信息系统安全等级保护测评及服务要求.doc

信息系统安全等级保护测评及服务要求成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求1.在中华人民共和国境内注册成立(港澳台地区除外)，具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）；2.测评机构应为成都市本地机构或在成都有常驻服务机构；3。 参选人必须具有四川省公安厅颁发的信息安全等级保护测评机构推荐证书；4。 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准)；5。 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉.没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同.6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师.7.本包不接受联合体参加。二、信息系统安全等级保护测评目标本项目将按照信息系统安全等级保护基本要求、信息系统安全等级保护测评准则和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评,了解与信息系统安全等级保护基本要求的差距，出具相应的测评报告、整改建议,根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。等级保护测评主要是基于信息安全技术 信息系统安全等级保护基本要求（GB/T 222392008)和信息系统安全等级保护测评准则中的相关内容和要求进行测评.测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障.三、测评内容及要求系统名称等级备注成都农业科技职业学院门户网站系统21。完成上述信息系统的等级保护定级工作,协助学院编写相应的信息系统安全等级保护定级报告；2。完成上述信息系统安全等级测评工作，测评后经用户方确认,出具符合信息系统等级测评要求的测评报告；3.协助完成上述信息系统安全等级保护备案工作；4。对上述信息系统不符合信息安全等级保护有关管理规范和技术标准的,提出可行性整改方案，提供相应的安全整改建议书。经学院整改后继续测评,直到测评结果达到二级为止，不得再收取测评费用。四、质量要求1。等级测评及服务原则:符合性原则、标准性原则、规范性原则、可控性原则、整体性原则。2。信息系统安全等级保护定级及测评服务依据：GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求，GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南，GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求,GB/T 284492012 信息安全技术 信息系统安全等级保护测评过程指南，信息系统安全等级保护实施指南。五、测评服务准则测评单位应遵循如下服务准则，实施并完成项目的测评任务：（1)维护国家的荣誉和利益，按照“守法、诚信、公正、科学”的准则执业；（2）执业有关项目的法律、法规、规范、标准和制度,履行测评合同规定的职责和义务；(3）不收受被测评单位的任何礼金和宴请；（4）不泄露所测评系统各方认为需要保密的事项；(5)遵守国家的法律和政府的有关条例、规定和方法等；（6）认真履行系统测评合同所承诺的义务和承担约定的责任；（7）坚持公正的立场，公平地处理有关各方的争议；（8)坚持科学的态度和实事求是的原则；（9）在坚持按测评合同的规定向建设单位提供技术服务的同时，帮助被测评者完成其承担的建设任务;（10）不泄露测评工作中需保密的事项。六、要求交货期：合同签订之日起10天内完成定级和测评工作.评分细则:序号名 称评分依据分值1投标报价20分1、以符合报价要求的报价的平均价为基准价，其报价为20分202、以各投标人的（投标价评标基准价)/评标基准价100,每增加、减少1扣0。2分。不足1%按1%计算,扣完为止2测评人员情况28分总评测工程师1、 具有信息安全等级保护测评师中级以上资质证书，同时具备CISP(注册信息安全专业人员)证书得5分；2、 总测评师具有信息系统工程监理资质证书的2分7其它测评人员1、 每有一个高级测评师加2分，最多加4分；2、 每有一个中级测评师加1分，最多加5分;3、 每有一个初级测评师加0.3分,最多加6分；4、 每有一个测评师同时具有信息系统工程监理师资质证书的1分，最多的6分213测评能力情况27分1、 每有一个等保测试案例加1分，最多5分272、每有一个等保测试案例包含4个(及以上）三级系统（及以上）的案例的2分，最多的6分3、测评机构通过ISO9001质量体系认证且认证范围包含测评项得4分。4、测试机构有计算机鉴定资质得4分5、测试机构具有涉密管理能力，具有涉密资质或资格加4分；6、测评机构具有整改阶段监理能力,具有信息系统监理资质或资格加4分4测评技术情况20分测评方案的完整性、可行性、先进性，优秀的4分，其他的13分4测评工具的安排的完善性描述,优秀的4分,其他的13分4项目组织管理合理性，优秀的4分，其他的13分4技术服务承诺，优秀的4分，其他的13分4信息安全测评方案合理性，优秀的4分,其他的13分45综合评价5分对本项目测评的总体情况和是否提出其他有利措施等方面综合评价5得分合计100