信息系統(tǒng)安全等級保護測評采購要求

信息系統(tǒng)安全等級保護測評采購要求一、項目背景網(wǎng)絡安全等級保護是國家關于信息安全的基本政策，《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），明確要求我國信息安全保障工作實行等級保護制度，提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。在2016年的第十二屆全國人民代表大會常務委員會第二十四次會議通過了《中華人民共和國網(wǎng)絡安全法》，為了保障網(wǎng)絡安全，維護網(wǎng)絡空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展，而制定的法律。由全國人民代表大會常務委員會于2016年11月7日發(fā)布，自2017年6月1日起施行。其中第二十一條也明確提出了“國家實行網(wǎng)絡安全等級保護制度”，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。二、項目目標以網(wǎng)絡系統(tǒng)的實際情況和現(xiàn)實問題為基礎，遵照國家的法律法規(guī)和標準規(guī)范，參照國際的安全標準和最佳實踐，依據(jù)相應等級網(wǎng)絡系統(tǒng)的基本要求和安全目標，設計出等級化、符合系統(tǒng)特點、融管理和技術為一體的整體安全保障體系，完善網(wǎng)絡系統(tǒng)的安全等級保護建設工作。簡單來講就是根據(jù)等級保護基本要求對當前網(wǎng)絡系統(tǒng)的安全作一次全面的檢查，形成測評報告，讓信息技術主管部門對系統(tǒng)在網(wǎng)絡安全方面作一個全面的了解，及時發(fā)現(xiàn)風險、漏洞所在，使單位信息化工作做到有的放矢，以增強單位網(wǎng)絡系統(tǒng)抗風險能力。測評系統(tǒng)清單：序號系統(tǒng)名稱系統(tǒng)數(shù)量1產(chǎn)學研協(xié)同創(chuàng)新應用二級1根據(jù)國家等級保護相關標準，投標人對上述的網(wǎng)絡系統(tǒng)完成測評、整改、報備等工作。要求對以上業(yè)務網(wǎng)絡系統(tǒng)進行摸底、分析和梳理，提出測評方案。逐一對網(wǎng)絡系統(tǒng)進行安全等級保護測評，網(wǎng)絡系統(tǒng)安全等級保護測評的內(nèi)容包括但不限于以下內(nèi)容：(1)安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理等十個方面的安全測評；(2)完成測評工作后，提出整改方案并實施整改，最后出具符合公安機關要求的信息系統(tǒng)安全保護等級測評報告，并協(xié)助上述系統(tǒng)單位完成信息系統(tǒng)安全保護等級備案工作。三、測評依據(jù)開展重要信息系統(tǒng)等級測評等服務，需遵循以下要求及標準：（1）中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院第147號令）；（2）關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安〔2007〕861號）；（3）信息安全等級保護管理辦法（公通字[2007]43號）；（4）網(wǎng)絡安全等級保護定級指南（GB/T22240-2020）；（5）網(wǎng)絡安全等級保護基本要求（GB/T22239-2019）；（6）網(wǎng)絡安全等級保護測評要求（GB/T28448-2019）；（7）《浙江省信息安全等級保護管理辦法》。四、項目原則在本次項目實施過程中，項目團隊應遵循以下原則：（1）保密性原則在體系優(yōu)化工作開始前，與采購人簽署保密協(xié)議，規(guī)定實施過程和實施結(jié)束后技術中心敏感信息的保密工作，如對數(shù)據(jù)加密存儲、清除用戶數(shù)據(jù)。（2）最小影響原則通過管理和技術兩個層面將工作所帶來的影響降至最小，避免由于占用技術中心過多人力或資源而干擾其正常業(yè)務，避免實施過程對信息系統(tǒng)的正常運行產(chǎn)生不利的影響。（3）可操作性原則通過詳細定義每個階段的任務和任務實踐內(nèi)容，明確定義參與人員的職責和每項工作開始前的必備條件和結(jié)束時的輸出結(jié)果，從而規(guī)范實施的流程，保證實施過程的可操作性和可控性。（4）質(zhì)量控制原則通過項目管理的方法，從項目的組織、角色定義與培訓、溝通與確認、進度控制、文檔控制、匯報與驗收等多個環(huán)節(jié)保證評估服務的總體質(zhì)量。（5）風險規(guī)避原則在體系優(yōu)化工作開始前，充分考慮可能引入的多方面風險，告知用戶可能存在的風險，并采取相應的控制措施加以規(guī)避。（6）符合性原則體系優(yōu)化工作應符合國家、行業(yè)、國際等相關的安全標準與規(guī)范。（7）整體性原則體系優(yōu)化的范圍和內(nèi)容應當系統(tǒng)性、全面，覆蓋采購人安全所涉及的各個層面、業(yè)務條線、內(nèi)部組織架構(gòu)，力求建立全面、整體的安全防護體系。五、測評內(nèi)容根據(jù)網(wǎng)絡系統(tǒng)的安全保護等級，并依據(jù)《GB/T22239-2019信息安全技術—網(wǎng)絡安全等級保護基本要求》和《GB/T22248-2019信息安全技術—網(wǎng)絡安全等級保護測評要求》的條款要求，逐一對網(wǎng)絡系統(tǒng)的安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理等十個方面進行安全測評。六、測評要求1、投標人應詳細描述本次等級保護測評的整體實施方案，包括項目概述、等保測評方案、項目實施方案、測試過程中需使用測試設備清單、時間安排、階段性文檔提交和驗收標準等。2、投標人應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分。投標人應配置有經(jīng)驗的測評人員進行本次等級保護測評工作。3、本次等級保護測評實施過程中所使用到的各種工具軟件由投標人推薦，經(jīng)采購人確認后由投標人提供并在測評中使用。在投標文件中應詳細描述所使用的安全測評工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等。4、安全測評工具軟件運行可能需要的硬件平臺（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等由投標人推薦，經(jīng)采購人確認后由投標人提供并在測評中使用。5、安全測評需要的運行環(huán)境（如場地、網(wǎng)絡環(huán)境等）由采購人提供，投標人應詳細描述需要的運行環(huán)境的具體要求。6、本項目負責人必須具有5年以上的測評工作經(jīng)驗，并參與過大型復雜測評項目的實施；必須具有高級測評師證書、高級信息系統(tǒng)項目管理師、高級網(wǎng)絡攻防技術與信息安全應急響應、注冊信息安全工程師CISP等證書確保項目的順利實施。7、本項目技術實施負責人應具有5年以上的測評工作經(jīng)驗的中高級測評師，具有高級項目管理師、注冊信息安全專業(yè)人員、云計算安全證書(CIIP-A)。七、項目驗收本項目輸出包括且不僅僅包括以下成果：《網(wǎng)絡安全等級保護測評報告》《網(wǎng)絡安全等級整改建議書》1、中標方應在測評工作結(jié)束后，協(xié)助委托方完成系統(tǒng)的備案工作。2、投標人應對所有正式交付件的綜合質(zhì)量審查負責，指定各交付件的相關責任人，明確相關職責。3、投標人應提交驗收方案，供招標人參考。4、招標人將依據(jù)本項目的要求，組織相關部門或單位的技術專家對投標人提交的項目成果進行驗收。八、保密要求1、投標人必須和采購人簽訂保密協(xié)議和非侵害性協(xié)議，投標人必須要與參加此次測評項目的所有項目組成員簽訂保密協(xié)議和非侵害性協(xié)議，在合同簽訂時一并提供給采購人。2、投標人具體測評工作和等級保護測評報告的編寫，必須在采購人的指定地點進行。對于測評中的重要資料和結(jié)果，在測評期間和測評結(jié)束后，投標人不得帶離該地點。3、投標人對本規(guī)范書中的內(nèi)容及在應標過程中接觸的設備信息、數(shù)據(jù)資料等負有保密責任，不得泄露給任何第三方。無論投標人中標與否，其對上述內(nèi)容的保密責任將長期存在。九、供應商要求1、符合政府采購法第二十二條：1）具有獨立承擔民事責任的能力；2）具有良好的商業(yè)信譽和健全的財務會計制度；3）具有履行合同所必需的設備和專業(yè)技術能力；4）有依法繳納稅收和社會保障資金的良好記錄；5）參加政府采購活動前五年，在經(jīng)營活動中沒有重大違法記錄及相關行業(yè)處罰記錄導致停業(yè)整頓半年及以上；6）法律、行政法規(guī)規(guī)定的其他條件。2、已獲得網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書的測評機