信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)內(nèi)容及要求(共7頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)內(nèi)容及要求一、 供應(yīng)商資格：1. 供應(yīng)商應(yīng)具備政府采購(gòu)法第二十二條規(guī)定的條件；1）具有獨(dú)立承擔(dān)民事責(zé)任的能力； 2）具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度； 3）具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力； 4）有依法繳納稅收和社會(huì)保障資金的良好記錄； 5）參加政府采購(gòu)活動(dòng)前三年內(nèi)，在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄； 6）法律、行政法規(guī)規(guī)定的其他條件。2. 投標(biāo)人要求為國(guó)內(nèi)獨(dú)立的事業(yè)法人的獨(dú)立企業(yè)法人，并且股權(quán)結(jié)構(gòu)中不能有任何外資成份。3. 具有網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書。4. 具有中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)頒發(fā)的CNAS證書。5. 具有廣東

2、省電子政務(wù)服務(wù)能力等級(jí)證書。6. 具有中國(guó)通信行業(yè)協(xié)會(huì)頒發(fā)的通信網(wǎng)絡(luò)安全服務(wù)能力評(píng)定證書（應(yīng)急響應(yīng)一級(jí)）7. 具有中鑒認(rèn)證有限責(zé)任公司頒發(fā)的質(zhì)量管理體系認(rèn)證證書（ISO9001）。8. 中國(guó)通信行業(yè)協(xié)會(huì)頒發(fā)的通信網(wǎng)絡(luò)安全服務(wù)能力評(píng)定證書（風(fēng)險(xiǎn)評(píng)估二級(jí)）。9. 本項(xiàng)目不接受聯(lián)合體投標(biāo)。二、 項(xiàng)目服務(wù)內(nèi)容及要求1. 采購(gòu)項(xiàng)目需求一覽表：序號(hào)服務(wù)類型被測(cè)評(píng)系統(tǒng)級(jí)別1等級(jí)保護(hù)測(cè)評(píng)服務(wù)存量房網(wǎng)上簽約系統(tǒng)二級(jí)2等級(jí)保護(hù)測(cè)評(píng)服務(wù)金融部門網(wǎng)上受理系統(tǒng)（簽約銀行登錄）二級(jí)3等級(jí)保護(hù)測(cè)評(píng)服務(wù)商品房明碼標(biāo)價(jià)備案系統(tǒng)二級(jí)4等級(jí)保護(hù)測(cè)評(píng)服務(wù)珠海不動(dòng)產(chǎn)微信服務(wù)號(hào)系統(tǒng)二級(jí)2. 基本要求:2.1 項(xiàng)目背景為了貫徹落實(shí)國(guó)家信息

3、化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)、關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)和信息安全等級(jí)保護(hù)管理辦法的精神，響應(yīng)國(guó)家的要求，珠海市不動(dòng)產(chǎn)登記中心于2018年全面啟動(dòng)本單位的信息安全等級(jí)保護(hù)工作。按照同時(shí)根據(jù)珠海市不動(dòng)產(chǎn)登記中心的信息系統(tǒng)安全等級(jí)保護(hù)工作安排，現(xiàn)需開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)等工作，并邀請(qǐng)具備國(guó)家或省公安廳頒發(fā)等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的公司對(duì)珠海市不動(dòng)產(chǎn)登記中心的信息系統(tǒng)提供等級(jí)保護(hù)測(cè)評(píng)服務(wù)。 2.2 項(xiàng)目目標(biāo)2.2.1 等級(jí)保護(hù)測(cè)評(píng)服務(wù)。根據(jù)GB/T 22240-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南等標(biāo)準(zhǔn)，及各個(gè)信息系統(tǒng)保護(hù)等級(jí)需求，協(xié)助采購(gòu)人對(duì)現(xiàn)有的信息系統(tǒng)進(jìn)行等級(jí)保

4、護(hù)備案，編寫信息系統(tǒng)定級(jí)備案表和信息系統(tǒng)定級(jí)報(bào)告，并協(xié)助向公安局提交定級(jí)備案材料，取得信息系統(tǒng)定級(jí)備案證明。對(duì)采購(gòu)人現(xiàn)有信息系統(tǒng)開(kāi)展安全保護(hù)符合性測(cè)評(píng)、作差距分析、并提出整改建議與編寫驗(yàn)收測(cè)評(píng)報(bào)告。根據(jù)GB/T 222392008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求等標(biāo)準(zhǔn)組織開(kāi)展信息系統(tǒng)等級(jí)保護(hù)符合性測(cè)評(píng)，衡量信息系統(tǒng)的安全保護(hù)管理措施和技術(shù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)的安全保護(hù)能力。依據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)，通過(guò)人員訪談、文檔審查、實(shí)地察看、配置檢查、工具檢測(cè)等方法從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份與恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、

5、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，判斷網(wǎng)站現(xiàn)有的安全保護(hù)水平與國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求項(xiàng)之間的符合情況。對(duì)信息系統(tǒng)進(jìn)行整體、全面、公正的評(píng)估，對(duì)不符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析，組織專家評(píng)審，編寫安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告，最終完成驗(yàn)收測(cè)評(píng)工作，達(dá)到國(guó)家規(guī)定的信息安全要求，并完成向市公安局提交驗(yàn)收測(cè)評(píng)備案。2.2 依據(jù)及參考規(guī)范投標(biāo)人必須依據(jù)如下標(biāo)準(zhǔn)實(shí)施測(cè)評(píng)服務(wù)：l GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則l GB/T222392008信息系統(tǒng)安全等級(jí)保護(hù)基本要求l GB/T222402008信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南l 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南（國(guó)標(biāo)報(bào)批稿）l 信

6、息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（國(guó)標(biāo)報(bào)批稿）l GB/T25058-2010信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南l GB/T25070-2010信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求l 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）l 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）l 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）l 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）l 信息安全技術(shù) 服務(wù)器技術(shù)要求（GB/T21028-2007）l 信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T671-2006）l 計(jì)

7、算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求l 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求2.3 檢查工具要求： 根據(jù)廣東省信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室，粵等保辦【2015】72號(hào)文公布關(guān)于加強(qiáng)網(wǎng)絡(luò)掃描滲透監(jiān)管工作的通知內(nèi)要求，“二、掃描滲透工具必須備案。根據(jù)廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第三十條規(guī)定，安全服務(wù)機(jī)構(gòu)生產(chǎn)、銷售或網(wǎng)絡(luò)滲透、掃描工具，須到地級(jí)以市公安機(jī)關(guān)備案。未備案的，公安機(jī)關(guān)將依法處罰。各單位在授權(quán)或委托安全服務(wù)機(jī)構(gòu)開(kāi)展掃描滲透仟，應(yīng)當(dāng)查驗(yàn)并核實(shí)其掃描工具的報(bào)備情況?！痹诒卷?xiàng)目中，需要采用測(cè)評(píng)工具必須有廣東省信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室開(kāi)具網(wǎng)絡(luò)滲透掃描工具備案通知書。具備自主研發(fā)具備自主知

8、識(shí)產(chǎn)權(quán)的信息安全等級(jí)保護(hù)測(cè)評(píng)軟件系統(tǒng)。四、采購(gòu)項(xiàng)目商務(wù)要求1. 對(duì)投標(biāo)人的要求 1.1 投標(biāo)方必須經(jīng)廣東省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室專家評(píng)審，符合信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)有關(guān)規(guī)范要求，具備從事信息安全等級(jí)保護(hù)測(cè)評(píng)工作能力單位（網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書）。1.2 投標(biāo)人應(yīng)至少有5年開(kāi)展等級(jí)保護(hù)測(cè)評(píng)的經(jīng)歷，具備信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目業(yè)績(jī)，并具有完善的質(zhì)量保證體系。投標(biāo)人必須具有良好的企業(yè)信譽(yù)，充足的技術(shù)隊(duì)伍，穩(wěn)定的組織機(jī)構(gòu)。2. 對(duì)服務(wù)人員的資質(zhì)要求2.1應(yīng)具備信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作經(jīng)驗(yàn)，精通等級(jí)保護(hù)測(cè)評(píng)技術(shù)，能分析測(cè)評(píng)過(guò)程中存在的風(fēng)險(xiǎn)。2.2具有對(duì)信息系統(tǒng)所面臨的安全威脅、存

9、在的安全隱患進(jìn)行信息收集、識(shí)別、分析和提供防范措施的能力。2.3具有能根據(jù)用戶信息系統(tǒng)安全防護(hù)問(wèn)題的分析，向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度的能力。2.4具有對(duì)發(fā)生的突發(fā)性安全事件進(jìn)行分析和解決的能力。2.5應(yīng)了解、掌握并能應(yīng)用等級(jí)保護(hù)測(cè)評(píng)國(guó)家和行業(yè)標(biāo)準(zhǔn)。2.6需根據(jù)等級(jí)保護(hù)測(cè)評(píng)工作中發(fā)現(xiàn)的安全隱患，提供詳細(xì)的安全加固建議報(bào)告。2.7嚴(yán)格遵守信息安全保密制度，做好數(shù)據(jù)在存儲(chǔ)、傳輸過(guò)程中的保密措施，不得泄露項(xiàng)目的一切信息。2.8應(yīng)具有信息安全等級(jí)保護(hù)測(cè)評(píng)師初級(jí)或以上證書。3. 服務(wù)質(zhì)量3.1服務(wù)過(guò)程應(yīng)做好風(fēng)險(xiǎn)預(yù)防措施，測(cè)評(píng)人員應(yīng)該僅以發(fā)現(xiàn)系統(tǒng)安全問(wèn)題為目的，不得采取對(duì)被測(cè)系統(tǒng)帶

10、有破壞性的信息安全測(cè)試。3.2測(cè)評(píng)人員應(yīng)嚴(yán)格依照測(cè)評(píng)大綱開(kāi)展工作。3.3按與采購(gòu)人簽訂的合同中規(guī)定按時(shí)、保質(zhì)完成測(cè)評(píng)工作，并提交測(cè)評(píng)報(bào)告。4. 測(cè)評(píng)原則4.1規(guī)范性原則：嚴(yán)格遵循國(guó)家、行業(yè)相關(guān)規(guī)范、標(biāo)準(zhǔn)開(kāi)展工作。 4.2最小影響原則：做好風(fēng)險(xiǎn)預(yù)防措施，盡可能避免對(duì)在運(yùn)網(wǎng)絡(luò)和信息系統(tǒng)造成影響；測(cè)評(píng)人員應(yīng)該僅以發(fā)現(xiàn)系統(tǒng)安全漏洞為目的，不得采取對(duì)被測(cè)系統(tǒng)帶有破壞性的信息安全測(cè)試。4.3公平公正原則：按照統(tǒng)一標(biāo)準(zhǔn)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作，確保等級(jí)保護(hù)測(cè)評(píng)工作能夠客觀、真實(shí)地反應(yīng)各被測(cè)網(wǎng)站安全等級(jí)保護(hù)現(xiàn)狀。5. 項(xiàng)目實(shí)施要求5.1組織要求5.1.1投標(biāo)人須成立一個(gè)專業(yè)隊(duì)伍為采購(gòu)人服務(wù)，該的人員應(yīng)至少包括：項(xiàng)

11、目負(fù)責(zé)人、項(xiàng)目實(shí)施技術(shù)人員。5.1.2項(xiàng)目負(fù)責(zé)人應(yīng)具有至少兩個(gè)或兩個(gè)以上信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目管理的成功案例，并將全程負(fù)責(zé)本項(xiàng)目的管理、技術(shù)質(zhì)量管控。具體負(fù)責(zé)：項(xiàng)目進(jìn)度控制、編寫項(xiàng)目周報(bào)、召開(kāi)周例會(huì)、編制技術(shù)方案及項(xiàng)目總結(jié)報(bào)告等技術(shù)文檔、協(xié)調(diào)采購(gòu)人及被測(cè)單位等工作。5.1.3投標(biāo)人必須向采購(gòu)人保證人員組織的穩(wěn)定性，在本項(xiàng)目結(jié)束前，參加本項(xiàng)目的人員變動(dòng)必須取得采購(gòu)人書面同意。5.2質(zhì)量要求5.2.1投標(biāo)人應(yīng)保證所提供的技術(shù)水平均能滿足本招標(biāo)文件要求。5.2.2為保證項(xiàng)目技術(shù)方案、測(cè)評(píng)報(bào)告的科學(xué)性、有效性及合規(guī)性，投標(biāo)人應(yīng)組織專家對(duì)本項(xiàng)目涉及的技術(shù)方案及測(cè)試報(bào)告進(jìn)行評(píng)審。5.2.3為便于執(zhí)行合同，按計(jì)劃和要求核準(zhǔn)本項(xiàng)目的設(shè)計(jì)內(nèi)容及工程方案，投標(biāo)人至少舉行2次技術(shù)聯(lián)絡(luò)會(huì)。技術(shù)聯(lián)絡(luò)會(huì)的具體時(shí)間、地點(diǎn)、會(huì)議內(nèi)容將由雙方商定。除了合同規(guī)定的技術(shù)聯(lián)絡(luò)會(huì)外，在合同執(zhí)行期間如遇重要事宜需研究和討論，經(jīng)雙方同意可另行召開(kāi)聯(lián)絡(luò)會(huì)議解決。6知識(shí)產(chǎn)權(quán)及保密6.1針對(duì)本次項(xiàng)目安全服務(wù)文檔的知識(shí)產(chǎn)權(quán)歸屬采購(gòu)人所有，投標(biāo)人原有產(chǎn)品既有知識(shí)產(chǎn)權(quán)不因本項(xiàng)目發(fā)生轉(zhuǎn)移，涉及到第三方提出侵權(quán)或知識(shí)產(chǎn)權(quán)的起訴及支付版稅等費(fèi)用由投標(biāo)人承擔(dān)所有責(zé)任及費(fèi)用。6.2采購(gòu)人為投標(biāo)人提供的所有業(yè)務(wù)、技術(shù)資