还剩4页未读,继续阅读
文本内容:
检举举报平台项目网络安全等级保护测评及服务技术要求
1.服务商资质要求报名条件1须具有独立法人资格和独立承担民事责任的能力;具有良好的商业信誉和健全的财务会计制度2投标人需具备1S09001质量体系认证证书3投标人需具备网络安全等级保护测评机构推荐证书,并且为新疆注册的测评机构,提供证明文件4项目组人员需提供疆内社保记录,其中疆内测评师不少于5人,高级测评师不少于1名,中级测评师不少于1名、初级测评师不少于3名5优先条件测评机构具有IS027001信息安全管理体系认证证书测评机构具有IS020000信息技术服务管理体系认证证书优先2测评范围自治区纪检监察系统检举举报平台项目等级保护测评范围包括举报网站、举报电话、平台基层版三个信息系统服务商针对上述系统协助完成定级、备案工作,完成差距分析工作,提交整改建议,为检举举报平台项目网络信息系统整改工作过程中的问题提供解答,并最终提交相应合格的所有网络信息系统测评报告信息系统及初定等级保护级别如下表:
3.技术要求部分1测评实施要求服务商应按照最新的等级保护相关技术标准,详细描述等级保护测评的整体实施方案,包括等级保护测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等服务商应详细描述测评人员的组成、资质及各自职责的划分服务商应配置经验丰富的测评人员进行等级保护测评工作2测评方法测评方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法如需在等级保护测评实施过程中采用在线测评工具的,各种工具软件由服务商提供,经询价人确认后由服务商在测评中使用服务商应详细描述所使用的安全测评工具软硬件型号、功能和性能描述、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等,同时需向询价人提供应急处置预案等级保护测评应有详细的实施方案和严格的操作步骤,采取的措施应是经过测试、稳定可靠的安全测评工具软件运行可能需要的硬件平台如笔记本电脑、pc、工作站等和操作系统软件等由服务商提供,经确认后由服务商在测评中使用安全测评需要的运行环境如场地、网络环境等由询价人提供,服务商应详细描述需要的运行环境的具体要求3测评流程测评流程分为四个阶段测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段测评完成后,提供整改建议书,配合询价人根据测评范围进行整改实施,整改完成后由服务商针对整改问题进行复测4风险控制测评工作本身也会引入安全风险,必须加强测评过程中的风险控制测评实施前,双方应充分讨论并明确测评对系统可能带来的风险和隐患,确定测评对象、测评方法和工具,并制定应急恢复措施操作的申请和监护现场测评前签订现场测评授权书,测评操作必须遵守现场运行规章制度,确保系统安全稳定运行如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行测评完成后要将相关资料、环境等恢复还原服务商需制定过程控制、内部保密制度,指定专人保管测评资料文件人员与数据管理重视测评保密工作,加强测评过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏测评对象选择优先选择备用设备系统或临时搭建的模拟环境进行测评避免影响在线系统运行制定应急预案根据被测评系统情况,在测评实施前制定应急预案,加强系统在线应急处置能力关键业务系统风险控制核心业务系统禁止采用渗透测试工具进行测评,除非询价人书面同意,且服务商需做好应急处置工作5测评内容根据国家等级保护相关标准,等级保护测评应包括以下内容
1.安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
2.安全管理测评包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评安全物理环境安全物理环境测评是对机房和办公场所的物理环境安全防护情况进行测评,包括机房位置选址、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况安全通信网络安全通信网络测评是对网络通信安全防护情况进行测评,包括网络架构安全、网络通信传输、可信验证等方面的安全状况安全区域边界安全区域边界测评是对网络边界安全防护情况进行测评,包括关键网络节点处的身份鉴别、访问控制、安全审计、入侵防范、恶意代码和垃圾邮件防范、可信验证等方面的安全状况安全计算环境安全计算环境测评是对业务系统安全及数据安全防护情况进行测评,包括应用系统层面的身份鉴别、入侵防范、访问控制、恶意代码防范、安全审计、可信验证、数据传输存储过程中的完整性及保密性、数据本地及异地备份恢复、剩余信息保护、个人信息保护等方面的安全状况安全管理中心安全管理中心是对安全管理员及网络系统安全情况进行测评,包括对系统、安全、审计管理员的身份鉴别、划分特定安全管理区域、安全事件及安全设备组件集中管控、识别,报警和分析各类安全事件等方面的安全状况安全管理机构安全管理机构测评是对安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评安全管理制度安全管理制度测评是对安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评安全管理人员安全管理人员测评是对相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评安全建设管理安全建设管理测评是对建设过程中的系统定级、系统备案、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、安全服务商选择等情况进行测评安全运维管理安全运维管理测评是对运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评.项目成果清单(交付物).人员配置要求项目组人员不少于5人,其中高级信息安全等级测评师不少于1人,中级信息安全等级测评师不少于1人,初级信息安全等级测评师不少于3人保证提供现场服务的2人以上信息安全等级测评师(以上人员须提供投标人相关人员资质证书、社保缴费证明复印件加盖投标人单位公章).保密要求等级保护测评机构有义务对项目实施过程中所收集、产生的所有与本项目相关文档、资料,包括文字、图片、表格、数字等各种形式的内容保密,应按照要求签署保密协议.工期要求等级保护测评机构必须在合同签订后30个工作日内完成项目各重要信息系统测评工作.验收方式在规定时间内交付具有评估测评资质效力的报告,并经采购人确认报告符合要求后,才作为最终验收供应商提供的报告未达到招标文件规定要求,且对采购人造成损失的,由供应商承担一切责任,并赔偿所造成的损失序号系统名称初定保护等级1举报网站三级2举报电话三级3基层版系统三级序号服务项目服务内容1信息系统定级系统定级协助在公安部门完成系统定级工作;根据信息系统的服务客体以及信息系统受到破坏时,对客体的侵害程度对信息系统进行定级工作;出具所有网络信息系统的《系统定级报告》2信息系统差距分析差距分析从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全管理人员、安全建设管理、安全运维管理等十个方面进行分析,对机房环境、网络构架、配置文件、工具评估结果进行详细分析,找出各系统与其对应等级保护保护级别的具体差距出具所有网络信息系统的《差距分析报告》3信息系统等级保护方案设计安全管理分析和设计根据《差距分析报告》中的安全管理机构、人员安全管理、系统建设管理、系统运维管理等五个层面开展分析工作,针对新疆信息安全的自身特点进行管理整改方案的设计安全技术分析和设计根据《差距分析报告》,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面进行分析、对机房环境、网络构架、配置文件、工具评估结果等进行详细分析,根据分析结果设计安全技术方案,出具所有网络信息系统的《信息系统整改建设方案》4方案评审在差距分析和方案设计工作当中,组织专家进行评审论证会议确定各系统的《差距分析报告》和《信息系统整改建设方案》满足后期信息安全建设需求及要求,并出具最终的《评审意见》5等级测评开展等级测评工作包含现场正式测评工作、渗透测试、配置审计、远程漏扫等,并出具所有网络信息系统的《系统信息安全等级保护测评报告》。