(一)項目清單
|
序號
|
名稱
|
數(shù)量
|
|
1
|
HIS等保三級測評服務(wù)
|
1
|
|
2
|
PACS等保二級測評服務(wù)
|
1
|
(二)參數(shù)要求
1.測評對象
|
系統(tǒng)名稱
|
安全等級
|
數(shù)量
|
|
HIS
|
三級
|
1
|
|
PACS
|
二級
|
1
|
2.測評要求
根據(jù)項目需求��,為保障信息安全現(xiàn)場測評過程安全可控���,明確測評人員職責分配���、規(guī)范測評人員操作�,保障測評結(jié)果有效,至少包括以下幾個流程:
|
序號
|
關(guān)鍵實施階段
|
工作要求
|
|
1
|
確定測評范圍
|
明確本次被測評信息系統(tǒng)的范圍����,包括每個信息系統(tǒng)的范圍、信息系統(tǒng)的邊界等�。
|
|
2
|
獲得信息系統(tǒng)的信息
|
通過調(diào)查或查閱資料的方式,了解被測評信息系統(tǒng)的構(gòu)成�����,包括網(wǎng)絡(luò)拓撲�����、業(yè)務(wù)應(yīng)用��、業(yè)務(wù)流程���、設(shè)備信息����、安全措施狀況等�。
|
|
3
|
確定具體的測評對象
|
初步確定每個信息系統(tǒng)的被測評對象,包括整體對象����,如機房、辦公環(huán)境�、網(wǎng)絡(luò)等,也包括具體對象����,如邊界設(shè)備、網(wǎng)關(guān)設(shè)備���、服務(wù)器設(shè)備�����、工作站��、應(yīng)用系統(tǒng)等��。
|
|
4
|
確定測評工作的方法
|
根據(jù)信息系統(tǒng)安全等級情況�����、系統(tǒng)規(guī)模大小等�,明確本次測評的方法。
|
|
5
|
制定測評工作計劃
|
制定測評工作計劃或方案�,說明測評范圍、測評對象����、工作方法、人員組成���、角色職責��、時間計劃等���。
|
|
6
|
實施等級保護測評
|
實施測評,包括人工檢查����、工具掃描等方式。
|
|
7
|
項目總結(jié)
|
提供測試報告���,對測評結(jié)果進行總結(jié)�、匯報
|
3.測評內(nèi)容
按照信息系統(tǒng)等級保護測評依據(jù)開展測評工作(包括不限于以下項目)。
3.1 物理安全
物理安全檢查主要是了解信息系統(tǒng)的物理安全保障情況���。涉及對象為機房��。在內(nèi)容上,物理安全層面測評實施過程涉及的工作單元�,具體如下表:
表1 物理安全測評內(nèi)容:
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
物理位置的選擇
|
檢查機房,測評機房物理場所在位置上是否具有防震���、防風和防雨等多方面的安全防范能力��。
|
|
2
|
物理訪問控制
|
檢查機房出入口等過程�,測評信息系統(tǒng)在物理訪問控制方面的安全防范能力�����。
|
|
3
|
防盜竊和防破壞
|
檢查機房內(nèi)的主要設(shè)備�����、介質(zhì)和防盜報警設(shè)施等過程�����,測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞��。
|
|
4
|
防雷擊
|
檢查機房設(shè)計/驗收文檔���,測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊�。
|
|
5
|
防火
|
檢查機房防火方面的安全管理制度�,檢查機房防火設(shè)備等過程,測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生�����。
|
|
6
|
防水和防潮
|
檢查機房及其除潮設(shè)備等過程��,測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機房潮濕��。
|
|
7
|
防靜電
|
檢查機房等過程���,測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生��。
|
|
8
|
溫濕度控制
|
檢查機房的溫濕度自動調(diào)節(jié)系統(tǒng)����,測評信息系統(tǒng)是否采取必要措施對機房內(nèi)的溫濕度進行控制��。
|
|
9
|
電力供應(yīng)
|
檢查機房供電線路、設(shè)備等過程���,測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力���。
|
|
10
|
電磁防護
|
檢查主要設(shè)備等過程,測評信息系統(tǒng)是否具備一定的電磁防護能力�����。
|
3.2網(wǎng)絡(luò)安全
網(wǎng)絡(luò)設(shè)備��、網(wǎng)絡(luò)安全設(shè)備以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)等三大類對象����。在內(nèi)容上�����,網(wǎng)絡(luò)安全層面測評過程涉及的工作單元����,具體如下表:
表2 網(wǎng)絡(luò)安全測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
網(wǎng)絡(luò)結(jié)構(gòu)安全
|
檢查網(wǎng)絡(luò)拓撲情況�����、核查核心交換機�����、路由器�,測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分�����、隔離等情況的合理性和有效性�。
|
|
2
|
網(wǎng)絡(luò)訪問控制
|
檢查防火墻等網(wǎng)絡(luò)訪問控制設(shè)備,測試系統(tǒng)對外暴露安全漏洞情況等��,測評分析信息系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界相關(guān)的網(wǎng)絡(luò)隔離與訪問控制能力�。
|
|
3
|
網(wǎng)絡(luò)安全審計
|
檢查核心交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備的安全審計情況����,測評分析信息系統(tǒng)審計配置和審計記錄保護情況。
|
|
4
|
邊界完整性檢查
|
檢查邊界完整性檢查設(shè)備����,測評分析信息系統(tǒng)違規(guī)聯(lián)到外部網(wǎng)絡(luò)的行為。
|
|
5
|
網(wǎng)絡(luò)入侵防范
|
測評分析信息系統(tǒng)對攻擊行為的識別和處理情況。
|
|
6
|
惡意代碼防范
|
檢查網(wǎng)絡(luò)防惡意代碼產(chǎn)品等過程�����,測評分析信息系統(tǒng)網(wǎng)絡(luò)邊界和核心網(wǎng)段對病毒等惡意代碼的防護情況����。
|
|
7
|
網(wǎng)絡(luò)設(shè)備防護
|
檢查交換機、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備以及防火墻等網(wǎng)絡(luò)安全設(shè)備�����,查看它們的安全配置情況�����,包括身份鑒別�����、登錄失敗處理�����、限制非法登錄和登錄連接超時等�,考察網(wǎng)絡(luò)設(shè)備自身的安全防范情況���。
|
3.3主機安全
主機系統(tǒng)安全檢查是為了了解評測目標系統(tǒng)的主機系統(tǒng)安全保障情況�����。在內(nèi)容上�����,主機系統(tǒng)安全層面測評實施過程涉及的工作單元���,具體如下表:
表3 主機安全測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
身份鑒別
|
檢查服務(wù)器的身份標識與鑒別和用戶登錄的配置情況����。
|
|
2
|
訪問控制
|
檢查服務(wù)器的訪問控制設(shè)置情況��,包括安全策略覆蓋�、控制粒度以及權(quán)限設(shè)置情況等。
|
|
3
|
安全審計
|
檢查服務(wù)器的安全審計的配置情況����,如覆蓋范圍、記錄的項目和內(nèi)容等�����;檢查安全審計進程和記錄的保護情況。
|
|
4
|
入侵防范
|
檢查服務(wù)器在運行過程中的入侵防范措施��,如關(guān)閉不需要的端口和服務(wù)�����、最小化安裝�����、部署入侵防范產(chǎn)品等�。
|
|
5
|
剩余信息保護
|
檢查服務(wù)器鑒別信息的存儲空間,被釋放或再分配給其他用戶前得到完全清除�。
|
|
6
|
惡意代碼防范
|
檢查服務(wù)器的惡意代碼防范情況。
|
|
7
|
資源控制
|
檢查服務(wù)器對單個用戶的登錄方式���、網(wǎng)絡(luò)地址范圍��、會話數(shù)量等的限制情況。
|
3.4應(yīng)用系統(tǒng)安全
應(yīng)用安全檢查是為了了解評測“五險合一”業(yè)務(wù)應(yīng)用系統(tǒng)的應(yīng)用安全保障情況����。在內(nèi)容上,應(yīng)用安全層面測評實施過程涉及的工作單元,具體如下表:
表4應(yīng)用系統(tǒng)安全測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
身份鑒別
|
檢查應(yīng)用系統(tǒng)的身份標識與鑒別功能設(shè)置和使用配置情況���;
|
|
檢查應(yīng)用系統(tǒng)對用戶登錄各種情況的處理����,如登錄失敗處理����、登錄連接超時等。
|
|
2
|
訪問控制
|
檢查應(yīng)用系統(tǒng)的訪問控制功能設(shè)置情況���,如訪問控制的策略�����、訪問控制粒度�����、權(quán)限設(shè)置情況等�。
|
|
3
|
安全審計
|
檢查應(yīng)用系統(tǒng)的安全審計配置情況����,如覆蓋范圍���、記錄的項目和內(nèi)容等;
|
|
檢查應(yīng)用系統(tǒng)安全審計進程和記錄的保護情況���。
|
|
4
|
剩余信息保護
|
檢查應(yīng)用系統(tǒng)的剩余信息保護情況����,如將用戶鑒別信息以及文件���、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間再分配時的處理情況��。
|
|
5
|
通信完整性
|
檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信完整性保護情況�����。
|
|
6
|
通信保密性
|
檢查應(yīng)用系統(tǒng)客戶端和服務(wù)器端之間的通信保密性保護情況��。
|
|
7
|
抗抵賴
|
檢查應(yīng)用系統(tǒng)對原發(fā)方和接收方的抗抵賴實現(xiàn)情況��。
|
|
8
|
軟件容錯
|
檢查應(yīng)用系統(tǒng)的軟件容錯能力����,如輸入輸出格式檢查�����、自我狀態(tài)監(jiān)控��、自我保護���、回退等能力���。
|
|
9
|
資源控制
|
檢查應(yīng)用系統(tǒng)的資源控制情況,如會話限定�、用戶登錄限制、最大并發(fā)連接以及服務(wù)優(yōu)先級設(shè)置等��。
|
3.5數(shù)據(jù)安全及備份恢復(fù)
數(shù)據(jù)安全及備份恢復(fù)評估是為了了解評測系統(tǒng)的數(shù)據(jù)安全及備份恢復(fù)保障情況�����。本次測評重點檢查系統(tǒng)的數(shù)據(jù)在采集���、傳輸���、處理和存儲過程中的安全及安全備份恢復(fù)情況。在內(nèi)容上����,實施過程涉及的工作單元���,具體如下表:
表5數(shù)據(jù)安全及備份恢復(fù)測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
數(shù)據(jù)完整性
|
檢查操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的管理數(shù)據(jù)���、鑒別信息和用戶數(shù)據(jù)在傳輸和保存過程中的完整性保護情況�����。
|
|
2
|
數(shù)據(jù)保密性
|
檢查操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的管理數(shù)據(jù)����、鑒別信息和用戶數(shù)據(jù)在傳輸和保存過程中的保密性保護情況�。
|
|
3
|
安全備份和恢復(fù)
|
檢查信息系統(tǒng)的安全備份情況,如重要信息的備份��、硬件和線路的冗余等�。
|
3.6安全管理制度
安全管理制度測評是為了了解評測安全管理制度的制定、發(fā)布�����、評審和修訂等情況���。主要涉及安全主管人員����、安全管理人員���、各類其它人員�、各類管理制度����、各類操作規(guī)程文件等對象。在內(nèi)容上�,安全管理制度測評實施過程涉及的工作單元,具體如下表:
表6安全管理制度測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
管理制度
|
檢查有關(guān)管理制度文檔和重要操作規(guī)程等過程�����,測評信息系統(tǒng)管理制度在內(nèi)容覆蓋上是否全面�����、完善�����。
|
|
2
|
制定與發(fā)布
|
檢查有關(guān)制度制定要求文檔等過程,測評信息系統(tǒng)管理制度的制定和發(fā)布過程是否遵循一定的流程��。
|
|
3
|
評審和修訂
|
檢查管理制度評審記錄等過程�,測評信息系統(tǒng)管理制度定期評審和修訂情況。
|
3.7安全管理機構(gòu)
安全管理機構(gòu)測評是為了了解評測安全管理機構(gòu)的組成情況和機構(gòu)工作組織情況�����。主要涉及安全主管人員�、安全管理人員、相關(guān)的文件資料和工作記錄等對象�。在內(nèi)容上,安全管理機構(gòu)測評實施過程涉及的工作單元����,具體如下表:
表7安全管理機構(gòu)測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
崗位設(shè)置
|
檢查部門/崗位職責文件,測評信息系統(tǒng)安全主管部門設(shè)置情況以及各崗位設(shè)置和崗位職責情況�����。
|
|
2
|
人員配備
|
檢查人員名單等文檔��,測評信息系統(tǒng)各個崗位人員配備情況�����。
|
|
3
|
授權(quán)和審批
|
檢查相關(guān)文檔,測評信息系統(tǒng)對關(guān)鍵活動的授權(quán)和審批情況�����。
|
|
4
|
溝通與合作
|
檢查相關(guān)文檔�,測評信息系統(tǒng)內(nèi)部部門間����、與外部單位間的溝通與合作情況。
|
|
5
|
審核與檢查
|
檢查記錄文檔等過程�����,測評信息系統(tǒng)安全工作的審核和檢查情況�。
|
3.8人員安全管理
人員安全管理測評是為了了解評測人員安全方面的情況。主要涉及安全主管人員���、人事管理人員�����、相關(guān)管理制度���、相關(guān)工作記錄等對象��。在內(nèi)容上���,人員安全管理測評實施過程涉及的工作單元,具體如下表:
表8人員安全管理測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
人員錄用
|
檢查人員錄用文檔等過程���,測評信息系統(tǒng)錄用人員時是否對人員提出要求以及是否對其進行各種審查和考核���。
|
|
2
|
人員離崗
|
檢查人員離崗安全處理記錄等過程,測評信息系統(tǒng)人員離崗時是否按照一定的手續(xù)辦理�。
|
|
3
|
人員考核
|
檢查有關(guān)考核記錄等過程,測評是否對人員進行日常的業(yè)務(wù)考核和工作審查�����。
|
|
4
|
安全意識教育和培訓(xùn)
|
檢查培訓(xùn)計劃和執(zhí)行記錄等文檔���,測評是否對人員進行安全方面的教育和培訓(xùn)����。
|
|
5
|
外部人員訪問管理
|
檢查有關(guān)文檔等過程���,測評對第三方人員訪問(物理��、邏輯)系統(tǒng)是否采取必要控制措施���。
|
3.9系統(tǒng)建設(shè)管理
系統(tǒng)建設(shè)管理測評是為了了解評測系統(tǒng)建設(shè)管理過程中的安全控制情況���。主要涉及安全主管人員、系統(tǒng)建設(shè)負責人���、各類管理制度����、操作規(guī)程文件���、執(zhí)行過程記錄等對象。在內(nèi)容上����,系統(tǒng)建設(shè)管理測評實施過程涉及的工作單元,具體如下表:
表9系統(tǒng)建設(shè)管理測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
系統(tǒng)定級
|
檢查系統(tǒng)定級相關(guān)文檔等過程�,測評是否按照一定要求確定系統(tǒng)的安全等級。
|
|
2
|
安全方案設(shè)計
|
檢查系統(tǒng)安全建設(shè)方案等文檔���,測評系統(tǒng)整體的安全規(guī)劃設(shè)計是否按照一定流程進行���。
|
|
3
|
產(chǎn)品采購和使用
|
測評是否按照一定的要求進行系統(tǒng)的產(chǎn)品采購��。
|
|
4
|
自行軟件開發(fā)
|
檢查相關(guān)軟件開發(fā)文檔等����,測評自行開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性���。
|
|
5
|
外包軟件開發(fā)
|
檢查相關(guān)文檔�,測評外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性和日后的維護工作能夠正常開展�。
|
|
6
|
工程實施
|
檢查相關(guān)文檔,測評系統(tǒng)建設(shè)的實施過程是否采取必要的措施使其在機構(gòu)可控的范圍內(nèi)進行�。
|
|
7
|
測試驗收
|
檢查測試驗收等相關(guān)文檔,測評系統(tǒng)運行前是否對其進行測試驗收工作���。
|
|
8
|
系統(tǒng)交付
|
檢查系統(tǒng)交付清單等過程�����,測評是否采取必要的措施對系統(tǒng)交付過程進行有效控制�����。
|
|
9
|
安全服務(wù)商選擇
|
測評是否選擇符合國家有關(guān)規(guī)定的安全服務(wù)單位進行相關(guān)的安全服務(wù)工作�。
|
3.10系統(tǒng)運維管理
系統(tǒng)運維管理測評是為了了解評測系統(tǒng)運維管理過程中的安全控制情況。主要涉及安全主管人員�、安全管理人員、各類運維人員����、各類管理制度、操作規(guī)程文件�、執(zhí)行過程記錄等對象。在內(nèi)容上��,系統(tǒng)運維管理測評實施過程涉及的工作單元�����,具體如下表:
表10系統(tǒng)運維管理測評內(nèi)容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
環(huán)境管理
|
檢查機房安全管理制度���,機房和辦公環(huán)境等過程,測評是否采取必要的措施對機房的出入控制以及辦公環(huán)境的人員行為等方面進行安全管理����。
|
|
2
|
資產(chǎn)管理
|
檢查資產(chǎn)清單,檢查系統(tǒng)��、網(wǎng)絡(luò)設(shè)備等過程,測評是否采取必要的措施對系統(tǒng)的資產(chǎn)進行分類標識管理�。
|
|
3
|
介質(zhì)管理
|
檢查介質(zhì)管理記錄和各類介質(zhì)等過程,測評是否采取必要的措施對介質(zhì)存放環(huán)境��、使用����、維護和銷毀等方面進行管理。
|
|
4
|
設(shè)備管理
|
檢查設(shè)備使用管理文檔和設(shè)備操作規(guī)程等過程��,測評是否采取必要的措施確保設(shè)備在使用�、維護和銷毀等過程安全。
|
|
5
|
監(jiān)控管理和安全管理中心
|
測評是否采取必要的措施對重要主機的運行和訪問權(quán)限進行監(jiān)控管理�����。
|
|
6
|
網(wǎng)絡(luò)安全管理
|
檢查系統(tǒng)安全管理制度���、系統(tǒng)審計日志和系統(tǒng)漏洞掃描報告等過程����,測評是否采取必要的措施對系統(tǒng)的安全配置���、系統(tǒng)賬戶����、漏洞掃描和審計日志等方面進行有效的管理。
|
|
7
|
系統(tǒng)安全管理
|
檢查網(wǎng)絡(luò)安全管理制度�、網(wǎng)絡(luò)審計日志和網(wǎng)絡(luò)漏洞掃描報告等過程,測評是否采取必要的措施對網(wǎng)絡(luò)的安全配置�����、網(wǎng)絡(luò)用戶權(quán)限和審計日志等方面進行有效的管理���,確保網(wǎng)絡(luò)安全運行����。
|
|
8
|
惡意代碼防范管理
|
檢查惡意代碼防范管理文檔和惡意代碼檢測記錄等過程�����,測評是否采取必要的措施對惡意代碼進行有效管理���,確保系統(tǒng)具有惡意代碼防范能力。
|
|
9
|
密碼管理
|
測評是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定���。
|
|
10
|
變更管理
|
檢查變更方案和變更管理制度等過程��,測評是否采取必要的措施對系統(tǒng)發(fā)生的變更進行有效管理�。
|
|
11
|
備份和恢復(fù)管理
|
檢查系統(tǒng)備份管理文檔和記錄等過程,測評是否采取必要的措施對重要業(yè)務(wù)信息�,系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進行備份,并確保必要時能夠?qū)@些數(shù)據(jù)有效地恢復(fù)��。
|
|
12
|
安全事件處置
|
檢查安全事件記錄分析文檔���、安全事件報告和處置管理制度等過程�����,測評是否采取必要的措施對安全事件進行等級劃分和對安全事件的報告�����、處理過程進行有效的管理�。
|
|
13
|
應(yīng)急預(yù)案管理
|
檢查應(yīng)急響應(yīng)預(yù)案文檔等過程����,測評是否針對不同安全事件制定相應(yīng)的應(yīng)急預(yù)案,是否對應(yīng)急預(yù)案展開培訓(xùn)���、演練和審查等�����。
|
4. 交付產(chǎn)品
包括但不僅限于以下資料:
|
1
|
信息系統(tǒng)安全等級測評報告(包含整改建議)
|
|
2
|
完成等保測評備忘工作
|
微信掃一掃����,碼上報價
|
