SDGP2016-230项目说明-山东省政府采购中心.docVIP

A1包、等保测评及深度威胁检测与加固服务 一、供应商资格要求 1、符合《中华人民共和国政府采购法》第二十二条的规定。 2、供应商的资质要求：具有省级信息安全等级保护工作协调小组办公室颁发的信息安全等级保护测评机构推荐证书。 二、技术要求 一、等级保护测评服务 1.1项目背景 近年来，教育行业应用系统的重要程度使其成为攻击和威胁的主要目标，教育系统所面临的安全问题越来越复杂，安全威胁正在快速增长。黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、web应用安全漏洞利用等混合威胁的风险，极大地困扰着教育行业，给教育信息网络和核心数据造成严重的威胁。 为贯彻落实国家信息安全等级保护制度，进一步提高山东青年政治学院教育信息系统安全防护能力，保障学院信息化发展和重要网络设施、信息系统及数据安全，根据《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》（教技〔2015〕2号）要求，决定全面推进山东青年政治学院信息安全等级保护工作。 1.2实现目标 为保障学院相关信息系统安全畅通，应用系统高效运行，在线服务系统可靠有效，保障信息安全，通过本次测评达到以下目标。 1、通过测评查出系统存在的问题，按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》的要求，在技术与管理两方面查找出系统存在的安全隐患问题，提出安全等级保护差距分析报告及测评报告；遵循适度安全原则，综合考量成本与效益因素，提出信息系统安全等级保护整改方案，指导整改工作。 2、根据测评报告和整改方案系统地进行整改，整改工作是对信息系统完善的过程，通过建立整改方案和有效的整改工作使系统能够进一步完善，达到等级保护的要求。 3、建立健全有效的安全运行保障机制，通过测评，逐步建立山东青年政治学院的安全管理体系，形成一个多层次、多方面，涉及技术、管理、服务等多个领域的运行保障机制，提高保障学院重要信息系统安全高效运行的水平和能力。 1.2项目原则 　　测评和服务? 　　保密性原则：双方签订信息保密协议，要求服务提供商采取必要的控制措施避免用户信息的泄漏。 ? 规范性原则：服务提供商在项目实施过程中应按照国家标准规定的标准和流程进行测评，保证测评结果安全服务的有效、可靠。 适度安全原则：遵循适度安全原则，综合考量成本与效益因素，提出信息系统安全等级保护整改方案，指导整改工作。 ? 最小影响原则：信息系统安全测评过程需要对在线的主机、网络设备、数据库、信息系统等进行审计、扫描和调研，需要对有关员工进行抽样访谈，因此难免会影响到相关人员和系统的正常工作。服务提供商应采取必要措施减少实际影响，尽可能地保障评估工作不会影响到用户的日常工作和系统运行。 ? 整体性原则：服务提供商应从信息系统整体性考虑，避免对设备的孤立评估，避免出现偏颇的测评效果。 客观公正原则：服务提供商应在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。 ? 符合性原则：测评所产生的结果是在对测评指标的正确理解下所取得的良好的判断。服务提供商在测评实施过程中应当使用正确的方法以确保其满足了测评指标的要求。 1.3项目实施参照标准及依据 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 《信息安全等级保护管理办法》（公通字 [2007]43号） 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008） 《教育行业信息系统安全等级保护定级工作指南（试行）》 《信息安全技术 信息系统安全等级保护实施指南》 《信息安全技术 信息系统安全等级保护测评要求》 《信息安全技术 信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息技术 安全技术 信息技术 安全性评估准则》(GB/T 18336-2001) 1.4项目范围与内容 重点完成以下工作内容： 定级备案 协助梳理山东青年政治学院重要信息系统现状，编写《定级报告》，并协助填写《定级备案表》，完成信息系统的定级备案工作。 拟测评的二级信息系统信息如下： 序号 分类 信息系统 业务描述 01校务管理类 OA系统 公文流转及日常办公内部信息发布 02教学科研类 教学管理平台 教务教学相关管理工作 04综合服务类 门户网站系统 官方信息发布教务公开政策咨询和社会服务 邮件系统 电子邮件发送接收查询 一卡通系统 饭卡学生证工作证医疗卡上机卡考勤卡门禁卡等应用项目的统一认证管理服务等 参考教育部《信息系统安全等级保护定级备案情况表》 等级测评