一、 對我院重慶市食品藥品醫(yī)療器械檢驗機構實驗室信息化管理系統(tǒng)進行二級系統(tǒng)安全等級測評工作。此次測評分初測和終測兩個步驟，初測提供初步測評報告和整改措施及方案，并指導采購人完成所測信息系統(tǒng)對應等級的安全保護整改，協(xié)助我院修改完善相關制度文件。完成整改后進行最終測評，出具最終測評報告，使測評系統(tǒng)通過二級系統(tǒng)等級保護要求。本次測評項目的測評目的和測評內(nèi)容，必須與信息安全等級保護的要求相一致，內(nèi)容按照GB/T 22239-2019《信息安全技術信息系統(tǒng)安全等級保護基本要求》標準進行測評。其他測評規(guī)范性文件還需參照：《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）、《信息安全等級保護管理辦法》（公通字〔2007〕43號）、《計算機信息系統(tǒng)安全保護等級劃分準則》、《中華人民共和國國家標準GB/T 22240-2020信息安全技術信息系統(tǒng)安全等級保護定級指南》、《中華人民共和國國家標準GB/T 28448-2019信息安全技術信息系統(tǒng)安全等級保護測評要求》、《中華人民共和國國家標準GB/T 28449-2018信息系統(tǒng)安全等級保護測評過程指南》、《中華人民共和國國家標準GB/T 20984-2007信息安全風險評估規(guī)范》等。技術測評內(nèi)容：1、物理安全測評（物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護）；2、網(wǎng)絡安全測評（結構安全、訪問控制、安全審計、邊界完整性檢測、入侵防范、網(wǎng)絡設備防護）；3、主機安全測評（身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、剩余信息保護、資源控制）；4、應用安全測評（身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制）；5、數(shù)據(jù)備份與恢復測評（數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復）。管理測評內(nèi)容：1、安全管理制度測評（管理制度、制定和發(fā)布、評審和修訂）；2、安全管理機構測評（崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查）；3、人員安全管理測評（人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問管理）；4、系統(tǒng)建設管理測評（系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)交付、安全服務商選擇）；5、系統(tǒng)運維管理測評（環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、網(wǎng)絡安全管理、監(jiān)控管理和安全管理中心、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理）。二、 按照二級系統(tǒng)等級測評要求，進行一次應急演練服務。供應商應制定詳細的演練腳本，明確演練中各角色應負責內(nèi)容，協(xié)助我院準備演練環(huán)境，并負責演練過程總體流程控制。應急演練完成后，需交付《網(wǎng)絡安全應急演練方案》和《網(wǎng)絡安全應急演練總結報告》（含應急預案效果評估及更新建議內(nèi)容），協(xié)助我院完善相關制度文件。