项目技术规范和要求.docx

项目技术规范和要求
一、项目背景
网络系统安全等级保护是国家关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》，明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级项目技术规范和要求
一、项目背景
网络系统安全等级保护是国家关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》，明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。
《中华人民共和国网络安全法》于2017年6月1日正式实施，其中第二十一条明确提出了“国家实行网络安全等级保护制度”，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
2019版《浙江省妇幼保健院等级评审标准》，按照国家信息安全等级保护规定和国家标准，实行等保测评。
为落实相关法律法规及三甲要求，同时提升我院现有网络系统的安全防护能力，决定开展三级网络安全等保测评工作。
二、项目建设目标及建设内容
业务目标：由国家网络安全等级保护工作协调小组办公室推荐的测评机构对我院网络系统（含基础支撑系统、面向患者服务系统和金华市妇幼保健院互联网医院系统）进行测评，全面了解当前存在的不足以及整改措施，使
网络系统能够达到三级要求，并获得公安部门的认可。
技术目标：从技术与管理上提高我院网络系统的安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信息系统安全稳定运行，确保业务数据安全。
建设内容：以网络系统的实际情况和现实问题为基础，遵照国家的法律法规和标准规范，参照国际的安全标准和最佳实践，依据三级等级网络系统的基本要求和安全目标，设计出等级化、符合系统特点、融合管理和技术为一体的整体安全保障体系，完善我院网络系统的等级保护建设工作。
后期对网络系统提供定期技术监测，每月出具网络系统安全状态报告，当出现安全异常或潜在风险时，及时提供报告和应急响应措施。
后期服务要求
服务项目
服务内容
服务简述
安全管理服　　务
资产调查
调查并记录范围内各设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
基础资料
利用资产调查的数据进行物理设备建档，绘制网络拓扑，统计信息点分布以及各硬件设备和软件系统的数量、拓扑位置、用途等信息。
软件配置
利用资产调查的数据进行软件配置建档，记录软件系统的版本、用途、组件、配置、更新情况等信息，实现配置管理，建立软件安装媒介档案，建立服务器软件和升级包配置档案。
服务项目
服务内容
服务简述