淄博信息安全等级保护测评项目.DOC

资源描述

1、第 1 页共 17 页淄博市信息安全等级保护测评项目政府采购需求报告编制时间：2019 年 8 月 26 日第 2 页共 17 页项目名称：淄博市信息安全等级保护测评项目采购人：淄博市大数据局联系人：李主任联系电话：0 533-3183627 资金来源：财政资金拟采用的政府采购方式：竞争性磋商拟采用的评审方法：综合评分法供应商资质要求： 1、加载统一社会信用代码的营业执照（注：2018 年 1 月 1 日起，企业一律使用加载统一社会信用代码的营业执照，原加载注册号的营业执照不再有效） 2、提供无行贿犯罪声明函（与无重大违法记录声明函合并，

2、并单独说明）及中国裁判文书网（）的查询结果截图并加盖公章 3、符合中华人民共和国政府采购法第二十二条规定且应为未被列入信用中国网站( )中国政府采购网( )、信用山东网站（）渠道信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商； 4、本项目不接受联合体投标。付款方式：本项目甲方采用方式付款（可选择银行转账或者汇票、支票等形式），合同签订后 5 各工作日内乙方向甲方提供银行账户并提供全额增值税发票，甲方在收到银行账户及发票后 7 个工作日内预付合同价款的 20%，剩余 80%价款待信息安全等级测评工作完成并经甲方验收通过后 10

3、个工作日予以支付。采购内容：本次采购共分为 1 个包，供应商进行报价，按招标文件要求对所投内容做出报价响应。一、采购项目清单： 1.行政服务域三级等级保护评测名称参数数量等级保护测评包括信息安全等级测评、信息安全管理规章制度梳理编制等。信息安全等级测评服务内容测评内容第 3 页共 17 页依据 GB-T 22239-2008信息系统安全等级保护测评要求等管理规范和技术标准，检测信息系统安全等级保护状况是否达到相应等级基本要求，通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题。包括安全技术测评和安全管理测评，其中安全技术测评包括物理安全、

4、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；安全管理测评包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 1、物理安全针对物理安全方面的“物理位置选择” 、 “物理访问控制” 、 “防盗窃和防破坏” 、 “防雷击” 、 “防火” 、 “防水和防潮” 、 “防静电” 、 “温湿度控制” 、 “电力供应”和“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。 2、网络安全针对网络安全方面的“结构安全” 、 “访问控制” 、 “安全审计” 、 “边界完整性检查” 、 “入侵防范” 、 “网络设备防护”等测评指标

5、，判断出与其相对应的各测评项的测评结果。 3、主机安全针对主机安全方面的“身份鉴别” 、 “访问控制” 、 “安全审计” 、 “入侵防护” 、 “恶意代码防护” 、 “资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。 4、应用安全针对应用安全方面的“身份鉴别” 、 “访问控制” 、 “安全审计” 、 “通信完整性” 、 “通信保密性” 、 “软件容错” 、 “资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。 5、数据安全及备份恢复针对数据安全方面的“数据完整性” 、 “数据保密性” 、 “备份和恢复”等测评指标，判断出与其相对应的各测评项的测评结果。第

6、4 页共 17 页 6、安全管理制度针对安全管理制度方面的“管理制度” 、 “制定和发布”以及 “评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。 7、安全管理机构针对安全管理机构方面的“岗位设置” 、 “人员配备” 、 “授权和审批” 、 “沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。 8、人员安全管理针对人员安全管理方面的“人员录用” 、 “人员离岗” 、 “人员考核” 、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。 9、系统建设管理针对系统建设管理方面的“系统定级”

7、、 “安全方案设计” 、 “产品采购和使用” 、 “自行软件开发” 、 “外包软件开发” 、 “工程实施” 、 “测试验收” 、 “系统交付” 、以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。 10、系统运维管理针对系统运维管理方面的“环境管理” 、 “资产管理” 、 “介质管理” 、 “设备管理” 、 “网络安全管理” 、 “系统安全管理” 、 “恶意代码防范管理” 、 “密码管理” 、 “变更管理” 、 “备份与恢复管理” 、 “安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。测评工作流程信息安全等级测评过程分

8、为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评第 5 页共 17 页工作量也就越大。 1、测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。 2、方案编制工作方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。 3、现场测评工作现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。 4、报告编制

9、活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。安全管理体系建设咨询按照安全管理需求，协助进行信息安全管理体系建设，包括：成立信息安全领导小组，编制信息安全规章制度和操作规程，建立信息安全监督机制、应急机制、通报机制、事件责任追究机制和风险管理机制，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容。规范系统运维管理，开展运维标准化作业，明确运维体系、费用标准、工作

10、规范、流程标准、操作规程、装备标准、管理制度、考核标准，包含机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。信息安全整改建设咨询第 6 页共 17 页 1、安全技术体系建设咨询完成等级测评后，提出技术安全建议与措施，指导信息系统的安全整改与加固。整改与加固实施方案的制定需要注意以下几点：（1）实施风险削减建议的优先度，便于用户在评估后根据揭示出的安全风险建立实施风险管理的计划；（2）提请注意风险削减与实施费用的平衡控制，做到适度安全；（3）提出的具体技术加固与整改措施、方案、建

11、议等，覆盖所有评估内容；（4）在对网络、系统、应用做加固工作时如果涉及的安全策略调整、协议、端口管理、打补丁等，要考虑加固对象的实施风险，必要时要做好加固前的测试工作。（5）系统整改加固后，需要对已实施的安全措施进行有效性确认，以保证达到目标。 2.公共服务域三级等级保护评测等级保护测评包括信息安全等级测评、信息安全管理规章制度梳理编制等。信息安全等级测评服务内容测评内容依据 GB-T22239-2008信息系统安全等级保护测评要求等管理规范和技术标准，检测信息系统安全等级保护状况是否达到相应等级基本要求，通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全

12、问题。包括安全技术测评和安全管理测评，其中安全技术测评包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；安全管理测评包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。第 7 页共 17 页 1、物理安全针对物理安全方面的“物理位置选择” 、 “物理访问控制” 、 “防盗窃和防破坏” 、 “防雷击” 、 “防火” 、 “防水和防潮” 、 “防静电” 、 “温湿度控制” 、 “电力供应”和“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。 2、网络安全针对网络安全方面的“结构安全” 、 “访问

13、控制” 、 “安全审计” 、 “边界完整性检查” 、 “入侵防范” 、 “网络设备防护”等测评指标，判断出与其相对应的各测评项的测评结果。 3、主机安全针对主机安全方面的“身份鉴别” 、 “访问控制” 、 “安全审计” 、 “入侵防护” 、 “恶意代码防护” 、 “资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。 4、应用安全针对应用安全方面的“身份鉴别” 、 “访问控制” 、 “安全审计” 、 “通信完整性” 、 “通信保密性” 、 “软件容错” 、 “资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。 5、数据安全及备份恢复针对数据安全方面的“数据完

14、整性” 、 “数据保密性” 、 “备份和恢复”等测评指标，判断出与其相对应的各测评项的测评结果。 6、安全管理制度针对安全管理制度方面的“管理制度” 、 “制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。 7、安全管理机构针对安全管理机构方面的“岗位设置” 、 “人员配备” 、 “授权和审批” 、 “沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。第 8 页共 17 页 8、人员安全管理针对人员安全管理方面的“人员录用” 、 “人员离岗” 、 “人员考核” 、 “安全意识教育和培训”以及“外部人员访问管理”

15、等测评指标，判断出与其相对应的各测评项的测评结果。 9、系统建设管理针对系统建设管理方面的“系统定级” 、 “安全方案设计” 、 “产品采购和使用” 、 “自行软件开发” 、 “外包软件开发” 、 “工程实施” 、 “测试验收” 、 “系统交付” 、以及“安全服务商选择” 等测评指标，判断出与其相对应的各测评项的测评结果。 10、系统运维管理针对系统运维管理方面的“环境管理” 、 “资产管理” 、 “介质管理” 、 “设备管理” 、 “网络安全管理” 、 “系统安全管理” 、 “恶意代码防范管理” 、 “密码管理” 、 “变更管理” 、 “备份与恢复管理” 、 “安全事件处置”以及

16、“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。测评工作流程信息安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评工作量也就越大。 1、测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。 2、方案编制工作方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。 3、现场测评工作第 9 页共 1

17、7 页现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。 4、报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。安全管理体系建设咨询按照安全管理需求，协助进行信息安全管理体系建设，包括：成立信息安全领导小组，编制信息安全规章制度和操作规程，建立信息安全监督机制、应急机制、通报机制、事件责任追究机制和风险管理机制，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收

18、交付、等级测评、安全服务等管理内容。规范系统运维管理，开展运维标准化作业，明确运维体系、费用标准、工作规范、流程标准、操作规程、装备标准、管理制度、考核标准，包含机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。信息安全整改建设咨询 1、安全技术体系建设咨询完成等级测评后，提出技术安全建议与措施，指导信息系统的安全整改与加固。整改与加固实施方案的制定需要注意以下几点：（1）实施风险削减建议的优先度，便于用户在评估后根据揭示出的安全风险建立实施风险管理的计划；（2）提请注意风险削减与

19、实施费用的平衡控制，做到适度安全；第 10 页共 17 页（3）提出的具体技术加固与整改措施、方案、建议等，覆盖所有评估内容；（4）在对网络、系统、应用做加固工作时如果涉及的安全策略调整、协议、端口管理、打补丁等，要考虑加固对象的实施风险，必要时要做好加固前的测试工作。（5）系统整改加固后，需要对已实施的安全措施进行有效性确认，以保证达到目标。 3.政府网站群系统三级等级保护评测等级保护测评 1、信息安全等级保护测评内容淄博市政府网站群系统是按照平台资源集约化、网站管理分级化、政务服务便捷化化、平台功能组件化、数据汇集高效化的技术路线打造政府网站群。系统平台应用由前

20、端应用、后台数据库、中间件平台 3 个功能子系统支撑构成。依据信息系统安全等级保护定级指南（GB/T22240-2008 ）的要求，遵循规范的流程，按照等级保护三级要求分别对政府网站群 3 个功能子系统开展测评工作。根据定级梳理结果，按照信息安全技术信息系统安全保护等级基本要求（GB/T22239-2008），对信息系统系统进行信息安全等级保护现状测评。包括安全技术测评和安全管理测评。安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管

21、理等五个方面。重点测评对象种类主要考虑以下几个方面：（1）主机房（包括其环境、设备和设施等）和部分辅机房；（2）存储被测系统重要数据的介质的存放环境；（3）办公场地；（4）整个系统的网络拓扑结构；（5）安全设备，包括防火墙、入侵检测设备和防病毒网关等； 3 第 11 页共 17 页（6）边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；（7）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；（8）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；（9）管理终端和主

22、要业务应用系统终端；（10）能够完成被测系统不同业务使命的业务应用系统；（11）业务备份系统；（12）信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；（13）涉及到信息系统安全的所有管理制度和记录。（14）制定各系统应急预案并协助进行演练。依据信息系统安全等级保护基本要求，结合淄博市政府网站群系统安全等级进行等级保护测评，并逐项明确不符合项与安全要求之间的差距及可能造成的风险，出具完整的等级测评报告。 2、测评工作流程信息安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与

23、洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评工作量也就越大。（1）测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。（2）方案编制工作方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编第 12 页共 17 页制。（3）现场测评工作现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。（4）报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测

24、评结论形成及测评报告编制。最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。 3、信息安全建设规划依据对淄博市政府网站群 3 个子系统系统安全现状测评的结果对网络结构及设备部署情况进行整体规划和调整，考虑物理设计、网络设计、主机设计、应用设计和其他设计等内容。依据信息系统安全等级保护基本要求（GB/T 22239-2008）、信息安全技术信息系统安全管理要求（GBT20269-2006）等，完成安全管理体系的规划指导。制定等级保护整改方案，指导信息系统安全技术体系和安全管理体系的构建。 4、信息安全管理体系建设按照信息系统安全等级保护的相关

25、要求，建立信息安全保护持续改进机制，梳理信息系统的信息安全等级保护管理制度体系，协助健全和完善信息安全的管理体系、技术体系和运维体系，促进信息安全保障水平不断提升。 5、信息安全风险评估按照 GB-T20984-2007 信息安全风险评估规范标准和要求，对淄博市政府网站群系统进行风险评估，明确信息系统安全风险，提出合理的、满足等级保护要求总体建设和管理规划，并制定安全实施计划，以指导后续的信息系统安全建设工程实施。 6、安全咨询服务第 13 页共 17 页通过对安全问题的分析和总结，结合业界实践经验，对淄博市政府网站群系统安全运行进行分析，提出相应的改进建议，对规划和安

26、全体系进行指导服务。并对安全科研课题、安全热点事件、行业安全规范提供咨询、解读、分析、指导服务。 4.城市 APP、微信公众号三级等级保护评测等级保护测评 1、信息安全等级保护测评内容城市 APP、微信公众号由主站、子站、微门户（安卓及 IOS 版本）、区县门户等构成。依据信息系统安全等级保护定级指南（GB/T22240-2008）的要求，遵循规范的流程，按照等级保护三级要求对城市 APP、微信公众号开展测评工作。根据定级梳理结果，按照信息安全技术信息系统安全保护等级基本要求（GB/T22239-2008），对信息系统系统进行信息安全等级保护现状测评。包括安全技术测评和

27、安全管理测评。安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。重点测评对象种类主要考虑以下几个方面：（1）主机房（包括其环境、设备和设施等）和部分辅机房；（2）存储被测系统重要数据的介质的存放环境；（3）办公场地；（4）整个系统的网络拓扑结构；（5）安全设备，包括防火墙、入侵检测设备和防病毒网关等；（6）边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；（7）对整个信息

28、系统或其局部的安全性起作用的网络互联设 1 第 14 页共 17 页备，如核心交换机、汇聚层交换机、路由器等；（8）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；（9）管理终端和主要业务应用系统终端；（10）能够完成被测系统不同业务使命的业务应用系统；（11）业务备份系统；（12）信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；（13）涉及到信息系统安全的所有管理制度和记录。（14）制定各系统应急预案并协助进行演练。依据信息系统安全等级保护基本要求，结合城市 APP、微信公众号系统安全等级进行等级保护测评，并逐项明确不符合

29、项与安全要求之间的差距及可能造成的风险，出具完整的等级测评报告。 2、测评工作流程信息安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评工作量也就越大。（1）测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。（2）方案编制工作方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。（3）现场测评工作现场测评工

30、作的主要任务包括：现场测评准备、现场测评和结第 15 页共 17 页果记录、结果确认和资料归还。（4）报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。 3、信息安全建设规划依据对淄博市城市 APP、微信公众号系统安全现状测评的结果对网络结构及设备部署情况进行整体规划和调整，考虑物理设计、网络设计、主机设计、应用设计和其他设计等内容。依据信息系统安全等级保护基本要求（GB/T 22239-2008）、信息安全技术

31、信息系统安全管理要求（GBT20269-2006）等，完成安全管理体系的规划指导。制定等级保护整改方案，指导信息系统安全技术体系和安全管理体系的构建。 4、信息安全管理体系建设按照信息系统安全等级保护的相关要求，建立信息安全保护持续改进机制，梳理信息系统的信息安全等级保护管理制度体系，协助健全和完善信息安全的管理体系、技术体系和运维体系，促进信息安全保障水平不断提升。 5、信息安全风险评估按照 GB-T20984-2007 信息安全风险评估规范标准和要求，对淄博市城市 APP、微信公众号进行风险评估，明确信息系统安全风险，提出合理的、满足等级保护要求总体建设和管理规划，并

32、制定安全实施计划，以指导后续的信息系统安全建设工程实施。 6、安全咨询服务通过对安全问题的分析和总结，结合业界实践经验，对城市 APP、微信公众号系统安全运行进行分析，提出相应的改进建议，对规划和安全体系进行指导服务。并对安全科研课题、安全热点事第 16 页共 17 页二、保密要求投标方对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务： 1.中标方应按要求与甲方签署保密协议。 2.主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。 3.不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本

33、身业务无关的甲方关于该项目的商业秘密。 4.不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。 5.不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。 6.不论何种原因终止参与甲方关于该项目的工作后，都不得利用该项目之商业秘密为其他与甲方有竞争关系的企业（包括自办企业）服务。 7.该项目的商业秘密所有权始终全部归属甲方，乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权，在本协议签订前乙方已依法具有某些所有权者除外。 8.如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密，应当采取有效措

34、施防止泄密进一步扩大，并及时向甲方公司报告。三、人员要求需提供项目组成员信息，包含工作年限、项目经历及相关资质证书等。项目团队不少于4人，人员要求如下： 1、项目经理须具备中级以上信息安全等级测评师证书； 2、项目成员应包含网络、主机、数据库等方面的技术专家； 3、负责本项目信息安全等级测评的项目组成员需具备信息安全等级测评师证书；四、工期要求信息安全等级测评工作限签订合同后60天内完成。在项目实施过程中，投标方应做好计划与安排，不影响正常业务办公的开展。投标方要给予承诺，并承担由此引起的损失。件、行业安全规范提供咨询、解读、分析、指导服务。第 17 页共 17 页五、售后服务要求 1、提供给甲方与项目相关的技术文档。 2、一旦收到甲方的服务请求，乙方项目组成员应立即响应。双方确认需要到现场服务时，从确认时间开始，乙方工程师在 12小时内到达用户现场，提供服务。 3、提供技术服务热线，并安排专业人员为甲方解答本项目有关技术问题，接收到用户要求服务的通知后，有关技术人员应立即做出投标。 4、为保证信息安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。 5、等级测评结果必须通过甲方组织的评审和审批。

展开阅读全文