項目需求和服務(wù)方案要求【模板】

1、項目需求和服務(wù)方案要求1、 項目背景為了落實中華人民共和國網(wǎng)絡(luò)安全法 的有關(guān)法律要求，提高信息系統(tǒng)的 安全保護(hù)水平，選擇具備資質(zhì)的第三方專業(yè)機(jī)構(gòu)，在全面了解現(xiàn)有信息化現(xiàn)況的 基礎(chǔ)上，開展信息系統(tǒng)安全等級保護(hù)測評工作。通過本次工作，發(fā)現(xiàn)信息系統(tǒng)中 存在的安全風(fēng)險，分析信息系統(tǒng)安全現(xiàn)狀與相關(guān)政策文件、技術(shù)標(biāo)準(zhǔn)內(nèi)容要求的 差距，提出安全建設(shè)整改建議。切實加強(qiáng)信息安全防范水平，提高系統(tǒng)抵御風(fēng)險 的能力。2、 總體要求1、按照網(wǎng)絡(luò)安全等級保護(hù)定級標(biāo)準(zhǔn)和工作要求，開展信息系統(tǒng)安全等級保 護(hù)系統(tǒng)梳理和定級工作，協(xié)助完成系統(tǒng)的定級報告，并協(xié)助完成到公安機(jī)關(guān)的備 案更新工作。2、按照國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)和要求，

2、對招生考試信息平臺、網(wǎng)上閱卷系 統(tǒng)、門戶網(wǎng)站系統(tǒng)三級系統(tǒng)開展信息系統(tǒng)安全等級保護(hù)測評工作，對內(nèi)部綜合管理系統(tǒng)等二級系統(tǒng)開展信息系統(tǒng)安全等級保護(hù)測評工作， 找出系統(tǒng)現(xiàn)狀與相關(guān)標(biāo) 準(zhǔn)要求之間的差距，遵循適度原則，提出切實可行的整改建議，最終完成等級保 護(hù)測評報告。3、針對測評中發(fā)現(xiàn)的信息安全管理漏洞和薄弱環(huán)節(jié)，并深入分析下一步審 計信息系統(tǒng)建設(shè)和管理的實際安全需求， 協(xié)助開展相關(guān)的安全整改工作，確保審 計重要信息系統(tǒng)的安全防護(hù)水平滿足當(dāng)前和未來建設(shè)發(fā)展的安全要求。三、服務(wù)內(nèi)容1、定級梳理按照公安部網(wǎng)絡(luò)安全等級保護(hù)工作要求，開展信息系統(tǒng)安全等級保護(hù)定級備 案工作。要求完成各系統(tǒng)的定級報告，并協(xié)助到公

3、安機(jī)關(guān)完成備案。系統(tǒng)情況如 下表：廳P應(yīng)用系統(tǒng)名稱安全保護(hù)等級備注1第三級第三級第三級第二級2、信息安全等保測評(1)測評依據(jù)公安部、國家保密局、國際密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的關(guān)于信息安全等級保護(hù)工作的實施意見(公通字200466號)；公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定的信息安全等級保護(hù)管理辦法(公通字200743號)。信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求(GB/T 22239-2008 )信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南(GB/T 22240-2008 )信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南(GB/T 25058-2010 )信

4、息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求(GB/T 28448-2012 )信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評過程指南(GB/T 28449-2012 )計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB 17859-1999 )信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求(GB/T 20271-2006 )信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T 20270-2006 )信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求(GB/T 20272-2006 )信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T 20273-2006 )信息安全技術(shù) 服務(wù)器技術(shù)要求(GB/T 21028-2007 )信息安全技術(shù) 終端計算機(jī)系統(tǒng)

5、安全等級技術(shù)要求(GA/T 671-2006 )信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T20269-2006 )信息安全技術(shù) 信息系統(tǒng)安全工程管理要求(GB/T 20282-2006 )信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評估準(zhǔn)則(GB/T 18336-2001 )信息系統(tǒng)密碼應(yīng)用基本要求(GMT 0054-2018)信息系統(tǒng)密碼測評要求(試行)信息系統(tǒng)密碼測評過程指南(試行)項目涉及的其它相關(guān)國際、國內(nèi)標(biāo)準(zhǔn)或規(guī)范(2)測評內(nèi)容測評的內(nèi)容包括但不限于以下內(nèi)容：安全技術(shù)測評：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù) 安全等五個方面的安全測評信息系統(tǒng)安全等級進(jìn)行等級測評。安全管理測評

6、：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管 理和系統(tǒng)運維管理等五個方面的安全測評。1）物理安全A物理安全根據(jù)信息系統(tǒng)機(jī)房和現(xiàn)場安全測評記錄，針對機(jī)房和現(xiàn)場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防 靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn) 行，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。B機(jī)房咨詢服務(wù)依據(jù)國家相關(guān)標(biāo)準(zhǔn)，對電子信息系統(tǒng)機(jī)房的室內(nèi)裝飾裝修、室內(nèi)環(huán)境、空氣調(diào)節(jié)系統(tǒng)、照明裝置、供配電系統(tǒng)、防雷接地系統(tǒng)及文檔驗收等方面進(jìn)行咨 詢服務(wù)。2）網(wǎng)絡(luò)安全根據(jù)信息系統(tǒng)網(wǎng)絡(luò)安全測評記錄，針對網(wǎng)絡(luò)方面

7、在“結(jié)構(gòu)安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)” 等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。3）主機(jī)安全主機(jī)安全現(xiàn)場測評包括對信息系統(tǒng)服務(wù)器的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護(hù)”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”。4）應(yīng)用安全A應(yīng)用安全應(yīng)用安全現(xiàn)場測評包括對信息系統(tǒng)的測評， 測評內(nèi)容包括“身份鑒別”、“訪問 控制”、“安全審計”、“剩余信息保護(hù)”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”、“資源控制”方面。5）數(shù)據(jù)安全及備份恢復(fù)信息

8、系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場測評包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個方面的測評。6）安全管理制度根據(jù)現(xiàn)場安全測評記錄，針對 信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。7）安全管理機(jī)構(gòu)根據(jù)現(xiàn)場安全測評記錄，針對 信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。8）人員安全管理根據(jù)現(xiàn)場安全測評記錄，針對 信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”“安全意識教育和培訓(xùn)”以及

9、“外部人員訪問管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。9）系統(tǒng)建設(shè)管理根據(jù)現(xiàn)場安全測評記錄，針對 信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務(wù)商選擇”等 測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。10）系統(tǒng)運維管理根據(jù)現(xiàn)場安全測評記錄，針對信息系統(tǒng)在系統(tǒng)運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理” “網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡 意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)

10、管理”、“安全事件處置” 以及“應(yīng)急預(yù)案管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。對運維管理方面與ITIL體系的融合適應(yīng)性進(jìn)行評估。通過現(xiàn)場測評，逐項找出系統(tǒng)現(xiàn)狀與國家相關(guān)標(biāo)準(zhǔn)要求之間的差距，進(jìn)行逐項分析、整體分析，給出差距分析報告，并給出整改建議方案。待整改完畢后，進(jìn)行結(jié)果確認(rèn)，完成網(wǎng)絡(luò)安全等級保護(hù)測評，出具測評報告，并將測評報告報當(dāng)?shù)毓矙C(jī)關(guān)備案。3、成果交付項目實施完成后，要求投標(biāo)人提供包括但不限于交付物如下：網(wǎng)絡(luò)安全等級保護(hù)測評方案網(wǎng)絡(luò)安全等級保護(hù)測評報告網(wǎng)絡(luò)安全整改加固報告項目相關(guān)的各項管理文檔以及生成的階段性報告或資料等過程文檔，等級保護(hù)測評報告需加蓋CNAS（中國合格評定家認(rèn)可委員會）章。四、其他要求1、項目團(tuán)隊人員不少于5人，其中高級測評師不少于2人，項目經(jīng)理必須項目成員不具