信息系统等级测评招标文件
招标文件编号:
******医院信息系统等级测评
招
标
文
件
招标单位:******医院
2015年6月
目录
第一章投标邀请 (4)
一、招标内容及项目简要说明 (4)
二、合格投标人的资格 (4)
三、领取招标文件时间、地点及说明 (4)
四、投标截止时间及说明 (4)
五、开标时间及地点 (5)
六、联系人及联系方式 (5)
第二章投标须知 (6)
一、总则 (6)
二、招标文件的说明 (6)
三、投标文件的编写 (7)
四、投标文件的递交 (9)
五、开标和评标 (10)
六、定标 (12)
第三章信息系统等级保护测评需求说明 (14)
一、项目概况 (14)
二、测评目标 (14)
四、项目实施要求 (15)
附件1[开标一览表格式] (18)
附件2[法定代表人身份证明书格式] (19)
附件3[授权委托书格式] (20)
附件4[投标人基本情况表格式] (21)
附件5[差异表] (22)
附件6[投标人承诺函] (23)
第一章投标邀请
一、招标内容及项目简要说明
招标内容:******医院信息系统等级保护测评,主要内容包括(具体内容详见招标文件技术需求部分):
(一)根据招标文件技术部分对******医院信息系统等级保护测评总体架构及技术标准进行规划设计,并制订******医院信息系统等级保护测评方案。
(二)项目周期:信息系统等级保护测评从启动到实施完成45天。
(三)控制项目实施风险,确保该项目按计划范围、按时、按质量、按项目经费约束完成。
二、合格投标人的资格
投标人应具备下列资格、资信条件(下列条件将作为评标委员会进行资格后审的必要条件,凡是不满足如下条件的,将不能通过资格后审,即该投标人投标文件不能进入详细评审阶段,亦即按照无效标处理):
(一)具有信息安全等级保护测评机构推荐证书,具有完善的技术支持、运作实力;
(二)具有医疗机构信息系统等级保护测评案例;
三、领取招标文件时间、地点及说明
(一)投标人在2015年月日~2015年月日时(北京时间)携带投标单位法人营业执照副本复印件一份,投标单位法人授权委托书原件一份,在下述招标机构地址领取招标文件。
(二)招投标领取招标文件地址
地址:
联系人:
四、投标截止时间及说明
(一)2015年月日。投标单位必须在此时间前,将投标文件直接送达到******医院,逾期的投标文件将被拒绝。
(二)收标截止日期过后,任何对投标书修改的申请将不被接受。在收标截止
日期至中标通知发出这段时间,任何投标方不得撤回投标书。
五、开标时间及地点
定于2015年月日时(北京时间),在******医院公开开标。
六、联系人及联系方式
凡对本次投标提出询问,请按下列联系方法联系。
招标单位:******医院
地址:
邮编:
联系人:
第二章投标须知
一、总则
(一)适用范围
1、本招标文件仅适用于投标邀请书中所叙述的项目。
2、“系统保证期”是指卖方向买方提供产品升级和维护、维修、技术支持等服务的期限。应用软件系统保证期从系统最终验收签字通过之日起始计24个月。
(二)合格的产品、服务
1、合同中提供的所有货物、软件及其有关服务的原产地,均应来自中华人民共和国或是与中华人民共和国有正常贸易往来的国家和地区(简称“合格来源国”)。
2、系统中凡有购买第三方产品的,需有第三方的书面正式授权书。
(三)投标费用
不论投标结果如何,投标人应承担所有与准备和参加投标有关的一切费用。
(四)解释权
本招标书及其附件的最终解释权归招标人所有。
二、招标文件的说明
(一)招标文件的构成
1、招标文件用以阐明所需软件及服务、招标投标程序和合同条款。招标文件由目录所列全部内容构成。
2、投标人应认真阅读招标文件中所有的事项、格式、条款和技术规范等。投标人没有按照招标文件要求提交全部资料,或者投标书没有对招标文件在各方面都作出实质性响应是投标人的风险,并可能导致其投标被拒绝。
(二)招标文件的澄清
投标人对招标文件如有疑点,可要求澄清。投标人应在投标截止日期3日前按
投标邀请中载明的地址以书面形式(包括信函、传真,下同)通知到招标机构。招标机构将视情况确定采用适当方式予以澄清或以书面形式予以答复,并在其认为必要时,将不标明查询来源的书面答复发给己购买招标文件的每一投标人。
(三)招标文件的修改
1、在投标截止日期前,招标机构可主动地或依据投标人要求澄清的问题而修改招标文件,并以书面形式通知所有购买招标文件的每一投标人,投标人在收到该通知后应立即以传真形式予以确认。
2、为使投标人在准备投标文件时有合理的时间考虑招标文件的修改,如有必要,招标机构可酌情推迟投标截止时间和开标时间,并以书面形式通知己领取招标文件的每一投标人。
3、招标文件的修改书将构成招标文件的一部分,对投标人有约束力。
三、投标文件的编写
(一)编写要求
投标人应仔细阅读招标文件的所有内容,按招标文件的要求提供投标文件,并保证所提供的全部资料的真实性,以使其投标对招标文件的实质性要求做出完全响应,否则,其投标有可能被拒绝,此风险应由投标人自行承担。
(二)投标语言及计量单位
1、投标文件以及有关投标的所有来往信件函电,均应使用中文。
2、投标文件中的金额均以元为单位。
(三)投标文件的构成
1、投标基本文件内容应该包括:
(1)投标书(格式见第五章附件1);
(2)开标一览表(格式见第五章附件2);
(3)法定代表人身份证明书(格式见第五章附件3)或附有法定代表人身份证明书的授权委托书(格式见第五章附件4);
(4)投标人基本情况表(格式见第五章附件5);
(5)授权委托书;
(6)资格审查资料,包含:
①经年检合格的企业法人营业执照(副本复印件加盖公章);
②组织机构代码证(复印件加盖公章);
③税务登记证(复印件加盖公章);
④信息安全等级保护测评机构推荐证书;
2、完整的技术文件内容应该包括:
(1)提供系统技术方案(包括但不限于对现状及需求的理解、目标分析、集成方案等),逐项应答技术指标和运行性能,或申明技术偏差和例外(招标文件在技术规格中指出的要求、货物所参照的商标或样本目录号码仅系说明并非进行限制,投标人可在投标中选用替代标准,但该替代标准要优于或相当于招标文件技术规格的规定中要求的标准);
(2)项目详细实施计划;
(3)项目运营维护体系及售后服务方案;
(4)项目的实施成员。
3、投标人认为需要提供的其他文件或证书。
4、投标人技术文件的编制和编目
投标人技术文件由投标人视需要自行编制。所有附件规格幅面应该与正文一致,附于正文之后,与正文页码统一编目编码装订。
(四)项目实施部分
1、针对“招标内容及要求”的项目实施方案和技术响应文件,包括但不限于对《信息系统等级评审需求说明》。
2、如投标人的投标内容有异于招标文件的要求,则必须填写技术规格偏离表。
(五)投标报价
1、包含标准产品报价、实施费用等几个方面内容,投标人应详细说明其费用明细:
(1)服务报价(包含各项服务的价格);
(2)实施费用;
2、投标总价应包括投标人为完成本项目所发生的一切费用和应缴纳的所有税费。
(六)投标文件的签署及规定
1、投标人应提供投标文件正本一份和副本四份,及一份与投标文件相同的电子文档(Word或PDF格式)。在投标人应将投标文件正本和副本分别用信封密封,并标明投标项目名称、投标人名称及正本或副本。
2、投标文件正本须打印和用不褪色的墨水书写,A4纸装订(软包装装订),副本也可打印或采用正本的复印件。
3、投标人应将投标文件密封提交,封套上注明公司名称、地址、电话、联系人以及封装内容等,在封套的封口处加盖投标人单位公章。
4、未按上述要求密封和标记的投标文件,招标人不予受理。
5、为方便开标唱标,投标人应将开标一览表正本单独密封,并在信封上标明“开标一览表”字样、投标项目名称、投标人名称。
6、电报、电话、传真形式的投标概不接受。
四、投标文件的递交
(一)递交投标文件的截止时间
1、投标文件由专人送交,投标人应在规定时间内进行密封和标记,按投标邀请注明的投标时间和投标地址送至招标机构。所有投标文件必须按投标邀请中规定的投标截止时间之前送至招标机构。
2、招标机构推迟投标截止日期时,将以书面形式通知所有投标人,投标人应按通知的新的投标时间递交投标文件。
(二)迟交的投标文件
招标机构将拒绝在投标截止时间后收到的投标文件。
(三)投标文件的修改和撤销
1、投标人在提交投标文件后可对其投标文件进行修改或撤销,但招标机构须在投标截止时间之前收到该修改或撤销的书面通知,该通知须有经正式授权的投标人全权代表签字。
2、投标人对投标文件修改的书面材料或撤销的通知应按投标文件的签署及规定进行编写、密封、标注和递送,并注明“修改投标文件”或“撤销投标”字样。
3、投标截止时间以后不得修改投标文件。
4、投标人不得在开标时间起至投标文件有效期期满前撤销投标文件。
五、开标和评标
(一)开标
招标人按照招标文件规定的时间、地点主持公开招标。开标仪式由招标人主持,招标人单位代表及有关工作人员参加。每一投标单位派1-2名代表参加。
(二)开标程序:
主持人按下列程序进行开标:
1、检查投标文件的密封情况;
2、按照开标顺序当众开标,公布投标人名称、投标报价等内容,并记录在案;
3、投标人按开标顺序进行述标和答辩。
(三)评标委员会
评标委员会的成员由买方的代表组成。评标委员会对投标文件进行审查、质疑、评估和比较。
(四)投标文件的初审
1、在详细评标之前,评标委员会要审查每份投标文件是否实质上响应了招标文件的要求。实质上响应的投标文件应该是与招标文件要求的关键条款、条件和规格相符,没有重大偏离的投标。对关键条文的偏离、保留或反对将被认为是实质上的
偏离。评标委员会决定投标的响应性只根据投标本身的真实无误的内容,而不依据外部的证据,但投标有不真实不正确的内容时除外。
2、未能对招标文件的实质性要求作出响应的投标将被拒绝。投标人不得通过修正或撤销不合要求的偏离或保留从而使其投标成为实质上响应的投标。
3、在评标过程中,评标委员会发现以下情况之一的,可确认为废标:
(1)投标人以他人的名义投标、串通投标或者以其他弄虚作假方式投标的;
(2)投标人资格条件不符合中华人民共和国有关规定和招标文件要求的,或拒不按照要求对投标文件进行澄清、说明或者补正的;
(3)对招标文件提出的所有实质性要求和条件未能在实质上响应的;
(4)投标文件出现重大偏差的。存在如下情况之一确认为出现重大偏差:
①投标文件没有投标人法定代表人或其授权代表签字和加盖公章;
②投标文件载明的招标项目完成期限超过招标文件规定的期限;
③明显不符合招标人招标项目和工作实施的要求;
④投标文件附有招标人不能接受的条件;
⑤不符合招标文件中规定的其他实质性要求。
(五)投标的评价和比较
1、评标委员会将只对确定为实质上响应招标文件要求的投标进行评价和比较。
2、评标采用综合考评法,对各投标方进行综合评定。
3、投标的评价
(1)技术部分的评价
技术实施部分:项目实施方案应体现统筹计划、资源配置合理;项目实施方案应科学、合理可靠;整体技术方案具有先进性和可靠性;实施组织措施针对性强,可靠、可行;项目进度计划应满足招标人工期的要求,以及满足招标人业务的要求,并能保证项目实施进度和项目质量;项目质量目标满足要求,保证体系健全,质量保证措施可靠。
(2)商务部分的评价
商务部分的综合评价包括:对招标文件商务部分资格要求的响应程度;项目报价(包括但不限于:报价平衡性、实施费、分项报价及总报价等);投标人对项目实施周期的承诺;投标人的售后服务能力。
(六)投标文件的澄清
对投标文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容,评标委员会可以以书面形式要求投标人作出必要的澄清、说明或者补正。投标人的澄清、说明或者补正应当采用书面形式,由其法定代表人或授权的代表签字,并不得超出投标文件的范围或者改变投标文件的实质性内容。
(七)与招标人的接触
1、自投标截止至评标结束期间内,投标人不得就与其投标有关的事项与招标人或评标委员会接触。投标人试图对招标人、评标委员会的评标或授予合同的决定施加影响的,都将导致其投标被拒绝。
2、评标过程中,评委不得与投标人私下交换意见。在招标工作结束后,凡与评标情况有接触的任何人,不得也不应将评标情况扩散出评标委员会成员之外。
六、定标
(一)定标准则
1、评标委员会严格按照招标文件及评标办法进行评标,在最大限度满足招标文件要求的前提下,评标委员会对各投标人进行综合评价打分。评标委员会按得分顺序确定第一中标人。如出现得分相同者,评标委员会复审后,通过投票的方式,确定中标候选人,招标人委托评标委员会确定中标人。
2、不保证最低报价的投标最终中标。
(二)资格最终审查
1、评标委员会将根据最高得分的投标人提交的资格证明文件和其它必要的、合适的资料审查其财务、技术、生产和供货能力及信誉,确定其是否能圆满地履行合
同。如果审查通过,合同将授予该投标人。
2、如果确定该投标人无条件圆满履行合同,则拒绝其投标。评标委员会将对下一个最高得分的投标人的资格作出类似的审查。
(三)接受和拒绝任何或所有投标的权力
招标机构和买方保留在授标之前任何时候接受或拒绝任何投标,以及宣布招标程序无效或拒绝所有投标的权力,对受影响的投标人不承担任何责任,也无义务向受影响的投标人作任何解释。
(四)中标通知
1、在投标有效期内,招标机构将以书面形式(包括信函、传真)发出《中标通知书》。《中标通知书》一经发出即发生法律效力。
2、《中标通知书》将作为签订合同的依据。
(五)签订合同
1、中标人按《中标通知书》(或招标机构通知)指定的时间、地点与买方签订合同。
2、招标文件、中标人的投标文件及其澄清文件等,均为签订合同的依据。
第三章信息系统等级保护测评需求说明
一、项目概况
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,是维护国家信息安全的根本保障。通过开展信息安全等级保护工作,可以有效地解决我国信息安全面临的主要问题,按照“明确重点、突出重点、保护重点”的原则,将有限的财力、物力、人力投入到重要信息系统的安全保护中去。通过实施信息系统安全等级保护自测评,能够准确把握信息系统安全状况,帮助信息系统运营使用单位和主管部门按照标准进行安全建设、整改和管理运行。
二、测评目标
测评工作将依据卫生部文件——《卫生行业信息安全等级保护工作的指导意见》、省卫生厅——《关于开展卫生行业信息安全等级保护工作的通知》等法规、政策及******医院信息系统安全管理的相关规定进行。
本次测评的系统是:2个二级医院信息系统(包含***系统、***系统)
2个系统的测评目标等级是:二级。
三、测评工作内容及方法
1) 通过本次测评,完成以上2个信息系统的测评前的所有文档的建立及系统完善工作,以使上述2个系统能满足国家规定的信息系统二级定级的测评基本要求。
2)对在上述信息系统等级保护测评中发现的各种问题提出安全整改建议,并协助我单位做好整改工作,包括软件系统的安全设置、安全设备的搭建以及相关制度的完善等。最终达到定级标准要求。
3)确保定级测评工作的安全、规范,确保被测系统的安全。所使用的工具、方法和过程要在双方认可的情况下使用。等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序并销毁不需要的文档和资料;在对我单位信息系统进行测评中发现的漏洞及安全问题等情况严格执行相关
保密制度;对测评设备、介质进行严格的保密管理;工作过程中对公司人员实施封闭式集中管理;公司项目组进场人员必须遵守我单位相关管理规定。
4)在工作过程中对涉及的各类数据严格保密,在测评工作结束后,不可将工作中的数据用于任何有损我单位利益的用途,双方签署保密协议。
5)测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
最终目标是使以上2个信息系统通过国家规定的信息系统二级定级测评。
四、项目实施要求
(一)实施人员要求
应提供全面的组织管理方案和保证措施,以保证项目的顺利实施。同时,应安排有丰富实施经验的人员参加项目的实施,成员组成应包括:项目技术总监、项目经理、资深项目实施顾问、实施工程师。
项目实施过程中,项目人员应全程参与本项目的开发、实施过程,项目验收前无故不得更换。若有特殊原因需调整,应与我单位协商后进行。
项目经理和实施顾问应具备医疗行业信息系统等级评测项目的经验,能够对项目建设提供有价值的建议。
(二)实施结果要求
1).记录各系统运行现状及安全状况
记录被测信息系统的基本情况,完成信息系统备案文档的编写并协助完成等保定级备案工作。
2).等级测评结果
对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为符合、基本符合、不符合)。
3).制定《系统等级测评报告》
列出被测信息系统中存在的主要问题以及可能造成的后果,制订《系统等级测评报告》。
4).制定《系统安全建设、整改方案》
针对系统存在的主要问题提出安全建设、整改建议,制订《系统安全建设、整改方案》。
5).协助等保整改工作
针对系统存在的主要问题提出安全建设、整改建议,协助完成系统整改工作。6).制定《信息系统验收测评报告》
提交《信息系统验收测评报告》,报告须提交公安机关有关部门报备。
1.附件1[投标书]
投标书
致:******医院
根据贵方的******医院信息系统等级保护测评招标文件,遵照国家有关规定,我方经现场调研和研究上述项目招标文件的投标人须知、合同条款、招标内容及要求、******医院信息系统等级保护测评需求响应表和其他有关文件后,我方愿以人民币元的总价格,按上述投标人须知、合同条款、招标内容及要求、******医院信息系统等级保护测评需求响应表的要求承接此项目的产品提供、实施、二次开发,直到项目验收和维护。
1、一旦我方中标,我方愿意按照招标文件和招标人的规定及要求,签订项目合同,并信守合同。保证按质量目标如期完成全部项目,并承担项目的实施、交付和缺陷修复工作。
2、如能中标,我方保证在2015年月日开始实施,2015年月日完成验收,即天(日历日)内完成项目并移交。
3、我方理解,贵方不一定接受最低报价的投标文件或收到的任何投标文件。
4、我方严格遵守招投标纪律,恪守招标人的各项规定,保证本项目招标投标工作的顺利进行。
5、根据投标人须知的条款以及我方所提供的全部投标文件(正本一份,副本四份)的实际情况,签字代表宣布同意如下:
1)所附投标价格表中的投标总价为元(大写人民币圆整)。
2)投标人将按招标文件的规定履行合同责任和义务。
3)投标人已详细审查全部招标文件,包括修改文件(如有的话)以及全部参考资料和有关附件。我们完全理解并同意放弃对这方面不明及误解的权利。
4)其投标自开标日起有效期为90个日历日。
5)投标人同意提供按照招标人要求的与其投标有关的一切数据或资料。
6)与本投标有关的一切正式往来通讯请寄:
地址:邮编:
电话:传真:
投标人名称:法定代表人(或授权代表):
日期:年月日
附件1[开标一览表格式]
开标一览表投标人名称:
签署日期:
附件2[法定代表人身份证明书格式]
法定代表人身份证明书
单位名称:
地址:
姓名:性别:年龄:职务:
系的法定代表人。为******医院信息系统等级保护测评项目,签署上述投标文件、进行合同谈判、签署合同和处理与之有关的一切事务。
特此证明。
投标单位:(盖章)上级主管部门:(盖章)
日期:年月日日期:年月日
附件3[授权委托书格式]
授权委托书
致:******医院
本授权委托书宣告:我(姓名)系(投标单位名称)的法定代表人,现授权委托(单位名称)的(姓名)为本公司代理人,以本公司的名义参加******医院信息系统等级保护测评项目的投标活动。该代理人在开标、评标合同谈判过程中所签署的一切文件和处理与之有关的一切事务,我均予以承认。
代理人无转委权。特此委托。
代理人:姓名:年龄:
单位:部门:职务:
授权单位:(盖章)
法定代表人:(签字)
日期:年月日
沈阳XX公司全面预算管理软件系统实施项目招标文件 精品
沈阳XXXX公司PDM软件系统实施项目 招标文件
第一部分投标邀请 XX公司现通过公开招标方式对XX公司全面预算管理软件系统实施项目进行招标。 1.招标编号:XX-XX-20XX-0005 2.XX公司全面预算管理软件系统实施项目的技术要求详见招标文件第三部分。 3.招标文件发放时间、地点:招标文件将于20XX年12月1日起每天9:00—16:00时在XX公司信息化管理部IT管理室发售,价格500元。 4.投标截止时间:20XX年12月10日10时00分(北京时间)。其后收到的投标文件或 未按招标文件规定提交投标保证金的投标文件恕不接受。 5.投标地点:XX公司信息化管理部IT管理室(A1 311房间)。 6.开标时间:20XX年12月13日10时00分(北京时间)。 7.开标地点:XX公司信息化管理部IT管理室(A1 306房间) 8.联系单位: XX公司信息化管理部 地址:略邮政编码:略 电话:略传真:略 联系部门:信息化管理部IT管理室联系人:略 技术联系人:略电话:略
第二部分投标人须知 投标人须知前附表 说明:本前附表是对投标人须知的修改、补充和摘要,其内容与投标人须知不一致时,以本前附表为准。 序号条款号内容 1 1.1 项目描述 项目名称:XX公司全面预算管理软件系统实施项目 招标编号:XX-XX-20XX-0005 项目概况:随着XX的不断扩大和公司管理的细化,对目前预算管理模式的合理性、灵活性、全面性,以及整体性提出了进一 步的要求。为不断提升预算管理水平,提高预算管理效率, 通过对新版本预算系统的实施,实现预算系统的集成和系 统功能的优化。 2 1.2 招标人:XX公司信息化管理部地址:略 电话:略 传真:略 联系人:略 3 16.1 16.2 投标保证金:3万元人民币 投标保证金可以使用现金、电汇、支票或汇票 4 17.1 投标有效期:开标后120天 5 18.4 投标文件份数:正本一份,副本三份,电子文档一份 6 20.1 投标截止时间:20XX年12月10日10时00分(北京时间)投标地点:XX公司信息化管理部IT管理室 邮编:略 7 22.2 开标日期:20XX年12月13日10时00分(北京时间)开标地点:XX公司信息化管理部IT管理室 8 32.1 履约保证金金额:合同价格的10%
信息安全技术 信息系统安全等级保护测评要求.doc
信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。
病理科信息管理系统招标文件
一、设备名称:病理科信息管理系统 二、设备数量:1套 三、技术参数: 1、设计站点需求与功能介绍 1.1登记取材工作站: 1.1.1接收临床发送的申请单、本地申请单录入、系统自动提示所有已登记但尚未取材的病例列表或是有补取要求的病例列表; 1.1.2要求在取材时记录取材时间、取材医生、取材记录人员信息;取材时能采集大体标本图像、拍摄大体标本照片,并能对照取材的实际操作过程进行标注测量工作(图像标识);条形码打印及切片工作表管理功能;可进行取材明细记录,包括“蜡块编号”、“组织名称”、“材块数量”等内容,系统自动计算蜡块总数和材块总数;有“附言”记录,包括“用完”、“脱钙”、“保留”等内容,并能输入剩余标本的存放位置,可让临床医生了解到病例的“已取材”状态和取材医生的信息。 1.2大体取材工作站:进口产品,要求有四个无影灯,完全防腐蚀,防酸碱的刻度板,板上刻有一厘米的小方格,要求至少有(半透明、蓝色、青色)三种颜色的底板提供选择。 1.3技术组工作站:系统自动提示所有已包埋但尚未制成切片的病例列表、重切和深切病例列表,按照取材时录入的取材明细情况自动生成切片条码标签列表,用户可以根据需要选择手工调整。此工作站要求对技术制片全过程有参与和控制功能,监督、质控和管理脱水、包埋、切片、染色等常规技术组工作。 1.3.1包埋工作站:系统自动打开所有已取材但尚未包埋病例的取材明细记录(即蜡块数、组织名称和材块数),供技术人员在包埋时进行核对,包埋完成后进行确认。 1.3.2包埋盒打号程序:包括包埋预设编号、包埋信息录入、包埋号统一编辑、包埋组织子号、包埋组织块数、记录人、包埋人、包埋块数分项记录、包埋盒存储档案;可按包埋盒的编号查询、统计和打印。 1.3.3玻片打号程序:设定玻片打号程序、按年份或特定的序号来制定、打号程序按批次编辑、记录玻片的不同制作时间、玻片的存储记录、玻片的查询与统计、玻片数记录、玻片号记录、玻片补打记录、玻片张数统计、玻片张数打印与日/月/年统计列表。 1.4技术工作质控功能:要求提供当日取材组织块登记表格、切片和染色情况质控表格、技术组工作分工与工作量表格、组织学、细胞学等片签收表格工具功能,提供技术工作量统计,对切片质量统计与评价(优片率)。打印登记本功能以取代手工登记。要求能自动生成切片条码标签并进行打印。 1.5诊断工作站:要求具有完善的用户权限管理功能,能在充分考虑报告信息安全性的基础上对诊断报告环节进行科学规划。报告格式要求有病理组织学、细胞学、免疫组化、特殊染色、普通细胞学、妇科液基细胞学、非妇科细胞学、尸检等多种预设和报告格式,并能自定
信息系统安全等级保护测评准则.
目录 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 总则 (2) 4.1 测评原则 (2) 4.2 测评内容 (2) 4.2.1基本内容 (2) 4.2.2工作单元 (3) 4.2.3测评强度 (4) 4.3 结果重用 (4) 4.4 使用方法 (4) 5 第一级安全控制测评 (5) 5.1安全技术测评 (5) 5.1.1物理安全 (5) 5.1.2网络安全 (7) 5.1.3 主机系统安全 (9) 5.1.4 应用安全 (11) 5.1.5 数据安全 (13) 5.2 安全管理测评 (15) 5.2.1 安全管理机构 (15) 5.2.2 安全管理制度 (17) 5.2.3 人员安全管理 (17) 5.2.4 系统建设管理 (19) 5.2.5 系统运维管理 (23) 6 第二级安全控制测评 (27) 6.1 安全技术测评 (27) 6.1.1 物理安全 (27) 6.1.2 网络安全 (33) 6.1.3 主机系统安全 (37) 6.1.4 应用安全 (42) 6.1.5 数据安全 (47) 6.2 安全管理测评 (50) 6.2.1 安全管理机构 (50) 6.2.2 安全管理制度 (52) 6.2.3 人员安全管理 (54) 6.2.4 系统建设管理 (56) 6.2.5 系统运维管理 (61) 7 第三级安全控制测评 (69) 7.1 安全技术测评 (69) 7.1.1 物理安全 (69) 7.1.2 网络安全 (76)
7.1.3 主机系统安全 (82) 7.1.4 应用安全 (90) 7.1.5 数据安全 (97) 7.2 安全管理测评 (99) 7.2.1 安全管理机构 (99) 7.2.2 安全管理制度 (104) 7.2.3 人员安全管理 (106) 7.2.4 系统建设管理 (109) 7.2.5 系统运维管理 (115) 8 第四级安全控制测评 (126) 8.1 安全技术测评 (126) 8.1.1 物理安全 (126) 8.1.2 网络安全 (134) 8.1.3 主机系统安全 (140) 8.1.4 应用安全 (149) 8.1.5 数据安全 (157) 8.2 安全管理测评 (160) 8.2.1 安全管理机构 (160) 8.2.2 安全管理制度 (164) 8.2.3 人员安全管理 (166) 8.2.4 系统建设管理 (169) 8.2.5 系统运维管理 (176) 9 第五级安全控制测评 (188) 10 系统整体测评 (188) 10.1 安全控制间安全测评 (188) 10.2 层面间安全测评 (189) 10.3 区域间安全测评 (189) 10.4 系统结构安全测评 (190) 附录A(资料性附录)测评强度 (191) A.1测评方式的测评强度描述 (191) A.2信息系统测评强度 (191) 附录B(资料性附录)关于系统整体测评的进一步说明 (197) B.1区域和层面 (197) B.1.1区域 (197) B.1.2层面 (198) B.2信息系统测评的组成说明 (200) B.3系统整体测评举例说明 (201) B.3.1被测系统和环境概述 (201) B.3.1安全控制间安全测评举例 (202) B.3.2层面间安全测评举例 (202) B.3.3区域间安全测评举例 (203) B.3.4系统结构安全测评举例 (203)
信息系统等级保护测评工作方案
XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)
2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准
软件项目管理_教务系统招标书
教务系统招标书 根据《中华人民共和国招投标法》和学校有关规定,对我校的教务管理信息系统软件项目(以下简称该项目)进行国内邀请招标。 一.系统要求 教务管理信息系统的主要功能模块包括:系统应该包括教务和教学两部分,教务和教学可以灵活组合、自由搭配,可以组成学校教务管理或教学管理系统。教务管理信息系统涵盖教务业务中的各个功能部件,从学籍、注册、排课、选课、考试、成绩、教学评价、教材等诸多方面形成一体化管理模式, 教务部门主要负责学校各类专科生的教学管理,主要负责5个方面的工作:基本教学活动管理。主要包括:各类教学计划管理、教学运行管理、教学考评管理;教学基本建设管理。主要包括:专业建设、课程建设、教学基地建设、教学管理制度和学风建设。组织开展相关的教育科学研究、教学改革和教学成果评审;学历与学籍管理。主要包括:在校专科生的学历与学籍管理工作,负责历届本(专)科生的学历和学位管理;教师队伍建设的有关工作。组织教师和管理干部队伍的相关业务培训与考核工作,参与拟制教师队伍建设规划和专业技术职务评审工作,负责聘任兼职教授的相关工作;其它工作,学校人才培养有关工作的牵头和情况汇总上报; 教学管理信息系统在结构上可划分为下列功能模块:公共信息管理(教学资源(设施)管理)、教学计划管理、开课管理、学籍管理、注册管理、排课管理、选课管理、考试管理、成绩管理、教材管理、教学质量评估那里、实践教学管理、教师管理、毕业管理、教务办公(综合查询)、系统维护、教师门户、学生门户等模块。 二.投标商应该完成的工作 2.1 根据各系统目标和功能描述,识别并给出系统需求(需求调查,对项目的理解)。 2.2 提出达到系统目标和完成系统功能的最佳途径(项目方案)。 三、工作要求 3.1描述对项目的理解投标商在招标文件中描述对本项目的理解不在于照搬或机械性翻译业务流程,重要在于明确提出一套有效的解决模式和相应的设计思路,包括如下内容,并应提供足够的细节。
信息系统等级保护测评指标(二级与三级)
实用标准文档 1.信息系统等级保护测评指标 等级保护的测评技术指标至少覆盖各系统等保二级、等级保三级的全部指标 1.1.等级保护二级测评基本指标 分类子类基本要求 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建(G2)筑内 物理访问控制机房出入口应安排专人值守,控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程,并限制和监 (G2) 控其活动范围 应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除去的标防盗窃和防破坏记 (G2)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 应对介质分类标识,存储在介质库或档案室中 主机房应安装必要的防盗报警设施 防雷击(G2) 机房建筑应设置避雷装置 机房应设置交流电源地线 物理安全 防火(G2)机房应设置灭火设备和火灾自动报警系统。 水管安装,不得穿过机房屋顶和活动地板下 防水和防潮(G2)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防静电(G2)关键设备应采用必要的接地防静电措施 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应(A2)应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间,满足业 务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期需要 结构安全(G2)应绘制与当前运行情况相符的网络拓扑结构图 网络安全 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的 原则为各子网、网段分配地址段 应在网络边界部署访问控制设备,启用访问控制功能 访问控制(G2)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程 1.1.1制定背景 本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。 1.1.2国外相关资料分析 本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如: ●FIPS 199 Standards for Security Categorization of Federal Information and Information Systems(美国国家标准和技术研究所) ●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual(美国国防部) ●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防 部) ●Information Assurance Technology Framework3.1(美国国家安全局) 这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的
信息系统等级测评文档准备指引
信息系统等级测评 文档准备指南 电力行业等级保护测评中心华电卓识实验室 2009年 9月
目录 一、文档提交要求..................... 错误!未指定书签。 二、准备文档时需注意的问题 ........... 错误!未指定书签。附件一信息系统基本情况调查表 ....... 错误!未指定书签。 表1-1. 单位基本情况 .............. 错误!未指定书签。 表1-2. 参与人员名单 .............. 错误!未指定书签。 表1-3. 物理环境情况 .............. 错误!未指定书签。 表1-4. 信息系统基本情况........... 错误!未指定书签。 表1-5. 信息系统承载业务(服务)情况错误!未指定书签。 表1-6. 信息系统网络结构(环境)情况错误!未指定书签。 表1-7. 外联线路及设备端口(网络边界)情况调查错误!未指定书签。 表1-8. 网络设备情况 .............. 错误!未指定书签。 表1-9. 安全设备情况 .............. 错误!未指定书签。 表1-10. 服务器设备情况............ 错误!未指定书签。 表1-11. 终端设备情况 ............. 错误!未指定书签。 表1-12. 系统软件情况 ............. 错误!未指定书签。 表1-13. 应用系统软件情况.......... 错误!未指定书签。 表1-14. 业务数据情况 ............. 错误!未指定书签。 表1-15. 数据备份情况 ............. 错误!未指定书签。 表1-16. 应用系统软件处理流程(多表)错误!未指定书签。
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
信息系统安全等级
附件乐3:乐山《信息系统安全等级保护定级报告》模 金阳县人民医院 《信息系统安全等级保护定级报告》 一、金阳县人民医院信息系统描述 金阳县人民医院信息系统主要有医院信息管理系统(HIS)、LIS、PACS、卫生统计直报系统、传染性疾病报告系统、医院门户网站等系统组成。本系统对医院及其所属各部门的人流、物流、财流进行综合管理,对医院从事医疗、办公等活动在各阶段中产生的数据进行采集、存储、分析、处理、汇总,为医院的整体运行提供信息支撑。该信息系统的平台运行维护主要有网络中心承担,医院始终将信息安全建设作为安全重中之重建设和管理,将其确定为定级对象进行监督,网络中心为信息安全保护主体。此系统主要由提供网络连接、网络服务的硬件和数据控制的软件程序两大要素构成,提供网络连接和服务的硬件设备如路由器、交换机和服务器构成了该信息系统的基础,其主要为保障数据的传输和程序文件的运行;数据控制文件系统、程序源码成为信息表现的载体,二者共同完成院内医疗、办公等信息的综合管理。 二、金阳县人民医院信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 本信息系统主要处理的业务有医院日常业务运行、医院最新动态、院务公开、等。旨在保障医院业务正常运行、提高工作效率、增强院务透明度、扩大医院社会影响力。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是患者、法人和医院职工的合法权益。侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对患者、医院和医院职工的合法权益造成严重影响和损害。本信息系统由于具有一定的脆弱性,需要不定时进行对该系统进行程序升级和漏洞防范,所以很容易受到“黑客”攻击和破坏,可能会影响医疗、办公正常秩序和正常行使工作职能,导致业务能力下降,从某种角度可侵害患者、医院和医院职工的合法权益,造成一定范围的不良影响等。 3、信息受到破坏后对侵害客体的侵害程度的确定 当此信息受到破坏后,会对患者、医院和医院职工造成一些严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级为二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 本信息系统主要为医院业务的正常运行、日常办公活动正常开展和提供医疗咨询等服务。2、系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,所侵害的客体是公民、医院和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现得侵害结果为:可以对患者、法人和医院职工的合法权益造成侵害(影响正常工作的开展,导致业务能力下降,造成不良影响,引起医患法律纠纷等)。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为:患者、医院和医院职工的合法权益造成一般损害,即会出现一定范围的社会不良影响和一定程度的公共利益的损害等。
信息系统安全等级保护测评准则
信息系统安全等级保护测评准则
目录 1 范围1 2 规范性引用文件1 3 术语和定义1 4 总则2 4.1 测评原则2 4.2 测评内容2 4.2.1基本内容2 4.2.2工作单元3 4.2.3测评强度4 4.3 结果重用4 4.4 使用方法4 5 第一级安全控制测评5 5.1安全技术测评5 5.1.1物理安全5 5.1.2网络安全7 5.1.3 主机系统安全9 5.1.4 应用安全11 5.1.5 数据安全13 5.2 安全管理测评15 5.2.1 安全管理机构15 5.2.2 安全管理制度17 5.2.3 人员安全管理17 5.2.4 系统建设管理19 5.2.5 系统运维管理23 6 第二级安全控制测评27 6.1 安全技术测评27 6.1.1 物理安全27 6.1.2 网络安全33 6.1.3 主机系统安全37 6.1.4 应用安全42 6.1.5 数据安全47 6.2 安全管理测评50 6.2.1 安全管理机构50 6.2.2 安全管理制度52 6.2.3 人员安全管理54 6.2.4 系统建设管理56 6.2.5 系统运维管理61 7 第三级安全控制测评69 7.1 安全技术测评69 7.1.1 物理安全69 7.1.2 网络安全76
7.1.3 主机系统安全82 7.1.4 应用安全90 7.1.5 数据安全97 7.2 安全管理测评99 7.2.1 安全管理机构99 7.2.2 安全管理制度104 7.2.3 人员安全管理106 7.2.4 系统建设管理109 7.2.5 系统运维管理115 8 第四级安全控制测评126 8.1 安全技术测评126 8.1.1 物理安全126 8.1.2 网络安全134 8.1.3 主机系统安全140 8.1.4 应用安全149 8.1.5 数据安全157 8.2 安全管理测评160 8.2.1 安全管理机构160 8.2.2 安全管理制度164 8.2.3 人员安全管理166 8.2.4 系统建设管理169 8.2.5 系统运维管理176 9 第五级安全控制测评188 10 系统整体测评188 10.1 安全控制间安全测评188 10.2 层面间安全测评189 10.3 区域间安全测评189 10.4 系统结构安全测评190 附录A(资料性附录)测评强度190 A.1测评方式的测评强度描述190 A.2信息系统测评强度191 附录B(资料性附录)关于系统整体测评的进一步说明196 B.1区域和层面196 B.1.1区域196 B.1.2层面197 B.2信息系统测评的组成说明199 B.3系统整体测评举例说明200 B.3.1被测系统和环境概述200 B.3.1安全控制间安全测评举例201 B.3.2层面间安全测评举例201 B.3.3区域间安全测评举例202 B.3.4系统结构安全测评举例202
管理信息系统标书文件
某某安全管理信息系统 二〇一四年六月
目录 1.概述...................................................... 1.1项目背景 ........................................................................................... 1.2建设目标、建设内容 ....................................................................... 1.2.1建设目标..................................................................................... 1.2.2建设内容..................................................................................... 1.3项目依据 ........................................................................................... 2.总体建设方案.............................................. 2.1总体架构 ........................................................................................... 2.1.1系统总体结构 2.2建设原则 ........................................................................................... 2.2.1流程规范、功能完善................................................................. 2.2.2技术领先、易用直观................................................................. 2.2.3稳定高效、安全可靠................................................................. 2.3设计思路 ........................................................................................... 2.3.1以数据为核心、对数据进行统一管理..................................... 2.3.2组件化结构,促进多种技术集成............................................. 2.3.3借鉴成功的案例,采用成熟的主流开源产品......................... 2.4建设方案 ........................................................................................... 3.应用支撑层建设............................................
信息系统安全等级保护测评及服务要求
成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件); 2.测评机构应为成都市本地机构或在成都有常驻服务机构; 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》; 4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准); 5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全
等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作,协助学院编写相应的《信息系统安全等级保护定级报告》; 2.完成上述信息系统安全等级测评工作,测评后经用户方确认,出具符合信息系统等级测评要求的测评报告; 3.协助完成上述信息系统安全等级保护备案工作; 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术
信息系统安全等级保护定级报告
信息系统安全等级保护定级报告 一、中国农业大学www服务系统描述 (一) 该系统由中国农业大学网络中心搭建并负责运行维 护。中国农业大学网络中心为该信息系统的主管部门 和定级的责任单位。 (二) 该系统是由三台核心服务器系统及其相关配套的设 备、设施构成的。该系统在校园网内,有两个出口, 第一个出口处部署了流控设备和控制网关,再通过 Extreme6808三层交换机接入教育网,在校园网和教 育网的边界设备是思科防火墙设备;第二个出口处部 署了阿姆瑞特防火墙设备,该出口通过该防火墙直接 接入公网。 (三) 该系统的主要业务是为学校各部门、学院、重点实验 室、优秀社团提供网站动、静态数据存储、网站浏览 和虚拟主机服务。 (四) 二、中国农业大学www服务系统安全保护等级确定 (一)信息安全保护等级的确定 1(业务信息描述 www服务系统传输、存贮的信息主要是学校各部 门、学院、重点实验室、优秀社团网站的动、静态信息。 2(业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、 法人和其他组织的合法权益。
侵害的客观方面表现为:一旦信息系统的业务信息 遭到入侵、修改、增加、删除等不明侵害,会对公民、 法人和其他组织的合法权益造成影响和损害,可以表 现为:影响正常工作的开展,导致业务能力下降,泄 露公民隐私,有的甚至给公民造成经济或其它损失。 3(信息受到破坏后对侵害客体的侵害程度 上述结果的程度表现为严重损害。 4(确定业务信息安全等级 查《定级指南》表2知,业务信息安全保护等级为 第二级。 对相应客体的侵害程度业务信息安全被破坏时所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级 (二) 系统服务安全保护等级的确定 1(系统服务描述 该系统服务的主要功能是为用户提供网站数据存 贮和浏览服务。其服务范围为学校各部门、学院、重 点实验室、优秀社团。 2(系统服务受到破坏时所侵害客体的确定 该系统服务遭到破坏后,客观方面表现的侵害结果 为:1可能对公民、法人和其他组织的合法权益造成侵害; 2可能对公共利益造成侵害。根据《定级指南》的要求, 出现上述两个侵害客体时,优先考虑社会秩序和公共利 益,另外一个不做考虑。
档案管理系统招标文件
XXXX档案资料管理系统招标文件 招标编号:XXXXX 采购人:XXXXX 代理机构:XXXXX XX年XX月
目录
第一章技术规格及要求 一、系统建设目标 xxx档案资料管理系统(以下简称媒资系统),要求是一个具有数据交换、素材上下载、媒资编目/检索等功能的全数字化媒资系统,并同时提供优化的工作流程管理模式。该系统以网络为纽带,通过媒资平台对于资源的统一调配管理,提高媒体资料的管理和再利用效率。本系统除提供基于媒资平台的标准功能应用外,还应充分考虑到与现有xxx 系统有机的融合。 本次项目招标的对象为系统集成商。该集成商需科学、全面、合理、完善地实现满足本项目需求的技术系统,提供相关软硬件设备以及相应系统集成、系统/设备的维修/维护、用户使用/维护培训、设备选型适用性测试、软件安装、系统调试、现场施工、试运行技术保障等综合性服务。 二、系统建设原则 1.安全性原则 系统设计中必须考虑整体的安全方案和完善的应急预案;在设备选型上应该选择世界上同类设备中性能优异,并经过相关客户使用达到高标准、高质量、高稳定性能的产品;在操作上要做到简单方便、安全可靠;设备要有良好的环保性能、抗电磁干扰性能;整个数据链路和关键设备都要有完善的冗余备份机制,保证系统长期、安全、稳定运行。 2.先进性原则 系统设计应该充分考虑目前先进的A V技术、IT技术、IP技术以及网络技术,采用先进的技术构建新闻业务网络以及相应管理网络。要兼顾未来技术动向,支持P2、蓝光盘以等新型摄录介质等技术。 3.高效性原则 基于媒资业务量大、操作群体庞杂、工种分配细致等具体特点,方案设计的过程中应该尽可能的使用自动化处理,通过流程引擎驱动,完成高效率的运转,满足媒资管理
信息系统安全等级保护测评报告
报告编号:( -16-1303-01)信息系统安全等级测评报告
说明: 一、每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下: 第一组为信息系统备案表编号,由2段16位数字组成,可以从公 +安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。 第二组为年份,由2位数字组成。例如09代表2009年。 第三组为测评机构代码,由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为,12为,13为,14为,15为,21为,22为,23为,31为,32为,33为,34为,35为,36为,37为,41为,42为,43为,44为,45为,46为,50为,51为,52为,53为,54为,61为,62为,63为,64为,65为,66为兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数,由两位构成。例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表 注:单位代码由受理测评机构备案的公安机关给出。
声明 本报告是票务系统的安全等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。 本报告中给出的测评结论不能作为对信息系统部署的相关系统构成组件(或产品)的测评结论。 在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关容擅自进行增加、修改和伪造或掩盖事实。