淄博市信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目

1、淄博市信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目編制時(shí)2019年8月26間：日項(xiàng)目名稱：淄博市信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目米購人：淄博市大數(shù)據(jù)局聯(lián)系人：李主任聯(lián)系電話金來源：財(cái)政資金擬采用的政府采購方式：競(jìng)爭(zhēng)性磋商擬采用的評(píng)審方法：綜合評(píng)分法供應(yīng)商資質(zhì)要求：1、加載統(tǒng)一社會(huì)信用代碼的營業(yè)執(zhí)照(注：2018年1月1日起，企業(yè)一律使用加載統(tǒng)一社會(huì)信用代碼的營業(yè)執(zhí)照，原加載注冊(cè)號(hào)的營業(yè)執(zhí)照不再有效)2、提供無行賄犯罪聲明函(與無重大違法記錄聲明函合并，并單獨(dú)說明)及中國裁判文書網(wǎng)()的查詢結(jié)果截圖并加蓋公章3、符合中華人民共和國政府采購法第二十二條規(guī)定且應(yīng)為未被列入信用中國網(wǎng)站()中國政府采購

2、網(wǎng)()信用山東網(wǎng)站(WWW)渠道信用記錄失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單、政府采購嚴(yán)重違法失信行為記錄名單的供應(yīng)商；4、本項(xiàng)目不接受聯(lián)合體投標(biāo)。付款方式：本項(xiàng)目甲方采用方式付款(可選擇銀行轉(zhuǎn)賬或者匯票、支票等形式)，合同簽訂后5各工作日內(nèi)乙方向甲方提供銀行賬戶并提供全額增值稅發(fā)票，甲方在收到銀行賬戶及發(fā)票后7個(gè)工作日內(nèi)預(yù)付合同價(jià)款的20%剩余80%價(jià)款待信息安全等級(jí)測(cè)評(píng)工作完成并經(jīng)甲方驗(yàn)收通過后10個(gè)工作日予以支付。采購內(nèi)容：本次采購共分為1個(gè)包，供應(yīng)商進(jìn)行報(bào)價(jià)，按招標(biāo)文件要求對(duì)所投內(nèi)容做出報(bào)價(jià)響應(yīng)。采購項(xiàng)目清單:1.行政服務(wù)域三級(jí)等級(jí)保護(hù)評(píng)測(cè)名稱參數(shù)數(shù)量等級(jí)保護(hù)測(cè)評(píng)包括信息安全等級(jí)測(cè)

3、評(píng)、信息安全管理規(guī)章制度梳理編制等。信息安全等級(jí)測(cè)評(píng)服務(wù)內(nèi)容測(cè)評(píng)內(nèi)容1依據(jù)GB-T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，檢測(cè)信息系統(tǒng)安全等級(jí)保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)基本要求，通過等級(jí)測(cè)評(píng)進(jìn)行現(xiàn)狀分析，確定系統(tǒng)的安全保護(hù)現(xiàn)狀和存在的安全問題。包括安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)，其中安全技術(shù)測(cè)評(píng)包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；安全管理測(cè)評(píng)包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)O1物理安全針對(duì)物理安全方面的“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、

4、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。2、網(wǎng)絡(luò)安全針對(duì)網(wǎng)絡(luò)安全方面的“結(jié)構(gòu)安全”、“訪問控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。3、主機(jī)安全針對(duì)主機(jī)安全方面的“身份鑒別”、“訪問控制”、“安全審計(jì)”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。4、應(yīng)用安全針對(duì)應(yīng)用安全方面的“身份鑒別”、“訪問控制”、“安全審計(jì)”、“通信完整性”、“通信保密性”、“軟件容錯(cuò)”、“資源控制”等

5、測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。5、數(shù)據(jù)安全及備份恢復(fù)針對(duì)數(shù)據(jù)安全方面的“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。6、安全管理制度針對(duì)安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。7、安全管理機(jī)構(gòu)針對(duì)安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。8人員安全管理針對(duì)人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識(shí)教育和培訓(xùn)”以及“外部人員訪問

6、管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。9、系統(tǒng)建設(shè)管理針對(duì)系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”、以及“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。10、系統(tǒng)運(yùn)維管理針對(duì)系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。測(cè)評(píng)工作流程信息

7、安全等級(jí)測(cè)評(píng)過程分為四個(gè)基本測(cè)評(píng)工作：測(cè)評(píng)準(zhǔn)備工作、方案編制工作、現(xiàn)場(chǎng)測(cè)評(píng)工作、分析及報(bào)告編制工作。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過程。根據(jù)被測(cè)系統(tǒng)的等級(jí)，等級(jí)越高，對(duì)應(yīng)的基本要求項(xiàng)越多，所需進(jìn)行的測(cè)評(píng)工作量也就越大。1、測(cè)評(píng)準(zhǔn)備工作測(cè)評(píng)準(zhǔn)備工作的主要任務(wù)包括：項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備。2、方案編制工作方案編制活動(dòng)的主要任務(wù)包括:測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)內(nèi)容確定、工具測(cè)試方法確定、測(cè)評(píng)指導(dǎo)書開發(fā)及測(cè)評(píng)方案編3、現(xiàn)場(chǎng)測(cè)評(píng)工作現(xiàn)場(chǎng)測(cè)評(píng)工作的主要任務(wù)包括:現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。4、報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的主要任務(wù)包括:單項(xiàng)測(cè)評(píng)結(jié)

8、果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編最終出具信息安全等級(jí)測(cè)評(píng)報(bào)告,經(jīng)被測(cè)單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。安全管理體系建設(shè)咨詢按照安全管理需求，協(xié)助進(jìn)行信息安全管理體系建設(shè)，包括:成立信息安全領(lǐng)導(dǎo)小組，編制信息安全規(guī)章制度和操作規(guī)程，建立信息安全監(jiān)督機(jī)制、應(yīng)急機(jī)制、通報(bào)機(jī)制、事件責(zé)任追究機(jī)制和風(fēng)險(xiǎn)管理機(jī)制，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理內(nèi)容。規(guī)范系統(tǒng)運(yùn)維管理，開展運(yùn)維標(biāo)準(zhǔn)化作業(yè)，明確運(yùn)維體系、費(fèi)用標(biāo)準(zhǔn)、工作規(guī)范、流程標(biāo)準(zhǔn)、操作規(guī)程、裝備標(biāo)準(zhǔn)、管理制度、考核標(biāo)準(zhǔn)，包含機(jī)房環(huán)境安全

9、、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。信息安全整改建設(shè)咨詢1安全技術(shù)體系建設(shè)咨詢完成等級(jí)測(cè)評(píng)后，提出技術(shù)安全建議與措施，指導(dǎo)信息系統(tǒng)的安全整改與加固。整改與加固實(shí)施方案的制定需要注意以下幾點(diǎn)：(1)實(shí)施風(fēng)險(xiǎn)削減建議的優(yōu)先度，便于用戶在評(píng)估后根據(jù)揭示出的安全風(fēng)險(xiǎn)建立實(shí)施風(fēng)險(xiǎn)管理的計(jì)劃；(2)提請(qǐng)注意風(fēng)險(xiǎn)削減與實(shí)施費(fèi)用的平衡控制，做到適度安全；(3)提出的具體技術(shù)加固與整改措施、方案、建議等，覆蓋所有評(píng)估內(nèi)容；在對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用做加固工作時(shí)如果涉及的安全策略調(diào)整、協(xié)議、端口管理、打補(bǔ)丁等，要考慮加固對(duì)象的實(shí)施

10、風(fēng)險(xiǎn)，必要時(shí)要做好加固前的測(cè)試工作。(5)系統(tǒng)整改加固后，需要對(duì)已實(shí)施的安全措施進(jìn)行有效性確認(rèn)，以保證達(dá)到目標(biāo)。2.公共服務(wù)域三級(jí)等級(jí)保護(hù)評(píng)測(cè)包括信息安全等級(jí)測(cè)評(píng)、信息安全管理規(guī)章制度梳理編制等。信息安全等級(jí)測(cè)評(píng)服務(wù)內(nèi)容測(cè)評(píng)內(nèi)容依據(jù)GB-T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，檢測(cè)信息系統(tǒng)安全等級(jí)保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)基本要求，通過等級(jí)測(cè)評(píng)進(jìn)行現(xiàn)狀分析，確定系統(tǒng)的安全保護(hù)現(xiàn)狀和存在的安全問題。等級(jí)保護(hù)測(cè)評(píng)包括安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)，其中安全技術(shù)測(cè)評(píng)包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；安全管理測(cè)評(píng)包括安全管理機(jī)構(gòu)、安

11、全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。1、物理安全針對(duì)物理安全方面的“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。2、網(wǎng)絡(luò)安全針對(duì)網(wǎng)絡(luò)安全方面的“結(jié)構(gòu)安全”、“訪問控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。3、主機(jī)安全針對(duì)主機(jī)安全方面的“身份鑒別”、“訪問控制”、“安全審計(jì)”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”等測(cè)評(píng)指標(biāo)

12、，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。4、應(yīng)用安全針對(duì)應(yīng)用安全方面的“身份鑒別”、“訪問控制”、“安全審計(jì)”、“通信完整性”、“通信保密性”、“軟件容錯(cuò)”、“資源控制”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。5、數(shù)據(jù)安全及備份恢復(fù)針對(duì)數(shù)據(jù)安全方面的“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。6、安全管理制度針對(duì)安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。7、安全管理機(jī)構(gòu)針對(duì)安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢

13、查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。8人員安全管理針對(duì)人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識(shí)教育和培訓(xùn)”以及“外部人員訪問管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。9、系統(tǒng)建設(shè)管理針對(duì)系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”、以及“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。10、系統(tǒng)運(yùn)維管理針對(duì)系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、

14、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。測(cè)評(píng)工作流程信息安全等級(jí)測(cè)評(píng)過程分為四個(gè)基本測(cè)評(píng)工作：測(cè)評(píng)準(zhǔn)備工作、方案編制工作、現(xiàn)場(chǎng)測(cè)評(píng)工作、分析及報(bào)告編制工作。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過程。根據(jù)被測(cè)系統(tǒng)的等級(jí)，等級(jí)越高，對(duì)應(yīng)的基本要求項(xiàng)越多，所需進(jìn)行的測(cè)評(píng)工作量也就越大。1、測(cè)評(píng)準(zhǔn)備工作測(cè)評(píng)準(zhǔn)備工作的主要任務(wù)包括：項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備。2、方案編制工作方案編制活動(dòng)的主要任務(wù)包括：測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)內(nèi)容確定、工具測(cè)試方法確定、測(cè)評(píng)指

15、導(dǎo)書開發(fā)及測(cè)評(píng)方案編制。3、現(xiàn)場(chǎng)測(cè)評(píng)工作現(xiàn)場(chǎng)測(cè)評(píng)工作的主要任務(wù)包括：現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。4、報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的主要任務(wù)包括：?jiǎn)雾?xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制。最終出具信息安全等級(jí)測(cè)評(píng)報(bào)告，經(jīng)被測(cè)單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。安全管理體系建設(shè)咨詢按照安全管理需求，協(xié)助進(jìn)行信息安全管理體系建設(shè)，包括:成立信息安全領(lǐng)導(dǎo)小組，編制信息安全規(guī)章制度和操作規(guī)程，建立信息安全監(jiān)督機(jī)制、應(yīng)急機(jī)制、通報(bào)機(jī)制、事件責(zé)任追究機(jī)制和風(fēng)險(xiǎn)管理機(jī)制，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實(shí)施

16、、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理內(nèi)容。規(guī)范系統(tǒng)運(yùn)維管理，開展運(yùn)維標(biāo)準(zhǔn)化作業(yè)，明確運(yùn)維體系、費(fèi)用標(biāo)準(zhǔn)、工作規(guī)范、流程標(biāo)準(zhǔn)、操作規(guī)程、裝備標(biāo)準(zhǔn)、管理制度、考核標(biāo)準(zhǔn)，包含機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。信息安全整改建設(shè)咨詢1安全技術(shù)體系建設(shè)咨詢完成等級(jí)測(cè)評(píng)后，提出技術(shù)安全建議與措施，指導(dǎo)信息系統(tǒng)的安全整改與加固。整改與加固實(shí)施方案的制定需要注意以下幾點(diǎn)：(1)實(shí)施風(fēng)險(xiǎn)削減建議的優(yōu)先度，便于用戶在評(píng)估后根據(jù)揭示出的安全風(fēng)險(xiǎn)建立實(shí)施風(fēng)險(xiǎn)管理的計(jì)劃；(2)提請(qǐng)注意風(fēng)險(xiǎn)削減與實(shí)施費(fèi)用的平衡控制，做到

17、適度安全；(3)提出的具體技術(shù)加固與整改措施、方案、建議等，覆蓋所有評(píng)估內(nèi)容；(4)在對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用做加固工作時(shí)如果涉及的安全策略調(diào)整、協(xié)議、端口管理、打補(bǔ)丁等，要考慮加固對(duì)象的實(shí)施風(fēng)險(xiǎn)，必要時(shí)要做好加固前的測(cè)試工作。(5)系統(tǒng)整改加固后，需要對(duì)已實(shí)施的安全措施進(jìn)行有效性確認(rèn)，以保證達(dá)到目標(biāo)。3.政府網(wǎng)站群系統(tǒng)三級(jí)等級(jí)保護(hù)評(píng)測(cè)1信息安全等級(jí)保護(hù)測(cè)評(píng)內(nèi)容淄博市政府網(wǎng)站群系統(tǒng)是按照平臺(tái)資源集約化、網(wǎng)站管理分級(jí)化、政務(wù)服務(wù)便捷化化、平臺(tái)功能組件化、數(shù)據(jù)匯集高效化的技術(shù)路線打造政府網(wǎng)站群。系統(tǒng)平臺(tái)應(yīng)用由前端應(yīng)用、后臺(tái)數(shù)據(jù)庫、中間件平臺(tái)3個(gè)功能子系統(tǒng)支撐構(gòu)成。依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/

18、T22240-2008)的要求，遵循規(guī)范的流程，按照等級(jí)保護(hù)三級(jí)要求分別對(duì)政府網(wǎng)站群3個(gè)功能子系統(tǒng)開展測(cè)評(píng)工作。根據(jù)定級(jí)梳理結(jié)果，按照信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)基本要求(GB/T22239-2008),對(duì)信息系統(tǒng)系統(tǒng)進(jìn)行信息安全等級(jí)保護(hù)現(xiàn)狀測(cè)評(píng)。包括安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)。等級(jí)保護(hù)測(cè)評(píng)安全技術(shù)測(cè)評(píng)主要包括物理安全測(cè)評(píng)、網(wǎng)絡(luò)安全測(cè)評(píng)、主機(jī)安全測(cè)評(píng)、應(yīng)用安全測(cè)評(píng)、數(shù)據(jù)安全測(cè)評(píng)等五個(gè)方面。安全管理測(cè)評(píng)主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面。重點(diǎn)測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：主機(jī)房(包括其環(huán)境、設(shè)備和設(shè)施等)和部分輔機(jī)房；(2)存儲(chǔ)被測(cè)系統(tǒng)

19、重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；(3)辦公場(chǎng)地；整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；(5)安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；(6)邊界網(wǎng)絡(luò)設(shè)備(可能會(huì)包含安全設(shè)備)，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備(如樓層交換機(jī))等；(7)對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等;(8)承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器(包括其操作系統(tǒng)和數(shù)據(jù)庫)；(9)管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；(10)能夠完成被測(cè)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；(11)業(yè)務(wù)備份系統(tǒng)；(12)信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；(13)涉及到信

20、息系統(tǒng)安全的所有管理制度和記錄。(14)制定各系統(tǒng)應(yīng)急預(yù)案并協(xié)助進(jìn)行演練。依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，結(jié)合淄博市政府網(wǎng)站群系統(tǒng)安全等級(jí)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，并逐項(xiàng)明確不符合項(xiàng)與安全要求之間的差距及可能造成的風(fēng)險(xiǎn)，出具完整的等級(jí)測(cè)評(píng)報(bào)告。2、測(cè)評(píng)工作流程信息安全等級(jí)測(cè)評(píng)過程分為四個(gè)基本測(cè)評(píng)工作：測(cè)評(píng)準(zhǔn)備工作、方案編制工作、現(xiàn)場(chǎng)測(cè)評(píng)工作、分析及報(bào)告編制工作。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過程。根據(jù)被測(cè)系統(tǒng)的等級(jí)，等級(jí)越高，對(duì)應(yīng)的基本要求項(xiàng)越多，所需進(jìn)行的測(cè)評(píng)工作量也就越大°(1)測(cè)評(píng)準(zhǔn)備工作測(cè)評(píng)準(zhǔn)備工作的主要任務(wù)包括：項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備。(2)方案編

21、制工作方案編制活動(dòng)的主要任務(wù)包括：測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)內(nèi)容確定、工具測(cè)試方法確定、測(cè)評(píng)指導(dǎo)書開發(fā)及測(cè)評(píng)方案編制°(3)現(xiàn)場(chǎng)測(cè)評(píng)工作現(xiàn)場(chǎng)測(cè)評(píng)工作的主要任務(wù)包括：現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。(4)報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的主要任務(wù)包括：?jiǎn)雾?xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制°最終出具信息安全等級(jí)測(cè)評(píng)報(bào)告，經(jīng)被測(cè)單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。3、信息安全建設(shè)規(guī)劃依據(jù)對(duì)淄博市政府網(wǎng)站群3個(gè)子系統(tǒng)系統(tǒng)安全現(xiàn)狀測(cè)評(píng)的結(jié)果對(duì)網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備部署情況進(jìn)行整體規(guī)劃和調(diào)整，考慮物理設(shè)計(jì)、網(wǎng)絡(luò)設(shè)計(jì)、主機(jī)設(shè)

22、計(jì)、應(yīng)用設(shè)計(jì)和其他設(shè)計(jì)等內(nèi)容。依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008、信息安全技術(shù)信息系統(tǒng)安全管理要求（GBT20269-2006等，完成安全管理體系的規(guī)劃指導(dǎo)。制定等級(jí)保護(hù)整改方案，指導(dǎo)信息系統(tǒng)安全技術(shù)體系和安全管理體系的構(gòu)建。4、信息安全管理體系建設(shè)按照信息系統(tǒng)安全等級(jí)保護(hù)的相關(guān)要求，建立信息安全保護(hù)持續(xù)改進(jìn)機(jī)制，梳理信息系統(tǒng)的信息安全等級(jí)保護(hù)管理制度體系，協(xié)助健全和完善信息安全的管理體系、技術(shù)體系和運(yùn)維體系，促進(jìn)信息安全保障水平不斷提升。5、信息安全風(fēng)險(xiǎn)評(píng)估按照GB-T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)和要求，對(duì)淄博市政府網(wǎng)站群系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確信息

23、系統(tǒng)安全風(fēng)險(xiǎn)，提出合理的、滿足等級(jí)保護(hù)要求總體建設(shè)和管理規(guī)劃，并制定安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。6、安全咨詢服務(wù)通過對(duì)安全問題的分析和總結(jié)，結(jié)合業(yè)界實(shí)踐經(jīng)驗(yàn)，對(duì)淄博市政府網(wǎng)站群系統(tǒng)安全運(yùn)行進(jìn)行分析，提出相應(yīng)的改進(jìn)建議，對(duì)規(guī)劃和安全體系進(jìn)行指導(dǎo)服務(wù)。并對(duì)安全科研課題、安全熱點(diǎn)事件、行業(yè)安全規(guī)范提供咨詢、解讀、分析、指導(dǎo)服務(wù)。4.城市APP、微信公眾號(hào)三級(jí)等級(jí)保護(hù)評(píng)測(cè)1信息安全等級(jí)保護(hù)測(cè)評(píng)內(nèi)容城市APP微信公眾號(hào)由主站、子站、微門戶(安卓及IOS版本)、區(qū)縣門戶等構(gòu)成。依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T22240-2008)的要求，遵循規(guī)范的流程，按照等級(jí)保護(hù)三級(jí)要

24、求對(duì)城市APP微信公眾號(hào)開展測(cè)評(píng)工作。根據(jù)定級(jí)梳理結(jié)果，按照信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)基本要求(GB/T22239-2008),對(duì)信息系統(tǒng)系統(tǒng)進(jìn)行信息安全等級(jí)保護(hù)現(xiàn)狀測(cè)評(píng)。包括安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)。安全技術(shù)測(cè)評(píng)主要包括物理安全測(cè)評(píng)、網(wǎng)絡(luò)安全測(cè)評(píng)、主機(jī)安全測(cè)評(píng)、應(yīng)用安全測(cè)評(píng)、數(shù)據(jù)安全測(cè)評(píng)等五個(gè)方面。安全管理測(cè)評(píng)主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面。重點(diǎn)測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：等級(jí)保護(hù)測(cè)評(píng)主機(jī)房(包括其環(huán)境、設(shè)備和設(shè)施等)和部分輔機(jī)房；存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；(3)辦公場(chǎng)地；(4)整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；(5)安

25、全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；(6)邊界網(wǎng)絡(luò)設(shè)備(可能會(huì)包含安全設(shè)備)，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備(如樓層交換機(jī))等；(7)對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等；(8)承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器(包括其操作系統(tǒng)和數(shù)據(jù)庫)；(9)管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；(10)能夠完成被測(cè)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；(11)業(yè)務(wù)備份系統(tǒng);(12)信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；(13)涉及到信息系統(tǒng)安全的所有管理制度和記錄。(14)制定各系統(tǒng)應(yīng)急預(yù)案并協(xié)助進(jìn)行演練。

26、依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，結(jié)合城市APP、微信公眾號(hào)系統(tǒng)安全等級(jí)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，并逐項(xiàng)明確不符合項(xiàng)與安全要求之間的差距及可能造成的風(fēng)險(xiǎn)，出具完整的等級(jí)測(cè)評(píng)報(bào)告。2、測(cè)評(píng)工作流程信息安全等級(jí)測(cè)評(píng)過程分為四個(gè)基本測(cè)評(píng)工作：測(cè)評(píng)準(zhǔn)備工作、方案編制工作、現(xiàn)場(chǎng)測(cè)評(píng)工作、分析及報(bào)告編制工作。而測(cè)評(píng)雙方之間的溝通與洽談應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過程。根據(jù)被測(cè)系統(tǒng)的等級(jí)，等級(jí)越高，對(duì)應(yīng)的基本耍求項(xiàng)越多，所需進(jìn)行的測(cè)評(píng)工作量也就越大°(1)測(cè)評(píng)準(zhǔn)備工作測(cè)評(píng)準(zhǔn)備工作的主要任務(wù)包括：項(xiàng)目啟動(dòng)、信息收集和分析、工具和表單準(zhǔn)備。(2)方案編制工作方案編制活動(dòng)的主要任務(wù)包括：測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確定、測(cè)評(píng)內(nèi)

27、容確定、工具測(cè)試方法確定、測(cè)評(píng)指導(dǎo)書開發(fā)及測(cè)評(píng)方案編制°(3)現(xiàn)場(chǎng)測(cè)評(píng)工作現(xiàn)場(chǎng)測(cè)評(píng)工作的主要任務(wù)包括：現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。(4)報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的主要任務(wù)包括：?jiǎn)雾?xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào)告編制°最終出具信息安全等級(jí)測(cè)評(píng)報(bào)告，經(jīng)被測(cè)單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。3、信息安全建設(shè)規(guī)劃依據(jù)對(duì)淄博市城市APP微信公眾號(hào)系統(tǒng)安全現(xiàn)狀測(cè)評(píng)的結(jié)果對(duì)網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備部署情況進(jìn)行整體規(guī)劃和調(diào)整，考慮物理設(shè)計(jì)、網(wǎng)絡(luò)設(shè)計(jì)、主機(jī)設(shè)計(jì)、應(yīng)用設(shè)計(jì)和其他設(shè)計(jì)等內(nèi)容。依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB

28、/T22239-2008、信息安全技術(shù)信息系統(tǒng)安全管理要求（GBT20269-2006等，完成安全管理體系的規(guī)劃指導(dǎo)。制定等級(jí)保護(hù)整改方案，指導(dǎo)信息系統(tǒng)安全技術(shù)體系和安全管理體系的構(gòu)建。4、信息安全管理體系建設(shè)按照信息系統(tǒng)安全等級(jí)保護(hù)的相關(guān)要求，建立信息安全保護(hù)持續(xù)改進(jìn)機(jī)制，梳理信息系統(tǒng)的信息安全等級(jí)保護(hù)管理制度體系，協(xié)助健全和完善信息安全的管理體系、技術(shù)體系和運(yùn)維體系，促進(jìn)信息安全保障水平不斷提升。5、信息安全風(fēng)險(xiǎn)評(píng)估按照GB-T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)和要求，對(duì)淄博市城市APP微信公眾號(hào)進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確信息系統(tǒng)安全風(fēng)險(xiǎn)，提出合理的、滿足等級(jí)保護(hù)要求總體建設(shè)和管理規(guī)劃，并制定安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。6、安全咨詢服務(wù)通過對(duì)安全問題的分析和總結(jié)，結(jié)合業(yè)界實(shí)踐經(jīng)驗(yàn)，對(duì)城市APP微信公眾號(hào)系統(tǒng)安全運(yùn)行進(jìn)行分析，提出相應(yīng)的改進(jìn)建議，對(duì)規(guī)劃和安全體系進(jìn)行指導(dǎo)服務(wù)。并對(duì)安全科研課題、安全熱點(diǎn)事件、行業(yè)安全規(guī)范提供咨詢、解讀、分析、指導(dǎo)服務(wù)。、