第一篇:信息安全等级保护测评服务项目需求书V20(招标文件)
信息安全等级保护测评服务项目需求书
一、项目内容
XX银行股份有限公司成立于xxxx年,xxxx年末,资产规模达xxxx亿元。在北京、天津、沈阳、大连、哈尔滨等地区设立分行。目前,与70多个国家及地区500多个金融机构开展业务,代理行网络遍及世界各地。
作为重点金融机构,其信息系统承载了非常重要的患者数据。为保证本行信息系统安全、降低风险,提高管理能力,进一步加强内部网络的整体安全防护能力,全面提升我行信息系统整体安全防范能力。特对本行核心网络系统进行2015年度安全等级保护测评项目,本项目为预算为XX万。服务范围: 系统名称
级别
核心网络系统
第三级
二、服务年限
投标人中标,签订合同之日起一年
三、要求条款 要求项目
需求条款
是否为实质性条款
原因说明(实质性条款需列明原因)
资格要求
资格 要求
投标人必须是在天津工商行政管理部门注册的企业,投标时应提交加盖投标人公章的营业执照副本复印件。(复印件加盖公章,现场携带原件备查)
是
企业资格常规及本地化服务要求。
投标人必须具有公安部颁发的信息安全等级保护测评机构推荐证书。(复印件加盖公章,现场携带原件备查)
是
安全资质认证要求,有资格和能力对我单位进行等保评测响应和等保整改方案应对工作。
商务要求
企业 资信
投标人必须具有依法缴纳税收和社会保障款项的良好记录;(提供近一年的完税证明和社保缴存记录复印件,加盖公章)
否
投标人应提供税务登记证复印件,组织机构代码证复印件。(复印件加盖公章,原件携带备查)
否
企业 业绩
投标人应证明其履行等级保护测评服务的能力,提供2014年至今金融行业三级或三级以上信息系统测评成果案例一项。提供测评案例证明材料,包括合同复印件、验收报告复印件等(合同原件,验收报告原件,测评报告原件携带备查)。
否
人员 资格
现场实施人员应包含Cisco CCIE、华为、华三等认证的安全服务工程师。(复印件加盖公章,现场携带原件备查)。
否
应建立人员安排完备的安全服务小组,安全服务小组中应具备通过信息安全等级保护测评师认证的安全服务工程师组成。(证书复印件加盖公章,现场携带原件备查)。
否
安全服务小组内现场实施人员应包含ISO27001、ITIL等认证的安全服务工程师,该工程师必须为等保测评师(复印件加盖公章,现场携带测评师证和相关证书原件备查)。
否
验收 标准
项目实施过程中保证招标人系统正常运行,确保招标人信息系统经过安全建设后,顺利通过等级保护评测,并获得相关部门认可。
否
报价
投标方必须在报价中根据招标人实际情况列出总体方案价格和对应各项工作的详细报价。
否
售后 服务
项目验收后,投标人提供1年免费技术支持服务,对招标人安全加固提供咨询建议。
否
交货 时间
交货期:签订合同之日起12个月内。
否
交货 地点
交货地点:招标人指定地点。
否
付款 方式
合同签订5个工作日内,招标人向中标单位支付全部合同额。
否
罚则
未按约定的时间完成项目,招标人有权按照每延误一日扣除合同金额万分之五的处罚金,并向供应商索赔因此引起的全部损失。
否
四、技术要求 序号
采购项名称
需求条款
是否为实质性条款
原因说明(实质性条款需列明原因)
等级保护差距分析
投标人应对招标人提供信息系统差距分析服务,通过对信息系统安全差距分析,从信息系统现状出发,明确招标人重要信息系统中存在的风险和相关脆弱点,并出具《信息系统差距分析报告》
否
等保评测响应
在项目实施前,应根据差距分析的结果及招标人实际情况,编制信息安全等级保护测评方案。
否
投标人应对招标人重要信息系统提供正式测评,测评范围包括但不限于如下内容:
安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
否
投标人完成对招标人信息系统等级保护系统测评工作后,应出具符合国家要求的等级保护测评报告,并完成报告通过天津市网监备案工作,以保证信息系统可以顺利通过信息系统等级保护测评。
否
等保整改方案应对
根据招标人临时或计划的要求,响应等保整改方案中的所有内容。
否
测评质量控制
投标人应具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效。
否
应急处置方案
投标人应具备在项目实施过程中的风险控制能力,保证招标人系统正常稳定运行,对于系统突发安全事件有应急处置方案。
否
五、评分因素及评标标准 第一部分商务因素(35分)本地化服务(3分)
投标人是在天津工商行政管理部门注册企业(3分)
投标人在天津设有分公司、全资子公司或与本项目服务相关的投资公司(投资比例需超过50%,提供户卡或验资报告),并在天津依法纳税满一年的(提供纳税发票复印件)(2分)投标人在本市具有常驻机构,提供房屋租赁合同或产权证明(1分)
投标人具备GB/T19001系列或ISO9001系列质量管理体系认证,提供证书复印件(1分)具备1分,不具备0分
投标人需建立安全服务小组,投标人安全服务小组内实施人员应具备信息安全等级保护师认证(项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明)(3分)
投标人安全服务小组内实施人员均为信息安全等级保护测评师,项目中安排高级、中级、初级测评师完成测评工作,分工合理。(3分)
投标人安全服务小组内实施人员部分具备信息安全等级保护测评师认证(1分)投标人安全服务小组内实施人员无信息安全等级保护测评师认证(0分)
安全服务小组内实施人员应包含Cisco CCIE、华为、华三等认证的安全服务工程师(项目实施人员应为投标人的本单位的正式员工,要求提供相关认证原件、劳动合同和社保证明)。(3分)
(1)现场实施人员提供上述所有认证资质证明文件:3分(2)现场实施人员提供上述1-2项证书资质证明文件:1分(3)未提供或不符合要求的:0分。
投标人安全服务小组内实施人员应包含ISO27001、ITIL等认证的安全服务工程师(项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明)。(2分)(1)现场实施人员提供上述所有认证资质证明文件:3分
(2)现场实施人员提供上述任意一项项证书资质证明文件:1分(3)未提供或不符合要求的:0分。
投标人实施能力,提供自2014年至今金融行业三级或三级以上信息系统测评成果案例一项(3分)
测评系统为四级系统:3分 测评系统为三级系统:1分
测评系统为二级及以下系统:0分 价格(20分)
(1)投标报价超过采购预算的,投标无效,未超过采购预算的投标报价按以下公式进行计算
(2)投标报价得分=(评标基准价/投标报价)×20 注:满足招标文件要求且投标报价最低的投标报价为评标基准价
第二部分技术因素(65分)
信息安全等级保护差距分析(8分)
投标人应根据招标人信息系统现状情况,结合该信息系统级别要求,建立相关方案,分析招标人信息系统与等级保护要求的差距情况,并出具《信息安全等级保护差距分析报告》 投标人相关项目经验丰富,熟悉差距分析内容,建立详细的差距分析方案,并在差距分析工作完成后出具符合要求的《信息安全等级保护差距分析报告》(8分)
投标人相关项目经验较多,比较熟悉差距分析内容,所建立差距分析方案内容比较详尽,可在差距分析工作后出具相关文件(4分)
投标人相关项目经验很少,不熟悉差距分析内容,所建立差距分析方案内容不充分,无法在差距分析工作后出具相关文件(0分)信息安全等级保护方案(27分)
投标人服务方案规范化及标准化程度(7分)投标人相关项目经验非常丰富,非常熟悉完成项目所有工作内容,提供的服务方案规范性及标准化程度很高:7分; 投标人相关项目经验较多,比较熟悉完成项目所有工作内容,提供的服务方案规范性及标准化程度比较好:5分;
投标人相关项目经验很少,基本能够完成项目所有工作内容,提供的服务方案规范性及标准化程度一般:3分;
投标人服务方案的针对性、可行性、完整性(10分)
服务方案完整,充分考虑用户需求,服务方案针对性及可行性很高:10分 服务方案比较完整,服务方案具有一定的针对性及可行性:7分 服务方案不够完整,且服务方案的针对性及可行性一般:4分 投标人服务方案中对本服务项目任务、需求的理解程度(10分)
全面分析了用户现状、性能要求、实施要求等内容,对于本项目任务目标及需求理解深刻:10分;
对于用户系统现状、性能要求、实施要求等内容阐述不够充分,对于本项目任务目标及需求有基本了解:7分;
对用户信息化现状、业务需求了解不够充分:4分 信息安全等级保护响应(6分)
投标人应响应招标人信息系统等级评测需求,完成其重要信息系统等级安全测评,出具符合国家规定的等级测评报告,负责提交有关部门,并保证招标人信息系统可以顺利通过等保评测。
具有完善的等级测评计划,包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案充分体现了完整性、针对性、专业性的:(6分)
具有较完善的等级测评计划,基本包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案基本体现了完整性、针对性、专业性的:(3分)
无完善的等级测评计划,缺少等级测评的重要环节、测评范围、质量控制、风险控制、完成标准等,实施测评方案缺乏完整性、针对性、专业性的:(0分)测评内容应对(6分)
招标人应结合招标人信息系统现状进行信息安全等级保护测评,测评范围包括但不限于如下内容:
安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。测评内容详尽,具有测评方案,符合招标人要求,每项测评内容均具有测评指导书,每项环节均留有相关测评材料(6分)
测评内容不够详尽,无具体方案指导,不符合等保及招标人要求,测评指导书不够充实(3分)
对招标人需测评的内容把握不足,现在工作中不具备测评指导书,无法保证每项环节均具有相关测评材料(0分)
信息安全等级保护整改方案应对(6分)投标人根据招标人临时或计划的要求,响应等保整改方案中的所有内容,出具符合国家标准的等级测评报告,并对报告中设计的安全问题协助指导招标人进行改正。投标人出具符合国家标准的正式版测评报告,并报送相关部门; 投标人针对报告中提出的安全整改项协助投标人完成整改工作的;
投标人满足全部要求得6分,投标人满足一项要求得3分,无满足得0分。项目质量控制(6分)
投标人应编制相关方案证明投标人具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效。
具有完善的质量控制方案(6分)质量控制方案内容一般(3分)质量控制方案内容较差(1分)应急处置方案(6分)
投标人应针对测评过程中各项环节可能出现的突发事件建立针对本项目的应急处置方案,以应对突发事件出现后可迅速解决,防止给招标人信息系统带来影响。应急处置方案比较细致、全面,各种故障处理准备充分(6分)应急处置方案比较细致,各种故障处理比较充分(3分)应急处置方案不够资质,各种故障处理准备不够充分(1分)
第二篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第三篇:临沂中医医院信息安全等级保护测评项目
临沂市中医医院信息安全等级保护测评项目
集中竞价采购须知
为了公开、公平、公正地集中竞价采购,本着合理、竞争、经济的原则,我院拟对本次采购活动参照招标形式进行集中竞价,相关事项如下:
第一部分
项目要求
一、项目背景
为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,在全面了解临沂市中医院现有信息化现况的基础上,开展信息系统安全等级保护测评工作。通过本次工作,发现信息系统中存在的安全风险,分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况,完善工作制度,提出安全建设加固建议。切实加强信息安全防范水平,提高系统抵御风险的能力。
二、项目目标、内容
按照国家等级保护相关标准和要求,对其HIS、电子病历系统(三级)、PACS和网站(二级)安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,完成等级保护测评报告,并提供后续检测服务。
三、项目实施参照法律法规及标准 《网络安全法》
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号); 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)。
《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术
信息系统安全等级保护实施指南》 《信息安全技术
信息系统安全等级保护测评要求》 《信息安全技术
信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006) 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006) 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006) 《信息安全技术 服务器技术要求》(GB/T 21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006) 《信息安全技术 信息系统安全管理要求》(GB/T20269-2006) 《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006) GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
四、项目内容
1.等级测评
通过详细的系统调研,开展对其HIS、LIS系统(三级)、PACS和网站(二级)的等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。
测评的内容包括但不限于以下内容:
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(1)、物理安全
根据临沂市中医院信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。(2)、网络安全
根据临沂市中医院信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)、主机安全
主机安全现场测评包括对临沂市中医院信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。(4)、应用安全
应用安全现场测评包括对临沂市中医院信息系统的测评,测评内容包括“身份鉴
别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。(5)、数据安全及备份恢复
临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。(6)、安全管理制度
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。(7)、安全管理机构
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。(8)、人员安全管理
根据现场安全测评记录,针对临沂市中医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。(9)、系统建设管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。(10)、系统运维管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项待整改完毕后,进行结果确认,完成信息安全等级保护测评,出具测评报告,2.安全管理体系咨询
协助建立符合等级保护要求的信息安全管理体系,包含信息安全方针、信息安全策略、运行管理制度和运维管理制度。并参照国际标准体系ISO 27001和ISO 分析、整体分析,给出差距分析报告,并给出整改建议方案。并将测评报告报当地公安机关备案。
20000制定相应流程,促进临沂市中医院信息安全管理工作。
3.安全监测
提供门户网站7*24小时网站安全监测,对网站页面挂马、篡改等事件实时监测,发现问题及时通报相关人员,并安排人员及时处理。
4.应急支援
服务期内提供不限次数的应急支援服务,针对发生的事件协助分析事件原因,查找问题,并提供安全加固建议。
5.安全培训
组织技术培训,对临沂市中医院的技术人员进行等级保护、安全技术和项目部署要求等内容培训。技术培训应从实际应用出发,涵盖网络安全的如下方面: 基础设施运行安全培训、网络安全纵深防御体系培训、操作系统安全加固技术培训、应用系统渗透测试检测与加固培训、数据库安全管理培训、27001安全管理体系培训等。
6.信息安全风险评估
按照GB-T20984-2007信息安全风险评估规范标准和要求,对信息系统进行风险评估,明确信息系统安全风险,提出合理的、满足等级保护要求的总体建设和管理规划,并制定安全实施计划,以指导后续的信息系统安全建设工程实施。
五、成果交付
该项目提交的文档至少包括如下文件:
1、《临沂市中医院XX信息系统安全等级保护测评方案》
2、《临沂市中医院XX系统信息安全等级保护测评报告》
3、《临沂市中医院XX信息安全管理制度汇编》
4、《信息安全风险评估报告》
5、《信息安全整改方案》
第二部分
投标方资质要求
1、《企业法人营业执照》副本复印件(盖章)。
2、法定代表人身份证明书或法人授权委托书、身份证复印件。
3、投标公司具有信息系统安全等级保护测评的国家相关资质,有专业技术检测项目组,其中有高级测评师及中级测评师,参与技术检测的人员均为中国公民,无违法犯罪记录并签订安全保密协议。
4、同类项目近几年的业绩情况及客户名单。
第三部分标书、报价方式
1、标书分正本1份,副本2份,并在标书标书袋上标明“正本”、“副本”字样。均固定装订成一册,不能活页装订或散装,盖单位公章和法定代表人印签后递交医院招标办。
第四部分报送时间、地点
标书报送时间截止2018年1月30日16时。(每日8:00~17:00,周六、周日除外)
标书报送地点:临沂市中医医院门诊七楼招标办。
第四篇:《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法
第一条 为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。
第二条 等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
第三条 等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。
第四条 等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。
第五条 国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。
第六条 申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件:
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
第七条 申请时,申请单位应向等保办提交以下材料:
(一)《信息安全等级保护测评机构申请表》;
(二)从事信息系统安全相关工作情况;
(三)检测评估工作所需软硬件及其他服务保障设施配备情况;
(四)有关管理制度建设情况;
(五)申请单位及其测评人员基本情况;
(六)应提交的其他材料。
等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
第八条 通过初审的申请单位,应及时参加指定评估机构组织的测评人员培训。考试合格的人员,取得等级测评师证书。
等级测评师分为初级、中级和高级。申请单位应至少有10人获得等级测评师证书,其中高级和中级测评师均不得少于1人。
第九条 指定评估机构应根据标准规范对申请单位开展能力评估,出具信息安全等级保护测评机构能力评估报告,并及时将申请单位能力评估有关情况报送等保办。
第十条 等保办组织专家对通过能力评估的申请单位进行审核。审核通过的,颁发《信息安全等级保护测评机构推荐证书》。
省级等保办应及时将本地等级测评机构推荐情况报国家等保办,国家等保办定期发布公告,在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》。
第十一条 下列事项发生变更时,等级测评机构应在变更后5个工作日内向等保办报告。
(一)等级测评机构名称、地址、测评人员和主要负责人发生变更的;
(二)等级测评机构法人、股权结构发生变更的;
(三)其他重大事项发生变更的。
省级等保办应及时将等级测评机构变更情况报国家等保办。
第十二条 信息安全等级保护测评机构推荐证书有效期为三年。等级测评机构应在推荐证书期满前30日内,向等保办申请复审。复审通过的等级测评机构应换发新证。复审未通过的,等保办应督促其限期整改。
省级等保办应及时将等级测评机构期满复审情况报国家等保办。
第十三条 等级测评师上岗前,等级测评机构应组织岗前培训。培训合格的,由等级测评机构配发上岗证。未取得测评师证书和上岗证的,不得参与等级测评项目。
等级测评师离职前,等级测评机构应与其签订离职保密承诺书,并收回上岗证。
第十四条 等级测评师应妥善保管等级测评师证书、上岗证,不得涂改、出借、出租和转让。
第十五条 等级测评机构应加强对本机构等级测评师的监督管理,定期组织开展安全保密教育和业务培训。
第十六条 等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。
第十七条 等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内,向受理信息系统备案的公安机关报告等级测评项目有关情况。
第十八条 测评项目实施过程中,等级测评机构应接受等保办的监督、检查和指导。测评项目完成后,等级测评机构应请被测评信息系统运营使用单位对测评服务情况进行评价,评价情况由被测单位反馈等保办。
第十九条 等级测评机构应定期向等保办报送测评工作开展情况。根据测评实践,每年底编制并报送信息系统安全状况分析报告。第二十条 等级测评机构实行等级化管理。根据信息系统测评数量、机构规模、测评技术能力和服务质量等指标,对等级测评机构划分为五个星级,最低为一星级,最高为五星级。等级测评机构星级评定标准由国家等保办另行制定。
第二十一条 等级测评机构应于每年底向等保办提交星级评定所需材料。
等保办负责组织所推荐等级测评机构的星级评定审核工作,并出具星级评定意见。省级等保办应及时将评定意见报国家等保办审定,国家等保办定期发布星级评定结果。
第二十二条 取得信息安全等级保护测评机构推荐证书未满一年的,不参加星级评定。
第二十三条 等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作,及时掌握等级测评机构工作情况。
第二十四条 等保办应于每年底对所推荐的等级测评机构进行年审。等级测评机构自推荐之日起未满6个月的,当年可免予年审。年审时,等级测评机构应提交以下材料:
(一)《信息安全等级保护测评机构年审表》;
(二)信息安全等级保护测评机构推荐证书副本;
(三)测评工作总结;
(四)其他所需材料。
第二十五条
国家等保办负责组织开展等级测评机构能力验证和抽查工作。
第二十六条 等级测评机构有下列情形之一的,等保办应责令其限期整改;情形严重的,予以通报。
(一)未按照有关标准规范开展测评或未按规定出具信息系统安全等级测评报告的;
(二)影响被测评信息系统正常运行,危害被测评信息系统安全的;
(三)非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;
(四)分包或转包等级测评项目,以及扰乱测评市场秩序的;
(五)限定被测评单位购买、使用指定信息安全产品的;
(六)测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(七)未按本办法规定向等保办提交材料、报告情况或弄虚作假的;
(八)其他违反等级测评有关规定的行为。
第二十七条 等级测评机构有下列情形之一的,等保办应取消其信息安全等级保护测评机构推荐证书,并向社会公告。
(一)因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;
(二)有信息安全产品开发、销售或信息系统安全集成行为的;
(三)故意泄露被测评单位工作秘密、重要信息系统数据信息的;
(四)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;
(五)一年内未开展信息系统测评工作或自愿退出《全国信息安全等级保护测评机构推荐目录》的;
(六)连续两年年审不合格或限期整改后仍未通过复审的;
(七)违反本办法第二十六条规定,情节特别严重的。第二十八条 等级测评师有下列行为之一的,等保办应责令等级测评机构督促其限期改正;情节严重的,责令等级测评机构暂停其参与测评工作;情形特别严重的,应注销其等级测评师证书,并对其所在等级测评机构进行通报。
(一)未经允许擅自使用或泄露、出售等级测评工作中收集的数据信息、资料或信息系统安全等级测评报告的;
(二)违反本办法第十四条规定,未妥善保管等级测评师证书、上岗证,有涂改、出借、出租和转让等行为的;
(三)测评行为失误或不当,影响信息系统安全或造成运营使用单位利益损失的;
(四)其他违反等级测评有关规定的行为。第二十九条 等级测评机构及其等级测评师违反本办法的相关规定,给被测评信息系统运营使用单位造成严重危害和损失的,由相关部门依照有关法律、法规予以处理。
第三十条 任何单位和个人如发现等级测评机构、等级测评师有违法、违规行为的,可向国家等保办举报、投诉。
第三十一条 本办法由国家等保办负责解释。第三十二条 本办法自发布之日起实施。
第五篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
点击咨询 