管理机构、安全建设管理、安全运维管理。
整体测评在单元测评的基础上进行进一步测评分析,在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。
(1)安全物理环境
主要包含物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10个方面的内容。
(2)安全通信网络
主要包含网络架构、通信传输、可信验证3方面的内容。 (3)安全区域边界
主要包含边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等6个方面的内容。
(4)安全计算环境
主要包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11方面的内容。
(5)安全管理中心
主要包含系统管理、审计管理、安全管理、集中管控4个方面的内容。 (6)安全管理制度
主要包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的内容。
(7)安全管理人员
主要包含人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的内容。
(8)安全管理制度
主要包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的内容。
(9)安全建设管理
主要包含定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10
个方面的内容。
(10)安全运维管理
主要包含环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的内容。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
3.3.2 测评具体要求
在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2024)和《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2024)文件,根据本项目信息系统已完成的定级备案安全等级,开展相应级别的安全等级测评工作,根据测评结果出具相应的单项和整体测评报告,测评报告需得到我单位的确认,并协助我院报备案地网监部门备案。测评报告编制的内容及格式严格遵照《网络安全等级测评报告模版 最新版》。
3.3.3 测评交付成果
项目阶段各阶段的测评过程文档(参照《信息安全技术信息系统安全等级保护测评过程指南》)编制。详见下表(包括但不限于):
项目阶段 交付成果 测评准备活动 项目计划书 被测系统基本情况分析报告 测评指导书 信息系统安全测评方案 测评结果记录 测评中发现的问题汇总 单项测评结果汇总分析 整体测评结果汇总分析 方案编制活动 现场测评活动 分析与报告编制活动 风险分析和评估 等级测评结论 信息系统安全等级测评报告 3.3.4 安全整改
依据商丘医学高等专科学校信息系统安全等级测评的相关报告,编制并提交相关的信息安全整改建议方案,并全程协助完成整改工作。
3.3.4.1 具体要求
依照《信息安全等级保护安全建设整改工作指导意见》(2.0标准),严格遵循《信息安全等级保护安全建设整改工作指南》各项要求,在系统测评工作的基础上,对商丘医学高等专科学校信息系统总体网络安全管理和技术方面现状进行全面的分析,制订网络安全等级保护安全建设整改方案,方案内容包含但不限于:信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算,整改后可能存在的其他问题。
3.3.4.2 过程文档及交付成果
过程文档及交付成果(包括但不限于)要求如下:
安全等级测评整改技术方案,方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。
提交要求:涉及所有被测评系统的安全整改方案,需包含如下内容:
方案分项 详细内容及要求 内容应包括但不限于以下方面: 等级化安全保障建议方案 1、 安全区域和等级划分; 2、 安全体系框架设计; 3、 等级化安全指标体系报告。 内容应包括但不限于以下方面: 安全体系建设建议方案 1、 网络面临风险分析; 2、 针对性措施建议。 内容应包括但不限于以下方面: 1、 机房安全管理制度; 相关网络安全管理制度 2、 网络故障应急预案及应急方案流程制度; 3、 客户端管理制度; 4、 数据备份及恢复制度; 5、 灾难恢复策略及制度。 3.4 工期要求
工程期限:30个工作日内完成(不包含整改时间)。
3.5 验收条件
提交等级测评报告及协助完成定级、备案工作。
4 验收
(1)采购方将对成交供应商的项目交付成果进行评价,成交供应商应根据采购方的评价意见对项目交付成果进行修改。
(2)当因成交供应商原因严重影响采购方业务系统正常运转,采购方对交付结果有否决权。
(3)成交供应商提供有效的《测评报告》、《备案证明》。
5 售后服务
投标人必须对售后服务,做出详细的实质性承诺:售后服务免费技术支持期、服务响应速度、服务模式、售后服务质量控制、客户化培训等。所有的售后费用,必须计入投标总价。
网络安全等级保护项目参数及要求
