項目需求和服務方案要求【模板】

1、項目需求和服務方案要求1、 項目背景為了落實中華人民共和國網絡安全法 的有關法律要求，提高信息系統(tǒng)的 安全保護水平，選擇具備資質的第三方專業(yè)機構，在全面了解現有信息化現況的 基礎上，開展信息系統(tǒng)安全等級保護測評工作。通過本次工作，發(fā)現信息系統(tǒng)中 存在的安全風險，分析信息系統(tǒng)安全現狀與相關政策文件、技術標準內容要求的 差距，提出安全建設整改建議。切實加強信息安全防范水平，提高系統(tǒng)抵御風險 的能力。2、 總體要求1、按照網絡安全等級保護定級標準和工作要求，開展信息系統(tǒng)安全等級保 護系統(tǒng)梳理和定級工作，協(xié)助完成系統(tǒng)的定級報告，并協(xié)助完成到公安機關的備 案更新工作。2、按照國家等級保護相關標準和要求，

2、對招生考試信息平臺、網上閱卷系 統(tǒng)、門戶網站系統(tǒng)三級系統(tǒng)開展信息系統(tǒng)安全等級保護測評工作，對內部綜合管理系統(tǒng)等二級系統(tǒng)開展信息系統(tǒng)安全等級保護測評工作， 找出系統(tǒng)現狀與相關標 準要求之間的差距，遵循適度原則，提出切實可行的整改建議，最終完成等級保 護測評報告。3、針對測評中發(fā)現的信息安全管理漏洞和薄弱環(huán)節(jié)，并深入分析下一步審 計信息系統(tǒng)建設和管理的實際安全需求， 協(xié)助開展相關的安全整改工作，確保審 計重要信息系統(tǒng)的安全防護水平滿足當前和未來建設發(fā)展的安全要求。三、服務內容1、定級梳理按照公安部網絡安全等級保護工作要求，開展信息系統(tǒng)安全等級保護定級備 案工作。要求完成各系統(tǒng)的定級報告，并協(xié)助到公

3、安機關完成備案。系統(tǒng)情況如 下表：廳P應用系統(tǒng)名稱安全保護等級備注1第三級第三級第三級第二級2、信息安全等保測評(1)測評依據公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯(lián)合轉發(fā)的關于信息安全等級保護工作的實施意見(公通字200466號)；公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的信息安全等級保護管理辦法(公通字200743號)。信息安全技術信息系統(tǒng)安全等級保護基本要求(GB/T 22239-2008 )信息安全技術信息系統(tǒng)安全等級保護定級指南(GB/T 22240-2008 )信息安全技術 信息系統(tǒng)安全等級保護實施指南(GB/T 25058-2010 )信

4、息安全技術 信息系統(tǒng)安全等級保護測評要求(GB/T 28448-2012 )信息安全技術 信息系統(tǒng)安全等級保護測評過程指南(GB/T 28449-2012 )計算機信息系統(tǒng)安全保護等級劃分準則(GB 17859-1999 )信息安全技術 信息系統(tǒng)通用安全技術要求(GB/T 20271-2006 )信息安全技術網絡基礎安全技術要求(GB/T 20270-2006 )信息安全技術操作系統(tǒng)安全技術要求(GB/T 20272-2006 )信息安全技術數據庫管理系統(tǒng)安全技術要求(GB/T 20273-2006 )信息安全技術 服務器技術要求(GB/T 21028-2007 )信息安全技術 終端計算機系統(tǒng)

5、安全等級技術要求(GA/T 671-2006 )信息安全技術信息系統(tǒng)安全管理要求(GB/T20269-2006 )信息安全技術 信息系統(tǒng)安全工程管理要求(GB/T 20282-2006 )信息技術 安全技術 信息技術 安全性評估準則(GB/T 18336-2001 )信息系統(tǒng)密碼應用基本要求(GMT 0054-2018)信息系統(tǒng)密碼測評要求(試行)信息系統(tǒng)密碼測評過程指南(試行)項目涉及的其它相關國際、國內標準或規(guī)范(2)測評內容測評的內容包括但不限于以下內容：安全技術測評：包括物理安全、網絡安全、主機系統(tǒng)安全、應用安全和數據 安全等五個方面的安全測評信息系統(tǒng)安全等級進行等級測評。安全管理測評

6、：安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管 理和系統(tǒng)運維管理等五個方面的安全測評。1）物理安全A物理安全根據信息系統(tǒng)機房和現場安全測評記錄，針對機房和現場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防 靜電”、“溫濕度控制”、“電力供應”和“電磁防護”等物理安全方面所采取的措施進 行，判斷出與其相對應的各測評項的測評結果。B機房咨詢服務依據國家相關標準，對電子信息系統(tǒng)機房的室內裝飾裝修、室內環(huán)境、空氣調節(jié)系統(tǒng)、照明裝置、供配電系統(tǒng)、防雷接地系統(tǒng)及文檔驗收等方面進行咨 詢服務。2）網絡安全根據信息系統(tǒng)網絡安全測評記錄，針對網絡方面

7、在“結構安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網絡設備防護” 等網絡安全方面所采取的措施進行檢查，判斷出與其相對應的各測評項的測評結果。3）主機安全主機安全現場測評包括對信息系統(tǒng)服務器的測評，測評內容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“入侵防護”、“惡意代碼防護”、“資源控制”。4）應用安全A應用安全應用安全現場測評包括對信息系統(tǒng)的測評， 測評內容包括“身份鑒別”、“訪問 控制”、“安全審計”、“剩余信息保護”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”、“資源控制”方面。5）數據安全及備份恢復信息

8、系統(tǒng)數據安全及備份恢復現場測評包括“數據完整性”、“數據保密性”、“備份和恢復”幾個方面的測評。6）安全管理制度根據現場安全測評記錄，針對 信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標，判斷出與其相對應的各測評項的測評結果。7）安全管理機構根據現場安全測評記錄，針對 信息系統(tǒng)在安全管理機構方面的“崗位設置”、“人員配備”、“授權和審批”、“溝通和合作”以及“審核和檢查”等測評指標，判斷出與其相對應的各測評項的測評結果。8）人員安全管理根據現場安全測評記錄，針對 信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”“安全意識教育和培訓”以及

9、“外部人員訪問管理”等測評指標，判斷出與其相對應的各測評項的測評結果。9）系統(tǒng)建設管理根據現場安全測評記錄，針對 信息系統(tǒng)在系統(tǒng)建設管理方面的“系統(tǒng)定級”、“安全方案設計”、“產品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務商選擇”等 測評指標，判斷出與其相對應的各測評項的測評結果。10）系統(tǒng)運維管理根據現場安全測評記錄，針對信息系統(tǒng)在系統(tǒng)運維管理方面的“環(huán)境管理”、“資產管理”、“介質管理”、“設備管理” “網絡安全管理”、“系統(tǒng)安全管理”、“惡 意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復

10、管理”、“安全事件處置” 以及“應急預案管理”等測評指標，判斷出與其相對應的各測評項的測評結果。對運維管理方面與ITIL體系的融合適應性進行評估。通過現場測評，逐項找出系統(tǒng)現狀與國家相關標準要求之間的差距，進行逐項分析、整體分析，給出差距分析報告，并給出整改建議方案。待整改完畢后，進行結果確認，完成網絡安全等級保護測評，出具測評報告，并將測評報告報當地公安機關備案。3、成果交付項目實施完成后，要求投標人提供包括但不限于交付物如下：網絡安全等級保護測評方案網絡安全等級保護測評報告網絡安全整改加固報告項目相關的各項管理文檔以及生成的階段性報告或資料等過程文檔，等級保護測評報告需加蓋CNAS（中國合格評定家認可委員會）章。四、其他要求1、項目團隊人員不少于5人，其中高級測評師不少于2人，項目經理必須項目成員不具