信息系统安全等级保护测评服务内容及要求.doc

《信息系统安全等级保护测评服务内容及要求.doc》由会员分享，可在线阅读，更多相关《信息系统安全等级保护测评服务内容及要求.doc（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date信息系统安全等级保护测评服务内容及要求信息系统安全等级保护测评服务内容及要求信息系统安全等级保护测评服务内容及要求一、 供应商资格：1. 供应商应具备政府采购法第二十二条规定的条件；1）具有独立承担民事责任的能力； 2）具有良好的商业信誉和健全的财务会计制度； 3）具有履行合同所必需的设备和专业技术能力； 4）有依法缴纳税收和社会保障资金的良好记录； 5）参加政府采购

2、活动前三年内，在经营活动中没有重大违法记录； 6）法律、行政法规规定的其他条件。2. 投标人要求为国内独立的事业法人的独立企业法人，并且股权结构中不能有任何外资成份。3. 具有网络安全等级保护测评机构推荐证书。4. 具有中国合格评定国家认可委员会颁发的CNAS证书。5. 具有广东省电子政务服务能力等级证书。6. 具有中国通信行业协会颁发的通信网络安全服务能力评定证书（应急响应一级）7. 具有中鉴认证有限责任公司颁发的质量管理体系认证证书（ISO9001）。8. 中国通信行业协会颁发的通信网络安全服务能力评定证书（风险评估二级）。9. 本项目不接受联合体投标。二、 项目服务内容及要求1. 采购项

3、目需求一览表：序号服务类型被测评系统级别1等级保护测评服务存量房网上签约系统二级2等级保护测评服务金融部门网上受理系统（签约银行登录）二级3等级保护测评服务商品房明码标价备案系统二级4等级保护测评服务珠海不动产微信服务号系统二级2. 基本要求:2.1 项目背景为了贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见、关于信息安全等级保护工作的实施意见和信息安全等级保护管理办法的精神，响应国家的要求，珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排，现需开展信息系统安全等级保护测评等工作，并邀请具备国家或省公

4、安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。 2.2 项目目标2.2.1 等级保护测评服务。根据GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南等标准，及各个信息系统保护等级需求，协助采购人对现有的信息系统进行等级保护备案，编写信息系统定级备案表和信息系统定级报告，并协助向公安局提交定级备案材料，取得信息系统定级备案证明。对采购人现有信息系统开展安全保护符合性测评、作差距分析、并提出整改建议与编写验收测评报告。根据GB/T 222392008信息安全技术信息系统安全等级保护基本要求等标准组织开展信息系统等级保护符合性测评，衡量信息

5、系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力。依据信息系统的安全保护等级，通过人员访谈、文档审查、实地察看、配置检查、工具检测等方法从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面，判断网站现有的安全保护水平与国家信息安全等级保护管理规范和技术标准要求项之间的符合情况。对信息系统进行整体、全面、公正的评估，对不符合项进行风险分析，组织专家评审，编写安全等级保护测评报告，最终完成验收测评工作，达到国家规定的信息安全要求，并完成向市公安局提交验收测评备案。2.2 依据

6、及参考规范投标人必须依据如下标准实施测评服务：l GB17859-1999计算机信息系统安全保护等级划分准则l GB/T222392008信息系统安全等级保护基本要求l GB/T222402008信息系统安全等级保护定级指南l 信息系统安全等级保护测评过程指南（国标报批稿）l 信息系统安全等级保护测评要求（国标报批稿）l GB/T25058-2010信息系统安全等级保护实施指南l GB/T25070-2010信息系统等级保护安全设计技术要求l 信息安全技术 信息系统通用安全技术要求（GB/T20271-2006）l 信息安全技术 网络基础安全技术要求（GB/T20270-2006）l 信息安全

7、技术 操作系统安全技术要求（GB/T20272-2006）l 信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006）l 信息安全技术 服务器技术要求（GB/T21028-2007）l 信息安全技术 终端计算机系统安全等级技术要求（GA/T671-2006）l 计算机信息系统安全等级保护管理要求l 计算机信息系统安全等级保护通用技术要求2.3 检查工具要求： 根据广东省信息安全等级保护协调小组办公室，粤等保办【2015】72号文公布关于加强网络扫描渗透监管工作的通知内要求，“二、扫描渗透工具必须备案。根据广东省计算机信息系统安全保护条例第三十条规定，安全服务机构生产、销售或网络

8、渗透、扫描工具，须到地级以市公安机关备案。未备案的，公安机关将依法处罚。各单位在授权或委托安全服务机构开展扫描渗透仟，应当查验并核实其扫描工具的报备情况。”在本项目中，需要采用测评工具必须有广东省信息安全等级保护协调小组办公室开具网络渗透扫描工具备案通知书。具备自主研发具备自主知识产权的信息安全等级保护测评软件系统。四、采购项目商务要求1. 对投标人的要求 1.1 投标方必须经广东省信息安全等级保护工作协调小组办公室专家评审，符合信息安全等级保护测评机构有关规范要求，具备从事信息安全等级保护测评工作能力单位（网络安全等级保护测评机构推荐证书）。1.2 投标人应至少有5年开展等级保护测评的经历，

9、具备信息安全等级保护测评项目业绩，并具有完善的质量保证体系。投标人必须具有良好的企业信誉，充足的技术队伍，稳定的组织机构。2. 对服务人员的资质要求2.1应具备信息系统等级保护测评工作经验，精通等级保护测评技术，能分析测评过程中存在的风险。2.2具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。2.3具有能根据用户信息系统安全防护问题的分析，向用户建议有效的安全保护策略及建立完善的安全管理制度的能力。2.4具有对发生的突发性安全事件进行分析和解决的能力。2.5应了解、掌握并能应用等级保护测评国家和行业标准。2.6需根据等级保护测评工作中发现的安全隐患，

10、提供详细的安全加固建议报告。2.7严格遵守信息安全保密制度，做好数据在存储、传输过程中的保密措施，不得泄露项目的一切信息。2.8应具有信息安全等级保护测评师初级或以上证书。3. 服务质量3.1服务过程应做好风险预防措施，测评人员应该仅以发现系统安全问题为目的，不得采取对被测系统带有破坏性的信息安全测试。3.2测评人员应严格依照测评大纲开展工作。3.3按与采购人签订的合同中规定按时、保质完成测评工作，并提交测评报告。4. 测评原则4.1规范性原则：严格遵循国家、行业相关规范、标准开展工作。 4.2最小影响原则：做好风险预防措施，尽可能避免对在运网络和信息系统造成影响；测评人员应该仅以发现系统安全

11、漏洞为目的，不得采取对被测系统带有破坏性的信息安全测试。4.3公平公正原则：按照统一标准开展等级保护测评工作，确保等级保护测评工作能够客观、真实地反应各被测网站安全等级保护现状。5. 项目实施要求5.1组织要求5.1.1投标人须成立一个专业队伍为采购人服务，该的人员应至少包括：项目负责人、项目实施技术人员。5.1.2项目负责人应具有至少两个或两个以上信息安全等级保护测评项目管理的成功案例，并将全程负责本项目的管理、技术质量管控。具体负责：项目进度控制、编写项目周报、召开周例会、编制技术方案及项目总结报告等技术文档、协调采购人及被测单位等工作。5.1.3投标人必须向采购人保证人员组织的稳定性，在

12、本项目结束前，参加本项目的人员变动必须取得采购人书面同意。5.2质量要求5.2.1投标人应保证所提供的技术水平均能满足本招标文件要求。5.2.2为保证项目技术方案、测评报告的科学性、有效性及合规性，投标人应组织专家对本项目涉及的技术方案及测试报告进行评审。5.2.3为便于执行合同，按计划和要求核准本项目的设计内容及工程方案，投标人至少举行2次技术联络会。技术联络会的具体时间、地点、会议内容将由双方商定。除了合同规定的技术联络会外，在合同执行期间如遇重要事宜需研究和讨论，经双方同意可另行召开联络会议解决。6知识产权及保密6.1针对本次项目安全服务文档的知识产权归属采购人所有，投标人原有产品既有知识产权不因本项目发生转移，涉及到第三方提出侵权或知识产权的起诉及支付版税等费用由投标人承担所有责任及费用。6.2采购人为投标人提供的所有业务、技术资料，投标人有责任对第三方保密。如投标人未经采购人书面同意，擅自将涉及采购人商业和技术秘密的资料透漏给第三方，采购人将保留追究投标人法律责任的权利。7.付款方式签订合同后十五天内采购人支付合同总价的70%作为预付款，完成用户指定网站差距测评工作并提交整改建议书后，协助用户完成指定网站安全整改，并通过主管部门测评验收后十五天内，采购人支付合同总价的30%.-