《信息安全等级保护测评技术规格书》由会员分享,可在线阅读,更多相关《信息安全等级保护测评技术规格书(6页珍藏版)》请在装配图网上搜索。
1、信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行,网络安全等级保护工作上升为一项 基本国策。与此同时,跟随网络安全法配套的各项规章条例以及标准 规范也逐一落实,2018年6月27日,公安部发布网络安全等级保护 条例(征求意见稿)(以下简称“保护条例疽)。作为网络安全法 的重要配套法规,保护条例对网络安全等级保护的适用范围、各监 管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建 设提出了更加具体、操作性也更强的要求。为此,我公司提出了信息系统信息安全测评项目,项目旨参照 相关安全安全标准对我公司目前运行的信息系统开展安全测评,确保 其高效、稳定、安全地运行。欢迎国
2、内具有独立承担民事责任的企业,具备相关资格(具备信 息安全等级保护测评资质)条件的供应商参加。二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技 术标准要求执行。定级系统:(二级) 公司OA办公系统; 物流系统; 采购系统; 质量中心系统; 炼铁部-工业网络系统; 铸管部-工业网络系统;工作范围包括我公司的等保检测定级、公安系统备案、建设整改、 测评报告等工作,完成国家相关部门对我公司的信息安全要求。三、项目实施内容:1、安全检查(1)信息安全现状问题检查,包括信息安全管理、信息安全技术、信 息安全运维等各方
3、面问题分析;(2)信息安全存在的主要问题及风险,包括信息安全管理、信息安全 技术、信息安全运维等各方面存在的问题及期潜在风险;(3)信息安全问题改进建议,包括信息安全管理、信息安全技术、信 息安全运维等各方面整改建议、具体实施方案以及改进期望值。2、信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查 内容应包括:对信息系统进行等级保护差距测评,测评内容包括物理 安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。 客观的分析信息系统保护现状和信息安全等级保护基本要求之间的差 距。3、定级备案协助我
4、公司的各重要信息系统在网安部门完成定级备案工作,交 付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备 案证明。4、根据信息安全等级保护管理办法和信息系统安全等级保护基 本要求,协助建立信息安全等级保护管理体系。结合等级保护测评报告提出的安全防护现状与等级保护基本要求 之间的差距,明确安全需求,设计符合相应等级要求的信息系统安全 技术建设整改方案,协助开展信息安全等级保护安全技术措施建设。5、完成信息安全等级保护的最终测评,提交各信息系统的测评报告至 公安等保办,完成测评备案工作。投标人须依据信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)、信息安全技术 网络安
5、全等级保护测评要求(GB/T 28448-2019)、信息安全技术网络安全等级保护测评过程指南(GB/T 28449-2018)和信息安全技术 网络安全等级保护定级指南(GA/T 1389-2017)等国家等级保护相关标准对待测系统进行等级保护测评工 作,内容包括:安全技术测评:包括安全物理环境、安全通信网络、安全区域边 界、安全计算环境和安全管理中心等五个方面的安全测评;安全管理测评:包括安全管理机构、安全管理制度、安全管理人 员、安全建设管理和安全运维管理等五个方面的安全测评;工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等 安全服务工作;整改建议:根据现场测评中发现的问题,分析与
6、GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301、ITIL 和 ITSS 等行业最佳实践 之间的差距,按照网络安全等级保护标准要求提出安全整改建议;编制测评报告:完成上述测评工作和整改加固实施后,最后出具 符合公安机关要求的各信息系统网络安全等级保护测评报告。6、信息安全培训对涉及被测评系统科室人员开展信息安全等级保护工作培训,确 保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安 全策略、信息保密制度,信息安全管理制度和相关流程等。培训内容主要有:(1)近几年典型安全事件回顾(2)当前安全形势分析(3)信息安全体系介绍(4)
7、等级保护基本简介(5)本次检查总结分析7、需投标供应商承诺安全应急响应服务和每季度至少提供一次安全巡 检,至少提供一年,并提供技术方案。四、技术服务要求:(一)、实施人员和服务工作要求、客观性和公正性原则:测评人员应当没有偏见,在最小主观 判断情形下,按照测评双方相互认可的测评方案开展。、保密原则:在测评过程中,需严格遵循保密原则,双方签订 保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。、最小影响原则:测评工作应该尽可能小地影响系统和网络的 正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明 显下降、网络阻塞、服务中断等
8、),如无法避免,则应做出说明。、规范性原则:信息安全等级保护测评服务的实施必须由专业 的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相 应的记录,并提供完整的服务报告。、质量保障原则:在整个测评过程中,须特别重视项目质量管 理。项目的实施将严格按照项、系统安全原则:项目工作人员需遵守等保检测规定,采用符 合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系 统的破坏,则应承担相应责任。、测评师规范原则:检测实施方工作人员必须通过公安部的等 级保护等级测评师认证,持证上岗,经项目委托方确认资格后方可实 施检测。(二)、项目团队要求投标人需根据测评业务系统的数量自行评估并配置不
9、少于5人(至 少包括1高、2中)的测评实施团队,测评实施团队在合同约定期内派 驻招标人指定地点办公;投标人在中标后需保证在实施阶段主要技术 人员必须是全职。(三)、交付成果要求投标人应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:项目阶段项目成果项目启动阶段项目启动会PPT项目实施计划书 测评方案现状调研阶段合同约定覆盖的各信息系统安全防护定级报告合同约定覆盖的各信息系统定级报告的专家评审意见表,专家评审所选取专家需经过甲方认可并提供相关材料证明合同约定覆盖的各信息系统信息系统基本情况调查表合同约定覆盖的各信息系统备案表等级测评实施阶段合同约定覆盖的各信息系统测评报告及备案证明验收阶段芜湖新兴铸管网络安全等级保护测评服务验收报告(四)、服务响应要求投标人需要具备及时响应能力,签订后根据我公司安排的日期时 间进场测评,出具整改报告协助完成系统建设整改及完成整体项目。 同时如发生故障,在得到用户通知后,4小时内响应,12小时以内到 现场处理,24小时内修复的售后响应能力。(五)、保密责任要求投标人必须承诺对从招标活动中获得的招标人相关资料承担保密 责任。
信息安全等级保护测评技术规格书
