信息系统安全等级保护测评服务内容及要求Word格式文档下载.docx
《信息系统安全等级保护测评服务内容及要求Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护测评服务内容及要求Word格式文档下载.docx(6页珍藏版)》请在冰豆网上搜索。
5.具有广东省电子政务服务能力等级证书。
6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)
7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(IS09001)
8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。
9.本项目不接受联合体投标。
项目服务内容及要求
1.采购项目需求一览表:
1
等级保护测评服务
存量房网上签约系统
二级
2
金融部门网上受理系统(签约银
行登录)
3
商品房明码标价备案系统
4
珠海不动产微信服务号系统
2.基本要求:
2.1项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》
《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的
精神,响应国家的要求,珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。
按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。
2.2项目目标
2.2.1等级保护测评服务。
根据《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》等
标准,及各个信息系统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明
对采购人现有信息系统开展安全保护符合性测评、作差距分析、并提出整改建议与编写验收测评报告。
措施
根据《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》等
标准组织开展信息系统等级保护符合性测评,衡量信息系统的安全保护管理
和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
依据信息系统的安全保护等级,通过人员访谈、文档审查、实地察看、配置检查、工具检测等方法从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,判断网站现有的安全保护水平与国家信息安全等级保护管理规范和技术标准要求项之间的符合情况。
对信息系统进行整体、全面、公正的评估,对不符合项进行风险分析,组织
专家评审,编写安全等级保护测评报告,最终完成验收测评工作,达到国家规定
的信息安全要求,并完成向市公安局提交验收测评备案。
2.2依据及参考规范
投标人必须依据如下标准实施测评服务:
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T22239-2008信息系统安全等级保护基本要求
GB/T22240-2008信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南(国标报批稿)信息系统安全等级保护测评要求(国标报批稿)
GB/T25058-2010信息系统安全等级保护实施指南
GB/T25070-2010信息系统等级保护安全设计技术要求《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》(GB/T21028-2007)《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
计算机信息系统安全等级保护管理要求》
《计算机信息系统安全等级保护通用技术要求》
2.3检查工具要求:
根据广东省信息安全等级保护协调小组办公室,粤等保办【2015】72号文公布《关于加强网络扫描渗透监管工作的通知》内要求,“二、扫描渗透工具必须备案。
根据《广东省计算机信息系统安全保护条例》第三十条规定,安全服务机构生产、销售或网络渗透、扫描工具,须到地级以市公安机关备案。
未备案的,公安机关将依法处罚。
各单位在授权或委托安全服务机构开展扫描渗透仟,应当查验并核实其扫描工具的报备情况。
”
在本项目中,需要采用测评工具必须有广东省信息安全等级保护协调小组办公室开具《网络渗透扫描工具备案通知书》。
具备自主研发具备自主知识产权的信息安全等级保护测评软件系统。
四、采购项目商务要求
1.对投标人的要求
1.1投标方必须经广东省信息安全等级保护工作协调小组办公室专家评审,符合信息安全等级保护测评机构有关规范要求,具备从事信息安全等级保护测评工作能力单位(网络安全等级保护测评机构推荐证书)。
1.2投标人应至少有5年开展等级保护测评的经历,具备信息安全等级保护测
评项目业绩,并具有完善的质量保证体系。
投标人必须具有良好的企业信誉,充足的技术队伍,稳定的组织机构。
2.对服务人员的资质要求
2.1应具备信息系统等级保护测评工作经验,精通等级保护测评技术,能分析
测评过程中存在的风险。
2.2具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识
别、分析和提供防范措施的能力。
全保
议报
施,
为目
报
统造
不得采取对被测系
2.3具有能根据用户信息系统安全防护问题的分析,向用户建议有效的安护策略及建立完善的安全管理制度的能力。
2.4具有对发生的突发性安全事件进行分析和解决的能力。
2.5应了解、掌握并能应用等级保护测评国家和行业标准。
2.6需根据等级保护测评工作中发现的安全隐患,提供详细的安全加固建告。
2.7严格遵守信息安全保密制度,做好数据在存储、传输过程中的保密措不得泄露项目的一切信息。
2.8应具有信息安全等级保护测评师初级或以上证书。
3.服务质量
3.1服务过程应做好风险预防措施,测评人员应该仅以发现系统安全问题的,不得采取对被测系统带有破坏性的信息安全测试。
3.2测评人员应严格依照测评大纲开展工作。
3.3按与采购人签订的合同中规定按时、保质完成测评工作,并提交测评
4.测评原则
4.1规范性原则:
严格遵循国家、行业相关规范、标准开展工作。
4.2最小影响原则:
做好风险预防措施,尽可能避免对在运网络和信息系
成影响;
测评人员应该仅以发现系统安全漏洞为目的,
统带有破坏性的信息安全测试。
测评
项目
管理
项
术
加本
人应
投
由双
研究和
产品
起诉及
4.3公平公正原则:
按照统一标准开展等级保护测评工作,确保等级保护工作能够客观、真实地反应各被测网站安全等级保护现状。
5.项目实施要求
5.1组织要求
5.1.1投标人须成立一个专业队伍为采购人服务,该的人员应至少包括:
负责人、项目实施技术人员。
5.1.2项目负责人应具有至少两个或两个以上信息安全等级保护测评项目的成功案例,并将全程负责本项目的管理、技术质量管控。
具体负责:
目进度控制、编写项目周报、召开周例会、编制技术方案及项目总结报告等技文档、协调采购人及被测单位等工作。
5.1.3投标人必须向采购人保证人员组织的稳定性,在本项目结束前,参项目的人员变动必须取得采购人书面同意。
5.2质量要求
5.2.1投标人应保证所提供的技术水平均能满足本招标文件要求。
5.2.2为保证项目技术方案、测评报告的科学性、有效性及合规性,投标组织专家对本项目涉及的技术方案及测试报告进行评审。
5.2.3为便于执行合同,按计划和要求核准本项目的设计内容及工程方案,标人至少举行2次技术联络会。
技术联络会的具体时间、地点、会议内容将方商定。
除了合同规定的技术联络会外,在合同执行期间如遇重要事宜需讨论,经双方同意可另行召开联络会议解决。
6知识产权及保密
6.1针对本次项目安全服务文档的知识产权归属采购人所有,投标人原有既有知识产权不因本项目发生转移,涉及到第三方提出侵权或知识产权的支付版税等费用由投标人承担所有责任及费用。
6.2采购人为投标人提供的所有业务、技术资料,投标人有责任对第三方保
密。
如投标人未经采购人书面同意,擅自将涉及采购人商业和技术秘密的资料透
漏给第三方,米购人将保留追究投标人法律责任的权利。
7.付款方式
签订合同后十五天内采购人支付合同总价的70%乍为预付款,完成用户指定网站差距测评工作并提交整改建议书后,协助用户完成指定网站安全整改,并通过主管部门测评验收后十五天内,采购人支付合同总价的30%.
升级会员 