***公司集团风险评估服务项目方案&&&&科技有限公司2013年12月25日集团安全评估服务项目方案目录第1章.项目需求分析51.1.行业信息化背景51.2.项目背景51.3.安全风险与需求分析6第2章.整体方案设计72.1.设计目标72.2.设计原则72.3.项目范围82.4.参考标准及资料102.4.1.国家信息安全标准、指南102.4.2.国际信息安全标准11第3章.详细方案设计113.1.安全建设目标113.2.安全规划方法123.3.信息安全现状评估分析143.4.制定***公司信息安全战略和总体策略153.5.设计***公司信息安全总体架构15设计***公司信息安全管理体系架构15设计***公司信息安全技术体系架构16制定***公司信息安全建设实施计划163.6.安全服务体系框架173.7.风险评估服务设计193.7.1.风险评估服务原则193.7.2.评估范围及内容203.7.2.1.信息系统的安全性评估203.7.2.2.信息系统的业务应用安全评估项213.7.2.3.安全管理制度及策略评估项223.7.3.评估方式223.7.4.评估技术手段233.7.4.1.专家分析233.7.4.2.工具扫描233.7.4.3.人工评估243.7.4.4.渗透测试253.7.5.风险评估实施263.7.5.1.服务实施流程263.7.5.2.阶段一:准备阶段263.7.5.2.1.项目组织263.7.5.2.2.项目准备283.7.5.2.3.项目启动303.7.5.3.阶段二:识别阶段303.7.5.3.1.资产识别与梳理303.7.5.3.2.威胁识别333.7.5.3.3.脆弱性识别363.7.5.3.4.技术脆弱性识别373.7.5.3.5.安全管理脆弱性识别41系统建设管理433.7.5.3.6.安全措施识别463.7.5.4.阶段三:分析阶段483.7.5.4.1.资产分析483.7.5.4.2.威胁分析503.7.5.4.3.脆弱性分析523.7.5.4.4.综合风险分析543.7.5.4.5.阶段四:风险处置阶段562集团安全评估服务项目方案3.7.6.最终交付物58第4章.项目管理及人员组织584.1.项目服务承诺584.2.项目管理方法论594.3.实施人员组织614.3.1.项目组织架构614.3.2.组织架构说明614.3.2.1.项目经理614.3.2.2.质量监督组624.3.2.3.客户经理/客户配合人员624.3.2.4.项目实施组634.4.人员配置644.4.1.项目经理644.4.2.风险评估服务组644.5.人员简历644.6.人员资质684.6.1.CISP证书人员(3人)684.6.2.CISP人员社保证明694.7.人员稳定性和安全性承诺714.8.服务使用设备/工具清单72第5章.项目验收方案725.1.项目验收725.1.1.验收方式725.1.1.1.验收方法确认735.1.1.2.验收方法的确认程序735.1.1.3.审视一般性原则745.2.风险规避措施755.2.1.项目保密工作755.2.2.安全评估风险规避措施755.2.2.1.系统备份与恢复措施755.2.2.2.风险应对措施765.2.3.渗透测试风险规避措施76第6章.公司介绍及服务资质76单位简介76信息安全风险评估服务资质84国家信息安全测评信息安全服务资质证书(安全工程类二级)85国家信息安全测评信息安全服务资质证书(安全开发类一级)86网络安全应急服务支撑单位证书(国家级)87信息安全应急处理服务资质证书88国家信息安全测评授权培训机构资质证书89&&市信息安全服务能力等级证书90信息安全管理体系ISO27001证书91质量管理体系ISO9000认证证书92CMMI2证书93涉及国家秘密的计算机信息系统集成资质证书94计算机信息系统集成资质证书966.1.纳税信用等级证书976.2.银行信用等级证书98第7章.项目实施计划98第8章.项目报价1003集团安全评估服务项目方案第1章.项目需求分析1.1.行业信息化背景近年来,我国卫生信息化建设步伐加快,按照卫生部制定的标准和规范,以医药企业管理为重点的医药信息化建设取得重要进展;以提高公共卫生服务能力和卫生应急管理水平为主要目标的信息化建设取得长足进步。但长期以来卫生信息化建设缺乏顶层设计与规划,标准和规范应用滞后,导致信息不能互联互通,信息资源共享程度较低;医药企业数据资源库建设滞后,难以适应当前深化医药卫生体制改革的需要,不能有效满足人民群众的健康保障需求。同时,卫生信息化管理和专业人才缺乏,卫生信息化对卫生事业改革发展的技术支撑作用难以得到充分发挥。《中共中央国务院关于深化医药卫生体制改革的意见》要求把卫生信息化建设作为保障医药卫生体系有效规范运转的八项措施之一,建立实用共享的医药卫生信息系统,大力推进医药卫生信息化建设,以推进公共卫生、医疗、医保、药品、财务监管信息化...
