信息系统安全等级保护测评服务内容及要求.pdf
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全等级保护测评服务内容及要求
一、供应商资格:
1.供应商应具备《政府采购法》第二十二条规定的条件;
1)具有独立承担民事责任的能力;
2)具有良好的商业信誉和健全的财务会计制度;
3)具有履行合同所必需的设备和专业技术能力;
4)有依法缴纳税收和社会保障资金的良好记录;
5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6)法律、行政法规规定的其他条件。
2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。
3.具有网络安全等级保护测评机构推荐证书。
4.具有中国合格评定国家认可委员会颁发的CNAS证书。
5.具有广东省电子政务服务能力等级证书。
6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)
7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。
8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。
9.本项目不接受联合体投标。
二、项目服务内容及要求
1.采购项目需求一览表:
序号服务类型被测评系统级别1等级保护测评服务存量房网上签约系统二级
2等级保护测评服务金融部门网上受理系统(签约银行登
录)
二级
3等级保护测评服务商品房明码标价备案系统二级
4等级保护测评服务珠海不动产微信服务号系统二级
2.基本要求:
2.1 项目背景
为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心
于2018年全面启动本单位的信息安全等级保护工作。b5E2RGbCAP
按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心
的信息系统提供等级保护测评服务。p1EanqFDPw
2.2项目目标
2.2.1等级保护测评服务。
根据《GB/T 22240-20XX 信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系
统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系
统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明。DXDiTa9E3d 对采购人现有信息系统开展安全保护符合性测评、作差距分析、并提出整改建议与编写验收测评报告。
根据《GB/T 22239—20XX信息安全技术信息系统安全等级保护基本要求》等标准组织开展信息系
统等级保护符合性测评,衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。RTCrpUDGiT
依据信息系统的安全保护等级,通过人员访谈、文档审查、实地察看、配置检查、工具检测等方法
从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,判断网站现有的安全保护水平与国家信息安全等
级保护管理规范和技术标准要求项之间的符合情况。5PCzVD7HxA
对信息系统进行整体、全面、公正的评估,对不符合项进行风险分析,组织专家评审,编写安全等
级保护测评报告,最终完成验收测评工作,达到国家规定的信息安全要求,并完成向市公安局提交验收
测评备案。jLBHrnAILg
2.2依据及参考规范
投标人必须依据如下标准实施测评服务:
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T22239—20XX信息系统安全等级保护基本要求
GB/T22240—20XX信息系统安全等级保护定级指南
信息系统安全等级保护测评过程指南(国标报批稿)
信息系统安全等级保护测评要求(国标报批稿)
GB/T25058-20XX信息系统安全等级保护实施指南
GB/T25070-20XX信息系统等级保护安全设计技术要求
《信息安全技术信息系统通用安全技术要求》(GB/T20271-20XX)
《信息安全技术网络基础安全技术要求》(GB/T20270-20XX)
《信息安全技术操作系统安全技术要求》(GB/T20272-20XX)
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-20XX)
《信息安全技术服务器技术要求》(GB/T21028-20XX)
《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-20XX)
《计算机信息系统安全等级保护管理要求》
《计算机信息系统安全等级保护通用技术要求》
2.3检查工具要求:
根据广东省信息安全等级保护协调小组办公室,粤等保办【20XX】72号文公布《关于加强网络扫
描渗透监管工作的通知》内要求,“二、扫描渗透工具必须备案。根据《广东省计算机信息系统安全保
护条例》第三十条规定,安全服务机构生产、销售或网络渗透、扫描工具,须到地级以市公安机关备案。未备案的,公安机关将依法处罚。各单位在授权或委托安全服务机构开展扫描渗透仟,应当查验并核实
其扫描工具的报备情况。”xHAQX74J0X
在本项目中,需要采用测评工具必须有广东省信息安全等级保护协调小组办公室开具《网络渗透扫描工具备案通知书》。LDAYtRyKfE
具备自主研发具备自主知识产权的信息安全等级保护测评软件系统。
四、采购项目商务要求
1.对投标人的要求
1.1 投标方必须经广东省信息安全等级保护工作协调小组办公室专家评审,符合信息安全等级
保护测评机构有关规范要求,具备从事信息安全等级保护测评工作能力单位(网络安全等级保护测评机
构推荐证书)。Zzz6ZB2Ltk
1.2 投标人应至少有5年开展等级保护测评的经历,具备信息安全等级保护测评项目业绩,并具
有完善的质量保证体系。投标人必须具有良好的企业信誉,充足的技术队伍,稳定的组织机构。dvzfvkwMI1
2.对服务人员的资质要求
2.1应具备信息系统等级保护测评工作经验,精通等级保护测评技术,能分析测评过程中存在的风险。