抚州市妇幼保健院三级等级保护测评服务市场调研公告

附件：

****三级等级保护测评服务

二、具体服务内容

（一）信息系统三级等级保护测评

依据《中华人民**国网络安全法》、关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号文件） 、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019） 、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018）、《信息安全技术 网络安全等级保护实施指南》（GB∕T 25058-2019）、《信息安全技术 网络安全等级保护测试评估技术指南》 （GB∕T 36627-2018）等标准文件要求（如国家公布了最新等级保护测评相关标准或要求，以最新公布的文件为准），对我院信息系统进行等级测评，出具符合要求的《网络安全等级保护等级测评报告》（最新版）。测评内容应包括但不限于以下内容：

（1）安全物理环境

测评内容主要包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

（2）安全通信网络

测评内容主要包括：网络架构、通信传输、可信验证等。

（3）安全区域边界

测评内容主要包括：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。

（4）安全计算环境

测评内容主要包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。

（5****中心

测评内容主要包括：系统管理、审计管理、安全管理、集中管控等。

（6）安全管理制度

测评内容主要包括：安全策略、管理制度、制定和发布、评审和修订等。

（7）安全管理机构

测评内容主要包括：岗位设置、人员配备、授权和审批、沟通和**、审核和检查等。

（8）安全管理人员

测评内容主要包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。

（9）安全建设管理

测评内容主要包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。

（10）安全运维管理

测评内容主要包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。

（二）应急演练服务

根据网络安全要求，在不同的场景中开展应急演练，最大限度地在安全事件发生前暴露预案和流程上的缺陷，强调各部门之间协调性，进一步明确各自岗位职责，提高工作人员实际应对能力及总结经验。不断完善网络安全应急预案，出具《网络安全应急演练方案》及《网络安全应急演练总结》等。