上海海事大學(xué)信息系統(tǒng)等級(jí)保護(hù)安全服務(wù)項(xiàng)目服務(wù)需求

1、上海海事大學(xué)信息系統(tǒng)等級(jí)保護(hù)安全服務(wù)項(xiàng)目服務(wù)需求一、 概述隨著上海海事大學(xué)智慧校園的建設(shè)發(fā)展，本校已建成了覆蓋教學(xué)科研管理與服務(wù)的多個(gè)重要業(yè)務(wù)信息系統(tǒng)，包括教務(wù)管理系統(tǒng)、校園一卡通系統(tǒng)、網(wǎng)站群平臺(tái)、財(cái)務(wù)系統(tǒng)、校園信息門戶系統(tǒng)、統(tǒng)一身份認(rèn)證系統(tǒng)等。這些信息系統(tǒng)在日常教學(xué)管理服務(wù)活動(dòng)中發(fā)揮著重要作用。根據(jù)教育部、市教委在信息系統(tǒng)安全方面的工作指導(dǎo)與要求，參照國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)基本要求，我校計(jì)劃對(duì)學(xué)校部分重要信息系統(tǒng)進(jìn)行信息系統(tǒng)的安全等級(jí)保護(hù)。對(duì)相關(guān)系統(tǒng)實(shí)施定級(jí)備案、差距分析、建設(shè)整改，并通過(guò)國(guó)家相關(guān)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)。通過(guò)本項(xiàng)目建立與完善我校的信息安全保障體系，提高校園信息化的管理與服務(wù)

2、水平。二、 服務(wù)范圍Ø 完成兩個(gè)信息系統(tǒng)的定級(jí)、上報(bào)、備案；Ø 完成兩個(gè)信息系統(tǒng)的等保評(píng)估（風(fēng)險(xiǎn)評(píng)估，差距報(bào)告）與完成詳細(xì)的整改方案；Ø 完成兩個(gè)信息系統(tǒng)的系統(tǒng)安全加固與整改建設(shè)；Ø 完成信息系統(tǒng)的等保測(cè)評(píng)準(zhǔn)備，并負(fù)責(zé)通過(guò)國(guó)家等保測(cè)評(píng)機(jī)構(gòu)的信息系統(tǒng)等級(jí)保護(hù)二級(jí)的測(cè)評(píng)。Ø 提供后續(xù)安全運(yùn)維方案。三、 服務(wù)需求及相關(guān)要求1、完成兩個(gè)信息系統(tǒng)的定級(jí)、備案兩個(gè)系統(tǒng)包括：上海海事大學(xué)門戶網(wǎng)站（含學(xué)校各學(xué)院、部門等，以及其子站點(diǎn)的實(shí)際內(nèi)容為準(zhǔn)）、教務(wù)管理系統(tǒng)。系統(tǒng)定級(jí)信息系統(tǒng)定級(jí)工作是進(jìn)行信息系統(tǒng)備案、建設(shè)、整改、測(cè)評(píng)、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。根據(jù)我

3、校信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全的實(shí)際情況為學(xué)校各業(yè)務(wù)系統(tǒng)定級(jí)工作，包括：n 完成學(xué)校主要信息系統(tǒng)的調(diào)研與資料收集與整理分析工作。n 針對(duì)定級(jí)對(duì)象，根據(jù)GBT22240-2008.信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南、教育部教技廳函201474號(hào)-教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南、定級(jí)方法等，確定學(xué)校重要信息系統(tǒng)的安全保護(hù)等級(jí)，起草并完成最終的定級(jí)報(bào)告。n 配合學(xué)校完成相關(guān)市教委系統(tǒng)上報(bào)的資料撰寫(xiě)、整理工作。系統(tǒng)備案根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南對(duì)學(xué)校重要業(yè)務(wù)系統(tǒng)進(jìn)行定級(jí)，準(zhǔn)備定級(jí)備案資料，完成向公安機(jī)關(guān)備案。n 完成備案表，進(jìn)行專家評(píng)審和審批。n 向上海市公安局網(wǎng)安辦進(jìn)行備案。n 進(jìn)

4、行定級(jí)工作總結(jié)。2、完成兩個(gè)典型信息系統(tǒng)的等保評(píng)估與整改方案完成兩個(gè)典型信息系統(tǒng)的預(yù)評(píng)估，進(jìn)行等級(jí)保護(hù)差異分析風(fēng)險(xiǎn)評(píng)估，完成整改方案，具體工作包括：2.1等級(jí)保護(hù)差異分析評(píng)估信息安全等級(jí)保護(hù)整改差距分析是開(kāi)展等級(jí)保護(hù)整改工作的前提和依據(jù)，將行業(yè)等級(jí)保護(hù)整改的各項(xiàng)要求與學(xué)校信息安全管理現(xiàn)狀進(jìn)行比較分析，從管理和技術(shù)兩個(gè)層面找出存在的問(wèn)題。等保整改差異分析主要是以信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估指南和信息系統(tǒng)安全等級(jí)保護(hù)基本要求為指導(dǎo)，首先要求進(jìn)行安全現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果與等級(jí)保護(hù)基本要求進(jìn)行差距分析，為等保整改方案提供依據(jù)和指導(dǎo)。承建服務(wù)商須根據(jù)等保要求，對(duì)系統(tǒng)進(jìn)行全面預(yù)評(píng)測(cè)檢查，使用

5、等保工具及相關(guān)安全軟硬件設(shè)備對(duì)系統(tǒng)安全進(jìn)行掃描，進(jìn)行風(fēng)險(xiǎn)評(píng)估，并在此基礎(chǔ)上形成分析報(bào)告。2.2等級(jí)保護(hù)整改方案信息安全等級(jí)保護(hù)整改方案是在梳理差距分析的基礎(chǔ)上，形成信息安全等級(jí)保護(hù)整改方案。方案要求包括兩個(gè)方面，一是安全技術(shù)整改，主要通過(guò)信息安全產(chǎn)品的集中部署和安全技術(shù)的綜合運(yùn)用，解決技術(shù)層面存在的問(wèn)題，提高信息安全防護(hù)（技術(shù)）水平；二是安全管理整改，主要從安全管理制度、機(jī)構(gòu)、人員、系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維5個(gè)方面，提出針對(duì)性的管理目標(biāo)和解決辦法。3、等級(jí)保護(hù)整改建設(shè)實(shí)施在前期確認(rèn)整改實(shí)施方案的基礎(chǔ)上，完成兩個(gè)信息系統(tǒng)的等保整改建設(shè)工作。并根據(jù)國(guó)家評(píng)測(cè)標(biāo)準(zhǔn)進(jìn)行提交前的內(nèi)部預(yù)測(cè)評(píng)。兩個(gè)系統(tǒng)為：上海海事

6、大學(xué)門戶網(wǎng)站（含部門、學(xué)院等子站點(diǎn)）、教務(wù)管理系統(tǒng)。進(jìn)行系統(tǒng)整改安全加固建設(shè)，安全加固工作完成包含但不限于物理層面、網(wǎng)絡(luò)設(shè)備層面、主機(jī)系統(tǒng)層面以及應(yīng)用層面的配置加固，補(bǔ)丁更新等。部分涉及需要開(kāi)發(fā)公司修改調(diào)整代碼的加固工作須書(shū)面給出明確的問(wèn)題現(xiàn)象及原因、測(cè)試手段及測(cè)試參數(shù)、整改要求與檢查方式，并監(jiān)督檢查整改情況。上海海事大學(xué)不為項(xiàng)目實(shí)施和評(píng)測(cè)增加硬件及服務(wù)費(fèi)用。完成等級(jí)保護(hù)信息安全管理體系建設(shè)，信息安全管理體系建設(shè)是安全管理整改工作的具體落地，是以體系化的思想系統(tǒng)思考安全管理問(wèn)題，明確信息安全管理的方針、目標(biāo)和對(duì)象。結(jié)合等級(jí)保護(hù)的要求，在信息安全管理標(biāo)準(zhǔn)框架下，通過(guò)制訂各項(xiàng)信息安全管理制度，制定

7、信息安全管理技術(shù)規(guī)范，加強(qiáng)信息安全日常管理工作，提高信息安全基礎(chǔ)管理水平，實(shí)現(xiàn)體系化、制度化、流程化和痕跡化的管理思想。承建服務(wù)商須根據(jù)等保要求，以等保制度框架為指導(dǎo)，結(jié)合我校特點(diǎn)制定信息安全的管理制度體系。完成相關(guān)文檔的編寫(xiě)、修訂以及編目等工作。根據(jù)國(guó)家評(píng)測(cè)標(biāo)準(zhǔn)進(jìn)行提交前的內(nèi)部預(yù)測(cè)評(píng)工作。4、等級(jí)保護(hù)協(xié)助測(cè)評(píng)完成等保整改建設(shè)以后，要求協(xié)助學(xué)校進(jìn)行等保測(cè)評(píng)，并通過(guò)國(guó)家測(cè)評(píng)機(jī)構(gòu)的等保二級(jí)測(cè)評(píng)。協(xié)助測(cè)評(píng)階段主要工作內(nèi)容如下：ü 準(zhǔn)備測(cè)評(píng)機(jī)構(gòu)需要的資料；ü 為測(cè)評(píng)人員的信息收集提供支持和協(xié)調(diào)；ü 準(zhǔn)確填寫(xiě)調(diào)查表格；四、 對(duì)方案及項(xiàng)目實(shí)施等的要求1. 方案必須具有：（1）

8、完備性：包含但不限于上述業(yè)務(wù)需求及要求；（2）安全性：方案中盡可能設(shè)計(jì)各種在保證高效前提下的安全可用有效的安全控制措施；2. 設(shè)計(jì)方案應(yīng)具有詳細(xì)的描述，針對(duì)招標(biāo)要求與內(nèi)容具體陳述所提供的服務(wù)內(nèi)容、方式、計(jì)劃安排、以及相應(yīng)的人員配備、資源設(shè)備，包括可靠性、安全性、完備性等方面的分析描述；3. 對(duì)服務(wù)過(guò)程中的使用的工具進(jìn)行說(shuō)明，確保服務(wù)過(guò)程的風(fēng)險(xiǎn)可控；4. 投標(biāo)人應(yīng)在投標(biāo)書(shū)中對(duì)項(xiàng)目的實(shí)施進(jìn)行詳細(xì)描述，包含但不限于：組織結(jié)構(gòu)、人員組成、人員資質(zhì)說(shuō)明、專業(yè)技能、充當(dāng)角色、人員穩(wěn)定性保證措施、詳細(xì)實(shí)施計(jì)劃、文檔管理方式、與招標(biāo)人的溝通、質(zhì)量控制措施、相關(guān)罰則等。5. 投標(biāo)人保證派遣到用戶現(xiàn)場(chǎng)工作的安全工

9、程師具備相應(yīng)的資質(zhì)，并獲得甲方認(rèn)可。保證派遣人員未經(jīng)甲方同意，不得調(diào)換或撤離，項(xiàng)目人員必須接受我校的項(xiàng)目管理，保障項(xiàng)目時(shí)間，人天，質(zhì)量的要求。6. 本項(xiàng)目不接受轉(zhuǎn)包，分包。五、 投標(biāo)內(nèi)容要求為保證招標(biāo)人客觀公正地選擇合作伙伴，投標(biāo)人提供的報(bào)價(jià)資料中除具有上述各條款要求的技術(shù)方案外，投標(biāo)人還需提供以下相關(guān)材料：1. 公司營(yíng)業(yè)執(zhí)照復(fù)印件（加蓋公章）；2. 報(bào)價(jià)單（附件二）；3. 公司組織結(jié)構(gòu)及相關(guān)人員配置情況； 4. 對(duì)所設(shè)計(jì)方案的合理性、科學(xué)性、先進(jìn)性、完備性等的詳細(xì)分析；5. 擬選派的項(xiàng)目組成員名單及相關(guān)技能證明以及項(xiàng)目小組的組織結(jié)構(gòu)等的描述；6. 項(xiàng)目實(shí)施方案、項(xiàng)目質(zhì)量控制措施、項(xiàng)目文檔管理

10、措施等的詳細(xì)說(shuō)明；7. 后續(xù)的技術(shù)服務(wù)支持保障措施的詳細(xì)描述；8. 競(jìng)爭(zhēng)性商務(wù)報(bào)價(jià)。商務(wù)報(bào)價(jià)表應(yīng)明細(xì)到最小模塊；9. 項(xiàng)目完成周期；六、 投標(biāo)人資質(zhì)要求參與我校等級(jí)保護(hù)項(xiàng)目的投標(biāo)人，具有以下資質(zhì)和案例，將優(yōu)先選擇：1、投標(biāo)人具有高校等級(jí)保護(hù)服務(wù)的案例五個(gè)以上，具有通過(guò)國(guó)家測(cè)評(píng)機(jī)構(gòu)等級(jí)保護(hù)測(cè)評(píng)合格的高校案例二個(gè)以上。項(xiàng)目案例需要提供客戶名單及聯(lián)系方式；2、投標(biāo)人項(xiàng)目組成員要求具有相關(guān)安全服務(wù)的資質(zhì)，專業(yè)技能資質(zhì)證明包括但不限于：CCIE，CISP,CISA,27001證書(shū)，RHCE，項(xiàng)目經(jīng)理證，漏洞挖掘證明等證書(shū)。七、 其他要求1項(xiàng)目實(shí)施周期要求在合同簽署后2個(gè)月內(nèi)完成；2.報(bào)價(jià)為閉口合同報(bào)價(jià)，除包