江门职业技术学院信息系统安全等级保护测评服务项目采购需.docVIP

江门职业技术学院信息系统安全等级保护测评服务项目采购需求书（服务类） 一、采购内容及采购项目概述 本项目采购预算金额为最高限额人民币8万元。该预算为服务的全包价，超出本预算的供应文件将被拒绝。 1.1项目背景 江门职业技术学院现有各类重要的行政、功能性信息系统，在启用前很多都未做足够的技术和管理上的安全保障工作，致使系统或多或少都存在不少缺陷和漏洞，这些都给信息系统安全带来极大隐患。如近年来教育行业发生的几起信息系统安全事故，给广大师生的利益带来损害。分析这些事件背后的原因，无外乎信息安全的因素，主要反映在这两方面，一是安全技术：包括软件自身问题，数据安全，入侵防范，身份鉴别等；二是安全管理：管理制度，人员配备与管理，外部人员的访问等。这两项特征指标在信息安全等级保护管理中都有明确的要求与规范，为达到了信息安全等级保护的要求，以及为配合贯彻教育部、省教育厅以及等级保护主管部门广东省公安厅关于教育系统信息系统安全等级保护工作的要求，规范教育单位信息系统安全等级保护管理，切实提高江门职业技术学院网络与信息安全防护与管控能力，保障和促进江门职业技术学院教育信息化建设，开展等级保护工作是当务之急。 依据《广东省教育厅转发教育部关于加强教育行业网络与信息安全工作指导意见的通知》（粤教信息函[2014]33号）、《教育部办公厅关于印发教育行业信息系统安全等级保护定级工作指南（试行）》（教技厅函[2014]74号）和《信息安全等级保护管理办法》（公通字[2007]43号）、《广东省教育行业信息系统安全等级保护工作方案》（粤教信息函[2015]12号）、《广东省教育信息系统安全等级保护工作指南》（上下册）以及广东省公安厅、广东省教育厅联合签发的《关于印发全省高校网络安全保护工作电视电话会议工作任务书的通知》（粤公通字[2015]123号）等文件的具体要求和标准，江门职业技术学院拟委托具备信息安全等级保护测评资质，且熟悉教育行业的第三方测评机构对校内2个信息系统开展信息安全等级保护差距测评及验收测评服务。 1.2项目目标 　　等级保护工作的目的是建立健全我方信息安全等级保护机制，对已有已建信息系统作安全状况测试，找出差距并进行安全整改与验收，使我方信息系统信息安全在技术和管理上达到等级保护的要求，进一步提升信息安全工作水平。本项目针对门户网站和教务管理系统的等级保护相关工作，应做到以下工作内容： 1、在学校完成2个信息系统自主定级后，协助聘请有关信息安全等级保护自定级专家对信息系统自主定级情况进行评审，并且负责整理评审意见，形成评审意见表； 2、在完成2个信息系统自定级专家评审后，协助送《教育信息系统定级专家评审意见表》到主管部门审批，审批完广东省教育厅印发《广东省教育厅关于信息系统安全等级保护定级备案审核意见的复函》； 3、开展差距测评服务，并根据测评的内容和结果出具相应的等级保护差距测评报告及安全整改建议书； 4、在我校学校完成2个信息系统安全整改后，开展验收测评服务，并根据测评的内容和结果出具相应的等级保护测评验收报告并协助甲方提交报告至公安机关备案审核； 5、提供4名网站信息安全管理员培训，提高管理人员的技术水平和安全意识，培训后取得广东省网络空间安全协会颁发的《网站信息安全管理员证书》和省人力资源和社会保障厅颁发的《专业技术人员继续教育学时证明》。 二、采购项目明细表： 序号 名称 详细技术参数 数量 单价 总价 参考品牌 1 门户网站系统信息安全等级保护测评 完成差距测评、验收测评 1 36000 36000 2 教务管理系统信息安全等级保护测评 定级备案协助、差距测评与验收测评 1 36000 36000 3 专家评审 聘请三个专家为学校需要测评的系统做评审 1 1500 1500 4 主管部门审批协助 协助学校完成主管部门审批工作 1 500 500 5 网站信息安全管理员培训 提供5名网站信息安全管理员培训 4 1500 6000 合计 80000 三、技术要求： 3.1项目测评内容要求 为了保证我方的信息系统能够成功通过公安机关的备案与检查，差距测评应与验收测评采用完全一致的国家信息安全等级保护测评相关标准。具体测评内容要求如下： 信息系统安全等级保护测评应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理