招标文件
项目说明和采购需求
测评服务内容
|
序号 |
类别 |
费用名称 |
服务内容 |
单位 |
数量 |
备注 |
|
1 |
测评服务 |
安全测评服务 |
详见 1 |
项 |
1 |
|
|
软件(验收)测评服务 |
详见 2 |
项 |
1 |
|
||
|
密码测评服务 |
详见 3 |
项 |
1 |
|
1.等保测评
1.1建设目标
根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等文件规定,按照等级保护基本要求所规定的检查项,完成自治区“云上妇幼”平台系统信息安全等级保护测评项目。主要针对自治区“云上妇幼”平台系统信息安全逐项进行合规性检测,客观评估安全体系,明确当前信息系统与等级保护要求不符的内容、问题与风险。
1.2技术要求
1.技术服务要求
(1)信息系统安全等级保护测评
投标方应根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等相关国家标准,做信息安全等级保护测评服务工作,系统包括“云上妇幼”平台中所含的 1 个“云上妇幼”支撑平台和 2 个“云上妇幼”APP。
(2)信息安全等级保护整改建议咨询服务
投标方“云上妇幼”平台系统测评完成后,针对“云上妇幼”平台提供整改建议咨询服务,从技术和管理两方面提出整改建议,协助招标人对“云上妇幼”平台系统建设中的安全部分提供技术指导建议,指导招标人针对系统评估工作中发现问题的整改建议工作。
2.技术实施要求
(1)项目实施期间人员要求:在项目实施期间提供至少 3 名实施经验丰富的工程师参与项目测评,其中包括 1 名高级测评师,2 名中级测评师,4 名初级测评师。同时,在投标文件中需明确拟投入项目人员组成,并提供资质证书复印件加盖公章。
(2)投标人须提供完善的测评实施方案和计划、测评方案,经招标人审核通过后实施, 完成对安全管理制度的补充完善和整理工作,配合招标人信息系统进行整改测评服务。
(3)投标人须与招标人签订项目合同、保密协议和现场评测授权书、风险预判告知书, 核实驻场测评师资质与投标时对本项目配备的测评师是否一致。如因工作调配需更换测评师, 需提前 10 个工作日向招标人书面报备,并提供更换测评师资质证明。
(4)测评结束后,投标人需免费提供为期一年的信息系统等级保护工作的技术支持, 以帮助招标人提高安全防护能力。
(5)项目工期要求。根据“云上妇幼”平台系统情况,制定合理的时间进度。初步测评应在项目中标后 15 天内完成并出具整改建议方案,最终报告应在整改后 3 周内提供。
1.3测评内容
根据《信息系统安全等级保护测评要求》和《网络安全等级保护定级指南》、《网络安全等级保护基本要求:第 2 部分云计算安全扩展要求》等相关国家标准,结合招标人网站系统实际情况,对本次被测网站信息系统从安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
1.安全物理环境
根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
2.安全通信网络
安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
3.安全区域边界
安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。
4.安全计算环境
安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。
5.安全管理中心
安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控” 等方面的测评。
6.安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
7.安全管理机构
根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
8.安全管理人员
根据现场安全测评记录,针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
9.安全建设管理
根据现场安全测评记录,针对信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
10.安全运维管理
根据现场安全测评记录,针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、 “安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
1.4项目原则
1.客观性和公正性原则
评估人员当没有偏见,在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。
2.保密原则
在测评过程中,需严格遵循保密原则,招标方与投标方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害用户利益。
3.规范性原则
信息安全等级保护测评服务的实施必须由专业的评估服务人员依照规范的操作流程进行,对操作过程和结果要有相的记录,并提供完整的服务报告。
1.5成功交付物
根据《宁夏信息安全等级保护测评活动管理规范》(宁公信安[2017]65 号)要求,成果交付物为:
1.本次被测网站信息系统测评方案;
2.本次被测网站信息系统正式纸质版测评报告;
3.本次被测网站信息系统出具纸质整改加固方案;
4.测评活动原始记录材料。
1.6质量保证
为保证信息安全等级测评项目质量,要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。
投标人必须指派一名高级测评师作为项目经理,负责项目协调和测评工作。
2.软件(验收)测评
功能测试指根据应用系统业务需求和相关技术文档的要求,对应用系统和与其相关的系统的全部功能进行覆盖测试(包含但不限于以下测评内容)。
2.1测试内容
2.1.1功能测试
功能测试指根据应用系统业务需求和相关技术文档的要求,对应用系统和与其相关的系统的全部功能进行覆盖测试。
2.1.2 性能测试
2.1.3 安全性测试
2.1.4 可靠性测试
*详情请见招标文件
收藏