招标文件
技术规格、参数及要求
一、供应商资格要求
- 应具备《政府采购法》第二十二条第一款规定的条件;
- 应未被“信用中国”网站(www.creditchina.gov.cn)、“中国政府采购网”(www.ccgp.gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单”;
- 本项目不接受联合体形式的投标。
二、采购清单
|
序号 |
名称 |
数量 |
单位 |
要求/备注 |
货物/ 服务 |
|
|
1 |
信息安全等级保护测评服务 |
1 |
项 |
|
服务 |
|
|
项目工期 |
项目整体初验后120个日历日 |
|||||
三、项目概述及简介
1项目背景
为贯彻落实《中华人民共和国网络安全法》,进一步提高湖北省公安厅机场公安局网络安全工作的管理水平和技术防护能力,促进湖北省公安厅机场公安局信息化建设健康发展,湖北省公安厅机场公安局立体化防控体系项目将按照国家等级保护相关要求全面梳理、检测和评估信息系统的安全隐患和安全风险,并在此基础上科学规划和设计出完成的安全体系建设和整改方案。通过安全建设整改,实现对信息资产的保密、完整、可用、不可抵赖和可审计性,力争做到“进不来、拿不走、改不了,看不懂、跑不了、可审计、打不垮”的信息安全管理目标。
2项目目标
按相关国家部门关于信息系统在物理管理、网络、主机和应用、数据及网络等方面的总体要求,科学合理的检测和评估湖北省公安厅机场公安局立体化防控体系信息系统风险、协助发现风险和问题。
1)依据湖北省公安厅机场公安局立体化防控体系信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标,进行全面的测试、分析。找出信息系统中的风险和问题并提出相应的应对措施。
2)实现湖北省公安厅机场公安局立体化防控体系主要信息系统达到国家关于信息系统安全等级保护的相关要求。
具体包括:
1)保障基础设施安全,保障网络周边环境和业务系统的持续使用和连续性;
2)保障网络连接安全,保障网络传输中的安全,尤其保障网络边界和外部接入的安全;
3)保障主机系统的安全、保障操作系统、数据库、服务器、用户终端及相关关键资产的安全;
4)保障应用系统安全,保障应用系统在传输中的保密、完整和可用,防止和抵御当前的安全威胁和攻击;
5)安全管理体系保障,依据国家有关信息安全等级保护方面的标准和规范要求,结合湖北省公安厅机场公安局的实际情况,建立一套切实可行的安全管理体系。
3 系统情况简介
为贯彻落实《国家航空安保规划》、《民用机场航空安保规则》以及中央、省市领导关于进一步加强机场空防安全一系列会议指示精神,强化底线思维,构建民航安保反恐工作体系;准确把握安全隐患零容忍深刻内涵,建立治理安全隐患长效机制;继续推进"六严"工作,全面夯实空防安全基础;深化改革明确职责,构建空防安全工作新机制;加强基础能力建设,持续提升空防安全工作效能。
全面贯彻落实湖北省委、省政府《关于加强全省政法机关信息化建设的意见》文件中“一场三站”重点部位立体化社会治安防控体系建设精神,以加强天河国际机场重点区域视频、车辆、人脸、WIFI、手机等多维信息感知能力,健全完善机场立体化防控,着力打造“四圈”立体化防控体系建设,即外围安保圈建设、陆侧安保圈建设、空侧安保圈建设和净空安保圈建设。
本项目立体化社会治安防控体系基本目标:坚持“打防结合、预防为主”的方针,努力推进治安防控机制创新,着力构建点线面结合“人防、物防、技防、联防”结合,网上、网下结合、打防管控结合的立体化社会治安防控体系,全力守住重点部位、防住主要干道、控制案件多发区域,管住重点人员、防范不稳定事件、努力提升人民群众安全感和满意度,有效维护机场治安大局持续稳定。
湖北省公安厅机场公安局(以下简称:机场公安局)拟建设全面立体化防控体系,充分发挥信息化手段,结合立体防控模式,将新的技术、理念融入到机场综合防控的思维和工作中,打破传统的信息壁垒,提升民航反恐防范、治安管控、安全管理工作能力。同时,积极开创地区配合、空地协作、部门联动的工作格局,确保机场内部正常的生产经营秩序,应对防控各类突发事件能力,维护良好的航空运输安全生产秩序,以对安全隐患零容忍的态度布局空防安全和公安保卫工作,确保 “五个坚决防止”目标的实现:
——坚决防止在机场发生暴力恐怖袭击事件;
——坚决防止在机场发生影响社会稳定的重大极端个人和群体性事件;
——坚决防止在机场发生社会反映强烈的重大恶性刑事案件和治安灾害事故;
——坚决防止威胁机场空防安全和秩序的非法干扰行为;
——坚决防止在机场内部发生影响恶劣的重大违法违纪问题。
项目建成后,机场公安局立体化治安防控水平可达到国际领先、国内一流的水平。
本项目建设分为七个部分:“四圈”立体化防控体系建设、传输网络系统、基础支撑平台、资源交换与共享中心、智慧应用体系、设备管理及信息安全保障、警务设施升级改造。通过信息化建设利用最新的技术手段和科技成果补齐人防和物防存在的短板,坚持“实战为先、形神兼备”的信息化系统建设原则,打造持续的全省平安民航和机场安防一体化综合管控能力,创建“全国领先”的平安机场。
以标准采集、规范整合、安全共享、合成应用为着力点,推动机场公安
基础信息化建设“建、用、管”,构建以“大数据”为核心的“一键式搜索、一图式展现、一库式存储、一体化应用、一站式服务”综合应用格局。
按照“人过留影、车过留牌、机过留号、活动留痕”的要求,重点围绕“人、地、物、案(事)、组织”等基础信息要素和“吃、住、行、消、乐”等基本活动轨迹,以“一中心、四个防控圈、七大业务体系、一套信息安全保障体系”为建设内容。
本项目建设内容详细可分为七大部分:
1) 建设“四圈”前端视频、WIFI、电围数据多维采集系统
四圈共配置791个前端风险感知点位(含恩施机场13个点)。其中高点摄像机24台,高清监控摄像机235台;视频分析摄像机28台;车辆卡口摄像机25台;人脸识别卡口摄像机191台;WiFi侦测设备277台;手机电子围栏设备11台,为机场安防“四圈”立体化防控系统提供视频、WiFi、电围数据。
同时考虑到技术的前瞻性和突出机场特色,在陆侧安保圈新增“巡逻服务机器人”4台,“自动变焦虹膜采集识别设备”62台。
2)建设公安视频专网传输系统、融合通信系统和室内定位系统
新建公安视频专网传输系统,部署1台核心交换机、2台接入交换机、1台出口防火墙;视频接入传输网部署2台OLT,312台ONU及传输光缆链路敷设安装。在安全可控条件下充分融合贯通公安网、民航信息专网、互联网等原有网络资源,以满足“全网共享”的物理网络需求。
音视频融合调度系统跨越公安网、视频专网、视频会议专网、公安移动信息网、互联网、无线通信专网、卫星通信网等网络,将视频会议、视频监控、IP电话、移动警务终端、执法记录仪、车载视频、4G布控球、报警电话、办公电话、手机、窄带集群对讲、LTE宽带集群、卫星电话等音视频通信调度手段进行整合接入、互联互通。
新建防控室内定位系统,T3航站楼内部署室内定位基站,实现临时工作人员和物资车辆的精确定位。
3) 新建基础支撑平台
新建机场公安视频专网基础支撑平台,采用分布式架构,构建大数据平台和虚拟化资源池,实现专网系统视频图像的采集、解析、存储和共享,并提供应用所需的各类基础资源服务,具体功能包括:大数据存储分析、实时计算、流计算、离线计算、主机、存储、安全和相关中间件等服务,对视频综合作战平台及视频网相关智慧应用提供支撑。
机场公安信息网基础支撑平台,依托由省公安云提供,包括主机、数据仓库、关系型数据库、相关中间件以及相关工具软件等服务,基于省公安云资源构建机场公安网数据服务、应用服务以及智慧应用系统。根据机场公安业务实际需求,相应购置所需硬件基础设施对省公安云进行扩充。
4) 新建机场公安资源交换与共享中心
建设机场公安资源交换与共享中心。通过物联汇集平台采集感知前端数据,整合各方数据资源,建立数据汇聚库、专题应用库;图像解析中心对视频图像数据进行解析,所有数据经处理汇聚至机场公安数据仓库构成数据资源中心。通过资源服务总线进行统一的数据资源交换与共享,同步提供数据分析展现功能。
实现湖北省公安厅、机场公安局双中心间的级联,满足各警种之间协同工作、信息高度共享、实现信息分析复用、决策支持的高层次应用的需要。对接“湖北公安云”,将本地存储的各种资源按照省厅要求交换共享给省厅。
5) 新建“七大”智慧应用系统
建设风险控制系统、指挥调度系统、勤务管理系统、执法办案系统、内部管理系统、监管系统、对外信息服务系统等七大智慧应用体系,全面支撑机场公安局实现各类数据的汇聚、展示及应用,各子系统平台互相对接,数据共享、集中管理与统一调用,实现子系统之间的智能化联动,实现机场公安的立体化治安防控综合应用。
6) 新建设备监控和信息安全保障系统
新配置1套运维一体化监控管理系统,实现对机场公安建设的所有前端感知点位及其配套的软硬件IT设备的全面监控和管理。
7) 情报指挥系统和执法办案系统升级改造
情报指挥系统改造
更换原情报指挥大厅大屏,采用室内LED小间距大屏,面积80平米;新建一套会议扩声系统;配置作战决策指挥仓。
执法办案系统改造
对原执法办案中心重新进行功能分区,建成执法监督智能的完整信息化、智能化体系,智慧执法办案中心升级;配套人脸识别流程管控终端,标采一体设备;前室、人身安全检查、随身财物保管、信息采集一体化功能区、尿检/缉毒检查室等相关建设;通过对机场公安智能办案区进行高标准、现代化、智能化改造升级,实现流水线作业、执法办案标准化采集、规范化智能办案功能。
机房升级改造机场公安局数据中心机房面积约84平方,分别是三楼56平方、四楼28平方。作为立体化防控项目主体机房,为业务系统提供计算资源、 存储资源和网络资源服务。
四、国家相关行政主管部门颁布的标准、规范
采购内容需执行的国家相关标准、行业标准、地方标准或者其他标准、规范。
《中华人民共和国网络安全法》;
《中华人民共和国计算机信息系统安全保护条例》,国务院147号令;
《国家信息化领导小组关于加强信息安全保障工作的意见》,中办发〔2003〕27号;
《关于信息安全等级保护工作的实施意见》,公通字〔2004〕66号;
《关于信息系统等级保护安全建设整改工作的指导意见》,公信安〔2009〕1429号;
《信息安全等级保护管理办法》,公通字〔2007〕43号文;
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》发改高技[2008]2071号;
关于推动信息安全等级保护评测体系建设和开展等级评测工作的通知,公信安〔2010〕303号;
《信息安全技术信息系统安全管理要求》,GB/T20269-2006;
《信息安全技术信息系统安全通用技术要求》,GB/T20271-2006;
《信息安全技术信息系统安全等级保护基本要求》,GB/T22239-2008;
《信息安全技术信息系统安全等级保护实施指南》,GB/T25058-2012;
《信息安全技术信息系统安全等级保护测评要求》,GB/T28448-2012;
《信息系统安全工程管理要求》,GB/T20282-2006;
《信息安全技术信息系统安全等级保护测评过程指南》,GB/T28449-2012;
《信息安全技术信息安全等级保护信息系统物理安全技术要求》,GB/T 21052-2007;
《信息安全技术信息系统安全等级保护测评准则》;
《信息安全技术网络基础安全技术要求》,GB/T20270-2006;
《信息安全技术操作系统安全技术要求》,GB/T20272-2006;
《信息安全技术数据库管理系统安全技术要求》,GB/T20273-2006;
《信息安全技术服务器技术要求》;
《信息安全技术终端计算机系统安全等级技术要求》,GA/T671-2006;
《信息安全技术信息系统安全管理要求》,GB/T20269-2006;
《信息技术信息安全管理实用规则》,GB/T 19716-2005 ;
《公安物联网系统信息安全等级保护要求》,GB/T 35317-2017;
《公共安全视频监控联网信息安全技术要求》,GB 35114-2017。
五、技术、服务要求
1、建设原则
信息安全等级保护测评服务主要遵循以下原则:
1.1 客观性和公正性原则
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
1.2 经济性和可重用性原则
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,并且能够反映目前系统的安全状态的基础之上。
1.3 可重复性和可再现性原则
不论谁执行测评,依照同样的要求,使用同样的测评方法,对每个测评实施过程的重复执行应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。
1.4 符合性原则
测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的测评方法以确保其满足了测评指标的要求。
2、采购内容
2.1测评服务
依据《GB/T 35317-2017公安物联网系统信息安全等级保护要求》、《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的第三级相关要求,供应商在服务期内对采购人人采购范围内的信息系统(参见系统情况简介),提供测评服务,并出具符合国家等级保护格式要求的等级测评报告。
测评内容应包括但不限于以下内容:
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个方面的安全测评;
(2)安全管理测评:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评;
(3)系统整体测评:控制间测评、层面间测评、区域间测评安全测评。
2.2信息系统测评范围
2.2.1物理安全
测评对象主要为主机房,涉及工作单元12个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
物理位置的选择 |
检查主机房等过程,测评主机房等信息系统物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
|
2 |
物理访问控制 |
检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
|
3 |
防盗窃和防破坏 |
检查主机房主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
|
4 |
感知终端的物理安全 |
检查主机房感知终端等过程,测评主机房感知终端是否收到物理破坏、环境状态、避免信号干扰。 |
|
5 |
物联网网关的物理安全 |
检查主机房物联网网关等过程,测评物联网网关所处物理环境时候具备防火、防静电、防潮、防水的能力,及良好的信号收发能力。 |
|
6 |
防雷击 |
检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
|
7 |
防火 |
检查机房设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生 |
|
8 |
防水和防潮 |
检查主机房等过程,测评信息系统是否采取必要的措施防止水灾和机房潮湿。 |
|
9 |
防静电 |
检查主机房等过程,测评信息系统是否采取必要的措施防止静电的产生。 |
|
10 |
温湿度控制 |
检查主机房恒温恒湿系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
|
11 |
电力供应 |
检查主机房供电线路、设备等过程,测评信息系统是否具备提供一定的电力供应的能力。 |
|
12 |
电磁防护 |
检查主要设备等过程,测评信息系统是否具有一定的电磁防护能力。 |
测评对象主要为网络互联设备、网络安全设备以及网络拓扑结构等三大类,涉及工作单元14个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
结构安全 |
检查网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络带宽分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
|
2 |
访问控制 |
检查防火墙等网络访问控制设备测试系统对外暴露安全漏洞情况等过程,测评分析系统对网络区域边界相关的网络隔离与访问控制能力。 |
|
3 |
安全审计 |
检查核心交换机和接入交换机等网络互联设备的安全审计情况等,测评分析系统审计配置和审计记录保护情况。 |
|
4 |
边界完整性 检查 |
检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析系统私自联到外部网络的行为。 |
|
5 |
入侵防范 |
检查网络边界处的入侵检查设备IDS、IPS等过程,测评分析系统对攻击行为的识别和处理情况。 |
|
6 |
恶意代码防范 |
检查网络边界处对恶意代码进行检测和清除,是否维护恶意代码库的升级和检测系统的更新。 |
|
7 |
网络设备防护 |
检查核心交换机、接入交换机和接入路由器等网络互联设备,IDS和防火墙等网络安全设备,查看他们的安全配置情况,包括身份鉴别、权限分离、登陆失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。 |
|
8 |
感知设备防护 |
检查感知设备是否采取安全防护设施,查看它们是否被破坏和篡改。 |
|
9 |
设备标识 |
检查感知设备时候标识信息,对感知设备进行身份识别与鉴别的能力。 |
|
10 |
感知设备认证 |
检查感知设备是否建立注册和认证机制,查看他们的注册机制是否完善,及与服务器之间是否采取双向身份认证机制。 |
|
11 |
组认证 |
检查应用服务器对感知终端构成的组是否提供组认证的能力。 |
|
12 |
数据源认证 |
检查物联网网关的信息来源,查看来源是否正确,并是否被注入虚假信息。 |
|
13 |
异构网接入 |
检查异构网络设备的接入是否进行安全检测,是否具有拒绝恶意节点的接入能力,及转发的数据是否具有完整性和保密性。 |
|
14 |
终端位置隐私保护 |
检查感知终端物理位置和网络地址是否具有隐私保护的能力。 |
测评主要是对主机操作系统和数据库服务器进行安全性测试,涉及工作单元7个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
身份鉴别 |
检查各主机服务器和终端设备相应操作系统或数据库的自身标识与鉴别和用户登录的配置情况。 |
|
2 |
访问控制 |
检查各主机服务器和终端设备相应操作系统或数据库的自主访问控制设置情况,包括安全策略覆盖、控制力度以及权限设置情况等。 |
|
3 |
安全审计 |
检查各主机服务器和终端设备相应操作系统或数据库的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 |
|
4 |
入侵防范 |
检查各主机服务器和终端设备相应操作系统系统组件安装情况和补丁更新情况。 |
|
5 |
剩余信息保护 |
检查操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 |
|
6 |
恶意代码防范 |
检查各主机服务器和终端设备相应操作系统的恶意代码防范情况。 |
|
7 |
资源控制 |
检查各服务器和终端设备相应操作系统或数据库的系统资源控制情况,如会话限定、用户登陆控制、最大并发连接以及服务优先级设置等。 |
测评主要是对被测评信息系统进行安全测评,涉及工作单元12个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
身份鉴别 |
检查业务应用系统的身份表示与鉴别功能设置和使用配置情况;检查业务应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 |
|
2 |
访问控制 |
检查业务应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
|
3 |
感知终端软件更新 |
检查公安物联网应用业务拓展和安全加固是否有完善的更新机制。 |
|
4 |
感知设备访问控制 |
检查感知层入网是否提供访问控制功能及机制。 |
|
5 |
安全审计 |
检查业务应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; 检查业务应用系统安全审计进程和记录的保护情况。 |
|
6 |
剩余信息保护 |
检查存储空间、系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户情况。 |
|
7 |
抗抵赖 |
检查在请求的情况下,是否为数据原发者或接收者提供数据原发证据或接受证据的功能。 |
|
8 |
通信完整性 |
检查业务应用系统客户端和服务器之间的通信完整性保护情况。 |
|
9 |
通信保密性 |
利用协议分析仪检查业务应用系统客户端和服务器端之间的通信保密性保护情况。 |
|
10 |
软件容错 |
检查业务应用系统的软件容错能力,如输入输出格式检查,自我状态监控,自我保护,退回等能力。 |
|
11 |
资源控制 |
检查业务应用系统的资源控制情况,如会话限定,用户登陆限制,最大并发连接以及服务优先级设置等。 |
|
12 |
业务管理 |
检查是否建立业务管理和生命周期管理机制及完整的公安物联网业务注册、审核和发布机制。 |
测评对象主要为被测评信息系统,涉及工作单元6个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
数据完整性 |
访谈安全员在数据完整性方面采取的措施;检查操作系统网络设备、主要应用系统等保证数据完整性措施。 |
|
2 |
数据可用性 |
访谈安全员在数据可用性方面采取的措施;检查关键物联网网关和通信线路是否冗余,是否支持网络传输质量保证能力。 |
|
3 |
敏感数据加密 |
访谈安全员在数据加密方面采取的措施。 |
|
4 |
用户隐私安全 |
访谈安全员在保护数据安全方面采取的措施,是否能保证用户隐私数据不被泄露。 |
|
5 |
数据保密性 |
访谈网络管理员、系统管理员、数据库管理员、安全员并检查测试操作系统、网络设备、数据库管理系统、关键应用系统有关于鉴别信息、敏感的系统管理数据和敏感的用户数据采用加密或其他有效措施实现传输保密性。 |
|
6 |
备份和恢复 |
通过访谈网络管理员、系统管理员、数据库管理员并检查操作系统、网络设备、数据库管理系统、应用系统配置有本地系统级热备份和重要信息恢复功能。 |
测评对象主要为信息安全主管人员、信息安全管理人员、各类其他人员、各类管理制度、各类操作规程文件等,涉及工作单元3个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
管理制度 |
检查有关管理制度体系文档等过程,测评管理制度体系在内容覆盖上是否全面,完善。 |
|
2 |
制定与发布 |
检查有关制度制定要求文档等过程,测评管理制度的制定和发布过程是否遵循一定的流程。 |
|
3 |
评审和修订 |
检查管理制度评审记录等过程,测评管理制度定期评审和修订情况。 |
测评对象主要为信息安全主管人员、信息安全管理人员、相关的文件资料和工作记录等,涉及工作单元5个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
岗位设置 |
检查部门/岗位职责文件,测评被测评单位的安全主管部门设置情况以及各岗位设置情况。 |
|
2 |
人员配置 |
检查人员名单等文档,测评被测评单位内各个岗位人员配备情况以及关键岗位的轮岗情况。 |
|
3 |
授权和审批 |
检查相关文档,测评被测评单位对重要活动的授权和审批情况。 |
|
4 |
沟通与合作 |
检查相关文档,测评被测评单位对内部部门、外部单位间的沟通与合作情况。 |
|
5 |
审核与检查 |
检查相关制度文档和管理要求文档等过程测评被测评单位对安全工作的审核和检查情况。 |
测评对象主要为信息安全人员、人事管理人员、相关管理制度、相关工作记录等,涉及工作单元5个,具体如下表;
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
人员录用 |
检查人员录用文档等过程,测评被测评单位在录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
|
2 |
人员离岗 |
检查人员离岗要求文档等过程,测评被测评单位在人员离岗时是否按照一定的手续办理。 |
|
3 |
人员考核 |
检查有关考核记录等过程,测评被测评单位是否对人员进行日常的业务考核和工作审查。 |
|
4 |
安全意识教育和培训 |
检查培训计划和执行记录等过程,测评易被测评单位是否对人员进行安全方面的教育和培训。 |
|
5 |
外部人员访问管理 |
检查有关文档等过程,测评被测评单位对第三方人员访问(物理、逻辑)信息系统是否采取必要控制措施。 |
测评对象主要为信息安全管理人员、系统建设负责人、各类管理制度、操作规程文档、执行过程记录等,涉及工作单元13个,具体如下表:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
系统定级 |
检查系统定级相关文档等过程,测评信息系统是否按照一定要求确定其等级。 |
|
2 |
安全方案设计 |
检查系统安全建设计划等文档,测评被测评单位对系统整体的安全规划设计是否按照一定流程进行。 |
|
3 |
产品采购和使用 |
检查相关采购制度等过程,测评被测评单位是否按照一定的要求进行信息系统的产品采购。 |
|
4 |
自行软件开发 |
检查相关软件开发文档和管理制度文档,测评被测评单位对自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
|
5 |
自行研发感知设备 |
检查感知设备开发文档和管理制度文档,测评被测评单位对自行开发的感知设备是否采取必要的措施保证开发过程的安全性。 |
|
6 |
外包软件开发 |
检查相关软件开发文档和管理制度文档,测评被测评单位对外包开发软件是否采取必要的措施保证开发过程的安全性。 |
|
7 |
外包开发感知设备 |
检查感知设备开发文档和管理制度文档,测评被测评单位对外包开发的感知设备是否采取必要的措施保证开发过程的安全性。 |
|
8 |
工程实施 |
检查相关文档,测评被测评单位对系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
|
9 |
测试验收 |
检查相关制度文档和测试验收文档,测评被测评单位在信息系统运行前是否对其进行测试验收工作。 |
|
10 |
系统交付 |
检查系统交付清单和系统交付管理制度等过程,测评被测评单位是否采取必要的措施对系统交付过程进行有效控制。 |
|
11 |
安全服务商选择 |
检查测评被测评单位是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
|
12 |
系统备案 |
检查是否有专门的部门或人员负责管理系统定级的相关材料,并将系统等级及相关材料报系统主管部门备案。 |
|
13 |
等级测评 |
检查系统所在单位是否按照国家相关要求定期开展系统等级测评。 |
测评对象主要为信息安全主管人员、信息安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等、涉及工作单元13个,具体如下表:
|
序号 |
工作单元名称 |
工作单位描述 |
|
1 |
环境管理 |
通过访谈系统建设负责人,检查主机房安全管理制度和办公环境管理文档等过程,测评被测评单位是否采取必要的措施对主机房的出入控制和办公环境的人员行为等方面进行安全管理。 |
|
2 |
资产管理 |
通过访谈系统建设负责人,检查资产清单和系统、网络设备等过程,测评被测评单位是否采取必要的措施对信息系统资产进行分类标识管理。 |
|
3 |
介质管理 |
通过访谈系统建设负责人,检查介质管理记录、介质安全管理制度以及各类介质等过程,测评被测评单位是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
|
4 |
设备管理 |
通过访谈系统建设负责人,系统管理员,检查设备使用管理文档和设备操作规程等过程,测评被测评单位是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
|
5 |
网络安全管理 |
通过访谈系统建设负责人、网络管理员、检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评被测评单位是否采取必要的措施对网络安的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
|
6 |
系统安全管理 |
通过访谈系统建设负责人,系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评被测评单位是否采取必要的措施对信息系统的安全配置、系统帐户、漏洞扫描和审计日志等方面进行有效的管理。 |
|
7 |
监控管理和安全管理中心 |
检查信息处理设备审批及通信线路、主机、网络设备和应用软件的运行等进行监测情况;是否组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。 |
|
8 |
恶意代码防护管理 |
通过访谈系统建设负责人,检查恶意代码防护管理制度和恶意代码检测、分析记录等过程,测评被测评单位是否采取必要的措施对恶意代码进行集中管理,确保信息系统具有恶意代码防范能力。 |
|
9 |
密码管理 |
通过访谈安全员,检查密码管理制度等过程,测评被测评单位时候能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
|
10 |
变更管理 |
通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评被测评单位是否采取必要的措施对系统发生的变更进行有效管理。 |
|
11 |
备份和恢复管理 |
通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评被测评单位是否采取必要的措施对数据、设备和系统进行备份,并确保必要时能够对信息系统进行有效地恢复。 |
|
12 |
安全事件处理 |
通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处理管理制度等过程,测评被测评单位是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
|
13 |
应急预案管理 |
通过访谈系统运维负责人,检查应急响应预案文档,应急预案培训记录等过程,测评被测评单位是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
2.2.11检测工具配备
本项目实施的漏洞检测工具由成交供应商提供,成交供应商需具备正版漏洞检测工具,测评实施前需升级至最新版本,测评完成后清除所有驻留程序。
3服务要求
3.1 测评实施及安全服务要求
1)最小影响要求:供应商在测评实施和安全服务过程中必须保证系统的正常运行,不得导致系统运行中断或服务性能明显下降,尽可能降低对系统的负面影响。在进行有风险的操作前必须出具书面材料,明确风险提示,指导采购人做好应急措施,征得采购人书面许可后并选择业务低峰期进行下一步操作。
2)保密要求:对等级测评或技术服务过程中获取的信息严格保密,包括但不限于采购人网络拓扑结构、IP地址、业务流程、业务数据、安全隐患等,未经授权不得泄露给任何单位和个人,不得利用保密信息进行任何侵害采购人的合法权益。
3)客观公正性要求:项目实施过程中,必须接受采购人的监督,每个测评环节完成后均由采购人进行审核确认,确保测评工作客观公正性。不得指定或限制采购人购买相关产品,所提出的整改方案和建议必须有充分的依据。
4)规范性要求:供应商需制定测评技术方案,等级测评实施等必须严格按照国家等级保护相关标准进行。
5)可控性要求:项目实施必须制定严格的实施计划及进度安排,经采购人审核确认后执行,确保项目实施的可控性。
3.2 人员要求
1)参与测评人员需具备测评师证书或软考信息安全工程师(中级)证书,其中高级或中级测评师不少于1人。
2)项目经理要求:项目经理需具备中级(含)以上测评师或高级信息系统项目管理师资质。
3)供应商须具有良好的技术服务及应急保障团队,本项目技术服务人员不得少于5人,其中应急技术支持人员不得少于2人。
六、确定成交供应商原则
根据符合采购需求、质量和服务相等且报价(评审价)最低的原则确定成交候选供应商。
收藏