信息系统安全等级保护-中国国际招标网.DOC

农民日报社信息系统安全等级保护 整改方案设计及测评项目需求 项目介绍 根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护安全建设整改工作的指导意见》等文件的要求，现需对我报社“中国农业新闻网”网站系统按照等保三级的要求进行安全评估、整改方案设计和测评。 项目需求 方案设计原则 安全性：方案设计要达到信息系统安全等级保护三级的要求； 开放性：系统符合开放性设计原则，具备优良的可扩展性、可升级性，可以支持开放系统平台，运行于现有的技术标准之上； 兼容性：与现有系统需要完全兼容，构成一个整体； 稳定性：要保证系统运行的稳定性，使系统运行风险降至最低； 可管理性：可以对系统进行管理和监控； 经济性：在满足所有需求的前提下，选择最合适的设备及软件，使系统具有较好的性价比。 总体需求和目标 投标方聘请《国家信息安全等级保护工作协调小组办公室推荐测评机构名单》中的第三方专业测评机构对我报社“中国农业新闻网”网站系统进行安全评估、差距分析、测评并出具测评报告，由投标方设计本系统的整改方案，确保本系统在整改实施后，符合《信息系统安全等级保护基本要求》三级的技术要求和管理要求。 投标方必须承诺按整改方案完成系统整改实施后，项目单位“中国农业新闻网”网站系统能通过第三方专业测评机构的安全等级保护测评，达到基本符合（含）等保三级以上的结论，并通过国家相关主管部门的审核。 对投标方的要求 投标方须根据现有的系统环境对系统等级保护安全整改从技术和管理两方面提供详尽的解决方案。对于技术方案中所提供设备的性能参数要有明确介绍，产品的部署方案和配置策略要有明确的说明，要达到可招标、可实施的标准；管理方案中要明确需要制定和完善的制度和流程，以及这些制度和流程应包含的内容。 投标方在整改方案设计时应整体全面、综合考虑各种因素，不能出现因选型不当或未考虑的因素而出现安全隐患及其他问题。 (3) 测评机构要求： （一）需具有中华人民共和国事业单位法人证书，开办资金不少于500万元； （二）需具有资质如下： 公安部能力评估合格证书 北京市等级测评机构推荐证书 CMA国家计量认证证书 CAL国家监督审查认可授权证书 CNAS检查机构认可证书 CNAS实验室认可证书 （三）具有近二年（2010年至今）承担过二个（含）以上国家或部委级的等级保护测评工作 （四）具有近二年（2010年至今）承担过二个（含）以上国内知名网站（互联网）的等级保护测评工作 招标内容 投标方需根据国家信息安全等级保护相关政策，按照信息安全等级保护三级的要求，完成我报社“中国农业新闻网”网站系统第三方测评、差距分析、整改方案设计、项目监理等工作。 等保测评 （1）投标方聘请《国家信息安全等级保护工作协调小组办公室推荐测评机构名单》中的第三方专业测评机构根据《信息系统安全等级保护测评要求》以及《信息系统安全等级保护测评过程指南》等要求对我报社“中国农业新闻网”网站系统进行调研和评估，出具差距分析报告；在用户完成整改实施后，进行信息安全等级保护三级测评，出具国家相关主管部门认可的测评报告，测评结论为基本符合（含）以上。 （2）投标方应参与调研和评估，配合系统测评、分析差距，确定系统安全需求，做出合理的等级保护安全规划并设计详细的系统整改方案。 整改方案设计 （1）在本阶段，系统等级保护建设与实施方案设计作为系统安全建设和改造的前提和依据，应明确设计目标，结合甲方实际情况，满足业务系统的安全需求，突出保护重点，合理规划，形成整体的安全防护体系。方案设计应遵照国家信息安全等级保护工作的法律法规，遵循相关的国家标准规范。 （2）投标方根据信息系统安全等级保护基本要求和第三方专业测评机构出具的差距分析报告、结合系统实际情况并遵循本项目规定的方案设计原则，进行整改方案详细设计，包括安全技术体系和安全管理体系两部分： 技术方案包括物理、主机、网络、应用、数据等方面的安全整改，如需增加设备，则要在方案中详细列出设备的性能参数、配置指标及数量等；方案中还需详细说明系统和产品的部署方案和配置策略，均要达到可招标、可实施的要求； 管理方案包括管理机构、人员、管理制度、系统建设管理、运维管理等方面的安全整改，要明确管理机构和人员角色、明确需要制定和完善的规章制度和流程，以及这些机构、制度和流程应包括的内容。 （3）系统的整改方案要统一考虑、分别设计，对于系统间的衔接部分要有明确的划分界限。 （4）详细整改方案必须按优于安全等级保护测评中基本符合等保三级的最低标准设计（技术类和管理类均优于）。 （5）投标方设计的整改方案需得到用户及相关系统开发方和集成方的认可。 （6）投标方需组织专家对整改方案进行论证，确保方案切实可行，保证按此方案招标和实施可以使系统达到等保三级的要求。参加论证的专家要包括《国家信息安全等级保