宁波广播电视大学信息系统安全等级保护测评标书.docVIP

宁波广播电视大学信息系统安全等级保护测评标书 一、项目名称：信息系统安全等级保护测评 二、测评系统名称及要求 序号 测评系统名称 测评等级 1 门户网站信息系统 二级 2 基础网络平台 二级 3 教务管理系统 二级 1、根据国家等级保护相关标准，投标人对以上的测评系统完成定级、备案、测评、协助整改、报备等工作； 2、对上述测评系统不符合信息安全等级保护有关管理规范和技术标准的，提出可行性整改方案并协助整改，在整改完成后对整改项进行再次测评； 3、测评后经招标人单位确认出具符合宁波市公安局要求的系统安全保护等级测评报告，并且确保最终取得信息安全主管部门出具的备案证书。 三、相关测评工作招标要求 序号 招标要求 投标响应 一、测评服务依据 投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： 1.1 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 1.2 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 1.3 GBT 25058-2010 信息安全技术信息系统安全等级保护实施指南 1.4 信息系统安全等级保护测评准则（送审稿） 二、测评服务内容 针对门户网站信息系统、基础网络平台、教务管理系统开展以下服务活动： *2.1 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。 *2.2 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。 *2.3 本次服务需求至少包含两次测评，第一次测评为被测评系统的首次测评，针对被测评系统存在的问题，出具测评报告，为招标人进行系统整改提供依据；第二次测评为招标人完成建设整改后，对被测评系统进行再次符合性测评，直至招标人委托测评系统达到信息安全等级保护相应级别要求。 *2.4 出具符合宁波市公安局要求的系统安全保护等级测评报告，并且确保最终取得信息安全主管部门出具的备案证书。 三、测评原则 本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则： *3.1 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。 3.2 标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。 3.3 规范性原则：测评工作过程中的文档，具有良好的规范性，便于项目的跟踪和控制。 3.4 可控性原则：测评服务的进度要严格进度表的安排。 3.5 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 3.6 最小影响原则：测评工作对系统和网络的影响必须在可控范围内，测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。 四、测评要求 *4.1 投标人应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。 4.2 投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。 4.3 本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在测评中使用。在报价文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。 4.4 安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标人推荐，经招标人确认后由投标人提供并在测评中使用。 4.5 安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。 五、其它要求 5.1 投标人提供的所有服务，其质量、技术等特征必须符合国家、行业现行的标准及用户需求。 5.2 投标人在宁波设有机构、办事处等常驻机构，具备应急响应及到现场服务能力（提供有效的工商营业执照副本或者相关部门证明文件备查）。 *5.3 招标人有权拒绝接受任何不合格的服务，由此产生的费用及相关后果均由投标人自行承担。 5.4 投标人不得将本次采购合同进行分包。 *5.5 投标人必须为浙江省信息安全等级保护工作协调小组《关于推荐201年我省信息安全等级保护机构的通知》（浙等保[201]1号）所推荐的浙江省信息安全等级保护测评机构