服務需求及技術(shù)要求

服務需求及技術(shù)要求一、項目概況依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全等級保護管理辦法》的相關(guān)要求，對安慶職業(yè)技術(shù)學院重要信息系統(tǒng)進行網(wǎng)絡(luò)安全等級保護測評，包括：安全技術(shù)測評，安全管理測評，工具測試，編制系統(tǒng)安全整改方案，編制和完善安全管理制度等。二、項目實施范圍本次參于網(wǎng)絡(luò)安全等級保護測評的系統(tǒng)如下：序號待測系統(tǒng)名稱安全保護等級備注1網(wǎng)站群信息系統(tǒng)二級2郵件系統(tǒng)二級3數(shù)字校園系統(tǒng)二級4圖書管理系統(tǒng)二級5財務系統(tǒng)二級三、指導思想和基本準則根據(jù)公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)的《信息系統(tǒng)安全等級保護管理辦法》（公通字〔2007〕43號）、《關(guān)于信息系統(tǒng)安全等級保護工作的實施意見》（公通字〔2004〕66號）、《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安〔2007〕861號）、公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》（公信安[2009]1429號）、國家發(fā)改委《關(guān)于加強國家電子政務工程建設(shè)項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號），以及安徽省發(fā)改委《關(guān)于加強國家電子政務工程建設(shè)項目信息安全風險評估工作的通知》（發(fā)改高技[2008]967號）等文件精神，結(jié)合安慶職業(yè)技術(shù)學院工作實際，現(xiàn)擬對安慶職業(yè)技術(shù)學院重要信息系統(tǒng)實施網(wǎng)絡(luò)安全等級保護測評，以進一步完善信息系統(tǒng)安全管理體系和技術(shù)防護體系，切實提高系統(tǒng)信息安全防護能力。四、等級保護測評主要包括以下幾個方面：等保測評：完成包括安全物理環(huán)境、安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理中心和安全管理機構(gòu)、安全管理制度、安全管理人員、安全建設(shè)管理和安全運維管理方面的測評工作；工具測試：針對重要信息系統(tǒng)進行定期的漏洞掃描、滲透測試等安全服務工作；整改建議：投標人應根據(jù)現(xiàn)場測評中發(fā)現(xiàn)的問題，分析與GB/T22239-2019、ISO/IEC27001、ISO/IEC20000、ISO22301、ITIL和ITSS等行業(yè)最佳實踐之間的差距，按照網(wǎng)絡(luò)安全等級保護標準要求提出安全整改建議；編制測評報告：完成上述測評工作和整改加固實施后，投標人最后出具符合標準要求的各信息系統(tǒng)網(wǎng)絡(luò)安全等級保護測評報告。五、信息安全培訓：信息安全培訓：為提高信息化人才隊伍的安全意識和專業(yè)技能，響應人需對采購人提供信息安全培訓，培訓內(nèi)容分為公共培訓和專業(yè)培訓。信息安全技術(shù)培訓由具備培訓資格的講師參考注冊信息安全專業(yè)人員（CISP）、信息安全保障人員（CISAW）等安全技能培訓認證課程內(nèi)容授課，確保管理人員和技術(shù)人員掌握關(guān)于信息系統(tǒng)等級保護相關(guān)規(guī)范、信息安全策略、信息保密制度，信息安全管理制度和相關(guān)流程等。專業(yè)培訓包括2個CISP（注冊信息安全專業(yè)人員）培訓名額。六、工作要求：實施原則規(guī)范性原則：成交供應商工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制；標準性原則：測評方案的設(shè)計與實施應依據(jù)國家等級保護的相關(guān)標準進行。可控性原則：測評的工具、方法和過程需在雙方認可的范圍之內(nèi)并符合進度表的安排，保證采購人對服務工作的可控性；整體性原則：測評和分析的范圍和內(nèi)容應當整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患；最小影響原則：測評工作應盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對現(xiàn)網(wǎng)的運行和業(yè)務的正常提供產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務中斷)，如無法避免，則應預先做出說明并經(jīng)采購人同意后實施，在項目實施過程中，需有可行性的風險規(guī)避處置措施保密原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害采購人網(wǎng)絡(luò)的行為，否則采購人有權(quán)追究責任。測評依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》（GB/T22240-2020）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》（GB∕T28449-2018）等級保護測評內(nèi)容等級保護測評內(nèi)容根據(jù)國家等級保護相關(guān)標準，本次項目的網(wǎng)絡(luò)安全等級保護測評應包括以下內(nèi)容：安全技術(shù)測評：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等五個方面的安全測評；安全管理測評：包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理等五個方面的安全測評。安全物理環(huán)境安全物理環(huán)境是對機房和辦公場所的物理環(huán)境安全防護情況進行測評，包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面的安全狀況。安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)測評是對網(wǎng)絡(luò)系統(tǒng)安全防護情況進行測評，包括網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗證等方面的安全狀況。安全區(qū)域邊界安全區(qū)域邊界是對邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、可信驗證等方面的測評。安全計算環(huán)境安全計算環(huán)境是對身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護等方面的測評。安全管理中心安全管理中心是對系統(tǒng)管理、審計管理、安全管理、集中管控等方面的測評。安全管理制度安全管理制度測評是對安全策略、管理制度、制定和發(fā)布、評審和修訂進行測評。安全管理機構(gòu)安全管理機構(gòu)測評是對崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況進行測評。安全管理人員安全管理人員測評是對人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理等情況進行測評。安全建設(shè)管理安全建設(shè)管理測評是對建設(shè)過程中的系統(tǒng)定級和備案、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、等級測評、服務供應商選擇等情況進行測評。安全運維管理安全運維管理測評是對環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護管理、漏洞和風險管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理等情況進行測評。七、報價要求本項目報總價，報價包含完成本項目服務期間所產(chǎn)生的一切費用（含驗收費用）。八、人員配備成交供應商需根據(jù)測評業(yè)務系統(tǒng)的數(shù)量自行評估并配置測評實施團隊。測評實施團隊在合同約定期內(nèi)派駐采購人到指定地點辦公；成交供應商需保證在實施階段主要技術(shù)人員必須是全