《等保测评技术要求.docx》由会员分享,可在线阅读,更多相关《等保测评技术要求.docx(5页珍藏版)》请在第一文库网上搜索。
1、等保测评技术要求一、服务内容依据中华人民共和国网络安全法等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务,并出具测评报告。二、服务要求(一)等保测评依据中华人民共和国网络安全法等国家相关法律、标准要求,对互联网医院环境进行三级等保测评服务,并出具测评报告。若首次测评后被测信息系统需要进行整改,在约定的整改期限内提供复测服务。服务时间:7*24服务方式:现场和远程交付成果:测评报告。(二)定级备案协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。服务时间:7*24服务方式:现场交付成果:备案证明。(三)测评服务范围依据
2、信息安全技术网络安全等级保护基本要求,测评内容包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。(1)安全物理环境测评内容:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。(2)安全通信网络测评内容:网络架构、通信传输、可信验证。(3)安全区域边界测评内容:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。(4)安全计算环境测评内容:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防
3、范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。(5)安全管理中心测评内容:系统管理、审计管理、安全管理、集中管控。(6)安全管理制度测评内容:安全策略、管理制度、制定和发布、评审和修订。(7)安全管理机构测评内容:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。(8)安全管理人员测评内容:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。(9)安全建设管理测评内容:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。(10)安全运维管理测评内容:环境管理、资产管理、介质管
4、理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。(四)项目使用工具等级保护测评阶段,应使用安全扫描系统对服务器、网络设备进行安全扫描,投标人须提供测评工具,包括但不限于:WEB漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等。(五)人员能力要求D派遣有经验的人员完成本项目服务工作,进入现场实施人员从事本行业工作不少于2年,具有等级保护测评经验(提供测评师证书复印件)。2)投标人须承诺:中标后,投标文件中的人员全部参与服务工作,如因特殊原因更换现场实施人员,需征得采购单位同意,
5、所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。3)投标人拟派专业的服务团队,服务团队成员不少于3人,其中项目负责人1人。(六)服务保障1)售后服务承诺完善、能够很好地满足售后服务要求且有完善的内部管理制度。2)具备完善的售后服务体系和售后服务团队,同时具有24小时售后服务能力。3)具有满足项目实施要求的检测设备,需涵盖主机系统安全、应用系统安全、数据库系统安全、网络系统安全、基于等级保护2.0设备基线配置核查5项功能(以上功能需提供设备功能截图)4)应具有满足项目实施要求的检测设备,功能满足如下:项目实施过程中进行的渗透测试的部分工作可以由检测设备进行自动化渗透测试;项目实施过
6、程中使用的检测设备的渗透测试部分可以自定义攻击插件,实现自定义的攻击能力;检测设备具有社会工程学测试攻击的功能;检测设备可通过内置的方法反弹交互She11执行基本命令、交互执行操作等功能。(以上功能需提供设备功能截图)(七)企业状况投标企业具有下列资质证书的在价格相同时具有优先中选条件。具有国家信息安全测评中心颁发的信息安全服务资质证书具有中国网络安全审查技术与认证中心颁发的信息安全服务资质认证证书具有中国网络安全审查技术与认证中心颁发的信息安全服务资质认证证书投标人具有中国网络安全审查技术与认证中心(CCRC)颁发的信息安全服务资质认证证书具有中国信息安全测评中心颁发的国家信息安全漏洞库(CNNVD)技术支撑单位证书
免费区 
