信息系統(tǒng)安全等級保護(hù)測評服務(wù)內(nèi)容及要求

1、信息系統(tǒng)安全等級保護(hù)測評服務(wù)內(nèi)容及要求供應(yīng)商資格：1. 供應(yīng)商應(yīng)具備政府采購法第二十二條規(guī)定的條件；1）具有獨(dú)立承擔(dān)民事責(zé)任的能力；2）具有良好的商業(yè)信譽(yù)和健全的財務(wù)會計制度；3）具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力；4）有依法繳納稅收和社會保障資金的良好記錄；5）參加政府采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄；6）法律、行政法規(guī)規(guī)定的其他條件。2. 投標(biāo)人要求為國內(nèi)獨(dú)立的事業(yè)法人的獨(dú)立企業(yè)法人，并且股權(quán)結(jié)構(gòu)中 不能有任何外資成份。3. 具有網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦證書。4. 具有中國合格評定國家認(rèn)可委員會頒發(fā)的 CNAS證書。5. 具有廣東省電子政務(wù)服務(wù)能力等級證書。6. 具有

2、中國通信行業(yè)協(xié)會頒發(fā)的通信網(wǎng)絡(luò)安全服務(wù)能力評定證書（應(yīng)急 響應(yīng)一級）7. 具有中鑒認(rèn)證有限責(zé)任公司頒發(fā)的質(zhì)量管理體系認(rèn)證證書（IS09001）8. 中國通信行業(yè)協(xié)會頒發(fā)的通信網(wǎng)絡(luò)安全服務(wù)能力評定證書（風(fēng)險評估 二級）。9. 本項目不接受聯(lián)合體投標(biāo)。項目服務(wù)內(nèi)容及要求1.采購項目需求一覽表:序號服務(wù)類型被測評系統(tǒng)級別1等級保護(hù)測評服務(wù)存量房網(wǎng)上簽約系統(tǒng)二級2等級保護(hù)測評服務(wù)金融部門網(wǎng)上受理系統(tǒng)（簽約銀行登錄）二級3等級保護(hù)測評服務(wù)商品房明碼標(biāo)價備案系統(tǒng)二級4等級保護(hù)測評服務(wù)珠海不動產(chǎn)微信服務(wù)號系統(tǒng)二級2.基本要求：2.1項目背景為了貫徹落實國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意 見關(guān)于信

3、息安全等級保護(hù)工作的實施意見和信息安全等級保護(hù)管理辦 法的精神，響應(yīng)國家的要求，珠海市不動產(chǎn)登記中心于2018年全面啟動本單位的信息安全等級保護(hù)工作。按照同時根據(jù)珠海市不動產(chǎn)登記中心的信息系統(tǒng)安全等級保護(hù)工作安 排，現(xiàn)需開展信息系統(tǒng)安全等級保護(hù)測評等工作， 并邀請具備國家或省公安廳 頒發(fā)等級保護(hù)測評資質(zhì)的公司對珠海市不動產(chǎn)登記中心的信息系統(tǒng)提供等級 保護(hù)測評服務(wù)。2.2 項目目標(biāo)2.2.1等級保護(hù)測評服務(wù)。根據(jù)GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南 等標(biāo)準(zhǔn)，及各個信息系統(tǒng)保護(hù)等級需求，協(xié)助采購人對現(xiàn)有的信息系統(tǒng)進(jìn)行等 級保護(hù)備案，編寫信息系統(tǒng)定級備案表和信息系統(tǒng)

4、定級報告，并協(xié)助向公安局提交定級備案材料，取得信息系統(tǒng)定級備案證明對采購人現(xiàn)有信息系統(tǒng)開展安全保護(hù)符合性測評、作差距分析、并提出整 改建議與編寫驗收測評報告。根據(jù)GB/T22239 2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求 等標(biāo)準(zhǔn)組織開展信息系統(tǒng)等級保護(hù)符合性測評，衡量信息系統(tǒng)的安全保護(hù)管理 措施和技術(shù)措施是否符合等級保護(hù)基本要求，是否具備了相應(yīng)的安全保護(hù)能 力。依據(jù)信息系統(tǒng)的安全保護(hù)等級，通過人員訪談、文檔審查、實地察看、配 置檢查、工具檢測等方法從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù) 安全及備份與恢復(fù)、安全管理制度、 安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè) 管理、系統(tǒng)運(yùn)維管理

5、等方面，判斷網(wǎng)站現(xiàn)有的安全保護(hù)水平與國家信息安全等 級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求項之間的符合情況。對信息系統(tǒng)進(jìn)行整體、全面、公正的評估，對不符合項進(jìn)行風(fēng)險分析， 組 織專家評審，編寫安全等級保護(hù)測評報告，最終完成驗收測評工作，達(dá)到國家 規(guī)定的信息安全要求，并完成向市公安局提交驗收測評備案。2.2依據(jù)及參考規(guī)范投標(biāo)人必須依據(jù)如下標(biāo)準(zhǔn)實施測評服務(wù)：GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求GB/T22240-2008信息系統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)測評過程指南(國標(biāo)報批稿)信息系統(tǒng)安全等級保護(hù)測評要求(國標(biāo)報批

6、稿)GB/T25058-2010信息系統(tǒng)安全等級保護(hù)實施指南GB/T25070-2010信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(GB/T20270-2006)信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求(GB/T20272-2006)信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006)信息安全技術(shù) 服務(wù)器技術(shù)要求(GB/T21028-2007)信息安全技術(shù) 終端計算機(jī)系統(tǒng)安全等級技術(shù)要求(GA/T671-2006)計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求2.3檢

7、查工具要求：根據(jù)廣東省信息安全等級保護(hù)協(xié)調(diào)小組辦公室，粵等保辦【2015】72號文公布關(guān)于加強(qiáng)網(wǎng)絡(luò)掃描滲透監(jiān)管工作的通知內(nèi)要求，“二、掃描滲透工具必須備案。根據(jù)廣東省計算機(jī)信息系統(tǒng)安全保護(hù)條例第三十條規(guī)定， 安全服務(wù)機(jī)構(gòu)生產(chǎn)、銷售或網(wǎng)絡(luò)滲透、掃描工具，須到地級以市公安機(jī)關(guān)備案。 未備案的，公安機(jī)關(guān)將依法處罰。各單位在授權(quán)或委托安全服務(wù)機(jī)構(gòu)開展掃描 滲透仟，應(yīng)當(dāng)查驗并核實其掃描工具的報備情況?！痹诒卷椖恐校枰捎脺y評工具必須有廣東省信息安全等級保護(hù)協(xié)調(diào)小組 辦公室開具網(wǎng)絡(luò)滲透掃描工具備案通知書。具備自主研發(fā)具備自主知識產(chǎn)權(quán)的信息安全等級保護(hù)測評軟件系統(tǒng)。四、采購項目商務(wù)要求1.對投標(biāo)人的要求1

8、.1 投標(biāo)方必須經(jīng)廣東省信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室專家評 審，符合信息安全等級保護(hù)測評機(jī)構(gòu)有關(guān)規(guī)范要求，具備從事信息安全等級保護(hù)測評工作能力單位(網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦證書)。1.2投標(biāo)人應(yīng)至少有5年開展等級保護(hù)測評的經(jīng)歷，具備信息安全等級保 護(hù)測評項目業(yè)績，并具有完善的質(zhì)量保證體系。投標(biāo)人必須具有良好的企業(yè)信 譽(yù)，充足的技術(shù)隊伍，穩(wěn)定的組織機(jī)構(gòu)。2.對服務(wù)人員的資質(zhì)要求2.1應(yīng)具備信息系統(tǒng)等級保護(hù)測評工作經(jīng)驗，精通等級保護(hù)測評技術(shù)，能 分析測評過程中存在的風(fēng)險。2.2具有對信息系統(tǒng)所面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、 識別、分析和提供防范措施的能力。2.3具有能根據(jù)用

9、戶信息系統(tǒng)安全防護(hù)問題的分析，向用戶建議有效的安 全保護(hù)策略及建立完善的安全管理制度的能力。2.4具有對發(fā)生的突發(fā)性安全事件進(jìn)行分析和解決的能力。2.5應(yīng)了解、掌握并能應(yīng)用等級保護(hù)測評國家和行業(yè)標(biāo)準(zhǔn)。2.6需根據(jù)等級保護(hù)測評工作中發(fā)現(xiàn)的安全隱患，提供詳細(xì)的安全加固建 議報告。2.7嚴(yán)格遵守信息安全保密制度，做好數(shù)據(jù)在存儲、傳輸過程中的保密措 施，不得泄露項目的一切信息。2.8應(yīng)具有信息安全等級保護(hù)測評師初級或以上證書。3. 服務(wù)質(zhì)量3.1服務(wù)過程應(yīng)做好風(fēng)險預(yù)防措施，測評人員應(yīng)該僅以發(fā)現(xiàn)系統(tǒng)安全問題 為目的，不得采取對被測系統(tǒng)帶有破壞性的信息安全測試。3.2測評人員應(yīng)嚴(yán)格依照測評大綱開展工作。3

10、.3按與采購人簽訂的合同中規(guī)定按時、保質(zhì)完成測評工作，并提交測評 報告。4. 測評原則4.1規(guī)范性原則：嚴(yán)格遵循國家、行業(yè)相關(guān)規(guī)范、標(biāo)準(zhǔn)開展工作。4.2最小影響原則：做好風(fēng)險預(yù)防措施，盡可能避免對在運(yùn)網(wǎng)絡(luò)和信息系 統(tǒng)造成影響；測評人員應(yīng)該僅以發(fā)現(xiàn)系統(tǒng)安全漏洞為目的，不得采取對被測系統(tǒng)帶有破壞性的信息安全測試。4.3公平公正原則：按照統(tǒng)一標(biāo)準(zhǔn)開展等級保護(hù)測評工作，確保等級保護(hù) 測評工作能夠客觀、真實地反應(yīng)各被測網(wǎng)站安全等級保護(hù)現(xiàn)狀。5.項目實施要求5.1組織要求5.1.1投標(biāo)人須成立一個專業(yè)隊伍為采購人服務(wù)，該的人員應(yīng)至少包括： 項目負(fù)責(zé)人、項目實施技術(shù)人員。5.1.2項目負(fù)責(zé)人應(yīng)具有至少兩個或

11、兩個以上信息安全等級保護(hù)測評項目 管理的成功案例，并將全程負(fù)責(zé)本項目的管理、技術(shù)質(zhì)量管控。具體負(fù)責(zé)：項目進(jìn)度控制、編寫項目周報、召開周例會、編制技術(shù)方案及項目總結(jié)報告等技 術(shù)文檔、協(xié)調(diào)采購人及被測單位等工作。5.1.3投標(biāo)人必須向采購人保證人員組織的穩(wěn)定性，在本項目結(jié)束前，參 加本項目的人員變動必須取得采購人書面同意。5.2質(zhì)量要求5.2.1投標(biāo)人應(yīng)保證所提供的技術(shù)水平均能滿足本招標(biāo)文件要求。5.2.2為保證項目技術(shù)方案、測評報告的科學(xué)性、有效性及合規(guī)性，投標(biāo) 人應(yīng)組織專家對本項目涉及的技術(shù)方案及測試報告進(jìn)行評審。5.2.3為便于執(zhí)行合同，按計劃和要求核準(zhǔn)本項目的設(shè)計內(nèi)容及工程方案， 投標(biāo)人至少舉行2次技術(shù)聯(lián)絡(luò)會。技術(shù)聯(lián)絡(luò)會的具體時間、地點(diǎn)、會議內(nèi)容將 由雙方商定。除了合同規(guī)定的技術(shù)聯(lián)絡(luò)會外，在合同執(zhí)行期間如遇重要事宜需 研究和討論，經(jīng)雙方同意可另行召開聯(lián)絡(luò)會議解決。6知識產(chǎn)權(quán)及保密6.1針對本次項目安全服務(wù)文檔的知識產(chǎn)權(quán)歸屬采購人所有，投標(biāo)人原有 產(chǎn)品既有知識產(chǎn)權(quán)不因本項目發(fā)生轉(zhuǎn)移，涉及到第三方提出侵權(quán)或知識產(chǎn)權(quán)的 起訴及支付版稅等費(fèi)用由投標(biāo)人承擔(dān)所有責(zé)任及費(fèi)用。6.2采購人為投標(biāo)人提供的所有業(yè)務(wù)、技