重庆医科大学附属第一医院信息系统等级保护测评的招标技术参数2020年5月13日重庆医科大学附属第一医院按照国家相关法律法规要求，对我单位“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”等级保护2.0测评服务项目进行询价采购。

一、招标采购内容HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统按等级保护三级开展等级保护测评服务，按需完成系统等级保护备案工作。

二、项目情况（一）项目简介网络安全等级保护测评（简称等级测评）是在《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《信息安全等级保护管理办法》（公通字[2007]43号）等法规要求的等级保护制度——定级、备案、建设整改、等级测评、监督检查五个规定动作中的重要一环，依据国家法律、法规和技术标准对被测系统进行技术和管理两个方面进行全面测试、检查和测评，真实反映系统的安全保护能力，寻找问题和差距，为信息系统建设整改提供建议和依据。

网络安全等级保护测评就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，测评安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地为保障信息安全提供科学依据。

使用工具针对关键的设备、重要的网段和高危的漏洞进行渗透测试，形成相应的实施及分析报告。

随着业务系统顺应开放和互连的趋势，信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统信息安全。

必须在一个日趋开放的系统平台上重新审视信息安全问题。

我院“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”涉及资金数额大，对社会影响广泛，是国家政策要求实施安全等级保护的重点系统。

因此，如何建立一个高效的现代信息安全体系，日益成为突出的问题。

“HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统”网络安全等级保护评测项目即在此种背景下，通过对业务系统进行的一次全面的等级测评，及时、准确的了解当前系统的安全现状，对系统当前存在的风险进行有效的处理，对网络系统当前的某些安全问题（如普遍存在的问题、突出的问题、需要解决问题等）进行实际的解决。

同时，根据我院安全现状，对现有网络架构、安全控制策略和安全管理策略进行调整、修订、完善和扩充，并提出相应的信息系统安全解决方案，为今后的信息系统安全建设提供规范化的指导。

测评过程中应严格按照GB/T 28449-2018 《信息安全技术网络安全等级保护测评过程指南》标准的要求实施，加强质量监督和复查，保证测评工作质量。

本次计划测评的系统基本情况如下：本项目要求按照国家等级保护相关法规和技术标准，对构成上述信息系统不可分割的软件应用系统与应用软件、物理机房、网络环境与设备、主机（服务器）系统、数据与数据库及其相关管理制度和记录进行风险分析，风险识别采用访谈、检查、工具测试等方式进行。

（二）项目目的依据国家网络安全管理标准、网络安全等级保护测评指南等相关标准和信息系统安全等级保护的相关制度规定，按照有关管理规范、技术标准，委托测评机构对系统进行等级测评并对存在的问题提出整改建议。

（三）工作依据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《信息安全等级保护管理办法》（公通字[2007]43号）《中华人民共和国国家标准GB/T 17859-1999 计算机信息系统安全保护等级划分准则》《中华人民共和国国家标准GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》《中华人民共和国国家标准GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》《中华人民共和国国家标准GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》《中华人民共和国国家标准GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南》《中华人民共和国国家标准GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》《中华人民共和国国家标准GB/T 20984-2007 信息安全技术信息安全风险评估规范》三、项目的内容和主要活动（一）等级保护测评的主要工作内容根据重庆医科大学附属第一医院HIS系统、LIS系统、PACS系统、电子病历系统、互联网医院系统等5个三级系统的实际情况，在充分了解系统的基本情况下，根据“等保2.0”的技术标准选择测评指标，结合该系统的构成特点，确定具体的测评对象，建立测评方案和测评指导书，通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。

针对应用特点，重点对应用系统常见的SQL和代码注入漏洞、跨站脚本、缓冲期溢出、信息泄漏等进行工具扫描和检测，并对系统进行渗透测试，以发现系统存在的高危漏洞和风险。

通过提出整改建议，帮助我院对应用系统进行安全建设和改进，确保被测系统达到安全保护相应能力的要求。

测评过程中应严格按照GB/T 28449-2018 《信息安全技术网络安全等级保护测评过程指南》标准的要求实施，加强质量监督和复查，保证测评工作质量。

为确保的进度和质量，需要编制合理的测评方案，测评方案是等级测评工作实施的基础,指导等级测评工作的实施活动。

测评方案应包括但不局限于以下内容:项目概述、项目组织、测评对象、测评指标、测评内容、测评方法、实施计划等。

所有过程需规范化管理，确保按方案有序推进，确保进度和质量。

本次测评的主要工作范围主要包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面，具体如下：（1）第三级安全通用要求下表内容为等级保护2.0标准《中华人民共和国国家标准GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》中第三级安全通用要求部分内容。

（2）工具扫描及渗透测试测评过程中根据项目需要，使用专业的安全分析工具（至少包含专业的主机网络安全分析、应用系统安全析工具）对待测系统进行安全分析。

测评过程中，应针对关键设备、重点网段和高危漏洞进行渗透测试，形成相应的实施和分析报告。

（3）网络安全运维和建设整改的技术支持为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务，配合采购人，为被测信息系统安全整改和加固提供咨询和技术服务。

在合同签订后一年内，配合采购人技术人员或其建设整改运维单位技术人员，为采购人提供7*24小时等级保护安全运维和建设整改的技术支持服务，要求其常驻重庆的技术人员能在2小时内到达采购人指定的重庆主城办公地点。

（4）应急响应支持针对突发网络安全事件，协助进行应急响应处理，避免事态恶化。

合同签订后一年内，要求具备在接到采购人通知后具备安排1到3名技术人员于2小时内到达现场的能力，以保证在发现被测信息系统受到网络攻击事件时，协助实施有效的紧急救援及恢复补救方案。

为保证满足服务要求，供应商需要在重庆有常驻工作人员，并提供相应证据。

（二）主要评测活动安全测评工作内容主要由四个基本活动构成：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

双方之间的沟通与洽谈应贯穿整个等级测评过程，按照网络安全等级保护测评过程指南实施，加强质量的监督及复查，保证工作的质量。

（1）测评准备活动本活动是开展安全测评工作的前提和基础，是整个安全测评过程有效性的保证。

安全测评准备工作是否充分直接关系到后续工作能否顺利开展。

本活动的主要任务是掌握应用系统的详细情况，准备测评工具，为编制测评方案做好准备。

（2）方案编制活动本活动是开展安全测评工作的关键活动，为现场测评提供最基本的文档和指导方案。

本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。

（3）现场测评活动本活动是开展安全测评工作的核心活动。

本活动的主要任务是按照安全测评方案的总体要求，严格执行安全测评实施手册，分步实施所有安全测评项目，以了解系统的真实情况，获取足够证据，发现系统存在的安全问题。

现场测评活动主要包括以下三种工作方式：访谈：测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。

检查：不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。

测试：等级测评人员使用预定的方法/工具使待测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一种方法。

使用工具针对关键的设备、重要的网段和高危的漏洞进行渗透测试，形成相应的实施及分析报告。

（4）分析与报告编制活动本活动是给出安全测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。

本活动的主要任务是根据现场测评结果和有关要求，通过技术判定、整体测评和风险分析等方法，找出整个系统的安全保护现状以及相应的风险，形成测评报告文本。

（5）项目验收活动在完成测评工作后组织由委托方、测评方和上级主管部门参加的项目验收，对项目工作和成果进行总结，完成测评报告的发布和签收工作。

（三）项目实施流程项目实施的总体流程如下：各阶段的主要任务和工作产品如下：（１）项目启动在项目启动任务中，评测机构组建安全测评组，获取被测单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。

产品：项目计划书（2）信息收集和分析测评机构通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，为编写方案和开展现场测评工作奠定基础。

产品：填好的调查表格（3）工具和表单准备项目组成员在进行现场测评之前，应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。

产品：选用的测评清单，打印的各类表单（4）测评对象确定根据已经了解到的系统信息，分析整个系统及其涉及的业务应用系统，确定出本次测评对象。

产品：测评方案的测评对象部分（5）测评确定根据已经了解到的被测系统详细情况,确定出本次测评的测评指标。

产品：测评方案的测评指标部分（6）工具接入点确定工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。

产品：测评方案的测评内容中关于测评工具接入点部分（7）测评内容确定本部分确定现场测评的具体实施内容，即单元测评内容。

产品：测评方案的单元测评实施部分（8）测评实施手册开发测评实施手册是具体指导安全测评实施人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动可以重现的根本。