一、项目实施参照标准及依据.docVIP

一、项目实施参照标准及依据 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）； 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43号）。 《信息安全技术信息系统安全等级保护基本要求》（ GB/T22239-2008） 《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术信息系统安全等级保护实施指南》 《信息安全技术信息系统安全等级保护测评要求》 《信息安全技术信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术网络基础安全技术要求》（GB/T 20270-2006） 《信息安全技术操作系统安全技术要求》（GB/T 20272-2006） 《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术服务器技术要求》（GB/T 21028-2007） 《信息安全技术终端计算机系统安全等级技术要求》（GA/T 671-2006） 《信息安全技术信息系统安全管理要求》（GB/T20269-2006） 《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006） 二、项目内容 1.等保测评 主要对住房公积金管理信息系统和门户网站的信息安全等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，免费指导整改工作，最终完成等级保护测评报告，将测评报告报当地公安机关备案，并提供信息安全等级保护建设信息安全咨询、建议等技术服务工作。 此次本项目投标报价包含项目启动实施至出具等级保护测评报告及完成当地公安机关备案等项目结束期间产生的全部费用，招标方不再承担其他费用。 测评的内容包括但不限于以下内容： 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 （1）物理安全 根据日照市住房公积金管理中心信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。 （2）网络安全 根据日照市住房公积金管理中心信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。 （3）主机安全 主机安全现场测评包括对日照市住房公积金管理中心信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。 （4）应用安全 应用安全现场测评包括对日照市住房公积金管理中心信息系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。 （5）数据安全及备份恢复 日照市住房公积金管理中心信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。 （6）安全管理制度 根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。 （7）安全管理机构 根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。 （8）人员安全管理 根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。 （9）系统建设管理 根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实