信息化建设项目网络安全等级保护测评服务方案V1

XXX市信息化建设项目网络安全等级保
护测评服务
1.1服务目标
根据国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级工作的通知》以及《XXX市重要信息系统安全等级保护工作实施方案》的要求，对XXX市水务局”智慧排水”信息化建设项目开展网络安全等级保护测评工作。

服务供应商应根据网络安全等级保护测评的基本要求提供等级保护咨询服务，对系统进行必要的等保安全性评估，找出与国家信息安全等级保护基本要求存在的差距，在此基础上协助采购人按照国家有关规定和标准规范要求对信息系统进行安全建设整改，协助采购人顺利通过国家信息安全等级保护主管部门的备案审核和取得《信息系统安全等级保护备案证明》，出具符合国家信息安全等级保护主管部门要求的网络安全等级保护测评报告，高质量通过国家信息安全等级保护主管部门的报告审核。

1.2服务内容及要求
1.2.1服务内容
本次测评的XXX市水务局”智慧排水”信息化建设项目具体信息如下：
保护定备案结果为准，服务供应商参与本子项投标视为知悉并接受本子项的服务要求。

XXX市水务局”智慧排水”信息化建设项目部署在XXX市电子政务云，系统仍在建设阶段。

本次要求服务供应商提供的服务包括但不限于：
1、为保证三大信息化建设项目的顺利验收，要求服务供应商自合同签订之日起，根据网络安全等级保护测评的基本要求对采购人提供或要求提供的相关方案提供咨询服务，对不符合国家信息安全等级保护相关要求的方案和问题提出建议，协助采购人完成项目的安全建设。

2、为保证XXX市水务局”智慧排水”信息化建设项目中的信息系统定级合理化且能够顺利通过国家信息安全等级保护主管部门的备案审核，服务供应商协助采购人确定定级对象，给出合理的定级建议，并协助采购人取得国家信息安全等级保护主管部门的《信息系统安全等级保护备案证明》。

3、为保证XXX市水务局”智慧排水”信息化建设项目中的信息系统能够顺利达到国家信息安全等级保护相关要求，服务供应商在服务期内须对系统进行有必要的等保安全性评估，找出与国家信息安全等级保护基本要求存在的差距，在此基础上协助采购人按照国家有关规定和标准规范要求对信息系统进行安全建设整改，达到国家信息安全等级保护相关要求。

4、服务供应商应当依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准（服务期内若相关规范、标准有更新的，以最新的为准），对建设项目网络（含信息系统、数据资源等）的安全保护状况进行检测评估，在服务期内公平、公正且规范化地出具符合国家信息安全等级保护主管部门要求的《网络安全等级保护【系统名称】等级测评报告》，并协助采购人获取国家信息安全等级保护主管部门的《提交网络安全等级测评报告回执》。

其中协助信息系统进行定级，需要依据《GB/T 22240-2020 信息安全技术网络安全等级保护定级指南》；对信息系统的测评需要依据《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》的安全通用技术要求和云计算安全扩展要求、移动互联安全扩展要求、物联网系统安全扩展要求进行实施。

1.2.2服务原则
(一)规范性原则
严格遵循国家、行业相关规范、标准开展工作，项目实施应由专业的测评师依照规范的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

(二)最小影响原则
做好风险预防措施，尽可能避免对在运网络和信息系统造成影响；测评人员应该仅以发现系统安全漏洞为目的，不得采取对被测系统带有破坏性的信息安全测试。

(三)公平公正原则
中标服务商需严格遵守国家现行的有关标准，公正、独立、自主地开展测评工作，维护采购人的合法权益。

(四)优质服务原则
要求中标服务商提供的是最低限度的要求，中标服务商应保证提供符合测试和分析要求和有关标准的优质服务，并确保测试报告符合项目最终验收的所有要求。

要求所使用的标准和规范如与实施方所执行的标准不一致时，按较高标准执行。

(五)保密原则
对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。

(六)非破坏性测试原则
对于被测试的业务系统应确保系统运行和数据安全，不得产生因测试带来的系统破坏和数据损失，并不因测试而产生其它非业务数据，如确实因测试需要而产生非业务数据，则须经过采购人同意方可开展测试。

1.2.3服务依据
网络安全等级保护测评要求依据《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术网络安全等级保护测评要求》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对相应等级信息系统遵循的标准进行综合性测评，提出相应的安全评审意见。

主要遵循及参考的法律法规及等级保护相关技术标准，主要参考标准如下：（以下以国家相关部门
颁发的最新标准为准）：
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）
《信息安全等级保护管理办法》（公通字[2007]43号）
《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）
《信息安全等级保护备案实施细则》（公信安[2007]1360号）
《计算机信息系统安全保护等级划分准则》（GB 17859-1999）
《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）
《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）
《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）
《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）
《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）
《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）
《信息安全技术网络安全等级保护安全管理中心技术要求》（GB/T 36958-2018）
《信息安全技术网络安全等级保护测试评估技术指南》（GB/T 36627-2018）
1.2.4服务内容具体要求
1.2.4.1等级保护咨询服务
本项目服务期内，服务供应商提供等级保护咨询服务，根据网络安全等级保护测评的基本要求，对采购人提供、或要求提供的建设方案、系统设计方案等，以及建设项目实施过程中采购人发现可能不符合国家信息安全等级保护相关要求的问题提出调整建议方案，协助采购人完成建设项目的安全建设。

1.2.4.2定级备案要求
服务供应商在三大信息化建设项目信息系统定级工作阶段提供定级备案咨询服务，要求包括协助采购人：确定定级对象、初步确定等级（含定级建议）、安排专家评审（相关费用计入投标总价）、相关资料准备、提交国家信息安全等级保护主管部门备案审核、取得国家信息安全等级保护主管部门的《信息系统安全等级保护备案证明》。

1.2.4.3等级保护测评要求
根据相关国家法律法规和标准，服务供应商对三大信息化建设项目开展等保安全性评估和网络安全等级保护测评的相关工作。

测评对象种类要求
依照网络安全等级保护的要求、参考业界权威的安全风险评估标准与模型，同时结合测评机构多年的安全风险评估经验与实践，从信息系统的核心资产出发，以威胁和弱点为导向，对比网络安全等级保
护的具体要求，全方面对信息系统进行全面评估。

测评对象包括安全通用要求测评对象和移动互联系统安全扩展要求测评对象、云计算安全扩展要求测评对象以及物联网系统安全扩展要求测评对象。

测评内容要求
为保证采购人的信息系统能够达到网络安全等级保护测评的安全要求，要求等保安全性评估采用与网络安全等级保护测评完全一致的测评标准。

网络安全等级保护测评包括两个方面的内容：
一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；
二是系统整体测评，主要测评分析信息系统的整体安全性。

其中，安全控制测评是信息系统整体安全测评的基础。

安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。

安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个层面上的安全控制测评；
安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全控制测评。

系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关。

根据被测系统信息系统的具体情况，结合标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，在安全控制测评的基础上，重点考虑安全控制点间、层面间、区域间的相互关联关系，分析评估安全控制点间、层面间、区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。

综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行，由此而获得信息系统对应安全等级保护级别的符合性结论。

服务期内，服务供应商应根据建设项目实施情况或采购人要求，开展必要的等保安全性评估，并出具《测评记录及问题汇总》、《网络安全等级保护安全性评估报告》（每个系统1份）和《网络安全等级保护整改建议》；在建设项目主体工程通过初步验收后半年内且完工验收申请前，服务供应商对系统进行全面的网络安全等级保护测评，根据实际测评结论出具符合标准的、有效的《网络安全等级保护等级测评报告》（每个系统1份），并协助采购人通过国家信息安全等级保护主管部门的报告审核，获取《提交网络安全等级测评报告回执》；为保证服务期内采购人符合国家信息安全等级保护主管部门的检查要求，在建设项目主体工程合同验收前服务供应商开展必要的网络安全等级保护测评工作，并在建设项目开展项目终验工作前出具符合标准的、有效的《网络安全等级保护等级测评报告》（每个系统1份），协助采购人向国家信息安全等级保护主管部门进行提交。

渗透测试服务要求
按照《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）文件中关于等级保护测评现场测试包含通过渗透测试辅助完成整体网络安全等级保护测评工作。

服务供应商在获得确认授权的《渗透测试授权书》前提下，对采购人测评的业务系统进行模拟黑客的安全渗透测试，对操作系统、数据库、Web发布系统、Web程序等层面存在的安全漏洞进行准确查找，同时利用渗透性技术检测，发现未知应用系统漏洞和安全隐患。

主要有：弱口令、本地权限提升、远程溢出、数据库查询等。

渗透测试结束后提供详细的渗透测试报告，并在报告中给出漏洞修复建议。

在采购人修复漏洞后，对漏洞修复情况进行复测。

渗透测试过程中，服务供应商渗透测试工程师除使用产品和工具扫描外，更重要的是进行人工渗透，并对实用工具发现的漏洞进行人工验证，并提供《扫描及渗透授权文档》、《扫描结果》、《渗透报告》（含整改建议）。

测评工具要求
在等级保护测评过程中使用的测评工具要求严格遵循可控性原则，测评过程中采用的技术手段确保已经过可靠的实际应用。

1.2.5其他要求
1、服务供应商应按照采购人的要求出席相关会议，签署会议记录文件。

2、服务期内测评工具使用发生的相关费用全部服务供应商自行承担，采购人无须另外支付任何费用。

1.3服务期限
自双方签订合同之日起，至采购人均完成三大信息化建设项目的项目终验。

1.4交付成果
项目成果应包括但不限于以下方面：
1、《网络安全等级保护测评实施方案》（含各部分测评内容及实施计划）
2、《测评记录及问题汇总》
3、《网络安全等级保护安全性评估报告》（每个系统1份）
4、《网络安全等级保护整改建议》
5、《网络安全等级保护【系统名称】等级测评报告》（每个系统1份）
6、《扫描及渗透授权文档》
7、《信息系统渗透测试报告》（含整改建议，每个系统1份）
8、服务过程中相关成果输出物
1.5服务考核条款
服务供应商须承诺在中标后接受如下服务考核管理办法，相关细则在子项目实施过程如有需要调整的，以采购人、服务供应商双方最终协商确认的为准。

（投标提供承诺）
一、考核方式与标准
（一）考核周期与频次：本子项目服务期内的每个季度。

（二）考核方式与细则：考核以评分（百分制）的方式进行，由采购人在每个季度末根据下述考核细则对服务供应商的服务进行考评，并将结果以书面形式告知服务供应商，服务供应商需在告知后3个工作日反馈意见，逾期视为无异议。

详细考核细则如下：
1、进度执行（满分10分）：考察服务供应商是否根据本子项目合同约定工期或经审批确认后的实施方案等材料执行相应工作。

经核实未按时完成的，每发生一次扣除5分。

2、技术能力（满分10分）：考察服务供应商团队人员配备情况，配备人员是否具备子项目要求的专业技术能力。

3、驻场服务（满分20分）：考察驻场人员工作态度、问题响应积极性及出勤情况。

经核实出现人员迟到、早退或无故旷工的，每发生一次扣除5分。

4、应急响应及保障（满分20分）：考察出现应急情况时服务供应商是否在要求的2小时内及时提供相关应急保障服务。

经核实未及时响应或所提供服务未达到要求的，每发生一次扣除10分。

5、用户满意度（满分40分）：根据采购人对于服务供应商实施情况的满意度进行评分，从成果质量及服务质量等多个维度进行考察。

6、监理单位评价（扣分项）：经核实未接受采购人委托的监理单位的工作协调，每发生一次扣除2分。

服务供应商对该期考核评分或依据有异议时，应在采购人书面告知后3个工作日内向采购人提出申诉，并提供必要证据和材料，采购人根据服务供应商申诉材料进行最终评定。

二、考核结果与付款
在首期款支付后，每次支付相关费用前，将自上一次费用支付后至本次费用合同款支付前(若该时间节点距上次考核不满一个季度的，仍需在结算前进行一次考核)所有各期服务考核评分进行算术平均，同时采购人有权根据最低一次考核分数对最终考核结果进行调整，得出本次费用支付的考核结果分数（下以“x”代称），以书面的形式与服务供应商确认后按如下规则形成支付系数：
1、80≤x≤100:支付系数=1；
2、70≤x<80:支付系数=0.7；
3、60≤x<70:支付系数=0.5；
4、50≤x<60:支付系数=0.3；
5、x<50:支付系数=0。

采购人将根据合同约定，以当期支付费用乘以上述方式计算出的支付系数进行计算实际合同款支付金额。