2018年等級保護測評項目需求說明

1、2018年等級保護測評項目需求說明一、項目基本情況介紹 信息系統(tǒng)等級保護是指依據(jù)信息系統(tǒng)的重要程度，劃分為不同的安全等級，并綜合平衡考慮系統(tǒng)安全要求、所面臨安全風險和實施安全措施的成本，進行安全措施的調(diào)整和定制，形成不同等級的安全措施進行保護。隨著我國信息技術(shù)的快速發(fā)展，為維護國家安全和社會穩(wěn)定，維護信息網(wǎng)絡安全，2007年公安部會同國家保密局、國家密碼管理局和國務院信息化工作辦公室下發(fā)信息安全等級保護管理辦法（公通字200743號），并制定了包括計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護定級指南、信息系統(tǒng)安全等級保護基本要求等50多個國家標準和行業(yè)標

2、準，形成了信息安全等級保護標準體系。2017年6月1日，中華人民共和國網(wǎng)絡安全法實施，從法律層面確定了金融行業(yè)和領域是國家重點保護對象，參照信息系統(tǒng)等級保護的核心思想和思維方式，結(jié)合信息安全評估服務，需對我行信息系統(tǒng)開展等級測評，以滿足新形勢下的信息安全需求工作。此外，銀保監(jiān)會、人行、公安部等各級監(jiān)管機構(gòu)對我行信息系統(tǒng)等級保護實施情況的監(jiān)管，以報表、報告等形式貫穿全年的信息安全報送工作中。開展信息系統(tǒng)等級保護測評工作也是滿足行業(yè)監(jiān)管要求的必要工作之一。二、項目采購服務范圍：本次等級保護測評工作計劃針對7個系統(tǒng)進行測評工作。已備案系統(tǒng)進行復評：三級系統(tǒng)：核心業(yè)務系統(tǒng)、核心骨干網(wǎng)、網(wǎng)銀系統(tǒng)二級系統(tǒng)

3、：財務總賬系統(tǒng)、薪酬績效考核系統(tǒng)、SWIFT系統(tǒng)新定級系統(tǒng)（二級）：官方網(wǎng)站 已備案三級已備案二級新定級系統(tǒng)合計3個3個1個7個三、項目技術(shù)要求1、測評公司能夠把握和理解國家對該類項目的具體要求，對等級保護政策標準本身有較深的認識；2、測評公司應具有完善的工作流程，有計劃、按步驟地開展測評工作，保證測評活動的每個環(huán)節(jié)都得到有效的控制；3、為維護雙方的利益，測評公司（供應商）在我行實際測評工作中對我單位的系統(tǒng)、信息、數(shù)據(jù)有安全保密的義務，進場時必須簽訂保密協(xié)議；4、測評公司應具有完善的測評方案，包括物理安全、主機安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)備份與恢復，管理安全等。 四、項目驗收考核要求 按照我

4、行項目計劃完成等級保護測評等工作，并提交到公安局網(wǎng)監(jiān)部門完成備案工作。項目的最終驗收需雙方在提供的驗收報告上簽字蓋章。五、成果版權(quán)要求如無特殊說明，知識產(chǎn)權(quán)歸我行所有。六、供應商要求1、供應商具有獨立法人資格，具有在有效期內(nèi)的營業(yè)執(zhí)照；2、供應商應具備天津市信息安全等級保護工作協(xié)調(diào)小組辦公室頒發(fā)的信息安全等級保護測評機構(gòu)推薦證書，且推薦證書在有效期內(nèi)；3、供應商的注冊時間不少于3年，注冊資本人民幣不少于1000萬元；提供近三年經(jīng)會計師事務所審計的度財務報告、營業(yè)執(zhí)照副本復印件；4、供應商須具有銀行業(yè)等級保護測評案例。5、供應商應滿足公安部網(wǎng)絡安全等級保護測評機構(gòu)管理辦法中測評師資質(zhì)不少于15人，其中高級測評師不少于1人，中級測評師不少于5人的要求，提供測評師證書及社保證明。七、項目其他商務條款1、雙方簽訂合同生效后，供應商需立即組織成立項目組，并于5個工作日內(nèi)入場開始實施項目。項目實施完成，由我行驗收合格后支付合同價格90%款項，待驗收合格之日起滿一年，支付項目余款10%。2、在項目驗收