信息系統(tǒng)安全等級保護測評服務方案

（一）建設(shè)背景隨著醫(yī)院信息化的快速發(fā)展，網(wǎng)絡資產(chǎn)正逐漸成為醫(yī)院日常運營、管理的重要工具和支撐，各種互聯(lián)網(wǎng)應用如網(wǎng)上掛號、門診、電子病歷等系統(tǒng)越來越多，Web服務器、存儲設(shè)備、網(wǎng)絡設(shè)備、安全設(shè)備越來越復雜，帶給管理員的資產(chǎn)管理工作也愈發(fā)困難，久而久之，日積月累，產(chǎn)生大量的無主資產(chǎn)、僵尸資產(chǎn)，并且這些資產(chǎn)長時間無人維護導致存在大量的漏洞及配置違規(guī)，為醫(yī)院信息系統(tǒng)安全帶來極大的隱患。為貫徹落實國家信息安全等級保護制度，進一步完善醫(yī)院信息系統(tǒng)安全管理體系和技術(shù)防護體系,增強信息安全保護意識,明確信息安全保障重點,落實信息安全責任,切實提高醫(yī)院系統(tǒng)信息安全防護能力,同時加強對醫(yī)院信息系統(tǒng)安全的指導和檢查工作，特擬請獨立、專業(yè)的第三方測評機構(gòu)對醫(yī)院信息系統(tǒng)進行等級保護測評服務。（二）項目依據(jù)服務單位應依據(jù)國家信息系統(tǒng)安全等級保護相關(guān)標準開展工作，依據(jù)標準（包括但不限于）如下國家標準：GB/T22239-2019：《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡安全等級保護定級指南》GB/T28448-2019：《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》GB/T28449-2018：《信息安全技術(shù)網(wǎng)絡安全等級保護測評過程指南》GB/T25058-2019《信息安全技術(shù)網(wǎng)絡安全等級保護實施指南》（三）項目建設(shè)必要性《信息安全等級保護管理辦法》規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。（四）項目原則本次信息系統(tǒng)等級保護測評實施方案設(shè)計與具體實施應滿足以下原則：保密原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害采購人的行為，否則采購人有權(quán)追究服務單位的責任。標準性原則：測評方案的設(shè)計與實施應依據(jù)國家信息系統(tǒng)安全等級保護的相關(guān)標準進行。規(guī)范性原則：服務單位的工作過程和相關(guān)文檔，應具有很好的規(guī)范性，可以便于項目的跟蹤和控制?？煽匦栽瓌t：測評服務的進度要跟上進度表的安排，保證采購人對于測評工作的可控性。整體性原則：測評的范圍和內(nèi)容應當整體全面，包括國家信息系統(tǒng)安全等級保護相關(guān)要求涉及的各個層面。最小影響原則：測評工作應盡可能小的影響系統(tǒng)和網(wǎng)絡，并在可控范圍內(nèi)；不能對現(xiàn)有信息系統(tǒng)的正常運行、業(yè)務的正常開展產(chǎn)生任何影響。（五）項目建設(shè)內(nèi)容（1）項目概況（內(nèi)容、用途、數(shù)量）信息系統(tǒng)安全等級保護測評服務項目（2）測評系統(tǒng)清單依據(jù)相關(guān)技術(shù)規(guī)范，對現(xiàn)有的2個三級信息系統(tǒng)進行安全等級保護測評工作。具體測評系統(tǒng)名稱及等級見下表:序號系統(tǒng)名稱系統(tǒng)等級1基礎(chǔ)支撐系統(tǒng)三級2面向病患的管理系統(tǒng)三級（3）測評服務對象通過等級保護測評全面分析應用系統(tǒng)的安全保護措施與等級保護相應級別之間的差距，進行合規(guī)性分析，為系統(tǒng)等級保護加固整改提供客觀依據(jù)，測評的內(nèi)容包括但不限于以下內(nèi)容：一是安全通用要求（安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理）。二是現(xiàn)場測評完成后的整改建議服務。具體如下：1.安全物理環(huán)境安全物理環(huán)境測評主要關(guān)注機房在物理位置選擇、物理訪問控制、供電等方面的安全保護能力，具體測評指標描述如下表所示。序號安全子類測評指標描述1物理位置的選擇測評機房物理場所在位置上是否具有防震、防風和防雨等多方面的安全防范能力。2物理訪問控制測評信息系統(tǒng)在物理訪問控制方面的安全保護能力。3防盜竊和防破壞測評信息系統(tǒng)是否采取了必要的安全措施預防設(shè)備、介質(zhì)等丟失和被破壞。4防雷擊測評信息系統(tǒng)是否采取相應的措施預防雷擊。5防火測評信息系統(tǒng)是否采取必要的措施防止火災的發(fā)生。6防水和防潮測評信息系統(tǒng)是否采取必要措施來防止水災和機房潮濕。7防靜電測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。8溫濕度控制測評信息系統(tǒng)是否采取必要措施對機房內(nèi)的溫濕度進行控制。9電力供應測評是否具備為信息系統(tǒng)提供一定電力供應的能力。10電磁防護測評信息系統(tǒng)是否具備一定的電磁防護能力。2.安全通信網(wǎng)絡安全通信網(wǎng)絡測評主要關(guān)注網(wǎng)絡架構(gòu)、通信傳輸、可信驗證3方面的安全保護能力，具體測評指標描述如下表所示。序號安全子類測評指標描述1網(wǎng)絡架構(gòu)通過訪談網(wǎng)絡管理員，檢查網(wǎng)絡設(shè)計/驗收文檔，檢查網(wǎng)絡拓撲圖、檢查交換機等網(wǎng)絡互聯(lián)設(shè)備，測試系統(tǒng)網(wǎng)絡拓撲結(jié)構(gòu)，訪問路徑，路由控制策略和網(wǎng)絡帶寬分配情況等過程，測評分析網(wǎng)絡架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性。2通信傳輸檢查是否提供密碼技術(shù)的設(shè)備或組件，核查是否能夠保證通信過程的保密性和完整性。3可信驗證檢查是否提供可信驗證的設(shè)備或組件，檢查相關(guān)設(shè)備或組件是否實現(xiàn)可信驗證，并在可信性受到破壞后進行報警。3.安全區(qū)域邊界主要涉及邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計和可信驗證6個個方面的安全保護能力，具體的測評指標描述如下表所示。序號安全子類測評指標描述1邊界防護訪談網(wǎng)絡管理員，查看網(wǎng)絡拓撲和實際部署情況，是否通過邊界設(shè)備的受控接口進行通信，是否部署終端管理系統(tǒng)對非法內(nèi)外聯(lián)行為進行檢查或限制，是否對無線網(wǎng)絡的使用進行限制等2訪問控制訪談網(wǎng)絡管理員，查看網(wǎng)絡拓撲和實際部署情況，是否部署了訪問控制設(shè)備，檢查訪問控制規(guī)則配置情況。3入侵防范訪談網(wǎng)絡管理員，查看網(wǎng)絡拓撲和實際部署情況，是否部署了入侵防范產(chǎn)品，核查產(chǎn)品運行情況和檢測庫更新情況，核查能夠檢測的攻擊類型、范圍等。4惡意代碼和垃圾郵件防范訪談網(wǎng)絡管理員，查看網(wǎng)絡拓撲和實際部署情況，是否部署了網(wǎng)絡層的防惡意代碼產(chǎn)品，核查產(chǎn)品運行情況和惡意代碼庫更新情況；是否部署了防垃圾郵件產(chǎn)品，核查產(chǎn)品運行情況和規(guī)則庫更新情況。5安全審計訪談網(wǎng)絡管理員，查看網(wǎng)絡拓撲和實際部署情況，是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺，安全審計范圍是否覆蓋到每個用戶，審計記錄是否充分完整，是否對審計記錄進行保護。6可信驗證檢查是否提供可信驗證的設(shè)備或組件，檢查相關(guān)設(shè)備或組件是否實現(xiàn)可信驗證，并在可信性受到破壞后進行報警。4.安全計算環(huán)境安全計算環(huán)境主要涉及身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、通信完整性、通信保密性、數(shù)據(jù)備份恢復、剩余信息保護以及個人信息保護11個方面的安全保護能力，具體的測評指標描述如下表所示。序號安全子類測評指標描述1身份鑒別檢查終端和服務器的操作系統(tǒng)（宿主機和虛擬操作系統(tǒng)）、移動終端管理系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務應用系統(tǒng)、中間件、網(wǎng)絡設(shè)備、安全設(shè)備、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備和控制設(shè)備等，核查身份標識與鑒別功能設(shè)置和使用配置情況，核查對用戶登錄各種情況的處理，如登錄失敗處理、登錄連接超時等。2訪問控制檢查終端和服務器的操作系統(tǒng)（宿主機和虛擬操作系統(tǒng)）、移動終端管理系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務應用系統(tǒng)、中間件、網(wǎng)絡設(shè)備、安全設(shè)備、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備和控制設(shè)備等，核查訪問控制功能設(shè)置情況，如訪問控制的策略、訪問控制粒度、權(quán)限設(shè)置情況等。3安全審計檢查終端和服務器的操作系統(tǒng)（宿主機和虛擬操作系統(tǒng)）、移動終端管理系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務應用系統(tǒng)、中間件、網(wǎng)絡設(shè)備、安全設(shè)備、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備和控制設(shè)備等，是否啟用安全審計功能，安全審計范圍是否覆蓋到每個用戶，審計記錄是否充分完整，是否對審計記錄和審計進程進行保護。4入侵防范檢查終端和服務器的操作系統(tǒng)（宿主機和虛擬操作系統(tǒng)）、移動終端管理系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務應用系統(tǒng)、中間件、網(wǎng)絡設(shè)備、安全設(shè)備、感知節(jié)點設(shè)備、網(wǎng)關(guān)節(jié)點設(shè)備和控制設(shè)備等，是否遵循最小安裝原則，是否關(guān)閉不必要的服務和端口，是否限制管理方式和管理地址，是否采取入侵防范措施等。5惡意代碼防范檢查終端和服務器的操作系統(tǒng)、移動終端管理系統(tǒng)、控制設(shè)備等是否安裝了防惡意代碼軟件或相應功能的軟件，是否定期升級惡意代碼庫。6可信驗證檢查是否提供可信驗證的設(shè)備或組件，檢查相關(guān)設(shè)備或組件是否實現(xiàn)可信驗證，并在可信性受到破壞后進行報警。7數(shù)據(jù)完整性檢查業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等，核查重要數(shù)據(jù)在傳輸和存儲過程中完整性保護情況。8數(shù)據(jù)保密性檢查業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等，核查重要數(shù)據(jù)在傳輸和存儲過程中保密性保護情況。9數(shù)據(jù)備份恢復檢查數(shù)據(jù)備份情況，如備份方式、備份策略、異地備份等；檢查重要數(shù)據(jù)處理系統(tǒng)的冗余情況。10剩余信息保護檢查操作系統(tǒng)、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔，核查鑒別信息和敏感數(shù)據(jù)所在的存儲空間被釋放或重新分配前是否得到完全清除。5.安全管理中心安全管理中心測評將通過訪談和檢查的方式評測集中安全管理系統(tǒng)的情況。在內(nèi)容上，安全管理中心測評實施過程涉及4個方面，具體的測評指標描述如下表所示。序號安全子類測評指標描述1系統(tǒng)管理檢查安全管理中心的身份鑒別和日志記錄情況，檢查是否對系統(tǒng)管理的操作進行審計，是否只允許系統(tǒng)管理員進行系統(tǒng)管理操作。2審計管理檢查安全管理中心的身份鑒別和日志記錄情況，檢查是否對安全審計操作進行審計，是否只允許審計管理員進行安全審計操作。3安全管理檢查安全管理中心的身份鑒別和日志記錄情況，檢查是否通過安全管理員對系統(tǒng)中的安全策略進行配置。4集中管控檢查安全管理中心及部署情況，是否對各類設(shè)備運行狀況進行集中監(jiān)測，是否對各類設(shè)備的審計數(shù)據(jù)進行集中收集和分析，是滯對安全策略、惡意代碼、補丁升級等事項進行集中管理。6.安全管理制度安全管理制度測評主要關(guān)注安全策略、理制度體系、制定與發(fā)布以及評審和修訂4個方面，具體測評指標描述如下表所示。序號安全子類測評指標描述1安全策略主要核查：總體方針策略類文件2管理制度主要核查：各類安全管理制度及操作手冊的制定情況。3制定和發(fā)布主要核查：管理制度的制定與發(fā)布流程。4評審和修訂主要核查：管理制度的評審和修訂流程。7.安全管理機構(gòu)測評安全管理機構(gòu)測評主要涉及安全主管、相關(guān)管理制度以及相關(guān)工作/會議記錄等測評對象。安全管理機構(gòu)測評主要關(guān)注崗位設(shè)置、人員配備、授權(quán)和審批等5個方面，具體測評指標描述下表所示。序號安全子類測評指標描述1崗位設(shè)置主要核查：各類安全管理制度及操作手冊的制定情況。2人員配備主要核查：管理制度的制定與發(fā)布流程。3授權(quán)和審批主要核查：管理制度的評審和修訂流程。4溝通與合作主要核查：各類安全管理制度及操作手冊的制定情況。5審核與檢查主要核查：管理制度的制定與發(fā)布流程。8.安全管理人員測評安全管理人員測評實施過程涉及人員錄用、人員離崗、人員考核等4方面，具體測評指標描述如下表所示。序號安全子類測評指標描述1人員錄用主要核查：人員錄用的標準與流程。2人員離崗主要核查：人員離崗的流程。3安全意識教育和培訓主要核查：安全意識教育和培訓的計劃與安排、安全責任的懲罰措施情況。4外部人員訪問管理主要核查：外部人員訪問重要區(qū)域的控制手段。9.安全建設(shè)管理測評安全建設(shè)管理測評涉及系統(tǒng)定級、安全方案設(shè)計和產(chǎn)品采購和使用等10方面，具體測評指標描述如下表所示。序號安全子類測評指標描述1系統(tǒng)定級通過訪談安全主管，檢查系統(tǒng)定級相關(guān)文檔等過程，測評信息系統(tǒng)是否按照一定要求確定其等級。2安全方案設(shè)計通過訪談系統(tǒng)建設(shè)負責人，檢查系統(tǒng)安全建設(shè)計劃等文檔，測評被測評單位對系統(tǒng)整體的安全規(guī)劃設(shè)計是否按照一定流程進行。3產(chǎn)品采購和使用通過訪談安全主管、系統(tǒng)建設(shè)負責人，檢查相關(guān)采購制度等過程，測評被測評單位是否按照一定的要求進行信息系統(tǒng)的產(chǎn)品采購。4自行軟件開發(fā)通過訪談系統(tǒng)建設(shè)負責人，檢查相關(guān)軟件開發(fā)文檔和管理制度文檔，測評被測評單位對自行開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性。5外包軟件開發(fā)通過訪談系統(tǒng)建設(shè)負責人，檢查相關(guān)文檔，測評被測評單位對外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程和日后的維護工作能夠正常開展。6工程實施通過訪談系統(tǒng)建設(shè)負責人，檢查相關(guān)制度文檔和實施文檔，測評被測評單位對系統(tǒng)建設(shè)的實施過程是否采取必要的措施使其在機構(gòu)可控的范圍內(nèi)進行。7測試驗收通過訪談系統(tǒng)建設(shè)負責人，檢查相關(guān)制度文檔和測試驗收文檔，測評被測評單位在信息系統(tǒng)運行前是否對其進行測試驗收工作。8系統(tǒng)交付通過訪談系統(tǒng)運維負責人，檢查系統(tǒng)交付清單和系統(tǒng)交付管理制度等過程，測評被測評單位是否采取必要的措施對系統(tǒng)交付過程進行有效控制。9等級測評通過訪談系統(tǒng)運維負責人，檢查相關(guān)報告和記錄文件，測評被測評單位是否定期進行等級測評，選擇的測評機構(gòu)是滯符合國家有關(guān)規(guī)定等。10安全服務商選擇通過訪談系統(tǒng)運維負責人，測評被測評單位是否選擇符合國家有關(guān)規(guī)定的安全服務單位進行相關(guān)的安全服務工作。10.安全運維管理測評安全運維管理測評主要涉及安全主管、各類運維人員、各類管理制度、操作規(guī)程文件和執(zhí)行過程記錄等測評對象。安全運維管理測評主要關(guān)注環(huán)境管理、資產(chǎn)管理和介質(zhì)管理等14方面，具體測評指標描述如下表所示。序號安全子類測評指標描述1環(huán)境管理通過訪談安全物理環(huán)境負責人，檢查主機房安全管理制度和辦公環(huán)境管理文檔等過程，測評被測評單位是否采取必要的措施對主機房的出入控制和辦公環(huán)境的人員行為等方面進行安全管理。2資產(chǎn)管理通過訪談資產(chǎn)管理員，檢查資產(chǎn)清單和系統(tǒng)、網(wǎng)絡設(shè)備等過程，測評被測評單位是否采取必要的措施對信息系統(tǒng)資產(chǎn)進行分類標識管理。3介質(zhì)管理通過訪談資產(chǎn)管理員，檢查介質(zhì)管理記錄、介質(zhì)安全管理制度以及各類介質(zhì)等過程，測評被測評單位是否采取必要的措施對介質(zhì)存放環(huán)境、使用、維護和銷毀等方面進行管理。4設(shè)備維護管理通過訪談資產(chǎn)管理員、系統(tǒng)管理員，檢查設(shè)備使用管理文檔和設(shè)備操作規(guī)程等過程，測評被測評單位是否采取必要的措施確保設(shè)備在使用、維護和銷毀等過程安全。5漏洞和風險管理通過訪談系統(tǒng)運維負責人，檢查安全報告或記錄，測評被測評單位是否采取必要的措施對漏洞進行識別和修補。6網(wǎng)絡和系統(tǒng)安全管理通過訪談安全主管、系統(tǒng)管理員、網(wǎng)絡管理員，檢查各管理員角色分工情況及權(quán)限，查看網(wǎng)絡和系統(tǒng)安全管理制度，是否覆蓋安全策略、帳戶管理、權(quán)限審批和分配、配置文件的生成及備份、變更審批、日志管理等內(nèi)容。7惡意代碼防護管理通過訪談系統(tǒng)運維負責人，檢查惡意代碼防范管理制度和惡意代碼檢測、分析記錄等過程，測評被測評單位是否采取必要的措施對惡意代碼進行集中管理，確保信息系統(tǒng)具有惡意代碼防范能力。8配置管理通過訪談系統(tǒng)管理員，檢查基本配置信息保存情況，檢查配置變更流程記錄文件。9密碼管理通過訪談安全員，檢查密碼管理制度等過程，測評被測評單位是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定。10變更管理通過訪談系統(tǒng)運維負責人，檢查變更方案和變更管理制度等過程，測評被測評單位是否采取必要的措施對系統(tǒng)發(fā)生的變更進行有效管理。11備份和恢復管理通過訪談系統(tǒng)管理員、網(wǎng)絡管理員，檢查系統(tǒng)備份管理文檔和記錄等過程，測評被測評單位是否采取必要的措施對數(shù)據(jù)、設(shè)備和系統(tǒng)進行備份，并確保必要時能夠?qū)π畔⑾到y(tǒng)進行有效地恢復。12安全事件處置通過訪談系統(tǒng)運維負責人，檢查安全事件記錄分析文檔、安全事件報告和處置管理制度等過程，測評被測評單位是否采取必要的措施對安全事件進行等級劃分和對安全事件的報告、處理過程進行有效的管理。13應急預案管理通過訪談系統(tǒng)運維負責人，檢查應急響應預案文檔，應急預案培訓記錄等過程，測評被測評單位是否針對不同安全事件制定相應的應急預案，是否對應急預案展開培訓、演練和審查等。14外包運維管理通過訪談運維負責人，檢查是否有外包運維服務情況；檢查外包運維服務單位是否符合國家有關(guān)規(guī)定，檢查外包運維服務協(xié)議等。（5）測評方法測評方法必須符合GB/T28448-2019網(wǎng)絡安全等級保護測評要求，滿足國家等級保護備案相關(guān)標準規(guī)范，在開展等級測評工作時，從管理和技術(shù)兩個層面，通過多種方法來采集測評證據(jù)，以確定被測系統(tǒng)與基本要求之間的符合性。采集測評證據(jù)的方式分為“人員訪談”、“文件審核”、“現(xiàn)場觀察”、“技術(shù)測試”等手段。人員訪談：測評人員與被測單位信息技術(shù)人員進行面談，測評人員可以了解其職責范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。文件檢查：測評人員對被測單位與信息安全管理活動相關(guān)的所有文件進行審查，包括安全方針和目標、程序文件、作業(yè)指導文件和記錄文件等?，F(xiàn)場觀察：測評人員通過到現(xiàn)場參觀，觀察并獲取關(guān)于被測系統(tǒng)現(xiàn)場的物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。技術(shù)測試：測評人員通過對測評對象采用各種技術(shù)手段，獲得被測系統(tǒng)在技術(shù)性控制的效力及符合性方面的證據(jù)。這些技術(shù)性措施包括：自動化的掃描工具、網(wǎng)絡拓撲結(jié)構(gòu)分析、本地主機審查、滲透測試等。本次信息系統(tǒng)安全等級保護測評實施過程中所使用到的各種工具軟件由供應商推薦，經(jīng)采購人確認后由供應商提供并在測評中使用。供應商應詳細描述所使用的安全測評工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等。等級保護測評應有詳細的實施方案和嚴格的操作步驟，采取的措施應是經(jīng)過測試、穩(wěn)定可靠的。安全測評工具軟件運行可能需要的硬件平臺（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等由供應商推薦，經(jīng)采購人和采購人確認后由供應商提供并在測評中使用。安全測評需要的運行環(huán)境（如場地、網(wǎng)絡環(huán)境等）由采購人提供，供應商應詳細描述需要的運行環(huán)境的具體要求。（6）網(wǎng)絡安全等級測評報告等要求1.服務單位應對采購人的信息系統(tǒng)進行等級保護測評，形成相應的測評報告；2.服務單位在測評后出具符合公安主管部門要求的系統(tǒng)安全保護等級測評報告；3.對上述系統(tǒng)不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的，服務單位出具可行的整改建議方案，并為采購人提供整改咨詢服務；4.服務單位協(xié)助采購人完成信息系統(tǒng)安全保護等級測評的相關(guān)備案手續(xù)。（六）服務要求（1）本次信息系統(tǒng)安全等級保護測評的招標要求1.服務單位應提交本次信息系統(tǒng)安全等級保護測評的整體實施方案，包括項目概述、等保測評方案、項目實施方案、測試過程中需使用測試設(shè)備清單、時間安排、階段性文檔提交和驗收標準等。2、應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分。應配置有經(jīng)驗的測評人員進行本次測評工作，其中具有商用密碼應用安全性評估測評資質(zhì)的人員不少5人，承擔本次項目的項目總負責人必須具有10年以上的測評工作經(jīng)驗，且具有高級測評師、軟件性能測試高級工程師、商用密碼應用安全性評估人員、云計算技術(shù)和標準培訓合格等證書，項目實施過程中的所有參與人員都必須具有大型復雜測評項目的實施經(jīng)驗，確保項目的順利實施。在投標文件中提供相應的資格證書復印件。3.本次信息系統(tǒng)安全等級保護測評實施過程中所使用到的各種工具軟件由服務單位推薦，經(jīng)采購人確認后由服務單位提供并在測評中使用。在投標文件中應詳細描述所使用的安全測評工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等。4.安全測評工具軟件運行可能需要的硬件平臺（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等由服務單位推薦，經(jīng)采購人確認后由服務單位提供并在測評中使用。5.安全測評需要的運行環(huán)境（如場地、網(wǎng)絡環(huán)境等）由采購人提供，服務單位應詳細描述需要的運行環(huán)境的具體要求。6.測評結(jié)束后需要配合測評單位對各類安全設(shè)備進行歸整，并提供相應的