维保等级保护申请表1

信息系统安全等级保护测评服务 一、供应商资格要求 1、符合中华人民共和国政府采购法第二十二条的规定。 2、供应商资质要求（1）山东省信息安全等级保护工作协调小组办公室颁发的信息安全 等级保护测评机构推荐证书（或备案登记证明）；（2）具备中国信息安全认证中心颁发 的信息安全风险评估服务资质证书（提供以上证明文件复印件，并加盖公章）。 3、投标人注册地为山东本地或在山东有分支机构，满足采购文件要求且能提供服务能力的 供应商； 二、总体要求 ★ 1、按照国家等级保护相关标准和要求，对山东施尔明眼科医院信息系统平台（包含医院核心业 务系统（三级））。开展信息系统安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，提出 安全等级保护差距分析报告。 2、整改完成后，提供正式的等级保护测评报告，协助完成业务系统等级保护定级与备案工作。 三、项目背景 卫生信息安全工作是国家信息安全和卫生事业发展的重要组成部分。近日，为贯彻落实国家信息安全 等级保护制度，满足三级甲等医院复审任务对医院信息安全等级保护的要求，按照卫生部关于印发〈卫 生行业信息安全等级保护工作的指导意见〉的通知要求，山东省卫生厅研究决定，在全省卫生系统开展 卫生行业信息安全等级保护工作。 随着山东施尔明眼科医院业务信息系统的大规模部署，对信息系统的依赖性越来越强，信息安全事件 的影响范围随之扩大。为了提高信息系统的安全等级，做好卫生行业信息安全等级保护工作，山东施尔明 眼科医院积极开展等级测评工作，按照卫生部、山东省卫生厅的指导意见，按照公安部的相关要求，聘请 第三方专业机构，在全面了解山东施尔明眼科医院系统信息化现况的基础上，开展信息系统等级保护定级 和安全测评工作，提前发现信息系统中存在的安全风险和漏洞，据此提出信息系统安全等级保护整改和解 决方案，避免安全事件对业务工作带来损失；完善信息系统安全管理制度，提升信息系统安全管理水平。 四、项目目标和内容 1. 项目目标 （1）按照信息安全等级保护定级标准和工作要求，开展信息系统安全等级专家评审和定级，协助完 成所有业务系统等保定级与备案工作。 （2）按照国家和医疗卫生等级保护相关标准和要求，开展信息系统安全等级保护现状测评和等级测 评工作，查找安全差距，提交差距分析报告、安全整改建议和等级测评报告；遵循适度安全原则，综合考 量成本与效益因素，制定信息系统安全等级保护整改方案，指导整改工作。 （3）按照信息系统安全等级保护的相关要求，梳理和完善山东施尔明眼科医院系统信息安全管理制 度和标准，健全和完善信息安全管理体系和技术保障体系。 2. 项目内容 1 信息系统梳理，并初步确定信息系统的等级。 2 信息系统的信息安全风险评估。 3 对所有信息系统进行现状评估，确定和相应等级之间的技术差距和管理制度差距，提交现状评 估报告和安全建设整改方案，报院领导审批 4 信息安全建设整改，含安全管理制度整改和协助安全技术整改 5 信息系统定级备案，并到公安机关备案 6 信息安全等级测评，并将测评报告到公安机关备案 投标方须详细在方案中注明以上内容所需要的时间周期。 五、项目实施参照标准及依据 省公安厅山东省信息安全等级保护测评工作规范试行 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知卫办综函［201111126号 山东省卫生厅关于开展卫生行业信息安全等级保护工作的通知 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保 护工作的实施意见公通字［2004166号； 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息安全等级保护管理办 法公通字［2007143号。 信息安全技术信息系统安全等级保护基本要求GB/T22239-2008 信息安全技术信息系统安全等级保护定级指南GB/T 22240-2008 信息安全技术信息系统安全等级保护实施指南 信息安全技术信息系统安全等级保护测评要求 信息安全技术信息系统安全等级保护测评过程指南 国家信息化领导小组关于加强信息安全保障工作的意见中办发2003］27号 计算机信息系统安全保护等级划分准则GB 17859-1999 信息安全技术信息系统通用安全技术要求GB/T20271-2006 信息安全技术网络基础安全技术要求GB/T 20270-2006 信息安全技术操作系统安全技术要求GB/T 20272-2006 信息安全技术数据库管理系统安全技术要求GB/T20273-2006 信息安全技术服务器技术要求GB/T 21028-2007 信息安全技术终端计算机系统安全等级技术要求GA/T 671-2006 信息安全技术信息系统安全管理要求GB/T20269-2006 信息安全技术信息系统安全工程管理要求GB/T20282-2006 GB/T 18336-2001信息技术安全技术信息技术安全性评估准则 六、工作内容 1、全面的信息安全风险评估和等级保护差距分析 对山东施尔明眼科医院信息系统平台，开展全面的信息安全风险评估，评估内容包含并不限于以下内 容物理安全风险评估、网络架构安全风险评估、服务器风险评估、应用安全风险评估、数据安全风险评 估、客户端安全检查、漏洞扫描等技术风险评估工作。 风险评估工作完成后提供如下报告 信息资产清单包括IP地址段规划、服务器、网络和安全设备、终端PC等； 网络拓扑详细准确的网络拓扑图，涵盖所有的网络设备和服务器； 风险评估报告和威胁攻击路径报告基于漏洞扫描，列举所有的入侵和信息泄漏的途径以及所有 信息系统安全风险清单； 等级保护差距分析报告基于等级保护基本要求，提供给差距分析报告，逐项列举差距分析结论、 差距说明、整改建议。 2、提供可落地的安全管理体系和安全技术体系 基于等级保护的合规要求，提供可落地执行的信息安全管理系统和安全运维技术体系。 制定信息安全策略； 制定制度落地相关的技术指南文件、工作流程和记录文档。 遵循适度安全原则，综合考量成本与效益因素，提供安全整改建议并协助安全策略优化，对安全评估 发现的安全风险提供可操作的加固建议，不限于以下工作 提供安全域规划和网络改造建议并提供详细的IP地址规划和网络规划图； 提供给服务器安全加固和防入侵、防信息泄密安全建议并协助服务器安全加固、建立安全日志搜集服 务器； 提供客户端准入、安全管理、桌面管理建议并协助建立补丁分发服务器； 提供身份统一管理、认证、授权、审计建议； 提供应用软件安全漏洞加固建议； 3、提供正式的等级保护测评服务 测评的内容包括但不限于以下内容 1安全技术测评包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方