项目需求和服务方案要求

项目背景为了落实《中华人民共和国网络安全法》的有关法律要求,提高信息系统的安全保护水平,选择具备资质的第三方专业机构,在全面了解现有信息化现况的基础上,开展信息系统安全等级保护测评工作.
通过本次工作,发现信息系统中存在的安全风险,分析信息系统安全现状与相关政策文件、技术标准内容要求的差距,提出安全建设整改建议.
切实加强信息安全防范水平,提高系统抵御风险的能力.

总体要求1、按照网络安全等级保护定级标准和工作要求,开展信息系统安全等级保护系统梳理和定级工作,协助完成系统的定级报告,并协助完成到公安机关的备案更新工作.

2、按照国家等级保护相关标准和要求,对招生考试信息平台、网上阅卷系统、门户网站系统三级系统开展信息系统安全等级保护测评工作,对内部综合管理系统等二级系统开展信息系统安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,最终完成等级保护测评报告.

3、针对测评中发现的信息安全管理漏洞和薄弱环节,并深入分析下一步审计信息系统建设和管理的实际安全需求,协助开展相关的安全整改工作,确保审计重要信息系统的安全防护水平满足当前和未来建设发展的安全要求.

服务内容1、定级梳理按照公安部网络安全等级保护工作要求,开展信息系统安全等级保护定级备案工作.
要求完成各系统的定级报告,并协助到公安机关完成备案.
系统情况如下表:序号应用系统名称安全保护等级备注1第三级第三级第三级第二级2、信息安全等保测评(1)测评依据公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字[2007]43号).
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)《信息安全技术信息系统安全等级保护实施指南》(GB/T25058-2010)《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)《信息安全技术信息系统安全等级保护测评过程指南》(GB/T28449-2012)《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》(GB/T21028-2007)《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)《信息安全技术信息系统安全管理要求》(GB/T20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)《信息系统密码应用基本要求》(GMT0054-2018)《信息系统密码测评要求》(试行)《信息系统密码测评过程指南》(试行)项目涉及的其它相关国际、国内标准或规范(2)测评内容测评的内容包括但不限于以下内容:安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评信息系统安全等级进行等级测评.

安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评.

1)物理安全A物理安全根据信息系统机房和现场安全测评记录,针对机房和现场在"物理位置选择"、"物理访问控制"、"防盗窃和防破坏"、"防雷击"、"防火"、"防水和防潮"、"防静电"、"温湿度控制"、"电力供应"和"电磁防护"等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果.

B机房咨询服务依据国家相关标准,对电子信息系统机房的室内装饰装修、室内环境、空气调节系统、照明装置、供配电系统、防雷接地系统及文档验收等方面进行咨询服务.

2)网络安全根据信息系统网络安全测评记录,针对网络方面在"结构安全"、"访问控制"、"安全审计"、"边界完整性检查"、"入侵防范"、"恶意代码防范"、"网络设备防护"等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果.

3)主机安全主机安全现场测评包括对信息系统服务器的测评,测评内容包括"身份鉴别"、"访问控制"、"安全审计"、"剩余信息保护"、"入侵防护"、"恶意代码防护"、"资源控制".

4)应用安全A应用安全应用安全现场测评包括对信息系统的测评,测评内容包括"身份鉴别"、"访问控制"、"安全审计"、"剩余信息保护"、"通信完整性"、"通信保密性"、"抗抵赖"、"软件容错"、"资源控制"方面.

5)数据安全及备份恢复信息系统数据安全及备份恢复现场测评包括"数据完整性"、"数据保密性"、"备份和恢复"几个方面的测评.

6)安全管理制度根据现场安全测评记录,针对信息系统在安全管理制度方面的"管理制度"、"制定和发布"以及"评审和修订"等测评指标,判断出与其相对应的各测评项的测评结果.

7)安全管理机构根据现场安全测评记录,针对信息系统在安全管理机构方面的"岗位设置"、"人员配备"、"授权和审批"、"沟通和合作"以及"审核和检查"等测评指标,判断出与其相对应的各测评项的测评结果.

8)人员安全管理根据现场安全测评记录,针对信息系统在人员安全管理方面的"人员录用"、"人员离岗"、"人员考核"、"安全意识教育和培训"以及"外部人员访问管理"等测评指标,判断出与其相对应的各测评项的测评结果.

9)系统建设管理根据现场安全测评记录,针对信息系统在系统建设管理方面的"系统定级"、"安全方案设计"、"产品采购和使用"、"自行软件开发"、"外包软件开发"、"工程实施"、"测试验收"、"系统交付"、"系统备案"、"等级测评"以及"安全服务商选择"等测评指标,判断出与其相对应的各测评项的测评结果.

10)系统运维管理根据现场安全测评记录,针对信息系统在系统运维管理方面的"环境管理"、"资产管理"、"介质管理"、"设备管理"、"网络安全管理"、"系统安全管理"、"恶意代码防范管理"、"密码管理"、"变更管理"、"备份与恢复管理"、"安全事件处置"以及"应急预案管理"等测评指标,判断出与其相对应的各测评项的测评结果.
对运维管理方面与ITIL体系的融合适应性进行评估.

通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案.

待整改完毕后,进行结果确认,完成网络安全等级保护测评,出具测评报告,并将测评报告报当地公安机关备案.

3、成果交付项目实施完成后,要求投标人提供包括但不限于交付物如下:《网络安全等级保护测评方案》《网络安全等级保护测评报告》《网络安全整改加固报告》项目相关的各项管理文档以及生成的阶段性报告或资料等过程文档,等级保护测评报告需加盖CNAS(中国合格评定家认可委员会)章.

其他要求1、项目团队人员不少于5人,其中高级测评师不少于2人,项目经理必须具有云安全风险管控的能力,所有成员必须全程全职参与本次项目.
项目成员不得随意变动,确需变动,必须提前征得采购人同意.