信息安全等级保护测评技术标准和需求
为了保障浏阳市人民医院“核心业务系统(HIS 系统)”安全、稳定、可靠、高效的运行,
按照相关的国家、行业的安全标准要求,需要对其进行安全等级保护三级测评。测评内容包
括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安
全管理机构、人员安全管理、系统建设管理、系统运维管理。通过测评,对照相应安全等级
保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,制订出整改措施,出具测
评报告。具体内容包括:
1、对浏阳市人民医院“核心业务系统(HIS 系统)”的物理安全、网络安全、主机安全、应
用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管
理、系统运维管理共 10 个层面通过访谈、检查、测评等方法进行初测评,找出差距、安全
漏洞和隐患并分析其风险,制订出整改建议报告。
2、对经过整改后的信息系统进行回归测评,并正式形成《信息系统安全等级保护测评报告》。
一、测评内容包括信息系统技术安全性测评及信息系统管理安全测评:
1、信息系统技术安全性测评包括但不限于:物理安全、网络安全、主机安全、应用安全、
数据安全。
2、信息系统管理安全测评包括但不限于:安全管理机构、安全管理制度、人员安全管理、
系统建设管理、系统运维管理。
二、测评具体要求:
(一)信息系统技术安全性测评
1、物理安全测评
物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、
防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
2、网络安全测评
网路安全测评应当包含:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵
防范、恶意代码防范、网络设备防护等。
3、主机安全测评
主机安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意
代码防范、资源控制等。
4、应用安全测评
应用安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通
信保密性、抗抵赖、软件容错、资源控制。
5、数据安全及备份恢复测评
数据安全及备份恢复测评应当包含:数据完整性、数据保密性、备份和恢复。
(二)信息系统管理安全测评
1、安全管理制度测评
安全管理制度测评应当包含:管理制度、制定与发布、审批和修订。
2、安全管理机构测评
安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
3、人员安全管理测评
人员安全管理测评应当包含:人员录用、人员离岗、人员考核、安全意识教育和培训、第三
方人员访问管理。