下载文档原格式
比选采购文件采购项目:XX县中医医院等保测评项目采购单位:XX县中医医院二。
一九年八月三十日第一部分比选采购邀请函因信息化建设需要,须按规定开展信息系统等保测评工作,XX市XX 县中医医院按照〃自主定级、自主保护〃的原则,将〃HIS系统〃自定为三级,现诚邀第三方专业机构开展三级等保测评、定级备案工作,预算金额为人民币8.5万元。
根据《四川省2018-2019年政府集中采购目录及采购限额标准》相关要求,我院本次实施的〃信息系统等保测评项目〃不在政府集中采购目录内,且项目预算金额低于限额标准,因此拟对该项目以比选方式(竞争性谈判)确认成交投标人,现诚邀各合格的潜在投标人参加。
一、采购项目:XX县中医医院等保测评项目二、投标人资质要求:1.具有独立法人资格2.营业执照、组织机构代码证、税务登记证资质证件(已经实行三证合一的企业,提供合并后的营业执照)有效且合法3有承担此项服务的技术能力和保证售后服务的能力4.在四川省信息安全等级保护工作领导小组办公室推荐测评机构名单内,具备《网络安全等级保护测评机构推荐证书》三、递交报价文件截止时间:2019年9月6日上午9时。
四、比选开标时间和地点:2019年9月6日上午9时,在XX市XX县中医医院门诊九楼。
联系人:王先生联系电话:********第二部分投标人需知一、比选采购报价报价应包括等保测评、定级备案、各种税金、保险费、利润等开展本项目所需的全部费用,投标人应充分考虑项目实施过程中可能发生的一切风险,无论报价过程中的做法和结果如何,投标人将自行承担所有与报价有关的全部费用。
二、报价文件的组成1.报价函2.法定人代表授权委托书(原件)3投标人资料证明文件(提供营业执照、组织机构代码证、税务登记证复印件;已经实行三证合一的企业,提供合并后的营业执照复印件)4.分项报价表5.售后服务承诺6.近三年(2016年至今主要类似业绩)投标人必须将报价文件打印,并将所有报价的书面材料装订成册提供正付本两套。
等保系列之——网络安全等级保护测评工作流程及工作内容一、网络安全等级保护测评过程概述网络安全等级保护测评工作过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。
而测评相关方之间的沟通与洽谈应贯穿整个测评过程。
每一项活动有一定的工作任务。
如下表。
01基本工作流程①测评准备活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。
测评准备工作是否充分直接关系到后续工作能否顺利开展。
本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
②方案编制活动本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
③现场测评活动本活动是开展等级测评工作的核心活动。
本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
④分析与报告编制活动本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果和《信息安全技术网络安全等级保护测评要求》GB/T28448-2023的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
02工作方法网络安全等级保护测评主要工作方法包括访谈、文档审查、配置检查、工具测试和实地察看。
访谈是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。
访谈的对象是人员,访谈涉及的技术安全和管理安全测评的测评结果,要提供记录或录音。
等保项目实施方案1. 引言在当今信息化时代,信息安全问题日益引发人们的关注。
为此,本文将就等保项目的实施方案进行探讨,以确保组织的信息系统安全可靠。
2. 等保项目概述2.1 目标本项目旨在确保组织的信息系统满足国家等级保护要求,提高系统的安全性和稳定性,并建立一套完善的信息安全管理体系。
2.2 背景随着信息技术的迅猛发展,安全威胁呈现多样化、复杂化的趋势。
鉴于此,国家制定了等级保护制度,并要求各类关键信息基础设施单位进行等保认证,以提高信息系统的安全性。
3. 项目实施步骤3.1 筹备阶段3.1.1 项目启动成立项目团队,确定项目经理和项目组成员,并制定项目管理计划。
3.1.2 项目背景调研对组织的信息系统进行全面调研,分析系统的安全性问题和存在的风险。
3.1.3 现状评估根据调研结果,评估当前信息系统的安全水平,确定改进的重点和目标。
3.2 等保实施阶段3.2.1 安全需求规划根据等保要求,制定相应的安全需求规划,包括安全策略、安全目标和安全控制措施等。
3.2.2 安全架构设计基于安全需求规划,设计信息系统的安全架构,包括网络安全、主机安全、应用安全和数据安全等方面的设计。
3.2.3 安全控制措施实施根据安全架构设计,实施各项安全控制措施,包括访问控制、身份认证和加密等技术手段。
3.2.4 安全培训与意识提升开展相关的安全培训,提高员工的安全意识和技能水平,加强信息安全文化的建设。
3.2.5 安全测试与评估对信息系统进行全面的安全测试和评估,发现潜在的安全漏洞,并及时修复和改进。
3.3 项目总结与验收3.3.1 项目总结总结项目实施过程中的经验教训,形成项目总结报告,为后续的等保工作提供参考。
3.3.2 项目验收对等保项目进行验收,确保项目达到预期的安全目标和要求。
4. 项目资源与进度管理4.1 项目资源管理合理分配项目人力、物力和财力资源,确保项目的可持续发展。
4.2 项目进度管理制定详细的项目进度计划,并通过项目管理工具进行跟踪和控制,确保项目按时交付。
二级等保测评技术方案模板一、项目概述。
1. 测评目标。
咱们这次要做二级等保测评的这个系统啊,就像是一个需要精心守护的宝藏。
这个系统对[客户名称]来说那可是相当重要的,它承担着[简单描述系统的主要功能,比如数据存储、业务运营之类的]的重任呢。
我们的目标就是通过测评,找出这个宝藏周围的安全防护漏洞,然后给它加固得严严实实的,让它能安全又可靠地运行。
2. 测评范围。
我们要测评的范围包括这个系统的硬件设备,像服务器啊、网络设备之类的,就像是宝藏的坚固外壳。
还有软件系统,包括操作系统、数据库系统以及各种应用程序,这就好比宝藏内部的各种机关设置。
当然啦,也不能少了管理方面的测评,就像是守护宝藏的规则和制度是否合理完善一样重要。
二、测评依据。
三、测评内容。
# (一)安全物理环境。
1. 机房位置选择。
先看看机房的位置,这就像选宝藏的藏匿地点一样重要。
机房不能在容易遭受自然灾害(比如洪水能轻松淹到的低洼地,或者地震活跃带上)或者人为破坏(像在治安不好的混乱街区)的地方。
要是机房位置选错了,那就像把宝藏放在大街上一样危险。
2. 物理访问控制。
机房的门可不能随便进啊。
要有严格的门禁系统,就像宝藏的大门要有结实的锁和严格的看守一样。
只有被授权的人,拿着专门的钥匙(门禁卡或者密码之类的)才能进去。
而且还要记录下谁什么时候进去了,就像给宝藏大门安装了一个小本本,记录每个来访者的踪迹。
# (二)安全通信网络。
1. 网络架构。
网络架构得合理啊,就像搭建一座坚固的桥梁一样。
各个网络区域之间要有明确的划分,像生产区、办公区的网络不能乱成一团。
而且网络要有冗余备份,就像桥要有备用的桥墩一样,万一哪根网线断了或者哪个网络设备出故障了,还能有其他的通路保证系统正常运行。
2. 通信传输。
在网络上传输的数据就像在驿站之间传递的密信一样,得保证安全。
数据传输要加密,不能让别人轻易偷看。
就好比密信要是不加密,路上随便一个小贼都能知道信里的内容了,那可不行。
信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。
与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称“《保护条例》”)。
作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。
为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。
欢迎国内具有独立承担民事责任的企业, 具备相关资格(具备信息安全等级保护测评资质)条件的供应商参加。
二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。
定级系统: (二级)①公司OA办公系统;②物流系统;③采购系统;④质量中心系统;⑤炼铁部-工业网络系统;⑥铸管部-工业网络系统;工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。
项目实施内容:1.安全检查(1)信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析;(2)信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险;(3)信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。
2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括:对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。
信息系统等级保护测评项目项目计划书信息系统等级保护测评项目旨在对公司的信息系统进行评估,以确保系统安全等级与要求相符合,从而保障公司信息安全。
本项目计划书旨在详细介绍项目的目标、范围、时间表、资源需求以及其他相关信息。
项目目标:1. 确保公司信息系统的安全等级达到国家标准要求。
2. 识别并解决系统可能存在的安全漏洞或风险。
3. 为公司提供安全管理建议,提高信息安全水平。
项目范围:本项目将对公司所有的信息系统进行等级保护测评,包括但不限于网络安全、数据安全、应用系统安全等方面。
项目时间表:本项目计划在接下来的三个月内完成,具体时间安排如下:- 月份一:准备阶段,包括制定测评计划、确定测评方法和工具等。
- 月份二:执行阶段,对公司信息系统进行全面的测评和评估。
- 月份三:分析阶段,根据测评结果对系统风险进行分析,并提出安全管理建议。
资源需求:为确保项目顺利实施,我们需要以下资源支持:- 项目经理:负责项目的整体规划和管理。
- 测评专家:负责具体的系统测评和评估工作。
- 技术支持人员:负责提供技术支持和协助测评工作。
- 测评工具:包括必要的软件工具和硬件设备。
风险管理:在项目实施过程中,可能会面临一些潜在的风险,例如系统不兼容、数据丢失等。
我们将在项目计划中明确风险,并采取相应的措施进行应对。
项目成果:- 信息系统等级保护测评报告:详细描述系统的安全等级评估结果和存在的风险。
- 安全管理建议:针对系统存在的问题提出合理的安全管理建议,帮助公司提高信息安全水平。
结语:信息系统等级保护测评项目是公司信息安全保障的重要环节,我们将严格按照项目计划和目标,确保项目顺利实施并取得预期成果。
经过系统等级保护测评项目的全面实施和评估,公司将获得更加全面、深入的信息安全状态认知,并可以根据测评报告提出的建议,有针对性地加强信息安全管理,提升信息安全水平。
以下是本项目计划书的继续内容。
项目实施方法:在项目实施过程中,我们将采用一系列科学、可靠的测评方法和工具,确保测评结果的准确性和客观性。
等级保护测评实施指导书1.测评准备阶段1.1项目启动1)项目经理负责与被测单位进行沟通。
向被测单位了解被测信息系统基本情况,包括测评范围、系统需要达到的等级、具体测评内容的调整情况,以及其他有关信息系统的情况,明确测评需求和测评范围;项目经理介绍测评工作流程及实施测评工作,并告知被测单位提前做好准备工作。
与被测单位就具体的测评合同和保密协议内容进行洽商。
协助客户主管与被测单位签署测评合同和保密协议。
2)双方签署测评合同和保密协议后,被测单位提交相关材料和附件,项目经理负责对提交的文档进行完整性审查,审核文档是否满足实施测评工作的要求。
如果文档不够详细完备,则与被测单位沟通,要求被测单位进一步完善文档材料。
1.2信息收集和分析1)项目经理协助客户填写(LD-CS-29《信息系统基本情况调查表》)。
2)项目经理收回填写完成的调查表格,各测评项目小组分析调查结果,了解和熟悉被测系统的实际情况。
分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。
这些信息可以重用自查或上次等级测评报告中的可信结果。
3)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
1.3工具和表单准备测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。
1)测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。
2)测评人员模拟被测系统搭建测评环境。
3)准备和打印表单,主要包括:测评流程单(LD-CS-18《测评流程单》)、文档交接单(LD-CS-19《接收/归还样品清单》)、会议记录表单(LD-GL-09《会议记录》)、会议签到表单(LD-GL-10《会议签到表》)等。
