97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

第1頁項目服務內(nèi)容及要求依據(jù)國家和行業(yè)信息安全的相關標準，全面了解和掌握企業(yè)為系統(tǒng)現(xiàn)有安全狀況，找出其與《信息系統(tǒng)安全等級保護基本要求》對應級別的差距，及時發(fā)現(xiàn)系統(tǒng)存在的安全問題，針對等級保護測評中發(fā)現(xiàn)的各種安全風險，測評項目組提出適宜的安全整改建議，最終提交該系統(tǒng)等級保護測評報告。（一）項目建設方案及建設依據(jù)依據(jù)《GBT28448-2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019》，按照《信息安全技術(shù)網(wǎng)絡安全等級保護測評過程指南》（GB/T28449-2018）要求，采取相應的測評方法（包括：訪談、檢查、測試），按照相應的測評規(guī)程對測評對象（包括：制度文檔、各類設備、安全配置、相關人員）進行相應力度（包括：廣度、深度）的單元測評、整體測評，對測評發(fā)現(xiàn)的風險項進行分析評估，提出合理化整改建議，最終得到相應的信息系統(tǒng)等級測評報告。此次依據(jù)的標準包括但不限于以下內(nèi)容：1、《信息安全等級保護管理辦法》（公通字[2007]43號）2、《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》GB/T22239-20193、《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》GB/T22240-20124、《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》GB/T25058-20105、《信息安全技術(shù)信息安全風險評估規(guī)范》GB/T20984-20076、《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》（GB/T28448-2019》GB/T28448-20197、《信息安全技術(shù)網(wǎng)絡安全等級保護測評過程指南》GB/T28449-20188、《中華人民共和國網(wǎng)絡安全法》（二）工作內(nèi)容及要求1、測評對象系統(tǒng)名稱安全等級自貢120急救系統(tǒng)三級醫(yī)院信息管理(HIS)系統(tǒng)三級實驗室管理(LIS)系統(tǒng)三級影像管理(PACS)系統(tǒng)三級電子病歷系統(tǒng)三級集成平臺系統(tǒng)三級第2頁互聯(lián)網(wǎng)醫(yī)院系統(tǒng)三級辦公(OA)系統(tǒng)二級資源規(guī)劃管理(HRP)系統(tǒng)二級2、測評要求按照網(wǎng)絡安全等級保護測評依據(jù)開展測評工作（包括不限于以下項目）：（1）安全物理環(huán)境安全物理環(huán)境檢查主要是了解信息系統(tǒng)的物理安全保障情況，涉及對象為機房。在內(nèi)容上，安全物理環(huán)境層面測評實施過程涉及的工作單元，具體如下表：表1安全物理環(huán)境測評內(nèi)容序號工作單元名稱工作單元描述1物理位置的選擇檢查機房，測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。2物理訪問控制檢查機房出入口等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。3防盜竊和防破壞檢查機房內(nèi)的主要設備、介質(zhì)和防盜報警設施等過程，測評信息系統(tǒng)是否采取必要的措施預防設備、介質(zhì)等丟失和被破壞。4防雷擊檢查機房設計/驗收文檔，測評信息系統(tǒng)是否采取相應的措施預防雷擊。5防火檢查機房防火方面的安全管理制度，檢查機房防火設備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災的發(fā)生。6防水和防潮檢查機房及其除潮設備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災和機房潮濕。7防靜電檢查機房等過程，測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。8溫濕度控制檢查機房的溫濕度自動調(diào)節(jié)系統(tǒng)，測評信息系統(tǒng)是否采取必要措施對機房內(nèi)的溫濕度進行控制。9電力供應檢查機房供電線路、設備等過程，測評是否具備為信息系統(tǒng)提供一定電力供應的能力。10電磁防護檢查主要設備等過程，測評信息系統(tǒng)是否具備一定的電磁防護能力。（2）安全通信網(wǎng)絡安全通信網(wǎng)絡檢查主要是了解系統(tǒng)的網(wǎng)絡架構(gòu)和通信傳輸?shù)?，涉及對象為防火墻、核心路由器、核心交換機等設備和網(wǎng)絡架構(gòu)。在內(nèi)容上，安全通信網(wǎng)絡層面測評過程涉及的工作單元，具體如下表：表2安全通信網(wǎng)絡測評內(nèi)容第3頁序號工作單元名稱工作單元描述1網(wǎng)絡架構(gòu)檢查核心設備的CPU和內(nèi)存使用率，整個網(wǎng)絡帶寬是否滿足現(xiàn)狀，VLAN劃分是否合理，網(wǎng)絡架構(gòu)是否做到設備冗余、鏈路。2通信傳輸檢查數(shù)據(jù)在傳輸過程中的的完整性和保密性措施。3可信計算檢查設備是否進行可信驗證。（3）安全區(qū)域邊界安全區(qū)域邊界檢查主要是了解系統(tǒng)在網(wǎng)絡邊界的防護措施，涉及對象為防火墻、入侵檢測、安全審計等安全設備。在內(nèi)容上，安全區(qū)域邊界層面測評實施過程涉及的工作單元，具體如下表：表3安全區(qū)域邊界測評內(nèi)容序號工作單元名稱工作單元描述1邊界防護檢查網(wǎng)絡邊界是否有訪問控制設備，訪問控制策略是否合理，是否關閉了閑置端口等。2訪問控制檢查網(wǎng)絡中的訪問控制策略是否合理、有效。3入侵防范檢查網(wǎng)絡中是否采用了入侵防范措施，驗證該措施是否有效。4惡意代碼和垃圾郵件防范檢查網(wǎng)絡中是否有惡意代碼和垃圾郵件防范措施。5安全審計檢查網(wǎng)絡中是否有綜合安全審計措施。6可信驗證檢查設備是否進行可信驗證。（4）安全計算環(huán)境安全計算環(huán)境檢查主要是了解系統(tǒng)的運行環(huán)境是否采取了相關安全措施，涉及對象為網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等。在內(nèi)容上，安全計算環(huán)境層面測評實施過程涉及的工作單元，具體如下表：表4應用系統(tǒng)安全測評內(nèi)容序號工作單元名稱工作單元描述1身份鑒別檢查所有設備的登錄用戶是否有身份鑒別措施，是否有復雜度、唯一性等檢查。2訪問控制檢查用戶的權(quán)限分配情況，默認用戶和默認口令使用情況等。3安全審計檢查是否開啟安全審計功能，是否能審計到每個用戶，審計記錄是否有保護措施。第4頁4入侵防范檢查設備在運行過程中的入侵防范措施，如關閉不需要的端口和服務、最小化安裝、部署入侵防范產(chǎn)品等。5惡意代碼防范檢查設備的惡意代碼防范情況。6可信驗證檢查設備是否進行可信驗證。7數(shù)據(jù)完整性檢查系統(tǒng)數(shù)據(jù)的傳輸完整性和存儲完整性措施。8數(shù)據(jù)保密性檢查系統(tǒng)數(shù)據(jù)的傳輸保密性和存儲保密性措施。9數(shù)據(jù)備份恢復檢查系統(tǒng)的安全備份情況，如重要信息的備份、硬件和線路的冗余等。10剩余信息保護檢查系統(tǒng)的剩余信息保護情況，如將用戶鑒別信息以及文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間再分配時的處理情況。11個人信息保護檢查系統(tǒng)對個人信息的采集和使用情況。（5）安全管理中心安全管理中心檢查主要是了解系統(tǒng)在管理、審計等集中管理的情況，涉及對象為綜合管理類設備、綜合審計類設備等。在內(nèi)容上，安全管理中心實施過程涉及的工作單元，具體如下表：表5安全管理中心測評內(nèi)容序號工作單元名稱工作單元描述1系統(tǒng)管理檢查是否對系統(tǒng)管理員進行統(tǒng)一的身份鑒別，操作審計等。2審計管理檢查是否對審計管理員進行統(tǒng)一的身份鑒別，操作審計等。3安全管理檢查是否對安全管理員進行統(tǒng)一的身份鑒別，操作審計等。4集中管控檢查是否劃分獨立的安全管理區(qū)域，是否對網(wǎng)絡中運行的設備進行狀態(tài)監(jiān)測、日志審計、安全審計等，是否對補丁、惡意代代碼進行統(tǒng)一管理。（6）安全管理制度安全管理制度測評是為了了解評測安全管理制度的制定、發(fā)布、評審和修訂等情況，主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文件等對象。在內(nèi)容上，安全管理制度測評實施過程涉及的工作單元，具體如下表：表6安全管理制度測評內(nèi)容序號工作單元名稱工作單元描述