信息系统安全等级保护测评及服务要求

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

成都农业科技职业学院

信息系统安全等级保护测评及服务要求

一、投标人资质要求

1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件);

2.测评机构应为成都市本地机构或在成都有常驻服务机构;

3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》;

4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准);

5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。

6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。

7.本包不接受联合体参加。

二、信息系统安全等级保护测评目标

本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。

等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。

三、测评内容及要求

1.完成上述信息系统的等级保护定级工作,协助学院编写相应的《信息系统安全等级保护定级报告》;

2.完成上述信息系统安全等级测评工作,测评后经用户方确认,出具符合信息系统等级测评要求的测评报告;

3.协助完成上述信息系统安全等级保护备案工作;

4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

标准的,提出可行性整改方案,提供相应的安全整改建议书。经学院整改后继续测评,直到测评结果达到二级为止,不得再收取测评费用。

四、质量要求

1.等级测评及服务原则:符合性原则、标准性原则、规范性原则、可控性原则、整体性原则。

2.信息系统安全等级保护定级及测评服务依据:

《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》,

《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》,

《GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求》,

《GB/T 28449-2012 信息安全技术信息系统安全等级保护测评过程指南》,

《信息系统安全等级保护实施指南》。

五、测评服务准则

测评单位应遵循如下服务准则,实施并完成项目的测评任务:

(1)维护国家的荣誉和利益,按照“守法、诚信、公正、科学”的准则执业;

(2)执业有关项目的法律、法规、规范、标准和制度,履行测评合同规定的职责和义务;

(3)不收受被测评单位的任何礼金和宴请;

(4)不泄露所测评系统各方认为需要保密的事项;

(5)遵守国家的法律和政府的有关条例、规定和方法等;

(6)认真履行系统测评合同所承诺的义务和承担约定的责任;

(7)坚持公正的立场,公平地处理有关各方的争议;

(8)坚持科学的态度和实事求是的原则;

(9)在坚持按测评合同的规定向建设单位提供技术服务的同时,帮助被测评者完成其承担的建设任务;

(10)不泄露测评工作中需保密的事项。

六、要求交货期:合同签订之日起10天内完成定级和测评工作。

评分细则:

相关文档
最新文档