《2022年网络安全等级保护项目参数及要求 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全等级保护项目参数及要求 .pdf(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全等级保护项目参数及要求1.1 项目名称项目名称: 商丘医学高等专科学校网络安全等级保护测评项目1.2 项目基本情况1. 项目概况:商丘医学高等专科学校网络安全等级保护测评项目2. 采购内容包括: 智慧化校园平台、 网站群、教务管理系统和财务内控管理系统。3. 采购方式:竞争性谈判4. 项目预算金额:5. 工期:合同签订生效后30 个工作日(不包含整改建设时间) 。6. 服务地点:采购人指定地点。7. 服务要求:满足采购人要求。8. 质量标准:符合国家或行业规定的合格标准,满足采购人提出的技术标准及要求。9. 验收标准:满足采购人的验收标准及要求。10. 技术要求:序号技术分类技术要求1
2、 需遵循的政策法规中华人民共和国计算机信息网络国际联网管理暂行规定实施办法(1997 年 12 月 8 日国务院信息化工作领导小组审定)计算机病毒防治管理办法(2000 年 4 月 26 日中华人民共和国公安部第 51 号令)计算机信息系统安全专用产品分类原则(1997 年 4 月公安部发布)计算机信息系统安全保护等级划分准则(1999 年 9 月国家技术监督局发布)计算机信息系统安全等级保护划分准则(GB/T17859-1999 )计算机信息系统安全等级保护网络技术要求(GA/T387-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2002 ) 计 算 机 信 息 系
3、 统 安 全 等 级 保 护 数 据 库 管 理 系 统 技 术 要 求 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 28 页 - - - - - - - - - (GA/T389-2002)计算机信息系统安全等级保护通用技术要求(GA/T390-2002)计算机信息系统安全等级保护管理要求(GA/T391-2002 )计算机机房场地安全要求(GB9361-88)国家信息化领导小组关于加强信息安全保障工作的意见(中央 27 号文件)投标人必须遵循但不限于以上法律法规2
4、 需遵循的行业规范信息安全等级保护管理办法( 公通字 200743号) 信息系统安全等级保护实施指南( 信安字 200710号) 信息安全等级保护安全建设整改工作指导意见( 公信安 20091429号)( 含附件 ) 信息安全技术信息系统安全保护等级保护基本要求信息安全技术信息系统安全保护等级保护定级指南信息安全技术信息系统安全保护等级保护测评要求投标人必须遵循但不限于以上行业规范3 定级工作定级依据根据教育部教育行业信息系统安全等级保护定级工作指南(试行)文件要求对我校信息系统组织定级。定级内容学校综合服务门户网站、智慧化校园平台、教务管理系统和财务内控管理系统。专家评审由中标方根据相关要求
5、组织专家召开定级评审会,时间地点由双方协商确定,所有费用包含在本次投标报价中交付成果根据专家评审结果,由中标方完成 商丘医学高等专科学校门户网站和信息系统安全等级定级报告的整理和提交。4 备案工作工作内容由中标方完成信息系统安全等级保护备案表的整理和公安局备案,并向招标方提供公安局出具的备案证明。5 等级测评测评依据本项目按照信息安全等级的测评标准进行安全等级测评。测评内容安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评. 系统整体测评:安
6、全控制点间、层面间、区域间、系统结构安全等四个方面的安全测评。测评具体要求在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循信息安全技术信息系统安全等级保护测评要求(GB/T 28448-2012 )和信息安全技术信息系统安全等级保护测评过程指南 (GB/T 28449-2012 )文件,根据本项目信息系统已完成的定级备案安全等级, 开展相应级别的安全等级测评工作,根据测评结果出具名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 28 页 - - - - -
7、 - - - - 相应的单项和整体测评报告,测评报告需得到学校的确认,测评报告编制的内容及格式严格遵照信息系统安全等级测评报告模版(2015) (公信安【 2014】2866 号)进行。交付成果依据项目各阶段的测评过程文档(参照信息安全技术信息系统安全等级保护测评过程指南 )编制。具体包括包括但不限于以下:测评准备活动项目计划书被测系统基本情况分析报告方案编制活动测评指导书信息系统安全测评方案现场测评活动测评结果记录测评中发现的问题汇总分析与报告编制活动单项测评结果汇总分析整体测评结果汇总分析风险分析和评估等级测评结论信息系统安全等级测评报告6 安全整改依据依据商丘医学高等专科学校门户网站安全
8、等级测评的相关报告,编制并提交相关的信息安全整改建议方案,并全程协助完成整改工作。具体要求依照信息安全等级保护安全建设整改工作指导意见(公信安20091429号) ,严格遵循信息安全等级保护安全建设整改工作指南各项要求, 在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全建设整改方案,方案内容包含但不限于: (1)信息安全背景、 政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、 安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算,整改后可能存在的其他问题
9、;(2)安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。过程文档及交付成果(包括但不限于)安全等级测评整改技术方案,方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。提交要求: 涉及所有被测评系统的安全整改方案,需包含但不限于如下内容:等级化安全保障建议方案内容应包括但不限于以下方面:安全区域和等级划分;安全体系框架设计;等级化安全指标体系报告。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 28 页 -
10、- - - - - - - - 安全体系建设建议方案内容应包括但不限于以下方面:网络面临风险分析;针对性措施建议。相关网络安全管理制度内容应包括但不限于以下方面:机房安全管理制度;网络故障应急预案及应急方案流程制度;客户端管理制度;数据备份及恢复制度;灾难恢复策略及制度。7 测评方案投标人应提交针对本项目的测评方案,并要严格遵循国家相关规定和行业要求,能够从单位实际情况出发,通过测评工作有效解决相关问题,促进单位的网络安全建设工作。8 能力证明供应商具有网络安全等级保护测评服务证明。(提供证明材料)2 供应商须知一、响应投标文件的编写1、要求1.1 投标人应仔细阅读招标文件的全部内容,按招标文
11、件的要求提供响应投标文件,并保证所提供的全部资料的真实性和可靠性,以使其文件对招标文件作出实质性响应。投标人应接受采购单位和采购代理机构对其中任何资料作出进一步审查的要求,否则其响应投标将有可能被拒绝。1.2 投标人应认真检查招标文件中所有的须知、格式、条款、技术、规格和其它资料,如果投标人未按照招标文件的要求提交全部资料,或者提交的资料没有对招标文件在各方面作出实质性响应, 可能导致其响应投标文件被拒绝,由此导致的不利后果由投标人自行承担。1.3响应投标文件的和资格证明文件的主要内容格式部分中的各项内容和表格为评审的重要参考内容和依据,投标人应严格按照格式要求统一填写编制,否则,其响应投标将
12、有可能被拒绝。2、响应语言2.1 响应投标文件及投标人、采购单位和采购代理机构就响应交换的文件和来往信件,应以中文书写。 若投标人提交的资料为英文或其他语言文字文本,须附中文译文以让评审小组成员知晓内容,否则视为未提供该资料。3、货币单位3.1 响应投标文件涉及到的货币价格一律使用人民币元为单位。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 28 页 - - - - - - - - - 4、响应投标文件的组成及要求:按照本招标文件中所附的表格内容完整填写。4.1 投标文
13、件应按要求提供,即投标人应在所有资料的适当位置加盖公章,提供复印件材料的还应在相应位置加盖公章。4.2 投标文件内容填写说明4.2.1投标人对采购项目的投标必须是对完整的一个项目的投标,必须逐项填写单价及总价。4.2.2服务承诺书内容填写(该项内容的填写不得低于招标文件的基本要求)。5、报价 5.1所有报价均以人民币报价。 5.2投标人应根据项目技术要求所列采购项目内容和要求进行报价,并由法定代表人或投标人代表签署。5.3 投标人对所投标项目报价只能一种方案,投标人所报的单价和以细目总价填报的价格在合同实施期间应保持不变,即不受市场价格及政策性价格的调整而增减,投标人提交可调整的报价的投标文件
14、将按非响应性投标予以拒绝,采购代理机构不接受任何有选择的报价。 5.4投标人承诺报价高于采购单位采购计划价预算及有多种报价方案的不做为有效报价。6、响应投标货物符合招标文件规定的证明文件6.1 投标人须提交证明拟提供货物和服务符合招标文件规定的技术投标文件,作为响应投标文件的一部份。6.2 证明货物和服务与采购文件的要求相一致的文件,可以是文字资料、数据或数码照片,它包括:( 1)货物主要技术指标和性能的详细说明。( 2)货物从采购单位开始使用至采购文件中规定的周期内正常、连续地使用所必须的备件和专用工具清单,包括备件和专用工具的货源及现行价格。( 3)对照采购技术规格, 逐条说明所提供货物和
15、服务已对采购单位的技术规格做出了实质性的响应,或申明与技术规格条文的偏差和例外。7、投标文件的有效期 7.1投标文件以开标日之起计算,投标文件的有效期为60 个日历天。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 28 页 - - - - - - - - - 7.2 在特殊情况下,在原有效期截止之前,政府采购代理机构可要求供应商同意延长投标有效期。这种要求与答复均应以书面形式提交。8、投标文件的签署及规定8.1 组成投标文件的各项资料均应遵守本条。8.2 投标人应按照招
16、标文件的要求,在适当位置填写投标人全称并加盖公章。8.3 投标文件必须用不褪色的墨水填写或打印,投标文件不得涂改和增删,如有修改错漏之处,必须由有权的同一签署人签字或盖章。如果正本与副本有不符之处,以正本为准。8.4 投标文件因字迹潦草或表达不清所引起的后果由投标人负责。二、投标文件的递交9、投标文件的密封及标记9.1投标文件密封袋内装投标文件共一式三份(正本一份、副本二份),一旦正本和副本有差异,以正本为准,投标文件密封袋上须加盖投标人公章。9.2 如果投标人未按上述要求密封,采购代理机构对投标文件的误投和提前启封概不负责。对由此造成提前开封的投标文件,采购代理机构有权拒绝,并退回投标人。
17、10 、投标截止时间:详见招标要求规定的投标截止时间 10.1投标文件必须在投标截止时间前邮寄到达或派人送达指定的投标地点。 10.2采购代理机构推迟投标截止时间时,应以书面或传真的形式,通知所有的投标人。这种情况下,采购代理机构和投标人的权利和义务将受到新的截止期的约束, 10.3采购代理机构对投标文件在邮寄过程中的遗失或损坏不负责任。 10.4在投标截止时间以后送达的投标文件或未密封的投标文件,采购代理机构拒绝接受。 11 、投标文件的修改和撤回 11.1投标以后,如果投标人提出书面修改和撤标要求,在投标截止时间前送达采购代理机构的,采购代理机构可以接受,但不退还投标文件。 11.2投标人
18、提出的修改投标文件的书面材料,须密封送达采购代理机构或开标现场,同时应在封套上标明“修改投标文件(并注明采购编号)”和“开标时启封”字样。 11.3撤回投标文件应以书面或传真形式通知采购代理机构。如采用传真形式撤回投标,随后必须补充有法定代表人或授权代表签署的要求撤回投标的正式文件。撤回投标的时间以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 28 页 - - - - - - - - - 送达采购代理机构或邮电到达日戳为准。 11.4在投标截止时间后投标人不得撤回投标。
19、三、询价投标及评审办法 12.1 采购代理机构按招标文件规定的时间和地点组织开标,投标人须派代表参加并签名报到,投标人代表评审全过程进行监督。 12.2投标人代表未准时参加开标会议的视为自动弃权。 12.3开标时,采购代理机构、投标人查验投标文件密封情况,确认无误后,当众宣读投标人名称及采购代理机构认为适当的其他内容。13、投标程序13.1采购代理机构根据本次询价投标采购的特点和有关规定组成评审小组,由采购单位代表和有关专家共3 人及以上的单数组成,其中专家的人数不得少于成员总数的三分之二。13.2评审小组审查投标人资格证明文件和响应书是否符合招标文件的基本要求、内容是否完整、 价格构成有无计
20、算错误、文件签署是否齐全等,投标人响应文件出现下列情形之一的,由评审小组初审后按无效投标文件不再进行评审:(1)投标文件未经投标单位盖章和法定代表人签字或其被授权人签字;(2)投标人不符合国家或者招标文件规定的资格条件;(3)投标文件未按招标文件规定的装订要求装订、提交的投标文件正副本数量不足的;(4)同一投标人提交两个以上不同的投标文件或者投标报价,但招标文件要求提交备选投标的除外;(5)投标文件未按招标文件规定的格式填写、内容不齐全、字迹不清晰的;(6)超出经营范围投标的;(7)投标有效期不足的;(8)投标人有串通投标、弄虚作假、行贿等违法行为的;(9)投标文件附有采购人不能接受的条件的;
21、(10)没有实质性响应询价投标招标文件要求的。13.3评审小组就有关商务、技术、报价等内容与供应商分别进行投标,在投标中,投标的任何一方不得透露与投标有关的其他供应商的技术资料、价格信息或者其他与投标有关的信息。13.4 投标人进行承诺报价。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 28 页 - - - - - - - - - 13.5 评审小组进行评审并推荐成交候选人。14、投标文件的修正:与招标文件有重大偏离的投标文件将被拒绝。重大偏离系指投标文件的重大改变等明
22、显不能满足招标文件的要求。这些偏离不允许在开标后修正。但采购代理机构将允许修改投标中不构成重大偏离的地方,这些修正不会对其他实质上响应招标文件要求的投标人竞争地位产生不公正的影响。15、评审小组对投标文件作出的判定,只依据投标文件内容本身,不依据任何其他外来证明。16、响应投标的澄清、说明、答辩和补正16.1评审小组有权就投标文件中含混之处向投标人提出询问或澄清要求。投标人必须按照采购代理机构通知的时间、地点进行答疑和澄清。16.2必要时评审小组可要求投标人就澄清的问题作书面答复,该答复经投标人代表的签字认可,将作为响应投标文件内容的一部分。16.3投标人在进行澄清、说明、答辩或补正时,不得超
23、出采购文件的范围或改变投标文件的实质性内容。17、评审 17.1采购代理机构根据有关法律和本次招标文件的规定,结合本采购项目的特点组建评委,对具备实质性相应的投标文件进行评价和比较。 17.2评审原则 17.2.1评审严格按照招标文件的要求和条件进行; 17.2.2评委只对实质上响应招标文件的投标文件进行评价和比较。18. 评审程序细则 :评标委员会按照 政府采购货物和服务招标投标管理办法、 财政部关于加强政府采购货物和服务项目价格评审管理的通知和评标委员和评标方法暂行规定,结合本次采购具体情况进行评标。具体评标方法、评标细则如下:评标办法采用最低评标价法一、评审小组审核确认招标文件二、投标文
24、件初审分为资格性检查和符合性检查。条款号评审因素评审标准投标公司 1 投标公司2资 格 性 检查投标文件按照招标文件规定要求制作密封盖章装订;有法定代表人或其委托代理人签字或加盖单位章;一正二副;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 28 页 - - - - - - - - - 投标人名称与企业法人营业执照、证书一致;投标报价投标文件中对同一(货物或服务)未提供选择性总报价或选择性单项报价或选择性方案;联合体投标人不接受联合体投标;符 合 性 检查投标有效期符合
25、招标文件规定其他符合招标文件规定初审结果(合格不合格)三、详细评审(只有资格性检查和符合性检查通过的投标人方可进入详细评审)(一)商务评审评审小组还需对供应商的投标报价进行审核,看其是否有计算或打印上的错误。修正错误的原则如下:1. 投标时, 响应投标文件中报价一览表内容与响应投标文件中明细表内容不一致的,以投标报价一览表为准。2. 如果以文字表示的数据与数字表示的有差别,以文字为准修正数字。如果大小写金额不一致的,以大写金额为准。3. 如果单价乘以数量不等于总价,以单价为准修正总价,但单价金额小数点有明显错误的除外,如果明细价格相加不等于汇总价格,以明细价格为准。4. 调整后的价格应对投标人
26、具有约束力,投标人不同意以上修正,其投标将可能被拒绝。(二)技术评审投标人投标文件中应附有关证明材料(包括技术标准或设备(货物) 产品在社会上公开公开发布(带技术参数)的彩页或检验报告)供评审小组审核评审。评审小组认真审核投标人所提交的技术指标参数和功能是否满足招标文件要求,如有偏差按以下原则处理:1. 无偏差: 指投标文件(含所附证明材料)描述的完全满足或响应招标文件要求,被评审小组接受;2. 细微偏差:指投标文件(含所附证明材料)描述的较小偏差,不一定影响到采购人对货物的使用、 安全、环保等因素的仍视为通过;或有可能影响到采购人对货物的使用、安全、环保等因素的视为不通过。具体由评审小组现场
27、举手表决,少数服从多数原则。3. 较大或重大偏差:指投标文件描述 (含所附证明材料)所出现的偏差,不能被评审小组接受,严重影响到采购人对货物的使用、安全、环保等因素的,则其投标按废标处理。计算过程四舍五入保留小数点后3 位,结果按四舍五入保留小数点后2 位4. 如果所有投标人均不满足本招标文件中的实质性( 废标条款项 ) 要求的,则计为第一次名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 28 页 - - - - - - - - - 投标失败;投标失败后,评审小组可按以下
28、两种情况处理:(1) 对本次询价投标作出投标失败的废标结果意见;(2) 在本次投标活动开始之前没有收到潜在供应商对本招标文件提出异议时,对招标文件中的实质性条款进行修改(调整),并以书面形式通知所有参加投标的供应商进行第二次投标。如供应商不接受修改调整后的内容,则视为其自动放弃参与第二次竞谈的资格要求,参与第二次投标人的个数仍按上述28 条 ( 一) 款 2 项中的 (5) 原则进行。19、成交基本条件,即必须同时满足以下要求: 19.1投标文件完全满足招标文件中所有的实质性要求; 19.2商务、技术能最大程度满足招标文件要求、评标价最低的投标人将作为成交候选人,且报价低于本次采购最高限价。
29、20 、评审过程保密 20.1开标后,直到授予投标人合同止,凡是属于审查、澄清、评价和比较投标的有关资料以及授标意向等,均不得向投标人或其他无关人员透露。 20.2在开标期间,投标人企图影响采购代理机构或评委的任何活动,将导致投标被拒绝,并承担相应的法律责任。21、最终审查21.1 最终审查的对象是采购项目的候选人,即意向授予合同的投标人。21.2最终审查的内容是对投标货物的价格、性能、成交候选人履行合同的能力(即:服务与技术状况、生产条件、资格、信誉) 以及采购单位认为有必要了解的其他问题作进一步的审查。21.3接受最终审查的成交候选人必须如实回答和受理采购单位的询问或考查,并提供所需的有关
30、资料。21.4为验证投标产品技术指标的真实、准确性,采购单位有权委托第三方检测机构对投标产品进行测试,若投标人投标的技术指标与测试结果偏差较大,或存在虚假投报现象,采购单位可决定否决该投标产品。本验证方式和采购单位的否决同样适用于公布成交结果后。21.5根据最终审查的结果对投标人进行排序并将供货协议以邮寄或传真等书面形式向成交供应商发出成交通知,将供货协议授予成交供应商。21.6 关于报价人瑕疵滞后发现的处理规则无论基于何种原因,各项本应作拒绝报价处理的情形,即便未被及时发现而使该报价人进入初审、 详细评审或其它后续程序,包括已经签约的情形。一旦被发现存在上述情形,采名师资料总结 - - -精
31、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 28 页 - - - - - - - - - 购代理机构均有权决定取消该报价人的此前评议结果,或决定对该报价予以拒绝,并有权采取相应的补救及纠正措施。22、出现下列情况之一,将对采购项目予以废标; 22.1出现影响采购公正的违法,违规行为的; 22.2投标人的报价均超过了采购单位采购计划价,采购单位不能支付的; 22.3因重大变故,采购任务取消的。四、质疑须知23.1 质疑原则质疑内容不得含有虚假、恶意成份。依照谁主张谁举证的原则,提出质疑者必须同
32、时提交相关确凿的证据材料和注明事实的确切来源,对捏造事实、 滥用维权扰乱采购秩序的恶意质疑者或举证不全查无实据被驳回次数在一年内达三次以上,将纳入不良行为记录名单并承担相应的法律责任。23.2 质疑有关须知质疑内容不得含有虚假、恶意成份。依照谁主张谁举证的原则,提出质疑者必须同时提交相关确凿的证据材料和注明事实的确切来源,对捏造事实、 滥用维权扰乱采购秩序的恶意质疑者或举证不全查无实据被驳回次数在一年内达三次以上,将纳入不良行为记录名单并承担相应的法律责任。23.3 质疑有关须知第一条为保护政府采购当事人的合法权益,维护政府采购公平竞争环境,建立规范高效的政府采购质疑处理机制,依据中国人民共和
33、国政府采购法、政府采购质疑和投诉办法(财政部94 号令)等文件的规定执行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 28 页 - - - - - - - - - 3 项目总体管理及技术要求3.1 项目背景为落实中华人民共和国网络安全法、 关于深入开展教育行业信息系统安全等级保护工作的通知教科技2015710号的通知。商丘医学高等专科学校参照信息安全等级保护管理办法(公通字 2007 43 号) 、 信息安全技术网络安全等级保护基本要求 (GB/T 22239-20
34、19) 、 信息安全技术网络安全等级保护测评过程指南 (GB/T 28449-2018)和信息安全等级保护安全建设整改工作指导意见 等相关文件要求, 严格落实信息安全等级保护相关级别的安全管理和安全技术要求,实施网络安全等级测评工作,根据河南省公安厅等级保护管理部门反馈的“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合规定条件的测评机构,依据信息安全技术网络安全等级保护测评要求(GB/T28448-2019)技术标准,对我校智慧校园平台系统安全等级状况定期开展等级测评。3.2 项目范围本项目测评范围包括以下方面:智慧校园平台系统包含的子系统有:网站群(门户网站系统)、财务系统(二
35、级)3.2.1 项目要求1.按照等保 2.0 技术标准完成商丘医学高等专科学校信息系统安全等级测评工作,提交信息系统的安全等级测评报告,依据测评报告编制整改建议方案,并协助完成整改工作。2.完成商丘医学高等专科学校信息系统在当地网安部门的备案工作并取得相关等级备案证书。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 28 页 - - - - - - - - - 3.为商丘医学高等专科学校提供一年的网络安全咨询服务。4.为响应中华人民共和国网络安全法第二十五条,制定应急预
36、案措施,保障网络安全持续稳定发展投标人至少有一名中级测评师在本地缴纳社保近6 个月以上和该名测评师证书在本地公安部门有备案3.2.2 实施基本要求鉴于测评工作实施的复杂性,投标人必须逐条予以明确以下承诺:(1)在认证过程中,当与其它应用系统(含硬件、集成平台、应用系统、数据库系统等)发生任何矛盾时(如协作冲突、技术分歧等),均应服从招标人的协调或裁决。(2)投标人实行项目总负责人制,在项目验收前,投标人不得随意更换;如确需更换, 需事先向招标人提交书面更换意见函,征得招标人同意答复后进行更换。(3)项目实施过程中,由招标人召集的现场协调会,通知投标人项目总负责人、各子系统技术复责人到场的,投标
37、人项目总负责人、 各子系统技术复责人必须到场,进行沟通、协调及裁决,并形成书面备忘录,项目总负责人签字并执行,不得以任何理由推诿。3.2.3 项目总体管理和技术要求总体要求与信息安全等级保护管理办法(公通字 200743号) 、 信息安全技术 网络安全等级保护测评过程指南 (GB/T 28449-2018)和信息安全等级保护安全建设整改工作指导意见在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循信息安全技术网络安全等级保护测评要求(GB/T28448-2019)开展相应级别的安全等级测评工作,根据测评结果出具相应的单项和整体测评报告,测评报告需得到项目单位的确认。测评报告编制
38、的内容及格式严格遵照网络安全等级保护测评报告模版(2019年版) 进行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 28 页 - - - - - - - - - 3.2.3.1 需遵循的政策法规1.中华人民共和国保守国家秘密法实施办法(中华人民共和国国务院令第 646 号)2.中华人民共和国国家安全法 (2015 年 7 月 1 日发布实施)3.中华人民共和国计算机信息系统安全保护条例(国务院令 147 号)4. 中华人民共和国保守国家秘密法5. 中华人民共和国计算
39、机信息网络国际联网管理暂行规定(国务院令 195号)6.计算机病毒防治管理办法 (2000 年 4 月 26 日中华人民共和国公安部第 51 号令)7.计算机信息网络国际联网安全保护管理办法 (1997 年 12 月 11 日国务院批准, 1997 年 12 月 30 日公安部发布公安部令第33 号)8.计算机信息系统安全专用产品分类原则 (1997 年 4 月公安部发布)9.中华人民共和国网络安全法 (2017 年 6 月 1 日实施)10.国家信息化领导小组关于加强信息安全保障工作的意见(中央 27 号文件)11.国务院办公厅关于全面开展信息安全等级保护工作的通知12.信息安全管理体系要求
40、 (GB/T 22080-2008 )13.网络安全等级保护测评机构管理办法 (公通字 2018 版最新)3.2.3.2 行业规范1.信息安全技术网络安全等级保护基本要求 (GB/T 22239-2019 )2. 信息 安全 技术网络 安全 等级 保 护 安 全 设 计 技 术 要 求 ( GB/T 25070-2019 )名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 28 页 - - - - - - - - - 3.信息安全技术网络安全等级保护测评要求 (GB/T
41、28448-2019 )4.信息安全技术网络安全等级保护测评过程指南 (GB/T28449-2018 )5. 信 息 安 全 技 术网 络 安 全 等 级 保 护 测 试 评 估 技 术 指 南 (GB/T36627-2018 )6. 信 息 安 全 技 术网 络 安 全 等 级 保 护 安 全 管 理 中 心 技 术 要 求 (GB/T36958-2018 )7.信息安全技术网络安全等级保护实施指南 (最新)8.信息安全技术网络安全等级保护定级指南 (最新)9. 教育部关于加强教育行业网络与信息安全工作的指导意见(教技 20144 号)10.教育部公安部关于全面推进教育行业信息安全等级保护工
42、作的通知(教技 20152 号)11.河南省教育厅河南省公安厅关于深入开展教育行业信息系统安全等级保护工作的通知(教科技 2015710 号)3.3 项目内容3.3.1 等级测评内容测评对象为:网站群(门户网站系统) 、财务系统本项目按照网络安全等级保护2.0 技术标准进行安全等级测评。测评内容主要包括两个方面 :一是单元测评 ,测评指标与信息安全技术网络安全等级保护基本要求 (GB/T 22239-2019)相应等级的基本要求完全一致;二是系统整体测评,主要测评分析信息系统的整体安全性。单元测评包括安全技术测评和安全管理测评两大部分,其中安全技术测评层面主要包含:安全物理环境、安全通信网络、
43、安全区域边界、安全计算环境、安全管理中心。安全管理测评层面主要包含:安全管理制度、安全管理人员、安全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 28 页 - - - - - - - - - 管理机构、安全建设管理、安全运维管理。整体测评在单元测评的基础上进行进一步测评分析,在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。(1)安全物理环境主要包含物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度
44、控制、电力供应、电磁防护10 个方面的内容。(2)安全通信网络主要包含网络架构、通信传输、可信验证3 方面的内容。(3)安全区域边界主要包含边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等6 个方面的内容。(4)安全计算环境主要包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11 方面的内容。(5)安全管理中心主要包含系统管理、审计管理、安全管理、集中管控4 个方面的内容。(6)安全管理制度主要包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的内容。(7)安全管理人员
45、主要包含人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的内容。(8)安全管理制度主要包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的内容。(9)安全建设管理主要包含定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 28 页 - - - - - - - - - 个方面的内容。(10)安全运维管理主要包含环境管理
46、 、资产管理、介质管理 、设备维护管理 、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14 个方面的内容。系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间 、层面间以及区域间的相互关联
47、关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。3.3.2 测评具体要求在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循信息安全技术网络安全等级保护测评要求 (GB/T28448-2019 )和信息安全技术 网络安全等级保护测评过程指南 (GB/T 28449-2018 )文件,根据本项目信息系统已完成的定级备案安全等级,开展相应级别的安全等级测评工作,根据测评结果出具相应的单项和整体测评报告,测评报告需得到我单位的确认, 并协助我院报备案地网监部门备案。测评报告编制的内容及格式严格遵照网络
48、安全等级测评报告模版最新版 。3.3.3 测评交付成果项目阶段各阶段的测评过程文档(参照信息安全技术信息系统安全等级保护测评过程指南)编制。详见下表(包括但不限于) :项目阶段交付成果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 28 页 - - - - - - - - - 3.3.4 安全整改依据商丘医学高等专科学校信息系统安全等级测评的相关报告,编制并提交相关的信息安全整改建议方案,并全程协助完成整改工作。3.3.4.1 具体要求依照信息安全等级保护安全建设整改工
49、作指导意见(2.0 标准) ,严格遵循信息安全等级保护安全建设整改工作指南各项要求, 在系统测评工作的基础上,对商丘医学高等专科学校信息系统总体网络安全管理和技术方面现状进行全面的分析,制订网络安全等级保护安全建设整改方案,方案内容包含但不限于:信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、 安全建设整改项目实施计划、项目预算, 整改后可能存在的其他问题。3.3.4.2 过程文档及交付成果过程文档及交付成果(包括但不限于)要求如下:测评准备活动项目计划书被测系统基本情况分析报告
50、方案编制活动测评指导书信息系统安全测评方案现场测评活动测评结果记录测评中发现的问题汇总分析与报告编制活动单项测评结果汇总分析整体测评结果汇总分析风险分析和评估等级测评结论信息系统安全等级测评报告名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 28 页 - - - - - - - - - 安全等级测评整改技术方案, 方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。提交要求: 涉及所有被测评系统的安全整改方案,需包含如下内容:3.4 工期要求工程期限: 30 个