关于等级保护测评招标的项目技术要求-自贡第三人民医院.DOCVIP

自贡市第三人民医院 关于网络安全等级保护测评招标的项目技术要求 1 总则 1.1. 本技术要求是招标人对信息系统进行等级保护测评服务的主要技术服务要求，供服务提供人编写报价文件之用。 1.2. 本技术要求所提出的各项要求，是本次信息系统安全等级保护测评服务依据，服务提供人应根据本文件中的相关说明和要求，提供测评方案和报价。 1.3. 服务提供人在测评方案书中，对能提供的信息系统安全等级保护测评进行详细说明，可根据具体情况在项目方案中提出建议，并附详细资料和说明。 1.4. 服务提供人应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权，并对所涉及的专利、知识产权等法律条款承担义务，招标人以上问题不承担任何法律责任。 1.5. 若服务提供人的设备和系统包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料。 1.6. 招标人在任何时候保留对本文件的解释和修改权，招标人有权在签定合同前，根据需要修改和补充本技术条款，修改补充后的最终规范书将作为合同的附件。 2 项目概述 为了更好的保障信息系统的安全，按照《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求，本院就信息系统开展等级保护测评。 3 技术服务总体要求 1.3.1.服务提供人应满足下面的资格条件： （1）法人地位：服务提供人必须是一个依据中华人民共和国有关法律设立，并在中华人民共和国境内正式注册，具有独立法人地位的企业。服务提供人应提供有效的营业执照副本（复印件加盖公章，原件备查）。 （2）服务提供人资质：具备省级公安机关颁发的信息系统安全等级保护测评推荐证书。 （3）人员要求：服务提供人拥有至少1名高级测评师，2名中级测评师，4名初级测评师；执行本项目实施服务的主要人员必须具备从事等级保护测评工作资格，具有参加等级保护测评服务项目的经验。 （4）服务提供人实施能力要求：服务提供人应具有针对本项目要求的技术手段。 （5）服务提供人应仔细阅读本招标文件，严格按照本招标文件的内容和要求编制应答文件，并承担应答文件编制和递交过程中的一切费用和风险。 （6）服务提供人必须承诺对从招标活动中获得的招标人相关资料承担保密责任。 1.3.2. 参考标准要求 服务提供人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：  GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求  GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南  GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南  GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南  GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求  GB/T 20984-2007 信息安全技术 信息安全风险评估规范  GB/T 18336.1-2008信息技术 安全技术 信息技术安全性评估准则 1.3.3. 测评应满足的原则 本次信息系统安全等级保护测评服务方案设计，以及具体实施内容应满足以下原则： （1） 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究服务提供人的责任。 （2） 标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。 （3） 规范性原则：服务提供人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。 （4） 可控性原则：等保测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。 （5） 整体性原则：等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 （6） 最小影响原则：等保测评服务工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。服务提供人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。 1.3.4. 本次安全等级保护测评的整体要求 （1） 服务提供人应详细描述本次项目整体实施方案，包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。 （2） 服务提供人应详细描述服务人员的组成、资质及各自职责的划分。服务提供人应配置有经验的测评人员进行本次等级保护测评工作。 （3） 本次服务项目实施过程中所使用到的各种工具软件由服务提供人推荐，经招标人确认后由服务提供人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。 （4）