招标文件
商务、技术要求
(一)商务要求
一、项目概述:
依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)中二级、三级系统的要求,对长治医学院Web信息系统、人事管理系统、教务管理系统、一站式微服务平台系统、仪器共享管理系统进行本年度测评,并出具相应的信息系统安全等级测评报告。
二、合同履行期限(交付时间):自合同签订之日起180日历天内完成等保测评工作,达到验收标准。
三、服务地点:采购人指定地点。
四、质量标准:达到国家标准、行业标准、地方相关标准。
五、质保期:服务器1年,质保期自本项目验收合格之日起计算(相关服务、技术要求中有其他规定的,以相关技术要求中的规定为准)。
五、款项支付方式
签订合同后,采购人支付合同金额的40%,项目完成,验收合格后,支付合同金额剩余60%
六、履约保证金
1.本项目要求中标供应商提交履约保证金。
2.中标供应商收到中标通知书后,在签订合同前30日内,向采购人提交合同额(5)%的履约保证金。
3.提交履约保证金按照采购人的要求以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金形式提交。
4.中标供应商合同主要义务履行完毕,中标供应商缴纳的履约保证金项目验收合格后采购人无息退还。
(二)技术要求
一、测评对象:
1、二级系统1个:仪器共享管理系统。
2、三级系统4个:Web信息系统、人事管理系统、教务管理系统、一站式微服务平台系统。
二、测评内容
1、依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)中二级、三级系统的要求,对被测信息系统从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理、云计算安全层面开展测评工作,并出具相应的信息系统安全等级测评报告。测评明细包括:
|
安全控制点 |
||
|
安全物理环境 |
物理位置的选择 |
|
|
物理访问控制 |
||
|
防盗窃和防破坏 |
||
|
防雷击 |
||
|
防火 |
||
|
防水和防潮 |
||
|
防静电 |
||
|
温湿度控制 |
||
|
电力供应 |
||
|
电磁防护 |
||
|
安全通信网络 |
网络架构 |
|
|
通信传输 |
||
|
可信验证 |
||
|
安全区域边界 |
边界防护 |
|
|
访问控制 |
||
|
入侵防范 |
||
|
恶意代码和垃圾邮件防范 |
||
|
安全审计 |
||
|
可信验证 |
||
|
安全计算环境 |
身份鉴别 |
|
|
访问控制 |
||
|
安全审计 |
||
|
入侵防范 |
||
|
恶意代码防范 |
||
|
可信验证 |
||
|
数据完整性 |
||
|
数据保密性(二级系统不涉及) |
||
|
数据备份恢复 |
||
|
剩余信息保护 |
||
|
个人信息保护 |
||
|
安全管理中心 |
系统管理 |
|
|
审计管理 |
||
|
安全管理(二级系统不涉及) |
||
|
集中管控(二级系统不涉及) |
||
|
安全管理制度 |
安全策略 |
|
|
管理制度 |
||
|
制定和发布 |
||
|
评审和修订 |
||
|
安全管理机构 |
岗位设置 |
|
|
人员配备 |
||
|
授权和审批 |
||
|
沟通和合作 |
||
|
审核和检查 |
||
|
安全管理人员 |
人员录用 |
|
|
人员离岗 |
||
|
安全意识教育和培训 |
||
|
外部人员访问管理 |
||
|
安全建设管理 |
定级和备案 |
|
|
安全方案设计 |
||
|
产品采购和使用 |
||
|
自行软件开发 |
||
|
外包软件开发 |
||
|
工程实施 |
||
|
测试验收 |
||
|
系统交付 |
||
|
等级测评 |
||
|
服务供应商选择 |
||
|
安全运维管理 |
环境管理 |
|
|
资产管理 |
||
|
介质管理 |
||
|
设备维护管理 |
||
|
漏洞和风险管理 |
||
|
网络和系统安全管理 |
||
|
恶意代码防范管理 |
||
|
配置管理 |
||
|
密码管理 |
||
|
变更管理 |
||
|
备份和恢复管理 |
||
|
安全事件处置 |
||
|
应急预案管理 |
||
|
外包运维管理 |
||
|
云计算安全 扩展要求 |
安全物理环境 |
基础设施位置 |
|
安全通信网络 |
网络架构 |
|
|
安全区域边界 |
访问控制 |
|
|
入侵防范 |
||
|
安全审计 |
||
|
安全计算环境 |
身份鉴别(二级系统不涉及) |
|
|
访问控制 |
||
|
入侵防范(二级系统不涉及) |
||
|
数据备份恢复 |
||
|
剩余信息保护 |
||
|
镜像和快照保护 |
||
|
数据完整性和保密性 |
||
|
安全管理中心 |
集中管控(二级系统不涉及) |
|
|
安全建设管理 |
云服务商选择 |
|
|
供应链管理 |
||
|
安全运维管理 |
云计算环境管理 |
|
三、信息系统测评过程
根据国家标准《信息安全技术信息系统安全等级保护测评过程指南》的规定,测评过程分为四个阶段:
(1)测评准备阶段:主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
(2)方案编制阶段:主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要编制测评指导书,形成测评方案。
(3)现场测评阶段:主要任务是按照测评方案的总体要求,严格执行测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
(4)分析与报告编制阶段:主要任务是根据现场测评结果和GB/T 25058-2019的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
四、信息系统测评报告
信息系统测评报告包括以下内容:
(1)网络安全等级测评基本信息表
(2)声明
(3)等级测评结论
(4)总体评价
(5)主要安全问题及整改建议
(6)目录
(7)正文表格索引
(8)附录表格索引
(9)插图索引
(10)测评项目概述
(11)被测对象描述
(12)单项测评结果分析
(13)整体测评结果分析
(14)安全问题风险分析
(15)等级测评结论
(16)安全问题整改建议
(17)附录A:被测对象资产
(18)附录B:上次测评问题整改情况说明
(19)附录C:单项测评结果汇总
(20)附录D:单项测评结果记录
(21)附录E:漏洞扫描结果记录
(22)附录F:渗透测试结果记录
(23)附录G:常见威胁列表
五、项目实施遵循的技术标准
1、《中华人民共和国网络安全法》
2、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
3、《信息安全等级保护管理办法》(公通字[2007]43号令)
4、GB 17859-1999《计算机信息系统安全保护等级划分准则》
5、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
6、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
7、GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》
8、GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》
9、《网络安全等级保护测评报告模板(2019年版)》(公网安[2019]620号)
收藏