一、测评服务 1、总的要求 依据《网络安全等级保护基本要求》(GB/T 22239-2019)对永利皇宫463ccHIS系统(三级)开展网络安全等级保护测评工作,并出具网络安全等级保护测评报告。 2、标准依据 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《网络安全等级保护基本要求》(GB/T 22239-2019) 《网络安全等级保护测评要求》(GB/T 28448-2019) 《网络安全等级保护测评过程指南》(GB/T 28449-2018) 《网络安全等级保护设计技术要求》(GB/T 25070-2019) 《网络安全等级保护测试评估技术指南》(GB/T 36627-2018) 3、测评内容 安全通用要求测评内容应包括安全技术和安全管理两大类,其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评,安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。 4、测评方法 在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。 访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程; 检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程; 测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程; 渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。 测评机构应具备对测评过程中发现的漏洞进行深度挖掘的能力,以获得过国家计算机网络应急技术处理协调中心和国家信息安全漏洞共享平台(CNVD)颁发的《原创漏洞证明》为佳。 5、服务成果 测评完成后,出具符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。 6、测评人员资质(详细列出清单及资质证明) 提供的测评人员必须具有公安部信息安全等级保护评估中心(或中关村信息安全测评联盟)颁发的《信息/网络安全等级测评师证书》,项目组成至少包括五名测评师,分别为一名高级测评师、一名中级测评师和两名初级测评师,一名质量监督人员;现场测评人员不少于三名测评师,至少包括一名中级测评师,2名初级测评师。 二、差距整改咨询服务 1、安全评估服务 包含系统详细调研、评估工作方案、识别关键信息资产、实施物理安全评估、实施网络安全评估、实施主机安全评估、实施应用安全评估、实施数据安全评估、实施管理机构评估、实施管理制度评估、实施管理人员评估、实施系统建设管理评估、实施系统运维管理评估、生成并确认评估报告。 2、差距分析服务 包含依照系统准备差距分析表、安全管理差距分析(通过文档、访谈和测试等方式)、安全技术差距分析(通过文档、访谈等方式)、生成等级保护差距分析报告。 3、安全规划服务 包含安全需求分析 、安全建设与改建方案的制定、制作原信息系统产品加固方案、测评不符合及部分符合项整改建议、制作新的网络拓扑图、制作安全需求分析报告、编制并确认整体信息系统整改方案。 4、整改咨询服务 依据等级保护相关技术标准,协助采购方完成需测评信息系统的安全整改咨询服务,完善信息系统安全防护措施,以期使各信息系统达到等级保护基本符合的要求。 5、安全咨询服务 由安全服务商提供的电话、邮件、面谈等方式提供各类信息系统安全咨询和建议服务。(时间1年) 6、差距整改咨询服务人员资质(详细列出清单及资质证明) 提供咨询服务团队人员不少于五名工程师,至少二名服务工程师获得中国信息安全测评中心颁发的《注册信息安全专业人员》证书和国家网络工程师中级认证;至少五名服务工程师获得华为数通网络工程师认证。 |