全部加入收藏
招标文件
五、采购技术标准及要求
(一)建设目标
中标人根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等文件规定,按照等级保护基本要求所规定的检查项,针对宁夏自然资源厅信息系统逐项进行合规性检测,客观评估安全体系,明确当前信息系统与等级保护要求不符的内容、问题与风险。
(二)测评范围
宁夏自然资源厅网站群、天地图、地理信息共享库、电子政务平台、国土空间基础信息平台、自治区空间规划(多规合一)信息系统。
(三)技术要求
- 技术服务要求
1、信息系统安全等级保护测评
投标方应根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等相关国家标准,为宁夏回族自治区国土资源地理信息中心业务信息系统做信息安全等级保护测评服务工作。公安部若发布等级保护 2.0 标准,按照此标准执行。
2、信息安全等级保护整改建议咨询服务
投标方完成宁夏回族自治区国土资源地理信息中心业务信息系统测评后,针对各个业务系统提供整改建议咨询服务,从技术和管理两方面提出整改建议,对系统建设中的安全部分提供技术指导,对存在的漏洞协助处理。
- 技术实施要求
1、投标方须服从宁夏回族自治区国土资源地理信息中心统一协调,且必须在项目实施期间由投标方派驻有丰富实施经验的信息安全等级保护测评中级及以上测评师作为项目实施团队主要负责人和核心成员,全程参与项目实施。
2、投标方须提供完善的测评实施方案和计划,测评后提供整改方案或报告,须协助进行整改咨询服务,提供系统的相关维护工作,一月一次。
(四)建设内容
- 建设依据
本次技术咨询和等级测评的各项工作均应依据以下列相关的政策条例、国家标准要求。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)
《关于信息安全等级保护的实施意见》(公通字[2005]66 号)。
《信息安全等级保护管理办法》(公通字[2007]43 号)。
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303 号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号)
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号)。
《信息安全管理体系要求》(GB/T 22080-2008)
《信息系统安全管理要求》(GB/T 20269-2006)
- 测评内容
- 物理安全
物理安全测评通过访谈和检查的方式评测物理环境安全保障情况。主要涉及对象为信息系统机房。
具体测评内容包括:
- 物理位置的选择
- 物理访问控制
- 防盗窃和防破坏
- 防雷击
- 防火
- 防水和防潮
- 防静电
- 温湿度控制
(9)电力供应
(10)电磁防护
- 网络安全
网络安全测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以及网络安全设备等三大类。
具体的测评内容如下所示:
- 结构安全
- 访问控制
- 安全审计
- 边界完整性检查
- 入侵防范
- 恶意代码防范
- 网络设备防护
- 主机安全
主机系统安全测评通过访谈、检查和测试的方式,测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。
具体测评内容包括:
- 身份鉴别
- 访问控制
- 安全审计
- 剩余信息保护
- 入侵防范
- 恶意代码防范
- 资源控制
- 应用安全
应用安全测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统。
具体测评内容包括:
- 身份鉴别
- 访问控制
- 安全审计
- 剩余信息保护
- 通信完整性
- 通信保密性
- 抗抵赖
- 软件容错
- 资源控制
- 数据安全
数据安全测评通过访谈和检查的方式评估生产系统的数据安全保障情况。重点检测信息系统的数据在采集、传输、处理和存储过程中的安全,以及数据备份恢复的安全。
具体测评内容包括:
- 数据完整性
- 数据保密性
- 备份和恢复
- 管理测评
- 安全管理制度
- 管理测评
安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
具体测评内容包括:
(1)管理制度
(2)制定和发布
(3)评审和修订
- 安全管理机构
安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
具体测评内容包括:
(1)岗位设置
(2)人员配备
(3)授权和审批
(4)沟通和合作
(5)审核和检查
- 人员安全管理
人员安全管理测评通过访谈和检查的形式评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
具体测评内容包括:
(1)人员录用
(2)人员离岗
(3)人员考核
(4)安全意识教育和培训
(5)外部人员访问管理
- 系统建设管理
系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
具体测评内容包括:
(1)系统定级
(2)安全方案设计
(3)产品采购和使用
(4)自行软件开发
(5)外包软件开发
- 工程实施
- 测试验收
- 系统交付
- 系统备案
(10)等级测评
(11)安全服务商选择
- 系统运维管理
通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、各类运维人员,涉及内容有开发方的运维管理制 度、信息中心关于运维服务团队的各类管理制度、操作规程文件、执行过程记录等对
象。
具体测评内容包括:
- 环境管理
- 资产管理
- 介质管理
- 设备管理
- 监控管理和安全管理中心
- 网络安全管理
- 系统安全管理
- 恶意代码防范管理
- 密码管理
- 变更管理
- 备份与恢复管理
- 安全事件处置
- 应急预案管理
- 测评服务需求
- 需求描述
- 测评服务需求
本项目主要针对宁夏回族自治区国土资源地理信息中心业务信息系统开展等级保护测评服务,按照等级保护基本要求所规定的检查项,针对各级自然资源局项目范围的信息系统逐项进行合规性检测,客观检测和发现系统中存在的安全漏洞和安全隐 患,出具相关的测评报告,提出安全整改建议,并协助进行整改。明确当前信息系统与等级保护要求不符的内容、问题与风险。
- 实施原则
为保障项目的顺利实施,在项目实施过程须遵循以下原则: 1、规范性原则
投标方须根据项目实施的需要及招标人的要求,在人员、质量和时间进度等方面进行严格管控。
2、标准化原则
测评过程须严格遵守国家和宁夏公司的相关法律、法规、规范、标准等相关要求。
3、完整性原则
投标方在测评过程中,必须确保测评数据、过程记录的完整性和真实性。4、保密性原则
在测评过程中,投标方须切实加强对人员、技术等方面的组织管理;投标方必须与招标人签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不会泄露给第三方单位或个人,不得擅自利用这些信息。
5、影响最小原则
投标方在项目实施的过程中,须充分考虑到相关活动对系统正常运行的不利影响,采取必要的措施将相关风险降到最低。
(五)项目成果
《**信息系统信息安全等级保护测评报告》
《**信息系统信息安全等级保护整改咨询建议方案》
(六)进度要求
投标方根据宁夏回族自治区国土资源地理信息中心业务系统情况,制定合理的时间进度。初步测评应在 2019 年 9 月 1 日前完成并出具整改建议方案,最终报告应在整改后两周内提供。
(七)售后要求
提供一年整改咨询服务。
收藏