还剩1页未读,继续阅读
文本内容:
郑州大学第一附属医院应用软件系统功能及技术参数软件名称门户网站系统、互联网医院系统等级保护测评服务整体技术要求.等级测评阶段本项目按照信息安全等级保护
2.0测评标准进行安全等级测评具体项目测评内容如下安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评安全管理测评安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评.整改建议阶段依照《信息安全等级保护安全建设整改工作指导意见》(公信安
[2009]1429号),严格遵循《信息安全等级保护安全建设整改工作指南》各项要求,在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,提供安全风险评估、安全需求分析、安全方案设计、安全集成、安全监控和运维等安全工程类信息安全服务咨询,并制订信息安技术要求全等级保护安全建设整改方案,方案内容包含但不限于信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算,整改后可能存在的其他问题.渗透测试要求对信息系统中的主机操作系统、数据库系统、应用系统等进行模拟攻击测试,在保证整个渗透测试过程都在可以控制和调整的范围之内,尽可能的获取目标信息系统的管理权限以及敏感信息,以查找和分析安全漏洞和隐祗每次渗透测试后出具正式的分析报告和解决方案.应急响应要求制定并完善我院安全应急预案,当遇重大安全事件如网络入侵、大规模病毒爆发、遭受拒绝服务攻击等网络安全事件时,供应商应安排专业技术人员以7*24小时远程、电话、邮件及现场等方式提供应急响应支持,快速恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响,查明安全事件原因,确定安全事件的威胁和破坏的严重程度,并根据对事件的分析及原因提供相应的解决方案具体功能技术要求.等级测评阶段在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护测评过程指南》文件,根据本项目信息系统已完成的定级备案安全等级,开展相应级别的安全等级测评工作,根据测评结果出具相应的单项和整体测评报告,测评报告需得到项目单位的确认,并报送网安部门审核、批复测评报告编制的内容及格式严格遵照《网络安全等级保护测评报告模版(2019年版)》进行测评技术团队符合《网络安全等级保护测评机构管理办法》对测评机构和测评人员管理的要求,项目负责人由公安部培训考核认证通过的信息安全高级等级测评师承担,通过注册信息安全专业认证、具备良好的教育背景、受过专业的技术培训、拥有丰富的行业信息安全及等级测评安全服务工作经验,对用户在信息系统安全等级测评过程中可能会面临的各类技术问题提供及时解决方案此阶段项目交付成果(包括但不限于)项目计划书、被测系统基本情况分析报告、测评指导书、信息系统安全测评方案、测评结果记录、测评中发现的问题汇总、单项测评结果汇总分析、整体测评结果汇总分析、风险分析和评估、等级测评结论、信息系统安全等级测评报告.整改建议阶段安全等级测评整改技术方案,方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写,此阶段项R交付成果应包含以下内容
(1)等级化安全保障建议方案,内容应含安全区域和等级划分、安全体系框架设计、等级化安全指标体系报告
(2)安全体系建设建议方案,内容应含网络面临风险分析、针对性措施建议
(3)相关网络安全管理制度,包括但不限于机房安全管理制度、网络故障应急预案及应急方案流程制度、客户端管理制度、数据备份及恢复制度、灾难恢复策略及制度渗透测试要求由具备注册渗透测试资质的工程师(具备CISSP和CISP专业认证)现场部署渗透环境,通过真实模拟黑客使用的工具、分析方法来对网站进行模拟攻击,并结合智能工具扫描结果,进行深入的人工测试和分析♦,识别工具弱点扫描无法发现的问题,主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析渗透测试后出具正式的分析报告和解决方案,针对渗透测试出的问题、漏洞、缺陷等,完成整改及后续验证工作,每项渗透内容报告需要包括问题整改和验证的过程记录及详细的解决方案.应急响应要求在发现安全事件时,须及时判断安全事件的级别针对严重的安全事件,对安全事件进行紧急分析处理、灾难恢复和和入侵追踪和取证,并出具应急响应报告(含加固建议)建立长期稳定的本地专业安全服务团队,并通过专业认证,在发生重大安全事件时,在半小时内提供现场应急响应;在发生一般安全事件时,一小时内提供现场应急响应。