淄博市信息安全等級保護(hù)測評項目

1、淄博市信息安全等級保護(hù)測評項目編制時2019年8月26間：日項目名稱：淄博市信息安全等級保護(hù)測評項目米購人：淄博市大數(shù)據(jù)局聯(lián)系人：李主任聯(lián)系電話金來源：財政資金擬采用的政府采購方式：競爭性磋商擬采用的評審方法：綜合評分法供應(yīng)商資質(zhì)要求：1、加載統(tǒng)一社會信用代碼的營業(yè)執(zhí)照(注：2018年1月1日起，企業(yè)一律使用加載統(tǒng)一社會信用代碼的營業(yè)執(zhí)照，原加載注冊號的營業(yè)執(zhí)照不再有效)2、提供無行賄犯罪聲明函(與無重大違法記錄聲明函合并，并單獨說明)及中國裁判文書網(wǎng)()的查詢結(jié)果截圖并加蓋公章3、符合中華人民共和國政府采購法第二十二條規(guī)定且應(yīng)為未被列入信用中國網(wǎng)站()中國政府采購

2、網(wǎng)()信用山東網(wǎng)站(WWW)渠道信用記錄失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單、政府采購嚴(yán)重違法失信行為記錄名單的供應(yīng)商；4、本項目不接受聯(lián)合體投標(biāo)。付款方式：本項目甲方采用方式付款(可選擇銀行轉(zhuǎn)賬或者匯票、支票等形式)，合同簽訂后5各工作日內(nèi)乙方向甲方提供銀行賬戶并提供全額增值稅發(fā)票，甲方在收到銀行賬戶及發(fā)票后7個工作日內(nèi)預(yù)付合同價款的20%剩余80%價款待信息安全等級測評工作完成并經(jīng)甲方驗收通過后10個工作日予以支付。采購內(nèi)容：本次采購共分為1個包，供應(yīng)商進(jìn)行報價，按招標(biāo)文件要求對所投內(nèi)容做出報價響應(yīng)。采購項目清單:1.行政服務(wù)域三級等級保護(hù)評測名稱參數(shù)數(shù)量等級保護(hù)測評包括信息安全等級測

3、評、信息安全管理規(guī)章制度梳理編制等。信息安全等級測評服務(wù)內(nèi)容測評內(nèi)容1依據(jù)GB-T22239-2008信息系統(tǒng)安全等級保護(hù)測評要求等管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，檢測信息系統(tǒng)安全等級保護(hù)狀況是否達(dá)到相應(yīng)等級基本要求，通過等級測評進(jìn)行現(xiàn)狀分析，確定系統(tǒng)的安全保護(hù)現(xiàn)狀和存在的安全問題。包括安全技術(shù)測評和安全管理測評，其中安全技術(shù)測評包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個方面的安全測評；安全管理測評包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評O1物理安全針對物理安全方面的“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、

4、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。2、網(wǎng)絡(luò)安全針對網(wǎng)絡(luò)安全方面的“結(jié)構(gòu)安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。3、主機(jī)安全針對主機(jī)安全方面的“身份鑒別”、“訪問控制”、“安全審計”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。4、應(yīng)用安全針對應(yīng)用安全方面的“身份鑒別”、“訪問控制”、“安全審計”、“通信完整性”、“通信保密性”、“軟件容錯”、“資源控制”等

5、測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。5、數(shù)據(jù)安全及備份恢復(fù)針對數(shù)據(jù)安全方面的“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。6、安全管理制度針對安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。7、安全管理機(jī)構(gòu)針對安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。8人員安全管理針對人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓(xùn)”以及“外部人員訪問

6、管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。9、系統(tǒng)建設(shè)管理針對系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、以及“安全服務(wù)商選擇”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。10、系統(tǒng)運維管理針對系統(tǒng)運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。測評工作流程信息

7、安全等級測評過程分為四個基本測評工作：測評準(zhǔn)備工作、方案編制工作、現(xiàn)場測評工作、分析及報告編制工作。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。根據(jù)被測系統(tǒng)的等級，等級越高，對應(yīng)的基本要求項越多，所需進(jìn)行的測評工作量也就越大。1、測評準(zhǔn)備工作測評準(zhǔn)備工作的主要任務(wù)包括：項目啟動、信息收集和分析、工具和表單準(zhǔn)備。2、方案編制工作方案編制活動的主要任務(wù)包括:測評對象確定、測評指標(biāo)確定、測評內(nèi)容確定、工具測試方法確定、測評指導(dǎo)書開發(fā)及測評方案編3、現(xiàn)場測評工作現(xiàn)場測評工作的主要任務(wù)包括:現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。4、報告編制活動報告編制活動的主要任務(wù)包括:單項測評結(jié)

8、果判定、單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編最終出具信息安全等級測評報告,經(jīng)被測單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。安全管理體系建設(shè)咨詢按照安全管理需求，協(xié)助進(jìn)行信息安全管理體系建設(shè)，包括:成立信息安全領(lǐng)導(dǎo)小組，編制信息安全規(guī)章制度和操作規(guī)程，建立信息安全監(jiān)督機(jī)制、應(yīng)急機(jī)制、通報機(jī)制、事件責(zé)任追究機(jī)制和風(fēng)險管理機(jī)制，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容。規(guī)范系統(tǒng)運維管理，開展運維標(biāo)準(zhǔn)化作業(yè)，明確運維體系、費用標(biāo)準(zhǔn)、工作規(guī)范、流程標(biāo)準(zhǔn)、操作規(guī)程、裝備標(biāo)準(zhǔn)、管理制度、考核標(biāo)準(zhǔn)，包含機(jī)房環(huán)境安全

9、、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。信息安全整改建設(shè)咨詢1安全技術(shù)體系建設(shè)咨詢完成等級測評后，提出技術(shù)安全建議與措施，指導(dǎo)信息系統(tǒng)的安全整改與加固。整改與加固實施方案的制定需要注意以下幾點：(1)實施風(fēng)險削減建議的優(yōu)先度，便于用戶在評估后根據(jù)揭示出的安全風(fēng)險建立實施風(fēng)險管理的計劃；(2)提請注意風(fēng)險削減與實施費用的平衡控制，做到適度安全；(3)提出的具體技術(shù)加固與整改措施、方案、建議等，覆蓋所有評估內(nèi)容；在對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用做加固工作時如果涉及的安全策略調(diào)整、協(xié)議、端口管理、打補丁等，要考慮加固對象的實施

10、風(fēng)險，必要時要做好加固前的測試工作。(5)系統(tǒng)整改加固后，需要對已實施的安全措施進(jìn)行有效性確認(rèn)，以保證達(dá)到目標(biāo)。2.公共服務(wù)域三級等級保護(hù)評測包括信息安全等級測評、信息安全管理規(guī)章制度梳理編制等。信息安全等級測評服務(wù)內(nèi)容測評內(nèi)容依據(jù)GB-T22239-2008信息系統(tǒng)安全等級保護(hù)測評要求等管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，檢測信息系統(tǒng)安全等級保護(hù)狀況是否達(dá)到相應(yīng)等級基本要求，通過等級測評進(jìn)行現(xiàn)狀分析，確定系統(tǒng)的安全保護(hù)現(xiàn)狀和存在的安全問題。等級保護(hù)測評包括安全技術(shù)測評和安全管理測評，其中安全技術(shù)測評包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個方面的安全測評；安全管理測評包括安全管理機(jī)構(gòu)、安

11、全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評。1、物理安全針對物理安全方面的“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。2、網(wǎng)絡(luò)安全針對網(wǎng)絡(luò)安全方面的“結(jié)構(gòu)安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。3、主機(jī)安全針對主機(jī)安全方面的“身份鑒別”、“訪問控制”、“安全審計”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”等測評指標(biāo)

12、，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。4、應(yīng)用安全針對應(yīng)用安全方面的“身份鑒別”、“訪問控制”、“安全審計”、“通信完整性”、“通信保密性”、“軟件容錯”、“資源控制”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。5、數(shù)據(jù)安全及備份恢復(fù)針對數(shù)據(jù)安全方面的“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。6、安全管理制度針對安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。7、安全管理機(jī)構(gòu)針對安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢

13、查”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。8人員安全管理針對人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓(xùn)”以及“外部人員訪問管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。9、系統(tǒng)建設(shè)管理針對系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、以及“安全服務(wù)商選擇”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。10、系統(tǒng)運維管理針對系統(tǒng)運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、

14、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。測評工作流程信息安全等級測評過程分為四個基本測評工作：測評準(zhǔn)備工作、方案編制工作、現(xiàn)場測評工作、分析及報告編制工作。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。根據(jù)被測系統(tǒng)的等級，等級越高，對應(yīng)的基本要求項越多，所需進(jìn)行的測評工作量也就越大。1、測評準(zhǔn)備工作測評準(zhǔn)備工作的主要任務(wù)包括：項目啟動、信息收集和分析、工具和表單準(zhǔn)備。2、方案編制工作方案編制活動的主要任務(wù)包括：測評對象確定、測評指標(biāo)確定、測評內(nèi)容確定、工具測試方法確定、測評指

15、導(dǎo)書開發(fā)及測評方案編制。3、現(xiàn)場測評工作現(xiàn)場測評工作的主要任務(wù)包括：現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。4、報告編制活動報告編制活動的主要任務(wù)包括：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編制。最終出具信息安全等級測評報告，經(jīng)被測單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。安全管理體系建設(shè)咨詢按照安全管理需求，協(xié)助進(jìn)行信息安全管理體系建設(shè)，包括:成立信息安全領(lǐng)導(dǎo)小組，編制信息安全規(guī)章制度和操作規(guī)程，建立信息安全監(jiān)督機(jī)制、應(yīng)急機(jī)制、通報機(jī)制、事件責(zé)任追究機(jī)制和風(fēng)險管理機(jī)制，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施

16、、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容。規(guī)范系統(tǒng)運維管理，開展運維標(biāo)準(zhǔn)化作業(yè)，明確運維體系、費用標(biāo)準(zhǔn)、工作規(guī)范、流程標(biāo)準(zhǔn)、操作規(guī)程、裝備標(biāo)準(zhǔn)、管理制度、考核標(biāo)準(zhǔn)，包含機(jī)房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。信息安全整改建設(shè)咨詢1安全技術(shù)體系建設(shè)咨詢完成等級測評后，提出技術(shù)安全建議與措施，指導(dǎo)信息系統(tǒng)的安全整改與加固。整改與加固實施方案的制定需要注意以下幾點：(1)實施風(fēng)險削減建議的優(yōu)先度，便于用戶在評估后根據(jù)揭示出的安全風(fēng)險建立實施風(fēng)險管理的計劃；(2)提請注意風(fēng)險削減與實施費用的平衡控制，做到

17、適度安全；(3)提出的具體技術(shù)加固與整改措施、方案、建議等，覆蓋所有評估內(nèi)容；(4)在對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用做加固工作時如果涉及的安全策略調(diào)整、協(xié)議、端口管理、打補丁等，要考慮加固對象的實施風(fēng)險，必要時要做好加固前的測試工作。(5)系統(tǒng)整改加固后，需要對已實施的安全措施進(jìn)行有效性確認(rèn)，以保證達(dá)到目標(biāo)。3.政府網(wǎng)站群系統(tǒng)三級等級保護(hù)評測1信息安全等級保護(hù)測評內(nèi)容淄博市政府網(wǎng)站群系統(tǒng)是按照平臺資源集約化、網(wǎng)站管理分級化、政務(wù)服務(wù)便捷化化、平臺功能組件化、數(shù)據(jù)匯集高效化的技術(shù)路線打造政府網(wǎng)站群。系統(tǒng)平臺應(yīng)用由前端應(yīng)用、后臺數(shù)據(jù)庫、中間件平臺3個功能子系統(tǒng)支撐構(gòu)成。依據(jù)信息系統(tǒng)安全等級保護(hù)定級指南(GB/

18、T22240-2008)的要求，遵循規(guī)范的流程，按照等級保護(hù)三級要求分別對政府網(wǎng)站群3個功能子系統(tǒng)開展測評工作。根據(jù)定級梳理結(jié)果，按照信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級基本要求(GB/T22239-2008),對信息系統(tǒng)系統(tǒng)進(jìn)行信息安全等級保護(hù)現(xiàn)狀測評。包括安全技術(shù)測評和安全管理測評。等級保護(hù)測評安全技術(shù)測評主要包括物理安全測評、網(wǎng)絡(luò)安全測評、主機(jī)安全測評、應(yīng)用安全測評、數(shù)據(jù)安全測評等五個方面。安全管理測評主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面。重點測評對象種類主要考慮以下幾個方面：主機(jī)房(包括其環(huán)境、設(shè)備和設(shè)施等)和部分輔機(jī)房；(2)存儲被測系統(tǒng)

19、重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；(3)辦公場地；整個系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；(5)安全設(shè)備，包括防火墻、入侵檢測設(shè)備和防病毒網(wǎng)關(guān)等；(6)邊界網(wǎng)絡(luò)設(shè)備(可能會包含安全設(shè)備)，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備(如樓層交換機(jī))等；(7)對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等;(8)承載被測系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器(包括其操作系統(tǒng)和數(shù)據(jù)庫)；(9)管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；(10)能夠完成被測系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；(11)業(yè)務(wù)備份系統(tǒng)；(12)信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；(13)涉及到信

20、息系統(tǒng)安全的所有管理制度和記錄。(14)制定各系統(tǒng)應(yīng)急預(yù)案并協(xié)助進(jìn)行演練。依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求，結(jié)合淄博市政府網(wǎng)站群系統(tǒng)安全等級進(jìn)行等級保護(hù)測評，并逐項明確不符合項與安全要求之間的差距及可能造成的風(fēng)險，出具完整的等級測評報告。2、測評工作流程信息安全等級測評過程分為四個基本測評工作：測評準(zhǔn)備工作、方案編制工作、現(xiàn)場測評工作、分析及報告編制工作。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。根據(jù)被測系統(tǒng)的等級，等級越高，對應(yīng)的基本要求項越多，所需進(jìn)行的測評工作量也就越大°(1)測評準(zhǔn)備工作測評準(zhǔn)備工作的主要任務(wù)包括：項目啟動、信息收集和分析、工具和表單準(zhǔn)備。(2)方案編

21、制工作方案編制活動的主要任務(wù)包括：測評對象確定、測評指標(biāo)確定、測評內(nèi)容確定、工具測試方法確定、測評指導(dǎo)書開發(fā)及測評方案編制°(3)現(xiàn)場測評工作現(xiàn)場測評工作的主要任務(wù)包括：現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。(4)報告編制活動報告編制活動的主要任務(wù)包括：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編制°最終出具信息安全等級測評報告，經(jīng)被測單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。3、信息安全建設(shè)規(guī)劃依據(jù)對淄博市政府網(wǎng)站群3個子系統(tǒng)系統(tǒng)安全現(xiàn)狀測評的結(jié)果對網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備部署情況進(jìn)行整體規(guī)劃和調(diào)整，考慮物理設(shè)計、網(wǎng)絡(luò)設(shè)計、主機(jī)設(shè)

22、計、應(yīng)用設(shè)計和其他設(shè)計等內(nèi)容。依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求（GB/T22239-2008、信息安全技術(shù)信息系統(tǒng)安全管理要求（GBT20269-2006等，完成安全管理體系的規(guī)劃指導(dǎo)。制定等級保護(hù)整改方案，指導(dǎo)信息系統(tǒng)安全技術(shù)體系和安全管理體系的構(gòu)建。4、信息安全管理體系建設(shè)按照信息系統(tǒng)安全等級保護(hù)的相關(guān)要求，建立信息安全保護(hù)持續(xù)改進(jìn)機(jī)制，梳理信息系統(tǒng)的信息安全等級保護(hù)管理制度體系，協(xié)助健全和完善信息安全的管理體系、技術(shù)體系和運維體系，促進(jìn)信息安全保障水平不斷提升。5、信息安全風(fēng)險評估按照GB-T20984-2007信息安全風(fēng)險評估規(guī)范標(biāo)準(zhǔn)和要求，對淄博市政府網(wǎng)站群系統(tǒng)進(jìn)行風(fēng)險評估，明確信息

23、系統(tǒng)安全風(fēng)險，提出合理的、滿足等級保護(hù)要求總體建設(shè)和管理規(guī)劃，并制定安全實施計劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。6、安全咨詢服務(wù)通過對安全問題的分析和總結(jié)，結(jié)合業(yè)界實踐經(jīng)驗，對淄博市政府網(wǎng)站群系統(tǒng)安全運行進(jìn)行分析，提出相應(yīng)的改進(jìn)建議，對規(guī)劃和安全體系進(jìn)行指導(dǎo)服務(wù)。并對安全科研課題、安全熱點事件、行業(yè)安全規(guī)范提供咨詢、解讀、分析、指導(dǎo)服務(wù)。4.城市APP、微信公眾號三級等級保護(hù)評測1信息安全等級保護(hù)測評內(nèi)容城市APP微信公眾號由主站、子站、微門戶(安卓及IOS版本)、區(qū)縣門戶等構(gòu)成。依據(jù)信息系統(tǒng)安全等級保護(hù)定級指南(GB/T22240-2008)的要求，遵循規(guī)范的流程，按照等級保護(hù)三級要

24、求對城市APP微信公眾號開展測評工作。根據(jù)定級梳理結(jié)果，按照信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級基本要求(GB/T22239-2008),對信息系統(tǒng)系統(tǒng)進(jìn)行信息安全等級保護(hù)現(xiàn)狀測評。包括安全技術(shù)測評和安全管理測評。安全技術(shù)測評主要包括物理安全測評、網(wǎng)絡(luò)安全測評、主機(jī)安全測評、應(yīng)用安全測評、數(shù)據(jù)安全測評等五個方面。安全管理測評主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面。重點測評對象種類主要考慮以下幾個方面：等級保護(hù)測評主機(jī)房(包括其環(huán)境、設(shè)備和設(shè)施等)和部分輔機(jī)房；存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；(3)辦公場地；(4)整個系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；(5)安

25、全設(shè)備，包括防火墻、入侵檢測設(shè)備和防病毒網(wǎng)關(guān)等；(6)邊界網(wǎng)絡(luò)設(shè)備(可能會包含安全設(shè)備)，包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備(如樓層交換機(jī))等；(7)對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等；(8)承載被測系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器(包括其操作系統(tǒng)和數(shù)據(jù)庫)；(9)管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；(10)能夠完成被測系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；(11)業(yè)務(wù)備份系統(tǒng);(12)信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；(13)涉及到信息系統(tǒng)安全的所有管理制度和記錄。(14)制定各系統(tǒng)應(yīng)急預(yù)案并協(xié)助進(jìn)行演練。

26、依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求，結(jié)合城市APP、微信公眾號系統(tǒng)安全等級進(jìn)行等級保護(hù)測評，并逐項明確不符合項與安全要求之間的差距及可能造成的風(fēng)險，出具完整的等級測評報告。2、測評工作流程信息安全等級測評過程分為四個基本測評工作：測評準(zhǔn)備工作、方案編制工作、現(xiàn)場測評工作、分析及報告編制工作。而測評雙方之間的溝通與洽談應(yīng)貫穿整個等級測評過程。根據(jù)被測系統(tǒng)的等級，等級越高，對應(yīng)的基本耍求項越多，所需進(jìn)行的測評工作量也就越大°(1)測評準(zhǔn)備工作測評準(zhǔn)備工作的主要任務(wù)包括：項目啟動、信息收集和分析、工具和表單準(zhǔn)備。(2)方案編制工作方案編制活動的主要任務(wù)包括：測評對象確定、測評指標(biāo)確定、測評內(nèi)

27、容確定、工具測試方法確定、測評指導(dǎo)書開發(fā)及測評方案編制°(3)現(xiàn)場測評工作現(xiàn)場測評工作的主要任務(wù)包括：現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。(4)報告編制活動報告編制活動的主要任務(wù)包括：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論形成及測評報告編制°最終出具信息安全等級測評報告，經(jīng)被測單位確認(rèn)，提交公安局網(wǎng)安部門進(jìn)行備案。3、信息安全建設(shè)規(guī)劃依據(jù)對淄博市城市APP微信公眾號系統(tǒng)安全現(xiàn)狀測評的結(jié)果對網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備部署情況進(jìn)行整體規(guī)劃和調(diào)整，考慮物理設(shè)計、網(wǎng)絡(luò)設(shè)計、主機(jī)設(shè)計、應(yīng)用設(shè)計和其他設(shè)計等內(nèi)容。依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求（GB

28、/T22239-2008、信息安全技術(shù)信息系統(tǒng)安全管理要求（GBT20269-2006等，完成安全管理體系的規(guī)劃指導(dǎo)。制定等級保護(hù)整改方案，指導(dǎo)信息系統(tǒng)安全技術(shù)體系和安全管理體系的構(gòu)建。4、信息安全管理體系建設(shè)按照信息系統(tǒng)安全等級保護(hù)的相關(guān)要求，建立信息安全保護(hù)持續(xù)改進(jìn)機(jī)制，梳理信息系統(tǒng)的信息安全等級保護(hù)管理制度體系，協(xié)助健全和完善信息安全的管理體系、技術(shù)體系和運維體系，促進(jìn)信息安全保障水平不斷提升。5、信息安全風(fēng)險評估按照GB-T20984-2007信息安全風(fēng)險評估規(guī)范標(biāo)準(zhǔn)和要求，對淄博市城市APP微信公眾號進(jìn)行風(fēng)險評估，明確信息系統(tǒng)安全風(fēng)險，提出合理的、滿足等級保護(hù)要求總體建設(shè)和管理規(guī)劃，并制定安全實施計劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。6、安全咨詢服務(wù)通過對安全問題的分析和總結(jié)，結(jié)合業(yè)界實踐經(jīng)驗，對城市APP微信公眾號系統(tǒng)安全運行進(jìn)行分析，提出相應(yīng)的改進(jìn)建議，對規(guī)劃和安全體系進(jìn)行指導(dǎo)服務(wù)。并對安全科研課題、安全熱點事件、行業(yè)安全規(guī)范提供咨詢、解讀、分析、指導(dǎo)服務(wù)。、