(一)項目清單
|
序號
|
名稱
|
數量
|
|
1
|
HIS等保三級測評服務
|
1
|
|
2
|
PACS等保二級測評服務
|
1
|
(二)參數要求
1.測評對象
|
系統名稱
|
安全等級
|
數量
|
|
HIS
|
三級
|
1
|
|
PACS
|
二級
|
1
|
2.測評要求
根據項目需求,為保障信息安全現場測評過程安全可控,明確測評人員職責分配、規范測評人員操作,保障測評結果有效,至少包括以下幾個流程:
|
序號
|
關鍵實施階段
|
工作要求
|
|
1
|
確定測評范圍
|
明確本次被測評信息系統的范圍,包括每個信息系統的范圍、信息系統的邊界等。
|
|
2
|
獲得信息系統的信息
|
通過調查或查閱資料的方式,了解被測評信息系統的構成,包括網絡拓撲、業務應用、業務流程、設備信息、安全措施狀況等。
|
|
3
|
確定具體的測評對象
|
初步確定每個信息系統的被測評對象,包括整體對象,如機房、辦公環境、網絡等,也包括具體對象,如邊界設備、網關設備、服務器設備、工作站、應用系統等。
|
|
4
|
確定測評工作的方法
|
根據信息系統安全等級情況、系統規模大小等,明確本次測評的方法。
|
|
5
|
制定測評工作計劃
|
制定測評工作計劃或方案,說明測評范圍、測評對象、工作方法、人員組成、角色職責、時間計劃等。
|
|
6
|
實施等級保護測評
|
實施測評,包括人工檢查、工具掃描等方式。
|
|
7
|
項目總結
|
提供測試報告,對測評結果進行總結、匯報
|
3.測評內容
按照信息系統等級保護測評依據開展測評工作(包括不限于以下項目)。
3.1 物理安全
物理安全檢查主要是了解信息系統的物理安全保障情況。涉及對象為機房。在內容上,物理安全層面測評實施過程涉及的工作單元,具體如下表:
表1 物理安全測評內容:
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
物理位置的選擇
|
檢查機房,測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。
|
|
2
|
物理訪問控制
|
檢查機房出入口等過程,測評信息系統在物理訪問控制方面的安全防范能力。
|
|
3
|
防盜竊和防破壞
|
檢查機房內的主要設備、介質和防盜報警設施等過程,測評信息系統是否采取必要的措施預防設備、介質等丟失和被破壞。
|
|
4
|
防雷擊
|
檢查機房設計/驗收文檔,測評信息系統是否采取相應的措施預防雷擊。
|
|
5
|
防火
|
檢查機房防火方面的安全管理制度,檢查機房防火設備等過程,測評信息系統是否采取必要的措施防止火災的發生。
|
|
6
|
防水和防潮
|
檢查機房及其除潮設備等過程,測評信息系統是否采取必要措施來防止水災和機房潮濕。
|
|
7
|
防靜電
|
檢查機房等過程,測評信息系統是否采取必要措施防止靜電的產生。
|
|
8
|
溫濕度控制
|
檢查機房的溫濕度自動調節系統,測評信息系統是否采取必要措施對機房內的溫濕度進行控制。
|
|
9
|
電力供應
|
檢查機房供電線路、設備等過程,測評是否具備為信息系統提供一定電力供應的能力。
|
|
10
|
電磁防護
|
檢查主要設備等過程,測評信息系統是否具備一定的電磁防護能力。
|
3.2網絡安全
網絡設備、網絡安全設備以及網絡拓撲結構等三大類對象。在內容上,網絡安全層面測評過程涉及的工作單元,具體如下表:
表2 網絡安全測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
網絡結構安全
|
檢查網絡拓撲情況、核查核心交換機、路由器,測評分析網絡架構與網段劃分、隔離等情況的合理性和有效性。
|
|
2
|
網絡訪問控制
|
檢查防火墻等網絡訪問控制設備,測試系統對外暴露安全漏洞情況等,測評分析信息系統對網絡區域邊界相關的網絡隔離與訪問控制能力。
|
|
3
|
網絡安全審計
|
檢查核心交換機、路由器等網絡互聯設備的安全審計情況,測評分析信息系統審計配置和審計記錄保護情況。
|
|
4
|
邊界完整性檢查
|
檢查邊界完整性檢查設備,測評分析信息系統違規聯到外部網絡的行為。
|
|
5
|
網絡入侵防范
|
測評分析信息系統對攻擊行為的識別和處理情況。
|
|
6
|
惡意代碼防范
|
檢查網絡防惡意代碼產品等過程,測評分析信息系統網絡邊界和核心網段對病毒等惡意代碼的防護情況。
|
|
7
|
網絡設備防護
|
檢查交換機、路由器等網絡互聯設備以及防火墻等網絡安全設備,查看它們的安全配置情況,包括身份鑒別、登錄失敗處理、限制非法登錄和登錄連接超時等,考察網絡設備自身的安全防范情況。
|
3.3主機安全
主機系統安全檢查是為了了解評測目標系統的主機系統安全保障情況。在內容上,主機系統安全層面測評實施過程涉及的工作單元,具體如下表:
表3 主機安全測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
身份鑒別
|
檢查服務器的身份標識與鑒別和用戶登錄的配置情況。
|
|
2
|
訪問控制
|
檢查服務器的訪問控制設置情況,包括安全策略覆蓋、控制粒度以及權限設置情況等。
|
|
3
|
安全審計
|
檢查服務器的安全審計的配置情況,如覆蓋范圍、記錄的項目和內容等;檢查安全審計進程和記錄的保護情況。
|
|
4
|
入侵防范
|
檢查服務器在運行過程中的入侵防范措施,如關閉不需要的端口和服務、最小化安裝、部署入侵防范產品等。
|
|
5
|
剩余信息保護
|
檢查服務器鑒別信息的存儲空間,被釋放或再分配給其他用戶前得到完全清除。
|
|
6
|
惡意代碼防范
|
檢查服務器的惡意代碼防范情況。
|
|
7
|
資源控制
|
檢查服務器對單個用戶的登錄方式、網絡地址范圍、會話數量等的限制情況。
|
3.4應用系統安全
應用安全檢查是為了了解評測“五險合一”業務應用系統的應用安全保障情況。在內容上,應用安全層面測評實施過程涉及的工作單元,具體如下表:
表4應用系統安全測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
身份鑒別
|
檢查應用系統的身份標識與鑒別功能設置和使用配置情況;
|
|
檢查應用系統對用戶登錄各種情況的處理,如登錄失敗處理、登錄連接超時等。
|
|
2
|
訪問控制
|
檢查應用系統的訪問控制功能設置情況,如訪問控制的策略、訪問控制粒度、權限設置情況等。
|
|
3
|
安全審計
|
檢查應用系統的安全審計配置情況,如覆蓋范圍、記錄的項目和內容等;
|
|
檢查應用系統安全審計進程和記錄的保護情況。
|
|
4
|
剩余信息保護
|
檢查應用系統的剩余信息保護情況,如將用戶鑒別信息以及文件、目錄和數據庫記錄等資源所在的存儲空間再分配時的處理情況。
|
|
5
|
通信完整性
|
檢查應用系統客戶端和服務器端之間的通信完整性保護情況。
|
|
6
|
通信保密性
|
檢查應用系統客戶端和服務器端之間的通信保密性保護情況。
|
|
7
|
抗抵賴
|
檢查應用系統對原發方和接收方的抗抵賴實現情況。
|
|
8
|
軟件容錯
|
檢查應用系統的軟件容錯能力,如輸入輸出格式檢查、自我狀態監控、自我保護、回退等能力。
|
|
9
|
資源控制
|
檢查應用系統的資源控制情況,如會話限定、用戶登錄限制、最大并發連接以及服務優先級設置等。
|
3.5數據安全及備份恢復
數據安全及備份恢復評估是為了了解評測系統的數據安全及備份恢復保障情況。本次測評重點檢查系統的數據在采集、傳輸、處理和存儲過程中的安全及安全備份恢復情況。在內容上,實施過程涉及的工作單元,具體如下表:
表5數據安全及備份恢復測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
數據完整性
|
檢查操作系統、數據庫管理系統的管理數據、鑒別信息和用戶數據在傳輸和保存過程中的完整性保護情況。
|
|
2
|
數據保密性
|
檢查操作系統和數據庫管理系統的管理數據、鑒別信息和用戶數據在傳輸和保存過程中的保密性保護情況。
|
|
3
|
安全備份和恢復
|
檢查信息系統的安全備份情況,如重要信息的備份、硬件和線路的冗余等。
|
3.6安全管理制度
安全管理制度測評是為了了解評測安全管理制度的制定、發布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規程文件等對象。在內容上,安全管理制度測評實施過程涉及的工作單元,具體如下表:
表6安全管理制度測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
管理制度
|
檢查有關管理制度文檔和重要操作規程等過程,測評信息系統管理制度在內容覆蓋上是否全面、完善。
|
|
2
|
制定與發布
|
檢查有關制度制定要求文檔等過程,測評信息系統管理制度的制定和發布過程是否遵循一定的流程。
|
|
3
|
評審和修訂
|
檢查管理制度評審記錄等過程,測評信息系統管理制度定期評審和修訂情況。
|
3.7安全管理機構
安全管理機構測評是為了了解評測安全管理機構的組成情況和機構工作組織情況。主要涉及安全主管人員、安全管理人員、相關的文件資料和工作記錄等對象。在內容上,安全管理機構測評實施過程涉及的工作單元,具體如下表:
表7安全管理機構測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
崗位設置
|
檢查部門/崗位職責文件,測評信息系統安全主管部門設置情況以及各崗位設置和崗位職責情況。
|
|
2
|
人員配備
|
檢查人員名單等文檔,測評信息系統各個崗位人員配備情況。
|
|
3
|
授權和審批
|
檢查相關文檔,測評信息系統對關鍵活動的授權和審批情況。
|
|
4
|
溝通與合作
|
檢查相關文檔,測評信息系統內部部門間、與外部單位間的溝通與合作情況。
|
|
5
|
審核與檢查
|
檢查記錄文檔等過程,測評信息系統安全工作的審核和檢查情況。
|
3.8人員安全管理
人員安全管理測評是為了了解評測人員安全方面的情況。主要涉及安全主管人員、人事管理人員、相關管理制度、相關工作記錄等對象。在內容上,人員安全管理測評實施過程涉及的工作單元,具體如下表:
表8人員安全管理測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
人員錄用
|
檢查人員錄用文檔等過程,測評信息系統錄用人員時是否對人員提出要求以及是否對其進行各種審查和考核。
|
|
2
|
人員離崗
|
檢查人員離崗安全處理記錄等過程,測評信息系統人員離崗時是否按照一定的手續辦理。
|
|
3
|
人員考核
|
檢查有關考核記錄等過程,測評是否對人員進行日常的業務考核和工作審查。
|
|
4
|
安全意識教育和培訓
|
檢查培訓計劃和執行記錄等文檔,測評是否對人員進行安全方面的教育和培訓。
|
|
5
|
外部人員訪問管理
|
檢查有關文檔等過程,測評對第三方人員訪問(物理、邏輯)系統是否采取必要控制措施。
|
3.9系統建設管理
系統建設管理測評是為了了解評測系統建設管理過程中的安全控制情況。主要涉及安全主管人員、系統建設負責人、各類管理制度、操作規程文件、執行過程記錄等對象。在內容上,系統建設管理測評實施過程涉及的工作單元,具體如下表:
表9系統建設管理測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
系統定級
|
檢查系統定級相關文檔等過程,測評是否按照一定要求確定系統的安全等級。
|
|
2
|
安全方案設計
|
檢查系統安全建設方案等文檔,測評系統整體的安全規劃設計是否按照一定流程進行。
|
|
3
|
產品采購和使用
|
測評是否按照一定的要求進行系統的產品采購。
|
|
4
|
自行軟件開發
|
檢查相關軟件開發文檔等,測評自行開發的軟件是否采取必要的措施保證開發過程的安全性。
|
|
5
|
外包軟件開發
|
檢查相關文檔,測評外包開發的軟件是否采取必要的措施保證開發過程的安全性和日后的維護工作能夠正常開展。
|
|
6
|
工程實施
|
檢查相關文檔,測評系統建設的實施過程是否采取必要的措施使其在機構可控的范圍內進行。
|
|
7
|
測試驗收
|
檢查測試驗收等相關文檔,測評系統運行前是否對其進行測試驗收工作。
|
|
8
|
系統交付
|
檢查系統交付清單等過程,測評是否采取必要的措施對系統交付過程進行有效控制。
|
|
9
|
安全服務商選擇
|
測評是否選擇符合國家有關規定的安全服務單位進行相關的安全服務工作。
|
3.10系統運維管理
系統運維管理測評是為了了解評測系統運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規程文件、執行過程記錄等對象。在內容上,系統運維管理測評實施過程涉及的工作單元,具體如下表:
表10系統運維管理測評內容
|
序號
|
工作單元名稱
|
工作單元描述
|
|
1
|
環境管理
|
檢查機房安全管理制度,機房和辦公環境等過程,測評是否采取必要的措施對機房的出入控制以及辦公環境的人員行為等方面進行安全管理。
|
|
2
|
資產管理
|
檢查資產清單,檢查系統、網絡設備等過程,測評是否采取必要的措施對系統的資產進行分類標識管理。
|
|
3
|
介質管理
|
檢查介質管理記錄和各類介質等過程,測評是否采取必要的措施對介質存放環境、使用、維護和銷毀等方面進行管理。
|
|
4
|
設備管理
|
檢查設備使用管理文檔和設備操作規程等過程,測評是否采取必要的措施確保設備在使用、維護和銷毀等過程安全。
|
|
5
|
監控管理和安全管理中心
|
測評是否采取必要的措施對重要主機的運行和訪問權限進行監控管理。
|
|
6
|
網絡安全管理
|
檢查系統安全管理制度、系統審計日志和系統漏洞掃描報告等過程,測評是否采取必要的措施對系統的安全配置、系統賬戶、漏洞掃描和審計日志等方面進行有效的管理。
|
|
7
|
系統安全管理
|
檢查網絡安全管理制度、網絡審計日志和網絡漏洞掃描報告等過程,測評是否采取必要的措施對網絡的安全配置、網絡用戶權限和審計日志等方面進行有效的管理,確保網絡安全運行。
|
|
8
|
惡意代碼防范管理
|
檢查惡意代碼防范管理文檔和惡意代碼檢測記錄等過程,測評是否采取必要的措施對惡意代碼進行有效管理,確保系統具有惡意代碼防范能力。
|
|
9
|
密碼管理
|
測評是否能夠確保信息系統中密碼算法和密鑰的使用符合國家密碼管理規定。
|
|
10
|
變更管理
|
檢查變更方案和變更管理制度等過程,測評是否采取必要的措施對系統發生的變更進行有效管理。
|
|
11
|
備份和恢復管理
|
檢查系統備份管理文檔和記錄等過程,測評是否采取必要的措施對重要業務信息,系統數據和系統軟件進行備份,并確保必要時能夠對這些數據有效地恢復。
|
|
12
|
安全事件處置
|
檢查安全事件記錄分析文檔、安全事件報告和處置管理制度等過程,測評是否采取必要的措施對安全事件進行等級劃分和對安全事件的報告、處理過程進行有效的管理。
|
|
13
|
應急預案管理
|
檢查應急響應預案文檔等過程,測評是否針對不同安全事件制定相應的應急預案,是否對應急預案展開培訓、演練和審查等。
|
4. 交付產品
包括但不僅限于以下資料:
|
1
|
信息系統安全等級測評報告(包含整改建議)
|
|
2
|
完成等保測評備忘工作
|
微信掃一掃,碼上報價
|
