贵州省疾控中心信息系统计算机等级保护测评服务项目.docx
《贵州省疾控中心信息系统计算机等级保护测评服务项目.docx》由会员分享,可在线阅读,更多相关《贵州省疾控中心信息系统计算机等级保护测评服务项目.docx(8页珍藏版)》请在优知文库上搜索。
1、贵州省疾控中心信息系统计算机等级保护测评服务项目I技术要求一、项目概况按照中华人民共和国网络安全法、公安部关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)、依据网络安全等级保护测试评估技术指南、网络安全等级保护定级指南等标准规范,开展贵州省疾控中心信息系统网络安全等级保护(以下简称“等保”)定级、测评和备案工作。二、测评系统基本情况本次网络安全等级保护测评系统共2个。其中,等保3级测评系统1个,等保2级测评系统1个,系统部署于省疾控中心机房,承载网络为虚拟专网(VPN)。三、项目服务要求(一)系统定级工作要求中标人需按照等保规范要求,配合招标人完成测评系统定级工作
2、,要负责与公安部门的联系,并组织开展测评系统定级评审,承担定级评审所需的各类费用。(二)系统预评估工作要求测评系统定级工作完成后,中标人需按照等保规范要求,对本项目中要求测评的信息系统进行备案前的预评测,协助招标人查找不符合性问题,并出具信息系统等保符合性报告。(三)系统等保备案工作要求招标人将根据中标人出具的信息系统等保符合性报告开展符合性整改工作,整改完成后,中标人需按照等保测评要求,开展正式评测,直至招标人系统等保测评通过,并完成到公安机关的备案,取得定级备案证明。四、等保评测依据等级测评是标准符合性活动,依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全保护能力进行
3、科学公正的综合评判过程。本次开展测评活动所依据的文件及标准如下(不仅限于以下标准和规范,测评必须按照国家最新标准规范要求执行):1. 关于信息安全等级保护工作的实施意见(公通字(2004)66号)2. 信息安全等级保护管理办法(公通字(2007)43号)3. 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技(2008)2071号)4. GB17859-1999计算机信息系统安全保护等级划分准则5. GB/T22240-2020信息安全技术网络安全等级保护定级指南6. GB/T22239-2019信息安全技术信息系统安全等级保护基本要求7. GB/T28448-2019信息安
4、全技术网络安全等级保护测评要求8. GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求9. GB/T20983-2007信息安全技术信息安全风险评估规范10. GB/Z24363-2009信息安全风险管理指南H.GB/T22080-2008信息安全管理体系要求12. GB/T22081-2008信息安全管理实用规则13. GB/T20269-2006信息系统安全管理要求14. GB50173-2008电子信息系统机房设计规范15. GB/T25062-2010信息安全技术服务器测评要求16. GB/T20010-2005信息安全技术包过滤防火墙评估准则17. GB/T20
5、011-2005信息安全技术路由器安全评估准则18. GA/T672-2006信息安全技术终端计算机系统安全等级评估准则19. GA/T712-2007信息安全技术应用软件系统安全等级保护通用测试指南五、测评内容等级测评的现场实施过程由单元测试和整体测评两部分构成。单元测试是对应各安全控制点的测评称为,主要包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全制度管理、安全管理机构、安全管理人员、安全建设管理和安全运维管理等测评任务(不限于以下内容)。整体测评是在单元测评的基础上,通过进一步的分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。测评工程
6、师在进行各单元测评之前,需获得被测评方的授权,并签署安全保密协议,在现场测评过程中,需要对设备和系统进行一定验证测试工作,部分测试内容需要上机查看一些信息,可能会影响系统的正常运行。因此,在进行验证测试和工具测试时,应尽量避开业务高峰期,同时还应对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案。上机验证测试原则上应是测评人员提出需要查看或验证的内容,由测评委托单位的相关技术人员进行操作,测评人员根据操作结果进行记录。测评工程完成后,测评人员应交回测评过程中获取的所有特权,归还测评过程中借阅的相关资料文档,并严格清理测评过程中植入被测评系统中的相关代码/程序。安全物理环境:物理位置的
7、选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护;安全通信网络:网络架构、通信传输、可信验证;安全区域边界:边界防护、访问控制、入侵防范、恶意代码防范和垃圾邮件防范、安全审计、可信验证;安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护;安全管理中心:系统管理、审计管理、安全管理、集中管控;安全制度管理:安全策略、管理制度、制定与发布、评审和修订;安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查;安全管理人员:人员录用、人员离岗、安
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 贵州省 中心 信息系统 计算机 等级 保护 测评 服务项目