服務(wù)需求及技術(shù)要求

服務(wù)需求及技術(shù)要求一、項(xiàng)目概況依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息安全等級(jí)保護(hù)管理辦法》的相關(guān)要求，對(duì)安慶職業(yè)技術(shù)學(xué)院重要信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，包括：安全技術(shù)測(cè)評(píng)，安全管理測(cè)評(píng)，工具測(cè)試，編制系統(tǒng)安全整改方案，編制和完善安全管理制度等。二、項(xiàng)目實(shí)施范圍本次參于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的系統(tǒng)如下：序號(hào)待測(cè)系統(tǒng)名稱(chēng)安全保護(hù)等級(jí)備注1網(wǎng)站群信息系統(tǒng)二級(jí)2郵件系統(tǒng)二級(jí)3數(shù)字校園系統(tǒng)二級(jí)4圖書(shū)管理系統(tǒng)二級(jí)5財(cái)務(wù)系統(tǒng)二級(jí)三、指導(dǎo)思想和基本準(zhǔn)則根據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)信辦聯(lián)合印發(fā)的《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕43號(hào)）、《關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字〔2004〕66號(hào)）、《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安〔2007〕861號(hào)）、公安部《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安[2009]1429號(hào)）、國(guó)家發(fā)改委《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]2071號(hào)），以及安徽省發(fā)改委《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]967號(hào)）等文件精神，結(jié)合安慶職業(yè)技術(shù)學(xué)院工作實(shí)際，現(xiàn)擬對(duì)安慶職業(yè)技術(shù)學(xué)院重要信息系統(tǒng)實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，以進(jìn)一步完善信息系統(tǒng)安全管理體系和技術(shù)防護(hù)體系，切實(shí)提高系統(tǒng)信息安全防護(hù)能力。四、等級(jí)保護(hù)測(cè)評(píng)主要包括以下幾個(gè)方面：等保測(cè)評(píng)：完成包括安全物理環(huán)境、安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理中心和安全管理機(jī)構(gòu)、安全管理制度、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理方面的測(cè)評(píng)工作；工具測(cè)試：針對(duì)重要信息系統(tǒng)進(jìn)行定期的漏洞掃描、滲透測(cè)試等安全服務(wù)工作；整改建議：投標(biāo)人應(yīng)根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)中發(fā)現(xiàn)的問(wèn)題，分析與GB/T22239-2019、ISO/IEC27001、ISO/IEC20000、ISO22301、ITIL和ITSS等行業(yè)最佳實(shí)踐之間的差距，按照網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)要求提出安全整改建議；編制測(cè)評(píng)報(bào)告：完成上述測(cè)評(píng)工作和整改加固實(shí)施后，投標(biāo)人最后出具符合標(biāo)準(zhǔn)要求的各信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。五、信息安全培訓(xùn)：信息安全培訓(xùn)：為提高信息化人才隊(duì)伍的安全意識(shí)和專(zhuān)業(yè)技能，響應(yīng)人需對(duì)采購(gòu)人提供信息安全培訓(xùn)，培訓(xùn)內(nèi)容分為公共培訓(xùn)和專(zhuān)業(yè)培訓(xùn)。信息安全技術(shù)培訓(xùn)由具備培訓(xùn)資格的講師參考注冊(cè)信息安全專(zhuān)業(yè)人員（CISP）、信息安全保障人員（CISAW）等安全技能培訓(xùn)認(rèn)證課程內(nèi)容授課，確保管理人員和技術(shù)人員掌握關(guān)于信息系統(tǒng)等級(jí)保護(hù)相關(guān)規(guī)范、信息安全策略、信息保密制度，信息安全管理制度和相關(guān)流程等。專(zhuān)業(yè)培訓(xùn)包括2個(gè)CISP（注冊(cè)信息安全專(zhuān)業(yè)人員）培訓(xùn)名額。六、工作要求：實(shí)施原則規(guī)范性原則：成交供應(yīng)商工作中的過(guò)程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；標(biāo)準(zhǔn)性原則：測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。可控性原則：測(cè)評(píng)的工具、方法和過(guò)程需在雙方認(rèn)可的范圍之內(nèi)并符合進(jìn)度表的安排，保證采購(gòu)人對(duì)服務(wù)工作的可控性；整體性原則：測(cè)評(píng)和分析的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個(gè)層面，避免由于遺漏造成未來(lái)的安全隱患；最小影響原則：測(cè)評(píng)工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷)，如無(wú)法避免，則應(yīng)預(yù)先做出說(shuō)明并經(jīng)采購(gòu)人同意后實(shí)施，在項(xiàng)目實(shí)施過(guò)程中，需有可行性的風(fēng)險(xiǎn)規(guī)避處置措施保密原則：對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害采購(gòu)人網(wǎng)絡(luò)的行為，否則采購(gòu)人有權(quán)追究責(zé)任。測(cè)評(píng)依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2020）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB∕T28449-2018）等級(jí)保護(hù)測(cè)評(píng)內(nèi)容等級(jí)保護(hù)測(cè)評(píng)內(nèi)容根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，本次項(xiàng)目的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)應(yīng)包括以下內(nèi)容：安全技術(shù)測(cè)評(píng)：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等五個(gè)方面的安全測(cè)評(píng)；安全管理測(cè)評(píng)：包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。安全物理環(huán)境安全物理環(huán)境是對(duì)機(jī)房和辦公場(chǎng)所的物理環(huán)境安全防護(hù)情況進(jìn)行測(cè)評(píng)，包括物理位置選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面的安全狀況。安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)測(cè)評(píng)是對(duì)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)情況進(jìn)行測(cè)評(píng)，包括網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證等方面的安全狀況。安全區(qū)域邊界安全區(qū)域邊界是對(duì)邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)、可信驗(yàn)證等方面的測(cè)評(píng)。安全計(jì)算環(huán)境安全計(jì)算環(huán)境是對(duì)身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)等方面的測(cè)評(píng)。安全管理中心安全管理中心是對(duì)系統(tǒng)管理、審計(jì)管理、安全管理、集中管控等方面的測(cè)評(píng)。安全管理制度安全管理制度測(cè)評(píng)是對(duì)安全策略、管理制度、制定和發(fā)布、評(píng)審和修訂進(jìn)行測(cè)評(píng)。安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)測(cè)評(píng)是對(duì)崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況進(jìn)行測(cè)評(píng)。安全管理人員安全管理人員測(cè)評(píng)是對(duì)人員錄用、人員離崗、安全意識(shí)教育和培訓(xùn)、外部人員訪問(wèn)管理等情況進(jìn)行測(cè)評(píng)。安全建設(shè)管理安全建設(shè)管理測(cè)評(píng)是對(duì)建設(shè)過(guò)程中的系統(tǒng)定級(jí)和備案、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、等級(jí)測(cè)評(píng)、服務(wù)供應(yīng)商選擇等情況進(jìn)行測(cè)評(píng)。安全運(yùn)維管理安全運(yùn)維管理測(cè)評(píng)是對(duì)環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理等情況進(jìn)行測(cè)評(píng)。七、報(bào)價(jià)要求本項(xiàng)目報(bào)總價(jià)，報(bào)價(jià)包含完成本項(xiàng)目服務(wù)期間所產(chǎn)生的一切費(fèi)用（含驗(yàn)收費(fèi)用）。八、人員配備成交供應(yīng)商需根據(jù)測(cè)評(píng)業(yè)務(wù)系統(tǒng)的數(shù)量自行評(píng)估并配置測(cè)評(píng)實(shí)施團(tuán)隊(duì)。測(cè)評(píng)實(shí)施團(tuán)隊(duì)在合同約定期內(nèi)派駐采購(gòu)人到指定地點(diǎn)辦公；成交供應(yīng)商需保證在實(shí)施階段主要技術(shù)人員必須是全