等保测评技术要求.pdf

太上有立德，其次有立功，其次有立言，虽久不废，此谓不朽。——《左传》

等保测评技术要求

一、服务内容

依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互

联网医院环境进行三级等保测评服务，并出具《测评报告》。

二、服务要求

（一）等保测评

依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对互

联网医院环境进行三级等保测评服务，并出具《测评报告》。若首次测评

后被测信息系统需要进行整改，在约定的整改期限内提供复测服务。

服务时间：7*24

服务方式：现场和远程

交付成果：测评报告。

（二）定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关

材料，组织开展专家评审会，完成定级备案等相关服务工作。

服务时间：7*24

服务方式：现场

交付成果：备案证明。

（三）测评服务范围

依据《信息安全技术网络安全等级保护基本要求》，测评内容包括但

太上有立德，其次有立功，其次有立言，虽久不废，此谓不朽。——《左传》

不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、

安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设

管理、安全运维管理等十个层面开展测评工作。

安全物理环境测评内容：

(1)

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、

防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

安全通信网络测评内容：

(2)

网络架构、通信传输、可信验证。

(3)安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审

计、可信验证。

(4)安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验

证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息

保护。

安全管理中心测评内容：

(5)

系统管理、审计管理、安全管理、集中管控。

(6)安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

安全管理机构测评内容：

(7)

太上有立德，其次有立功，其次有立言，虽久不废，此谓不朽。——《左传》

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包

软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、

网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管

理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（四）项目使用工具

等级保护测评阶段，应使用安全扫描系统对服务器