忙，沒時間；

二、對等保測評工作輕視，認為是走過程，沒啥用；怕被發現有問題被領導批評；

三、認為我們技術水平不行，弄不出個啥來；

四、擔心把我們系統號壞了，出啥問題了。

針對現場中可能遇到的上述這些問題，其中幾點我覺的可以從以下兩個個方面來應對。

一是，要抱著一種我們是去提供服務的心態去測評，是去幫助他們查找問題，解決問題，防范安全風險的。

二是，要處處為對方著想，站在對方得角度去想事情。不管是跟對方交流還是做事，你只要表現的是為他好為他想，我想，是沒有人不會不愿意的。

舉例，某被測評公司的人，公司駐場的同事都覺得很可惡，比較難對付，尤其是一個管事的叫xx的家伙，我去現場也多聽到其他公司駐場人員的不滿、訴說和抱怨，當時我因為當天工作上要找這個XX溝通，我通過電話事先聯系他，在電話中我就一直把他當做領導（實際是小兵一個），始終是說要跟他當面匯報工作，捧著他，我想沒有人不享受這種尊重和得意。

在匯報溝通過程中，當我了解到他們公司就兩個人在負責做信息系統方面的事，我就說“你們xx公司也太摳了，你們公司領導應該多配點人，像你們現在的工作，管真多，又是機房裝修，又是設備安裝，還要軟件開發部署測試，起碼不得招十個八個人才行，這啥都得你們倆干，還不把人累死？！”一番話，立刻引起對方的共鳴，說“哎呀，沒辦法，要求了，領導不給增加人，我們就是這辛苦命，要不為啥叫你們來駐場幫忙。”

當我聽到他說最近整天加班，快累死了，立馬就說，“那你這可得注意身體呀，注意休息，別累壞了。”并且我又順勢說，“工作上你別操心恁多，能讓其他人干的就讓其他人干，你們作為甲方，最主要的是把整個任務計劃好，分工好，督促檢查好。”聽的他連連點頭說是。整個溝通聊天過程，我始終為他考慮為他想，他自然很是開心，愉快，整個現場測評工作也就順順利利，開心開心搞定。

人心都是肉長的，人和人交往，咱們中國人最看中的就是交情，自古以來都是熟人好辦事，你關心他，為他想，話再說的好聽點，他自然就會領你的情，樂意跟你配合，合作。正所謂，你敬我一尺，我敬你一丈，就是這個道理。

再說個最近的例子，我們這次去某醫院做工具掃描測試，一聽說要用工具掃描他們的數據庫，信息中心管數據庫的家伙，是一百個不情愿呀，又是叫我們找領導類，又是叫我們寫申請并且還得領導簽字類，中間我們需要找個紙筆，都叫我去另外一個可遠的辦公室要去，末了還非要求必須得用A4紙，總之各種刁難呀，各位經常去現場的，遇到類似客戶的同仁，都懂，有木有同感？

看這情形，我一方面直接跟他們科長溝通，提出工作要求、希望和想法，一方面積極跟這位大爺溝通。跟科長說的是“咱醫院想要測試快點，我們希望能直接接到機房內核心交換上，這邊需要你親自發話安排呢”。一會電話就打過來，一通安排，這位爺就行動起來了，雖說還是不情愿，但還是去照做了。

在這當中我就跟他聊天說，“我們現在做測試掃描，是提前把咱們系統存在的安全問題找出來，及時解決掉，別等到你們醫院做評審的時候被發現，在這上被扣分，你那你的責任可就就大了。”一說這，這貨態度就慢慢變了，再往后就開始配合我們測試了，到后面，還幫著我們跟其他同事說，把數據庫地址都報告過來叫他們都掃描測試一下，看有啥問題，到時候真出問題了也不是咱的責任，一直都下班了還繼續耐心陪著我們在機房，等我們全部把要掃描的服務器信息全部錄入到漏掃設備，并看著確認設備到點自動開始掃描后，才離開。

從上述我舉的現實工作中的例子，我們可以看出，跟我們配合的這些人大多都是普通的技術人員，我們只要多站在對方的角度去說，去做，以是去提供服務，幫助解決問題的態度去現場測評，去溝通，可以說沒有搞不定的。能有啥，記住，他也有領導，有上級，再說咱后面還有公司呢，公司既然能拿下這個項目，那個啥~~啥~~對吧~~~。所以我們根本不用擔心，不用有啥顧慮，做事畏手畏腳，感覺低人一等，他們、我們都是跟人家打工做事的，沒必要，真的。

（后記：一點個人拙見, 說給同仁們聽聽 ,權當拋磚引玉。我們一起來交流現場測評中碰到的難題和解決辦法, 我現在一直主張，干工作嘛，就要開開心心，咱是來憑自己能力、本事、工作、干活、掙錢、吃飯，干嘛要處處受氣，TM 都是人，是不！？）

第二篇：信息安全等級保護測評

TopSec可信等級體系 天融信等級保護方案

Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網

1.等級保護概述

1.1為什么要實行等級保護？

信息系統與社會組織體系是具有對應關系的，而這些組織體系是分層次和級別的，因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求，這就需要對信息系統進行分級、分區域、分階段進行保護，這是做好國家信息安全的必要條件。

1.2等級保護的政策文件

信息安全等級保護工作非常重要，為此從2003年開始國家發布了一系列政策文件，具體如下：

2003年9月，中辦國辦頒發《關于加強信息安全保障工作的意見》（中辦發[2003]27號），這是我國第一個信息安全保障工作的綱領性文件，戰略目標為經過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。

2004年11月，四部委會簽《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）：等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月，國信辦文件，《關于轉發《電子政務信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。

2005年，公安部標準：《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。

2006年1月，四部委會簽《關于印發《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。

1.3 等級保護的管理結構－北京為例

等級保護的實施和落實離不開各級管理機構的指導和監督，這在等級保護的相關文件中已經得到了規定，下面以北京市為例來說明管理機構的組成和職責，具體如下圖所示：

1.4等級保護理論的技術演進

在等級保護理論被提出以后，經過相關部門的努力工作，逐漸提出了一系列原則、技術和框架，已經具備實施等級保護工作的基礎條件了，其具體演進過程如下圖所示：

1.5等級保護的基本需求

一個機構要實施等級保護，需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：

（1）政策要求－符合等級保護的要求。系統符合《基本要求》中相應級別的指標，符合《測評準則》中的要求。

（2）實際需求－適應客戶實際情況。適應業務特性與安全要求的差異性，可工程化實施。

1.6基本安全要求的結構

對系統進行定級后，需要通過努力達到相應等級的基本安全要求，在總體上分為技術要求和管理要求，技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全，在管理要求中又分為安全管理機構、安全管理制度等5項，具體如下圖所示：

2.等級保護實施中的困難與出路

由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統，否則：

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵要求指標超出《基本要求》規定

針對上述問題，在下面幾小節分別給出了堅決辦法。

2.1安全體系設計方法

需求分析－1

問題1：標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

需求：從組織整體出發，綜合考核所有系統

方法：引入體系設計方法

2.2保護對象框架設計方法

需求分析－2

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

需求：準確地進行大系統的分解和描述，反映實際特性和差異性安全要求

方法：引入保護對象框架設計方法

保護對象框架－政府行業

保護對象框架－電信行業

保護對象框架－銀行業

2.3安全平臺的設計與建設方法

需求分析－3

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

需求：統一規劃，集中建設，避免重復和分散，降低成本，提高建設水平

方法：引入安全平臺的設計與建設方法

平臺定義：為系統提供互操作性及其服務的環境

2.4建立安全運行體系

需求分析－4

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

需求：建立長效機制，建立可持續運行、發展和完善的體系

方法：建立安全運行體系

2.5安全運維工作過程

需求分析－5

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動化的安全管理工具

方法：TSM安全管理平臺

2.6 TNA可信網絡架構模型

需求分析－6

1.標準中從“單個系統”出發，但實際工作是從組織整體出發，整體考慮所有系統

a)各系統單獨保護，將沖突和割裂，形成信息孤島

b)復雜大系統的分解和差異性安全要求描述很困難

c)各系統安全單獨建設，將造成分散、重復和低水平

2.在建立長效機制方面考慮較少，難以做到可持續運行、發展和完善

3.管理難度太大，管理成本高

4.大型客戶最關注的關鍵指標超出《基本要求》規定

需求：在《基本要求》基礎上提出更強的措施，滿足客戶最關注的指標

方法：引入可信計算的理念，提供可信網絡架構

3.總體解決方案－TopSec可信等級體系

按照上面解決等級保護目前困難的方法，總體解決方案就是建立TopSec可信等級體系：

遵照國家等級保護制度、滿足客戶實際需求，采用等級化、體系化和可信保障相結合的方法，為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。

實施后狀態：一套持續運行、涵蓋所有安全內容的安全保障體系，是企業或組織安全工作所追求的最終目標

特質：

等級化：突出重點，節省成本，滿足不同行業、不同發展階段、不同層次的要求

整體性：結構化，內容全面，可持續發展和完善，持續運行

針對性：針對實際情況，符合業務特性和發展戰略

3.1可信等級體系設計方法

3.2信息安全保障體系總體框架

3.3體系設計的成果

安全組織體系

安全策略體系

安全技術體系

安全運行體系

3.4安全體系的實現

4.成功案例

某國有大型企業已經采用了我們的可信等級體系，取得了良好的效果。

第三篇：《信息安全等級保護測評機構管理辦法》最新

信息安全等級保護測評機構管理辦法

第一條 為加強信息安全等級保護測評機構管理，規范等級測評行為，提高測評技術能力和服務水平，根據《信息安全等級保護管理辦法》等有關規定，制定本辦法。

第二條 等級測評工作，是指等級測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。

等級測評機構，是指依據國家信息安全等級保護制度規定，具備本辦法規定的基本條件，經審核推薦，從事等級測評等信息安全服務的機構。

第三條 等級測評機構推薦管理工作遵循統籌規劃、合理布局、安全規范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開展。

第四條 等級測評機構應以提供等級測評服務為主，可根據信息系統運營使用單位安全保障需求，提供信息安全咨詢、應急保障、安全運維、安全監理等服務。

第五條 國家信息安全等級保護工作協調小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請，并對其推薦的等級測評機構進行監督管理。

省級信息安全等級保護工作協調（領導）小組辦公室（以下簡稱“省級等保辦”）負責受理本省（區、直轄市）申請單位提出的申請，并對其推薦的等級測評機構進行監督管理。

第六條 申請成為等級測評機構的單位（以下簡稱“申請單位”）應具備以下基本條件：

（一）在中華人民共和國境內注冊成立，由中國公民、法人投資或者國家投資的企事業單位；

（二）產權關系明晰，注冊資金100萬元以上；

（三）從事信息系統安全相關工作兩年以上，無違法記錄；

（四）測評人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

（五）具有信息系統安全相關工作經驗的技術人員，不少于10人；

（六）具備必要的辦公環境、設備、設施，使用的技術裝備、設施應滿足測評工作需求；

（七）具有完備的安全保密管理、項目管理、質量管理、人員管理和培訓教育等規章制度；

（八）自覺接受等保辦的監督、檢查和指導，對國家安全、社會秩序、公共利益不構成威脅；

（九）不涉及信息安全產品開發、銷售或信息系統安全集成等業務；

（十）應具備的其他條件。

第七條 申請時，申請單位應向等保辦提交以下材料：

（一）《信息安全等級保護測評機構申請表》；

（二）從事信息系統安全相關工作情況；

（三）檢測評估工作所需軟硬件及其他服務保障設施配備情況；

（四）有關管理制度建設情況；

（五）申請單位及其測評人員基本情況；

（六）應提交的其他材料。

等保辦收到申請材料后，應在10個工作日內組織初審，并出具初審結果告知書。

第八條 通過初審的申請單位，應及時參加指定評估機構組織的測評人員培訓。考試合格的人員，取得等級測評師證書。

等級測評師分為初級、中級和高級。申請單位應至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。

第九條 指定評估機構應根據標準規范對申請單位開展能力評估，出具信息安全等級保護測評機構能力評估報告，并及時將申請單位能力評估有關情況報送等保辦。

第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的，頒發《信息安全等級保護測評機構推薦證書》。

省級等保辦應及時將本地等級測評機構推薦情況報國家等保辦，國家等保辦定期發布公告，在《中國信息安全等級保護網》發布《全國信息安全等級保護測評機構推薦目錄》。

第十一條 下列事項發生變更時，等級測評機構應在變更后5個工作日內向等保辦報告。

（一）等級測評機構名稱、地址、測評人員和主要負責人發生變更的；

（二）等級測評機構法人、股權結構發生變更的；

（三）其他重大事項發生變更的。

省級等保辦應及時將等級測評機構變更情況報國家等保辦。

第十二條 信息安全等級保護測評機構推薦證書有效期為三年。等級測評機構應在推薦證書期滿前30日內，向等保辦申請復審。復審通過的等級測評機構應換發新證。復審未通過的，等保辦應督促其限期整改。

省級等保辦應及時將等級測評機構期滿復審情況報國家等保辦。

第十三條 等級測評師上崗前，等級測評機構應組織崗前培訓。培訓合格的，由等級測評機構配發上崗證。未取得測評師證書和上崗證的，不得參與等級測評項目。

等級測評師離職前，等級測評機構應與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級測評師應妥善保管等級測評師證書、上崗證，不得涂改、出借、出租和轉讓。

第十五條 等級測評機構應加強對本機構等級測評師的監督管理，定期組織開展安全保密教育和業務培訓。

第十六條 等級測評機構應嚴格按照信息安全等級保護標準規范公正、獨立地開展等級測評工作，依據模板出具信息系統安全等級測評報告，確保測評質量，全面、客觀地反映被測信息系統的安全保護狀況。

第十七條 等級測評機構開展測評項目不受地域、行業限制。等級測評機構應在測評項目合同簽訂以及項目完成后5個工作日內，向受理信息系統備案的公安機關報告等級測評項目有關情況。

第十八條 測評項目實施過程中，等級測評機構應接受等保辦的監督、檢查和指導。測評項目完成后，等級測評機構應請被測評信息系統運營使用單位對測評服務情況進行評價，評價情況由被測單位反饋等保辦。

第十九條 等級測評機構應定期向等保辦報送測評工作開展情況。根據測評實踐，每年底編制并報送信息系統安全狀況分析報告。第二十條 等級測評機構實行等級化管理。根據信息系統測評數量、機構規模、測評技術能力和服務質量等指標，對等級測評機構劃分為五個星級，最低為一星級，最高為五星級。等級測評機構星級評定標準由國家等保辦另行制定。

第二十一條 等級測評機構應于每年底向等保辦提交星級評定所需材料。

等保辦負責組織所推薦等級測評機構的星級評定審核工作，并出具星級評定意見。省級等保辦應及時將評定意見報國家等保辦審定，國家等保辦定期發布星級評定結果。

第二十二條 取得信息安全等級保護測評機構推薦證書未滿一年的，不參加星級評定。

第二十三條 等保辦負責對所推薦等級測評機構的日常監督檢查、測評項目抽查和年審工作，及時掌握等級測評機構工作情況。

第二十四條 等保辦應于每年底對所推薦的等級測評機構進行年審。等級測評機構自推薦之日起未滿6個月的，當年可免予年審。年審時，等級測評機構應提交以下材料：

（一）《信息安全等級保護測評機構年審表》；

（二）信息安全等級保護測評機構推薦證書副本；

（三）測評工作總結；

（四）其他所需材料。

第二十五條

國家等保辦負責組織開展等級測評機構能力驗證和抽查工作。

第二十六條 等級測評機構有下列情形之一的，等保辦應責令其限期整改；情形嚴重的，予以通報。

（一）未按照有關標準規范開展測評或未按規定出具信息系統安全等級測評報告的；

（二）影響被測評信息系統正常運行，危害被測評信息系統安全的；

（三）非授權占有、使用，未妥善保管等級測評相關資料及數據文件的；

（四）分包或轉包等級測評項目，以及擾亂測評市場秩序的；

（五）限定被測評單位購買、使用指定信息安全產品的；

（六）測評人員未取得等級測評師證書和上崗證從事等級測評活動的；

（七）未按本辦法規定向等保辦提交材料、報告情況或弄虛作假的；

（八）其他違反等級測評有關規定的行為。

第二十七條 等級測評機構有下列情形之一的，等保辦應取消其信息安全等級保護測評機構推薦證書，并向社會公告。

（一）因單位股權、人員等情況發生變動，不符合等級測評機構基本條件的；

（二）有信息安全產品開發、銷售或信息系統安全集成行為的；

（三）故意泄露被測評單位工作秘密、重要信息系統數據信息的；

（四）故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假未如實出具等級測評報告的；

（五）一年內未開展信息系統測評工作或自愿退出《全國信息安全等級保護測評機構推薦目錄》的；

（六）連續兩年年審不合格或限期整改后仍未通過復審的；

（七）違反本辦法第二十六條規定，情節特別嚴重的。第二十八條 等級測評師有下列行為之一的，等保辦應責令等級測評機構督促其限期改正；情節嚴重的，責令等級測評機構暫停其參與測評工作；情形特別嚴重的，應注銷其等級測評師證書，并對其所在等級測評機構進行通報。

（一）未經允許擅自使用或泄露、出售等級測評工作中收集的數據信息、資料或信息系統安全等級測評報告的；

（二）違反本辦法第十四條規定，未妥善保管等級測評師證書、上崗證，有涂改、出借、出租和轉讓等行為的；

（三）測評行為失誤或不當，影響信息系統安全或造成運營使用單位利益損失的；

（四）其他違反等級測評有關規定的行為。第二十九條 等級測評機構及其等級測評師違反本辦法的相關規定，給被測評信息系統運營使用單位造成嚴重危害和損失的，由相關部門依照有關法律、法規予以處理。

第三十條 任何單位和個人如發現等級測評機構、等級測評師有違法、違規行為的，可向國家等保辦舉報、投訴。

第三十一條 本辦法由國家等保辦負責解釋。第三十二條 本辦法自發布之日起實施。

第四篇：臨沂中醫醫院信息安全等級保護測評項目

臨沂市中醫醫院信息安全等級保護測評項目

集中競價采購須知

為了公開、公平、公正地集中競價采購，本著合理、競爭、經濟的原則，我院擬對本次采購活動參照招標形式進行集中競價，相關事項如下：

第一部分

項目要求

一、項目背景

為了提高信息系統的安全保護水平，按照國家法律法規和有關部門相關要求，聘請第三方專業機構，在全面了解臨沂市中醫院現有信息化現況的基礎上，開展信息系統安全等級保護測評工作。通過本次工作，發現信息系統中存在的安全風險，分析信息系統安全現狀與相關政策文件、技術標準內容要求的符合性情況，完善工作制度，提出安全建設加固建議。切實加強信息安全防范水平，提高系統抵御風險的能力。

二、項目目標、內容

按照國家等級保護相關標準和要求，對其HIS、電子病歷系統（三級）、PACS和網站（二級）安全等級保護測評工作，找出系統現狀與相關標準要求之間的差距，遵循適度原則，提出切實可行的整改建議，完成等級保護測評報告，并提供后續檢測服務。

三、項目實施參照法律法規及標準 ? 《網絡安全法》

? 公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯合轉發的《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）； ? 公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》（公通字 [2007]43號）。

? 《信息安全技術 信息系統安全等級保護基本要求》（GB/T22239-2008）

? 《信息安全技術 信息系統安全等級保護定級指南》（GB/T 22240-2008）? 《信息安全技術

信息系統安全等級保護實施指南》 ? 《信息安全技術

信息系統安全等級保護測評要求》 ? 《信息安全技術

信息系統安全等級保護測評過程指南》 ? 《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）? 《信息安全技術 信息系統通用安全技術要求》（GB/T20271-2006）? 《信息安全技術 網絡基礎安全技術要求》（GB/T 20270-2006）

? 《信息安全技術 操作系統安全技術要求》（GB/T 20272-2006）? 《信息安全技術 數據庫管理系統安全技術要求》（GB/T20273-2006）? 《信息安全技術 服務器技術要求》（GB/T 21028-2007）

? 《信息安全技術 終端計算機系統安全等級技術要求》（GA/T 671-2006）? 《信息安全技術 信息系統安全管理要求》（GB/T20269-2006）? 《信息安全技術 信息系統安全工程管理要求》（GB/T20282-2006）? GB/T 18336-2001 信息技術 安全技術 信息技術 安全性評估準則

四、項目內容

1.等級測評

通過詳細的系統調研，開展對其HIS、LIS系統（三級）、PACS和網站（二級）的等級保護測評工作，找出安全現狀與標準要求之間的差距，并遵循適度安全的原則，協助制定安全整改建設方案，指導整改工作。最終完成等級保護測評報告。

測評的內容包括但不限于以下內容：

? 安全技術測評：包括物理安全、網絡安全、主機系統安全、應用安全和數據安全等五個方面的安全測評；

? 安全管理測評：安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全測評。

（1）、物理安全

根據臨沂市中醫院信息系統機房和現場安全測評記錄，針對機房和現場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應”和“電磁防護”等物理安全方面所采取的措施進行，判斷出與其相對應的各測評項的測評結果。中標人出具加蓋CNAS章的機房檢測報告。（2）、網絡安全

根據臨沂市中醫院信息系統網絡安全測評記錄，針對網絡方面在“結構安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網絡設備防護”等網絡安全方面所采取的措施進行檢查，判斷出與其相對應的各測評項的測評結果。

（3）、主機安全

主機安全現場測評包括對臨沂市中醫院信息系統服務器的測評，測評內容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“入侵防護”、“惡意代碼防護”、“資源控制”。（4）、應用安全

應用安全現場測評包括對臨沂市中醫院信息系統的測評，測評內容包括“身份鑒

別”、“訪問控制”、“安全審計”、“剩余信息保護”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”、“資源控制”方面。（5）、數據安全及備份恢復

臨沂市中醫院信息系統數據安全及備份恢復現場測評包括“數據完整性”、“數據保密性”、“備份和恢復”幾個方面的測評。（6）、安全管理制度

根據現場安全測評記錄，針對臨沂市中醫院信息系統在安全管理制度方面的“管理制度”、“制定和發布”以及“評審和修訂”等測評指標，判斷出與其相對應的各測評項的測評結果。（7）、安全管理機構

根據現場安全測評記錄，針對臨沂市中醫院信息系統在安全管理機構方面的“崗位設置”、“人員配備”、“授權和審批”、“溝通和合作”以及“審核和檢查”等測評指標，判斷出與其相對應的各測評項的測評結果。（8）、人員安全管理

根據現場安全測評記錄，針對臨沂市中醫院信息系統在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓”以及“外部人員訪問管理”等測評指標，判斷出與其相對應的各測評項的測評結果。（9）、系統建設管理

根據現場安全測評記錄，針對臨沂市中醫院信息系統在系統建設管理方面的“系統定級”、“安全方案設計”、“產品采購和使用”、“自行軟件開發”、“外包軟件開發”、“工程實施”、“測試驗收”、“系統交付”、“系統備案”、“等級測評”以及“安全服務商選擇”等測評指標，判斷出與其相對應的各測評項的測評結果。（10）、系統運維管理

根據現場安全測評記錄，針對臨沂市中醫院信息系統在系統運維管理方面的“環境管理”、“資產管理”、“介質管理”、“設備管理”、“網絡安全管理”、“系統安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復管理”、“安全事件處置”以及“應急預案管理”等測評指標，判斷出與其相對應的各測評項的測評結果。

通過現場測評，逐項找出系統現狀與國家相關標準要求之間的差距，進行逐項待整改完畢后，進行結果確認，完成信息安全等級保護測評，出具測評報告，2.安全管理體系咨詢

協助建立符合等級保護要求的信息安全管理體系，包含信息安全方針、信息安全策略、運行管理制度和運維管理制度。并參照國際標準體系ISO 27001和ISO 分析、整體分析，給出差距分析報告，并給出整改建議方案。并將測評報告報當地公安機關備案。

20000制定相應流程，促進臨沂市中醫院信息安全管理工作。

3.安全監測

提供門戶網站7*24小時網站安全監測，對網站頁面掛馬、篡改等事件實時監測，發現問題及時通報相關人員，并安排人員及時處理。

4.應急支援

服務期內提供不限次數的應急支援服務，針對發生的事件協助分析事件原因，查找問題，并提供安全加固建議。

5.安全培訓

組織技術培訓，對臨沂市中醫院的技術人員進行等級保護、安全技術和項目部署要求等內容培訓。技術培訓應從實際應用出發，涵蓋網絡安全的如下方面： 基礎設施運行安全培訓、網絡安全縱深防御體系培訓、操作系統安全加固技術培訓、應用系統滲透測試檢測與加固培訓、數據庫安全管理培訓、27001安全管理體系培訓等。

6.信息安全風險評估

按照GB-T20984-2007信息安全風險評估規范標準和要求，對信息系統進行風險評估，明確信息系統安全風險，提出合理的、滿足等級保護要求的總體建設和管理規劃，并制定安全實施計劃，以指導后續的信息系統安全建設工程實施。

五、成果交付

該項目提交的文檔至少包括如下文件：

1、《臨沂市中醫院XX信息系統安全等級保護測評方案》

2、《臨沂市中醫院XX系統信息安全等級保護測評報告》

3、《臨沂市中醫院XX信息安全管理制度匯編》

4、《信息安全風險評估報告》

5、《信息安全整改方案》

第二部分

投標方資質要求

1、《企業法人營業執照》副本復印件（蓋章）。

2、法定代表人身份證明書或法人授權委托書、身份證復印件。

3、投標公司具有信息系統安全等級保護測評的國家相關資質，有專業技術檢測項目組，其中有高級測評師及中級測評師，參與技術檢測的人員均為中國公民，無違法犯罪記錄并簽訂安全保密協議。

4、同類項目近幾年的業績情況及客戶名單。

第三部分標書、報價方式

1、標書分正本1份，副本2份，并在標書標書袋上標明“正本”、“副本”字樣。均固定裝訂成一冊，不能活頁裝訂或散裝，蓋單位公章和法定代表人印簽后遞交醫院招標辦。

第四部分報送時間、地點

標書報送時間截止2018年1月30日16時。（每日8：00～17：00，周六、周日除外）

標書報送地點：臨沂市中醫醫院門診七樓招標辦。

第五篇：信息安全等級保護測評工作管理規范(試

信息安全等級保護測評工作管理規范

（試行）

第一條 為加強信息安全等級保護測評機構建設和管理，規范等級測評活動，保障信息安全等級保護測評工作（以下簡稱“等級測評工作”）的順利開展，根據《信息安全等級保護管理辦法》等有關規定，制訂本規范。

第二條 本規范適用于等級測評機構和人員及其測評活動的管理。

第三條 等級測評工作，是指測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。

等級測評機構，是指具備本規范的基本條件，經能力評估和審核，由省級以上信息安全等級保護工作協調（領導）小組辦公室（以下簡稱為“等保辦”）推薦，從事等級測評工作的機構。

第四條 省級以上等保辦負責等級測評機構的審核和推薦工作。

公安部信息安全等級保護評估中心（以下簡稱“評估中心”）負責測評機構的能力評估和培訓工作。

第五條 等級測評機構應當具備以下基本條件：

（一）在中華人民共和國境內注冊成立（港澳臺地區除

外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三）產權關系明晰，注冊資金100萬元以上；

（四）從事信息系統檢測評估相關工作兩年以上，無違法記錄；

（五）工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄；

（六）具有滿足等級測評工作的專業技術人員和管理人員，測評技術人員不少于10人；

（七）具備必要的辦公環境、設備、設施，使用的技術裝備、設施應當符合《信息安全等級保護管理辦法》對信息安全產品的要求；

（八）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（九）對國家安全、社會秩序、公共利益不構成威脅;

（十）應當具備的其他條件。

第六條 測評機構及其測評人員應當嚴格執行有關管理規范和技術標準，開展客觀、公正、安全的測評服務。

測評機構可以從事等級測評活動以及信息系統安全等級保護定級、安全建設整改、信息安全等級保護宣傳教育等工作的技術支持。不得從事下列活動：

（一）影響被測評信息系統正常運行，危害被測評信息系統安全；

（二）泄露知悉的被測評單位及被測評信息系統的國家秘密和工作秘密；

（三）故意隱瞞測評過程中發現的安全問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；

（四）未按規定格式出具等級測評報告；

（五）非授權占有、使用等級測評相關資料及數據文件；

（六）分包或轉包等級測評項目；

（七）信息安全產品開發、銷售和信息系統安全集成；

（八）限定被測評單位購買、使用其指定的信息安全產品；

（九）其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。

第七條 申請成為等級測評機構的單位（以下簡稱“申請單位”）應當向省級以上等保辦申請。

國家信息安全等級保護工作協調小組辦公室負責受理隸屬國家信息安全職能部門和重點行業主管部門申請單位提出的申請。省級等保辦負責受理本省（區、直轄市）申請單位提出的申請。

申請單位申請時，等保辦應當告知測評機構的條件、從事的業務范圍以及禁止行為等內容，使申請單位清楚了解測評機構的責任和義務。

第八條 知悉有關規定并愿意成為測評機構的申請單位，可以向省級以上等保辦提出書面申請，如實填寫《信息安全等級保護測評機構申請表》。

申請單位的人員應當如實填寫人員基本情況表，并承諾對信息的真實性和有效性負責。

省級以上等保辦對申請單位進行初審，初審通過的，應當告知申請單位到評估中心進行測評能力評估。

第九條 評估中心按照有關標準規范，在30個工作日內完成對申請單位的材料審查和現場核查工作。

測評人員參加由評估中心舉辦的專門培訓、考試并取得評估中心頒發的《等級測評師證書》（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。

評估中心綜合評估申請單位的測評能力，測評能力評估合格的，出具評估報告。

第十條 省級以上等保辦組織專家對測評能力評估合格的申請單位及其測評人員進行審核。

第十一條 通過審核的，由省級以上等保辦向申請單位頒發信息安全等級保護測評機構推薦證書，并向社會公布測評機構推薦目錄。

省級等保辦將測評機構推薦目錄報國家信息安全等級保護工作協調小組辦公室，國家信息安全等級保護工作協調小組辦公室匯總公布《全國信息安全等級保護測評機構推薦目錄》。

第十二條 測評機構應按照公安部統一制訂的《信息系統安全等級測評報告模版（試行）》格式出具測評報告，根據信息系統規模和所投入的成本，合理收取測評服務費用。

第十三條 省級以上等保辦每年對所推薦的測評機構進行檢查。檢查時，測評機構應提交《信息安全等級保護測評機構檢查表》。

第十四條 測評機構名稱、法人等事項發生變化的，或者其等級測評師變動的，測評機構應在30日內到受理申請的省級以上等保辦辦理變更手續。

第十五條 測評機構應當嚴格遵循申訴、投訴及爭議處理制度，妥善處理爭議事件，及時采取糾正和改進措施。

第十六條 測評機構或者其測評人員違反本規范第六條規定之一或檢查未通過的，由省級以上等保辦責令其限期改正；逾期不改正的，給予警告，直至取消測評機構的推薦證書或等級測評師證書，并向社會公告；造成嚴重損害的，由相關部門依照有關法律、法規予以處理。

第十七條 測評機構或者測評人員違反本規范的規定，給被測評單位造成損失的，應當依法承擔法律責任。

第十八條 本規范由國家信息安全等級保護工作協調小組辦公室負責解釋。

第十九條 本規范中省級以上含省級。

第二十條 本規范自發布之日起施行。