《检举举报平台项目网络安全等级保护测评及服务技术要求.docx》由会员分享,可在线阅读,更多相关《检举举报平台项目网络安全等级保护测评及服务技术要求.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、检举举报平台项目网络安全等级保护测评及服务技术要求1.服务商资质要求报名条件:(1)须具有独立法人资格和独立承担民事责任的能力;具有良好的商业 信誉和健全的财务会计制度。(2)投标人需具备1S09001质量体系认证证书。(3)投标人需具备网络安全等级保护测评机构推荐证书,并且为新疆注 册的测评机构,提供证明文件。(4)项目组人员需提供疆内社保记录,其中疆内测评师不少于5人,高 级测评师不少于1名,中级测评师不少于1名、初级测评师不少于3 名。(5)优先条件:测评机构具有IS027001信息安全管理体系认证证书。测 评机构具有IS020000信息技术服务管理体系认证证书优先。2,测评范围自治区纪
2、检监察系统检举举报平台项目等级保护测评范围包括举报网站、举 报电话、平台基层版三个信息系统。服务商针对上述系统协助完成定级、备案工 作,完成差距分析工作,提交整改建议,为检举举报平台项目网络信息系统整改 工作过程中的问题提供解答,并最终提交相应合格的所有网络信息系统测评报 告。信息系统及初定等级保护级别如下表:序号系统名称初定保护等级1举报网站三级2举报电话三级3基层版系统三级3.技术要求部分(1)测评实施要求服务商应按照最新的等级保护相关技术标准,详细描述等级保护测评的整体 实施方案,包括等级保护测评方案、项目实施方案、时间安排、阶段性文档提交 和验收标准等。服务商应详细描述测评人员的组成、
3、资质及各自职责的划分。服 务商应配置经验丰富的测评人员进行等级保护测评工作。(2)测评方法测评方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、 工具测试和实地察看等多种方法。如需在等级保护测评实施过程中采用在线测评工具的,各种工具软件由服务 商提供,经询价人确认后由服务商在测评中使用。服务商应详细描述所使用的安 全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平 台的要求以及使用可能对系统造成的风险等,同时需向询价人提供应急处置预 案。等级保护测评应有详细的实施方案和严格的操作步骤,采取的措施应是经过 测试、稳定可靠的。安全测评工具软件运行可能需要的硬件平台(
4、如笔记本电脑、pc、工作站等) 和操作系统软件等由服务商提供,经确认后由服务商在测评中使用。安全测评需 要的运行环境(如场地、网络环境等)由询价人提供,服务商应详细描述需要的 运行环境的具体要求。(3)测评流程测评流程分为四个阶段:测评准备阶段、方案编制阶段、现场测评阶段、分 析与报告编制阶段。测评完成后,提供整改建议书,配合询价人根据测评范围进 行整改实施,整改完成后由服务商针对整改问题进行复测。(4)风险控制测评工作本身也会引入安全风险,必须加强测评过程中的风险控制。测评实 施前,双方应充分讨论并明确测评对系统可能带来的风险和隐患,确定测评对象、 测评方法和工具,并制定应急恢复措施。操作的
5、申请和监护:现场测评前签订现场测评授权书,测评操作必须遵守现 场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程, 事前申请,并在专责人员的指导和监护下进行。测评完成后要将相关资料、环境 等恢复还原。服务商需制定过程控制、内部保密制度,指定专人保管测评资料文 件。人员与数据管理:重视测评保密工作,加强测评过程中的保密管理,确保参 与测评工作人员的可靠、稳定,防止敏感信息泄漏。测评对象选择:优先选择备用设备(系统)或临时搭建的模拟环境进行测评, 避免影响在线系统运行。制定应急预案:根据被测评系统情况,在测评实施前制定应急预案,加强系 统在线应急处置能力。关键业务系统风险控制:核
6、心业务系统禁止采用渗透测试工具进行测评,除 非询价人书面同意,且服务商需做好应急处置工作。(5)测评内容根据国家等级保护相关标准,等级保护测评应包括以下内容:1.安全技术测 评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管 理中心等五个方面的安全测评;2.安全管理测评:包括安全管理机构、安全管理 制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。安全物理环境:安全物理环境测评是对机房和办公场所的物理环境安全防护 情况进行测评,包括机房位置选址、物理访问控制、防盗窃和防破坏、防雷击、 防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状
7、况。安全通信网络:安全通信网络测评是对网络通信安全防护情况进行测评,包 括网络架构安全、网络通信传输、可信验证等方面的安全状况。安全区域边界:安全区域边界测评是对网络边界安全防护情况进行测评,包 括关键网络节点处的身份鉴别、访问控制、安全审计、入侵防范、恶意代码和垃 圾邮件防范、可信验证等方面的安全状况。安全计算环境:安全计算环境测评是对业务系统安全及数据安全防护情况进 行测评,包括应用系统层面的身份鉴别、入侵防范、访问控制、恶意代码防范、 安全审计、可信验证、数据传输存储过程中的完整性及保密性、数据本地及异地 备份恢复、剩余信息保护、个人信息保护等方面的安全状况。安全管理中心:安全管理中心是
8、对安全管理员及网络系统安全情况进行测 评,包括对系统、安全、审计管理员的身份鉴别、划分特定安全管理区域、安全 事件及安全设备组件集中管控、识别,报警和分析各类安全事件等方面的安全状 况。安全管理机构:安全管理机构测评是对安全管理组织和岗位设置、人员配备、 授权和审批、沟通和合作、审核和检查等情况进行测评。安全管理制度:安全管理制度测评是对安全管理制度体系和制度内容、制定 和发布流程、评审和修订机制等情况进行测评。安全管理人员:安全管理人员测评是对相关内部人员的人员录用、人员离岗、 人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。安全建设管理:安全建设管理测评是对建设过程中的系
9、统定级、系统备案、 安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测 试验收、系统交付、等级测评、安全服务商选择等情况进行测评。安全运维管理:安全运维管理测评是对运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代 码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、 应急预案管理、外包运维管理等情况进行测评。4 .项目成果清单(交付物)序号服务项目服务内容1信息系 统定级系统定级:协助在公安部门完成系统定级工作;根据信息系统 的服务客体以及信息系统受到破坏时,对客体的侵害程度对信息系 统进行定级工作;
10、出具所有网络信息系统的系统定级报告2信息系 统差距 分析差距分析:从安全物理环境、安全通信网络、安全区域边界、 安全计算环境、安全管理中心、安全管理机构、安全管理制度、安 全管理人员、安全建设管理、安全运维管理等十个方面进行分析, 对机房环境、网络构架、配置文件、工具评估结果进行详细分析, 找出各系统与其对应等级保护保护级别的具体差距:出具所有网络 信息系统的差距分析报告3信息系 统等级 保护方 案设计安全管理分析和设计:根据差距分析报告中的安全管理机 构、人员安全管理、系统建设管理、系统运维管理等五个层面开展 分析工作,针对新疆信息安全的自身特点进行管理整改方案的设计。安全技术分析和设计:根
11、据差距分析报告,从安全物理环境、 安全通信网络、安全区域边界、安全计算环境、安全管理中心等五 个方面进行分析、对机房环境、网络构架、配置文件、工具评估结 果等进行详细分析,根据分析结果设计安全技术方案,出具所有网 络信息系统的信息系统整改建设方案4方案评 审在差距分析和方案设计工作当中,组织专家进行评审论证会议, 确定各系统的差距分析报告和信息系统整改建设方案满足 后期信息安全建设需求及要求,并出具最终的评审意见。5等级测 评开展等级测评工作。包含现场正式测评工作、渗透测试、配置 审计、远程漏扫等,并出具所有网络信息系统的系统信息安全等 级保护测评报告。5 .人员配置要求项目组人员不少于5人,
12、其中高级信息安全等级测评师不少于1人,中级信 息安全等级测评师不少于1人,初级信息安全等级测评师不少于3人。保证提供 现场服务的2人以上信息安全等级测评师。(以上人员须提供投标人相关人员资质证书、社保缴费证明复印件加盖投标人单位公章。)6 .保密要求等级保护测评机构有义务对项目实施过程中所收集、产生的所有与本项目相 关文档、资料,包括文字、图片、表格、数字等各种形式的内容保密,应按照要 求签署保密协议。7 .工期要求等级保护测评机构必须在合同签订后30个工作日内完成项目各重要信息系 统测评工作。8 .验收方式在规定时间内交付具有评估测评资质效力的报告,并经采购人确认。报告符合要求后,才作为最终验收。供应商提供的报告未达到招标文件规定要求,且对采购人造成损失的,由供 应商承担一切责任,并赔偿所造成的损失。