区职业教育中心信息系统保护测评采购项目需求方案模板.docx

1、区职业教育中心信息系统保护测评采购项目需求方案模板政府采购项目需求方案采购单位：XX市XX区职业教育中心采购代理机构：XX项目管理集团有限公司XX分公司项目名称：XX市XX区职业教育中心信息系统保护测评采购项目编制时间：2018年11月一、项目概况及预算情况1.项目名称：XX市XX区职业教育中心信息系统保护测评采购项目2.招标控制价：本项目预算控制价为20万元3.采购方式：竞争性磋商4.项目概述：为XX市XX区职业教育中心信息系统保护测评，具体技术参数详见服务清单。二、采购标的具体情况1.采购内容、数量及单项预算安排：为XX市XX区职业教育中心信息系统保护测评；资金性质为财政性资金，预算控制价

2、为20万元。2、需实现的功能或者目标：2.1等保测评目标根据国家相关标准要求，对采购人网络信息安全软硬件环境进行全面测评。其中XX市XX区职业教育中心门户网站系统、XX市XX区职业教育中心校园数字化管理平台系统、XX市XX区职业教育中心资金管控系统开展信息系统进行等级保护测评。通过测评发现与信息安全等级保护基本要求之间存在的差距，根据测评结果提出整改建议，缩小与基本要求之间的差距，提高系统整体的安全保护能力。2.2信息安全管理规章制度的建立目标。根据采购人管理需求协助梳理编制信息安全管理制度：信息安全总则、信息系统建设安全管理制度、信息系统运维安全管理制度、信息安全培训及考核管理办法、信息资产

3、安全管理规定、数据中心机房管理规定、信息系统应急预案及处理办法等。3.需满足的国家相关标准：达到国家相关要求合格标准4.需满足的采购政策要求：按照工信部联企业2011300号、鲁财库200732号、财库201468号、财库2017141号、等文件要求执行。5.交付或实施时间：自合同签订之日起30日历天测评完毕并完成备案。交付或实施地点：甲方指定地点。6.需满足的服务标准：合格标准。服务期限：同交付或实施时间服务效率：交付或实施时间完成项目内容7.验收标准：合格标准8.其他技术及服务要求：符合相关要求及服务标准及规范三、论证意见无。四、公示时间本项目采购需求公示期限为3天：2018年11月20日

4、-2018年11月22日。五、意见反馈方式本项目采购需求方案公示期间接受社会公众及潜在供应商的监督。请遵循客观、公正的原则，对本项目需求方案提出意见或者建议，并请于2018年11月22日前将书面意见反馈至采购人或者采购代理机构，采购人或者采购代理机构应当于公示期满5个工作日内予以处理。采购人或者采购代理机构未在规定时间内处理或者对处理意见不满意的，异议供应商可就有关问题通过采购文件向采购人或者采购代理机构提出质疑；质疑未在规定时间内得到答复或者对答复不满意的，异议供应商可以向采购人市级财政部门提出投诉。六、项目联系方式1.采购单位：XX市XX区职业教育中心联系人:曹主任 电话（传真）：*地址：

5、XX市XX区满庄镇2.采购代理机构：XX项目管理集团有限公司XX分公司联系人：XXX 电话（传真）：*地址：XX市灵山大街中段华伟家园A座503附 项目技术和商务要求：一、项目总体概况本项目为XX市XX区职业教育中心门户网站系统、XX市XX区职业教育中心校园数字化管理平台系统、XX市XX区职业教育中心资金管控系统开展信息系统的安全等级保护测评项目，要求包括等级保护测评、信息安全管理相关规章制度建立等服务。1、安全要求 1.1 国家网络安全要求2017年6月1号国家颁布中华人民共和国网络安全法中对等级保护测评工作提出明确的要求:第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全

6、等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者XX的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。并对不遵循网络安全法要求的行为提出明确的处罚内容：第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改

7、正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。1.2 监管执法部门网络安全要求公安机关与网信办作为网络安全监管执法部门对全省各单位信息系统安全工作有监督执法职能，同时公安机关每年都会在全省范围内开展针对各单位的网络安全执法检查工作，检查内容覆盖安全现状摸排，安全风险识别，安全工作落实考核等方面，对于存在重大网络安全隐患的单位给予限期整改的要求并进行通报。2、项目依据及目标2.1项目测评依据中华人民共和国网络安全法公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保护工作的实施意见

8、（公通字200466号）公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息安全等级保护管理办法（公通字 200743号）信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008）信息安全技术 信息系统安全等级保护实施指南信息安全技术 信息系统安全等级保护测评要求信息安全技术 信息系统安全等级保护测评过程指南计算机信息系统安全保护等级划分准则（GB 17859-1999）信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006）信息安全技术 网络基础安全技术要求（GB/

9、T 20270-2006）信息安全技术 操作系统安全技术要求（GB/T 20272-2006）信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006）信息安全技术 服务器技术要求（GB/T 21028-2007）信息安全技术 终端计算机系统安全等级技术要求（GA/T 671-2006）信息安全技术 信息系统安全管理要求（GB/T20269-2006）信息安全技术 信息系统安全工程管理要求（GB/T20282-2006）信息技术 安全技术 信息技术安全性评估准则（GB/T 18336-2001）2.2项目目标2.2.1等保测评目标根据国家相关标准要求，对采购人网络信息安全软硬件环

10、境进行全面测评。其中XX市XX区职业教育中心门户网站系统、XX市XX区职业教育中心校园数字化管理平台系统、XX市XX区职业教育中心资金管控系统开展信息系统进行等级保护测评。通过测评发现与信息安全等级保护基本要求之间存在的差距，根据测评结果提出整改建议，缩小与基本要求之间的差距，提高系统整体的安全保护能力。2.2.2信息安全管理规章制度的建立目标。根据采购人管理需求协助梳理编制信息安全管理制度：信息安全总则、信息系统建设安全管理制度、信息系统运维安全管理制度、信息安全培训及考核管理办法、信息资产安全管理规定、数据中心机房管理规定、信息系统应急预案及处理办法等。二、主要服务内容本项服务，要求供应商

11、要根据网络安全法、信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）等政策法规及安全标准，完成相关系统的等级保护测评工作，对信息系统不符合等级保护有关管理规范和技术标准的，提出可行性整改方案并协助整改，在整改完成后对整改项进行再次测评，测评后经用户单位确认，最终提交等级保护测评报告。本项目为信息安全综合服务，以等级保护为基础，同时采购其他信息安全服务，旨在提高信息系统安全性，保障系统业务连续性和数据稳定性。序号服务内容1三个业务信息系统等级保护测评2各类信息安全、网络、数据中心、资源使用相关制度建设信息系统如下：序号系统名称系统描述安全保护等级XX市XX区职业教育中心

12、门户网站系统需校方填写二级XX市XX区职业教育中心校园数字化管理平台系统需校方填写三级XX市XX区职业教育中心资金管控系统需校方填写三级（一）信息安全等级测评服务内容本次测评主要是根据网络安全法、信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）的相关标准，对XX市XX区职业教育中心相关信息系统，在技术和管理两大方面的内容进行逐一的检测，测试XX市XX区职业教育中心信息系统已有的网络安全防护措施是否达到等保防护要求。具体要求如下：通用安全要求的内容包括但不限于以下内容：1、物理安全针对物理安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“

13、防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。2、网络安全针对网络安全方面的“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等测评指标，判断出与其相对应的各测评项的测评结果。3、主机安全针对主机安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码防护”、“资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。4、应用安全针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、 “通信完整性”、“通信保密性”、“软件容错”、“资源控制”等

14、测评指标，判断出与其相对应的各测评项的测评结果。5、数据安全及备份恢复针对数据安全方面的“数据完整性”、“数据保密性”、“备份和恢复”等测评指标，判断出与其相对应的各测评项的测评结果。6、安全管理制度针对安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。7、安全管理机构针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。8、人员安全管理针对人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访

15、问管理”等测评指标，判断出与其相对应的各测评项的测评结果。9、系统建设管理针对系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。10、系统运维管理针对系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。（二）制度建设

16、服务的内容包括但不限于以下内容：信息安全总则、信息系统建设安全管理制度、信息系统运维安全管理制度、信息安全培训及考核管理办法、信息资产安全管理规定、数据中心机房管理规定、信息系统应急预案及处理办法等。三、项目实施要求1、保密要求成交供应商对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务：1.1成交供应商应按要求与XX市XX区职业教育中心签署保密协议。1.2主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。2、实施要求在项目实施过程中，成交供应商应做好计划与安排，不影响采购人正常业务办公的开展。成交供应商要给予承诺，并承担由此引起的损失。3

17、、服务要求3.1提供给采购人与项目相关的全部技术文档。3.2一旦收到采购人的服务请求，成交供应商项目组成员应立即给予响应。双方确认需要到现场服务时，从确认时间开始，成交供应商工程师在 2 小时内到达用户现场，提供服务。3.3提供技术服务热线，并安排专业人员为采购人解答本项目有关技术问题，接收到用户要求服务的通知后，有关技术人员应立即做出响应。3.4 制度建设信息安全总则、信息系统建设安全管理制度、信息系统运维安全管理制度、信息安全培训及考核管理办法、信息资产安全管理规定、数据中心机房管理规定、信息系统应急预案及处理办法等。4、交付物项目实施完成后，要求成交供应商提供包括但不限于交付物如下（纸质

18、版和电子版）：XX市XX区职业教育中心信息系统安全等级保护测评报告XX市XX区职业教育中心信息系统安全体系建设和整改方案另附交（或内含）：XX市XX区职业教育中心信息系统备案表系列XX市XX区职业教育中心信息系统调研报告XX市XX区职业教育中心信息系统测评实施方案XX市XX区职业教育中心信息系统测评现场记录表系列XX市XX区职业教育中心信息系统整改加固方案XX市XX区职业教育中心信息系统安全制度汇编系列5、整改要求根据信息安全技术信息系统安全等级保护基本要求的相关要求，结合网络系统的等级测评结果，针对当前存在的主要安全问题，从技术和管理两个方面分类分系统制定切实可行的整改方案。通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，提出差距分析报告和整改建议方案，指导和协助完成必要的整改措施。整改完毕后进行结果确认，出具网络安全测评报告并将测评报告报当地公安机关备案。指导学院工作人员完成安全整改措施，并协助完成具体操作。协助建立完善的网络安全管理机制，协助完成网络信息系统建设、开发、运维、升级和网络日常运维管理等方面的制度建设，并作为最终成果交付。由专业技术人员进行安全意识培训、安全技术培训，以系统化培训的方式提高全员信息安全意识、安全技术能力以及信息安全事件的处理能力。