采购需求

为深入贯彻落实《网络安全法》要求，根据公安部、国信办联合印发《信息系统安全等级保护管理办法》（公通字【2007】 43 号）、《关于信息系统安全等级保护工作的实施意见》（公通字【2004】66 号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安【2007】861 号）等相关文件精神，完成淮南市公安局的网络安全等级保护测评服务。等级保护测评主要包括以下几个方面：

安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。

安全管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

形成差距分析报告：依据测评结果和《信息系统安全等级保护基本要求》（GB/T22239），对各信息系统进行安全现状分析，形成相应的差距分析报告。

编制系统安全整改方案：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，结合差距分析结果，编制针对各信息系统的安全整改建设方案。

编制和完善安全管理制度：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，协助制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。

完成上述测评工作和实施整改后，最后中标人出具符合公安机关要求的（年度）信息系统安全保护等级测评报告。

工作要求：

（1）实施原则

规范性原则：中标人工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

（2）检测要求

（2.1）访谈

访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。在安全管理类测评任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈， 获取与安全管理有关的测评证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。

在安全功能检查任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈， 为后续的检查和测试收集必要的系统基本信息并提供参考数据。

（2.2）检查

检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务。

在物理安全测评任务中，测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

（2.3）测试

测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描等测评任务中。

在网络安全、主机安全和应用安全等测评任务中，测评人员将综合采用手工验证和工具测试方法对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。

人员配备及要求

中标人拟派的安全服务团队中最少配备有大数据技术工程师、网络安全工程师、软件架构师、渗透测试工程师、信息安全工程师每个专业 1 人共 6 人。其中 1 人应具有不低于中级的网络安全等级测评师证书，1 人应具有中国信息安全测评中心颁发的注册渗透测试工程师(CISP-PTE)证书，1 人应具有中国信息安全测评中心颁发的注册信息安全工程师(CISE)证书，并提供投标截止前半年内连续三个月的社保证明。现场测评结束后，提供二年的售后服务，既售后服务期内根据业主需求能在 4 小时之内安排测评师和渗透测试工程师到达现场协助业主处置突发情况。遵守淮南公安安全管理规定，提供安全服务团队人员资料配合安全审查，并签署协议。

中标人需提供 1 名机房运维人员驻点服务，应具有不低于中级的网络安全等级测评师证书，工作是对单位机房的网络线路、系统以及设备的日常安全检查，发现问题应及时向业主反映，并协助业主整改以及市局机关大楼内部正常运维工作。驻点服务期限为二年。

在本次测评活动中，需准备两台全新未使用过的、操作系统必须符合公安网入网标准、能够正常使用一机两用客户端注册的便携式工作站，以及配套的两台全新未使用过的，符合政府政策的国产服务器。因涉及到重要数据的安全问题，所以测评结束后这批设备五年内不得脱离淮南公安网。

验收标准

中标人按等保要求，完成规定工作内容，合同签订后 60 日历日内交付所有符合等保要求、完全能达标的信息系统测评报告，并完成规定的各项登记备案工作。

（服务）需求一览表

本次等级保护测评项目范围为淮南市公安局共计 13 个系统：

被测系统以淮南公安局网安支队备案为准

注：采购需求内如有错项或漏项，以实际采购人及实际现场完成本项目全部内容为准