农民日报社信息系统安全等级保护

农民日报社信息系统安全等级保护

整改方案设计及测评项目需求

一、项目介绍

根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护安全建设整改工作的指导意见》等文件的要求，现需对我报社“中国农业新闻网”网站系统按照等保三级的要求进行安全评估、整改方案设计和测评。

二、项目需求

1、方案设计原则

安全性：方案设计要达到信息系统安全等级保护三级的要求；

开放性：系统符合开放性设计原则，具备优良的可扩展性、可升级性，可以支持开放系统平台，运行于现有的技术标准之上；

兼容性：与现有系统需要完全兼容，构成一个整体；

稳定性：要保证系统运行的稳定性，使系统运行风险降至最低；

可管理性：可以对系统进行管理和监控；

经济性：在满足所有需求的前提下，选择最合适的设备及软件，使系统具有较好的性价比。

2、总体需求和目标

投标方聘请《国家信息安全等级保护工作协调小组办公室推荐测评机构名单》中的第三方专业测评机构对我报社“中国农业新闻网”网站系统进行安全评估、差距分析、测评并出具测评报告，由投标方设计本系统的整改方案，确保本系统在整改实施后，符合《信息系统安全等级保护基本要求》三级的技术要求和管理要求。

投标方必须承诺按整改方案完成系统整改实施后，项目单位“中国农业新闻网”网站系统能通过第三方专业测评机构的安全等级保护测评，达到基本符合（含）等保三级以上的结论，并通过国家相关主管部门的审核。

3、对投标方的要求

（1）投标方须根据现有的系统环境对系统等级保护安全整改从技术和管理两方面提供详尽的解决方案。对于技术方案中所提供设备的性能参数要有明确介绍，产品的部署方案和配置策略要有明确的说明，要达到可招标、可实施的标准；管理方案中要明确需要制定和完善的制度和流程，以及这些制度和流程应包含的内容。

（2）投标方在整改方案设计时应整体全面、综合考虑各种因素，不能出现因选型不当或未考虑的因素而出现安全隐患及其他问题。

(3) 测评机构要求：

（一）需具有中华人民共和国事业单位法人证书，开办资金不少于500万元；

（二）需具有资质如下：

（三）具有近二年（2010年至今）承担过二个（含）以上国家或部委级的等级保护测评工作

（四）具有近二年（2010年至今）承担过二个（含）以上国内知名网站（互联网）的等级保护测评工作

三、招标内容

投标方需根据国家信息安全等级保护相关政策，按照信息安全等级保护三级的要求，完成我报社“中国农业新闻网”网站系统第三方测评、差距分析、整改方案设计、项目监理等工作。

1、等保测评

（1）投标方聘请《国家信息安全等级保护工作协调小组办公室推荐测评机构名单》中的第三方专业测评机构根据《信息系统安全等级保护测评要求》以及《信息系统安全等级保护测评过程指南》等要求对我报社“中国农业新闻网”网站系统进行调研和评估，出具差距分

析报告；在用户完成整改实施后，进行信息安全等级保护三级测评，出具国家相关主管部门认可的测评报告，测评结论为基本符合（含）以上。

（2）投标方应参与调研和评估，配合系统测评、分析差距，确定系统安全需求，做出合理的等级保护安全规划并设计详细的系统整改方案。

2、整改方案设计

（1）在本阶段，系统等级保护建设与实施方案设计作为系统安全建设和改造的前提和依据，应明确设计目标，结合甲方实际情况，满足业务系统的安全需求，突出保护重点，合理规划，形成整体的安全防护体系。方案设计应遵照国家信息安全等级保护工作的法律法规，遵循相关的国家标准规范。

（2）投标方根据信息系统安全等级保护基本要求和第三方专业测评机构出具的差距分析报告、结合系统实际情况并遵循本项目规定的方案设计原则，进行整改方案详细设计，包括安全技术体系和安全管理体系两部分：

技术方案包括物理、主机、网络、应用、数据等方面的安全整

改，如需增加设备，则要在方案中详细列出设备的性能参数、

配置指标及数量等；方案中还需详细说明系统和产品的部署方

案和配置策略，均要达到可招标、可实施的要求；

管理方案包括管理机构、人员、管理制度、系统建设管理、运

维管理等方面的安全整改，要明确管理机构和人员角色、明确

需要制定和完善的规章制度和流程，以及这些机构、制度和流

程应包括的内容。

（3）系统的整改方案要统一考虑、分别设计，对于系统间的衔接部分要有明确的划分界限。

（4）详细整改方案必须按优于安全等级保护测评中基本符合等保三级的最低标准设计（技术类和管理类均优于）。

（5）投标方设计的整改方案需得到用户及相关系统开发方和集成方的认可。

（6）投标方需组织专家对整改方案进行论证，确保方案切实可行，保证按此方案招标和实施可以使系统达到等保三级的要求。参加论证的专家要包括《国家信息安全等级保护安全建设指导专家委员会专家名单》中的政策专家和技术专家以及国家相关信息安全主管部门的专家。

3、安全整改

（1）在后期的整改实施中，投标方需向整改方介绍项目和整改方案情况并承担项目监管职责，派专人负责监督指导整改方按照整改方案和信息系统安全建设相关要求完成系统整改工作，包括技术和管理两个方面的整改。所派人员需全程跟踪项目实施，掌控安全整改实施进度和质量，及时纠正项目实施中的偏差，按月编制工作报告，并定

时向用户方项目管理人员汇报项目中的问题。

（2）投标方需按用户要求定期组织召开项目介绍会，会同整改方共同介绍项目进展情况。

4、安全培训

投标方需按用户要求组织安全相关培训，内容包括等级保护政策、信息安全理论和管理、安全意识和安全操作、系统安全运维等，具体要求如下：

（1）投标方应编制详细的培训方案，包括培训的具体内容、培训地点、人数、培训计划以及培训费用。培训具体时间在合同生效之后由双方协商安排。

（2）培训讲师必须是《国家信息安全等级保护安全建设指导专家委员会专家名单》中的政策专家和技术专家以及国家相关信息安全主管部门的专家和具有相关信息系统安全资质的专家。采购人认为不合适可立即要求更换。

（3）投标方的投标报价应包含以上培训课程所需场地、器材、教师、教材、辅导材料、人员差旅费以及相关的所有费用。

5、其他

（1）整改完成后，投标方负责进行系统自测；对于在自测中发现的问题和未达到等保三级要求的地方，投标方必须监督实施方按整改方案进行弥补，使系统能够达到等保三级的要求。