招标文件
服务标准和要求
一、测评标准
测评服务机构应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
《网络安全等级保护条例》(征求意见稿)
《网络安全等级保护基本要求》(GB/T 22239—2019)
《网络安全等级保护定级指南》(GA/T 1389-2017)
《网络安全等级保护实施指南》(GB/T 25058-2019)
《网络安全等级保护测评要求》(GB/T 28448-2019)
《网络安全等级保护设计技术要求》(GB/T 25070-2019)
《网络安全等级保护测评过程指南》(GB/T 28449-2018)
《网络安全等级保护设计技术要求》(GB/T 25070-2019)
二、测评对象
本项目测评对象为保定法院当前应用的审判业务系统和执行办案系统两个系统及其应用环境,均应具备第三级安全保护能力,具体包括以下内容:
(一)机房(包括其环境、设备和设施等)和弱电间等,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的机房选取作为测评对象;
(二)办公场地;
(三)整个系统的网络拓扑结构;
(四)安全设备,包括防火墙、入侵检测设备和防病毒网关等;
(五)边界网络设备,包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
(六)对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
(七)存储被测系统重要数据的介质的存放环境;
(八)承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);
(九)管理终端和主要业务应用系统终端;
(十)业务备份系统;
(十一)信息安全主管人员、各方面负责人员、具体负责安全管理的当事人、业务负责人;
(十二)涉及到信息系统安全的所有管理制度和记录。
三、测评服务机构要求
(一)提供在近三年未被中国网络安全等级保护网发布限期整改公告的截图。
(二)项目服务团队至少配备5名测评工程师,其中高级测评师不少于1名,中级测评工程师不少于2名,初级测评师不少于2名,均需持证上岗
(三)完成期限:合同签订后1个月之内完成。
(四)必须按采购人提出的项目工期和要求提供项目实施进度计划,评测方案、评测计划必须得到采购人的共同认可,并严格按照项目计划执行。
(五)必须对项目中的风险明确提出,并提出防范风险的方法和步骤。
(六)所测两系统必须通过第三级网络安全等级保护测评,负责在项目完成时将项目实施的全部有关技术文件、资料及测试、验收报告等文档汇集成册交付项目单位。
四、测评内容与流程
(一)信息系统备案
协助采购人依据《网络安全等级保护定级指南》(GA/T 1389-2017)、《信息安全等级保护备案实施细则》(公信安[2007]1360号等要求对被测信息系统现状进行调研。参照业务信息安全级别和系统服务安全级别,判定信息系统所属级别,编制等级保护定级备案表和信息系统定级报告,最后召开定级专家评审会议,确认该信息系统等级保护级别。材料准备完毕,提交到所属公安机关,完成定级备案,最终取得备案证明材料。
主要交付成果包括《信息系统定级报告》、《信息系统等级保护备案表》、《专家评审意见》、协助完善公安机关备案所需要的其他材料等。
(二)初次测评
检查采购人被测系统现状,依据《网络安全等级保护基本要求》(GB/T 22239-2019)从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理等层面对系统进行初次安全评估,通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,形成差距分析;基于差距提出安全整改建议,以指导后续安全整改工作。
该阶段的测评内容包括:
安全物理环境测评:包括物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。
安全通信网络测评:包括网络架构、通信传输、可信验证等内容。
安全区域边界测评:包括边界防护、访问控制、入侵防御、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境测评:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全建设管理测评:系统管理、审计管理、安全管理、集中管控等内容。
安全运维管理测评:涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。
交付成果包括:《测评方案》、《初次测评现场记录表》、《信息系统渗透测试报告》、《信息系统安全整改建议书》等。
(三)建设整改
采购方根据测评机构提供的整改建议,按照《网络安全等级保护条例(征求意见稿)、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)、《网络安全等级保护设计技术要求》(GB/T 25070-2019)等有关管理规范和技术标准,制定完善安全管理制度、落实安全责任,优化安全技术措施。通过安全建设整改,确保信息系统通过相应级别的安全等级评测。
交付成果包括《测评系统整改确认报告》等。
(四)二次测评
采购方完成整改后,通过对整改后的系统进行分析和梳理,再次实施等级测评,记录测评结果。
交付成果包括《终版测评现场记录表》、《信息系统渗透测试报告》等。
(五)报告编制
通过对现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,然后进行整体测评和风险分析,形成等级测评结论,按照《网络安全等级测评报告模版(2021年版)》编写等级测评报告。
交付成果包括《信息系统等级保护测评报告》等。
(六)安全保护培训
供应商结合测评内容及测评阶段,制定针对采购人技术人员、管理人员及工作人员的信息安全培训计划方案,配合采购人开展安全保护教育。培训内容包括网络安全基础知识、等保测评知识交流、网络安全法知识普及、安全意识培训。培训形式包括针对采购人技术人员、管理人员的现场培训与集中培训,针对采购人全体工作人员的集中安全学习教育,其中每个服务期针对采购人技术人员、管理人员的集中培训。供应商必须为所有被培训人员提供培训用中文文字资料和讲义等相关用品。
(七)基层法院测评
21个基层法院需作为远程接入点分别进行测评工作,测评标准需要达到第三级网络安全等级保护测评标准。
五、测评验收交付
成交方的工作计划、流程、内容及成果交付严格遵循国家标准规范开展。根据实际情况,项目实施验收前应提交真实可靠、客观公正的评估文档,文档应包括但不限于以下内容:
(一)测评方案;
(二)安全建设整改建议;
(三)等级测评报告;
(四)公安相关部门出具的信息系统安全等级保护备案证明。
六、测评售后服务
本项目安全保护等级测评服务包括本年度相关系统的安全等级保护测评与备案服务,以及安全等级保护测评报告时间之日起一个自然年度期间的安全等级保护建设技术售后服务。
(一)供应商服务方案中项目经理应同时为项目售后服务负责人。
(二)电话支持。提供供应商承诺售后年限内7×24小时的免费电话支持服务。提供免费技术支持服务热线电话,通过电话了解情况并提供远程技术服务,30分钟以内做出反应、2小时以内做出答复。
(三)在线远程支持。提供供应商承诺售后年限内7×24小时的免费在线远程支持服务。提供免费在线远程支持服务,通过远程技术服务,保证7×24小时维护响应。
(四)到场支持。如需要现场解决技术问题,需4小时到场(特殊情况根据公司驻地到采购方工作场地双方协商时间)。在接到用户维修通知后,30分钟响应,1个工作日内排除故障;提交问题处理报告,说明问题种类、问题原因、问题解决方法等情况。
(五)提供专业咨询顾问服务。范围包括系统诊断、故障恢复等。指定专门有丰富经验的技术人员负责系统的技术支持。
七、付款方式
在“审判业务系统”和“执行办案系统”两系统分别取得公安机关下发的第三级信息系统安全等级保护备案证明后支付97%项目款,在服务期结束之后支付剩余3%项目款。
注:以上商务要求均为重要条款,供应商不满足或未完全响应即为无效响应,但可以高于磋商文件的要求。
收藏