网站安全等保测评服务项目

一、测评服务要求

1、 项目背景

为了落实《中华人民共和国网络安全法》的有关法律要求，提高信息系统的安全保护水平，选择具备资质的第三方专业机构，在全面了解现有信息化现况的基础上，开展网络安全等级保护测评工作。通过本次工作，发现信息系统中存在的安全风险，分析信息系统安全现状与相关政策文件、技术标准内容要求的差距，提出安全建设整改建议。切实加强信息安全防范水平，提高系统抵御风险的能力。

2、 总体要求

1、按照网络安全等级保护定级标准和工作要求，开展信息系统安全等级保护系统梳理和定级工作，协助完成系统的定级报告，并协助完成到公安机关的备案工作。

2、按照国家等级保护2.0相关标准和要求，XXX信息系统开展信息系统安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，遵循适度原则，提出切实可行的整改建议，最终完成等级保护测评报告。

3、针对测评中发现的信息安全管理漏洞和薄弱环节，并深入分析下一步信息系统建设和管理的实际安全需求，协助开展相关的安全整改工作，确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。

二、服务内容

1、 定级梳理

按照公安部网络安全等级保护工作要求，开展信息系统安全等级保护定级备案工作。要求完成各系统的定级报告，并协助到公安机关完成备案。系统情况如下表：

信息系统名称: 邹城市人民医院官方网站    安全保护等级: 第三级

2、 信息安全等保测评

（1）测评依据

     公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

     公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字   [2007]43号）。

（2）测评内容

测评的内容包括但不限于以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。

安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

(1）安全物理环境

A安全物理环境

根据 信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

B机房检测

依据国家相关标准，对电子信息系统机房的室内装饰装修、室内环境、空气调节系统、照明装置、供配电系统、防雷接地系统及文档验收等方面进行检测。

(2）安全通信网络

根据信息系统安全通信网络测评记录，针对通信网络方面在“网络架构”、“通信传输”、“可信验证””等方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

(3）安全区域边界

安全区域边界现场测评包括 “边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等边界区域防范措施进行检查。

(4）安全计算环境

A安全计算环境

安全计算环境现场测评包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等几个方面的测评。

B密码安全测试咨询

根据密码安全测试相关标准，对信息系统的物理环境、网络架构、业务应用系统、主机操作系统、数据库管理系统、网络互联设备、安全设备、相关人员及密码管理等方面进行培训及咨询服务。

C应用安全测试咨询

根据软件质量相关标准及本项目的性能测试内容分析，需进行应用安全测试，主要从以下几个方面测试：应用程序级别安全测试、系统安全漏洞测试、系统风险评估和移动端安全测试，测试标准应满足网络安全等级保护相关需求。

(5）安全管理中心

安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中控制”等方面。

(6）安全管理制度

根据现场安全测评记录，针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

(7）安全管理机构

根据现场安全测评记录，针对 信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

(8）安全管理人员

根据现场安全测评记录，针对 信息系统在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

(9）安全建设管理

根据现场安全测评记录，针对 信息系统在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

(10）安全运维管理

根据现场安全测评记录，针对 信息系统在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。对运维管理方面与ITIL体系的融合适应性进行评估。

(11）人员安全能力提升

中标方应提供包含等保2.0、软件测试政策法规、信息安全政策法规、软件测试技术标准、信息安全技术标准、测试项目管理、性能测试技术、代码测试技术、商密测试技术在内的安全培训。

通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。

待整改完毕后，进行结果确认，完成网络安全等级保护测评，出具测评报告，并将测评报告报当地公安机关备案。

3、 成果交付

项目实施完成后，要求投标人提供包括但不限于交付物如下：

《信息系统网络安全等级保护测评方案》

《信息系统网络安全等级保护测评报告》

《信息系统网络安全整改加固报告》

项目相关的各项管理文档以及生成的阶段性报告或资料等过程文档。

4、 测评单位要求

投标人具有国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书。

5、 其他要求

(1)项目团队人员不少于5人，密码安全测评应遵循密码相关国家标准和行业标准，且密码安全测评人员应全部通过商用密码应用安全性评估人员测评能力考核认证。所有成员必须全程全职参与本次项目。项目成员不得随意变动，确需变动，必须提前征得采购人同意。

(2)工期要求：合同签订后30日内出具报告。

(3)项目实施过程中所收集、产生的所有与本项目相关文档、资料，包括文字、图片、表格、数字等各种形式所属权均归属甲方   ，成交供应商有义务对所涉及到的内容保密，并在签定合同时签署保密协议。

1宗

80000.00元