标书-长沙市疾病预防控制中心.docVIP

长沙市疾病预防控制中心 信息安全等级保护测评项目采购需求 一、项目概述 本次信息安全等保测评的目标主要包括： 1.等级保护符合性情况摸底 落实等级保护制度，对中心信息系统等级保护符合性情况进行摸底，找出与等级保护要求之间的差距与不足。 2.全面识别业务系统漏洞 开展风险评估工作，对重要互联网应用系统及内部网络系统安全漏洞作出准确定位，并协助漏洞修复整改。 3.确定当前网络安全建设水平 通过对安全管理和技术措施的全面测评，确定当前网络安全建设水平。 4.为建立完整的进一步完善信息安全体系提供输入 按照市公安局和市卫计委要求，通过等级保护测评，找出当前系统的安全隐患及差距，制定后续安全等级保护建设整改方案。 二、项目范围 对中心门户网站、体检管理信息系统、职业卫生信息平台（二级）进行信息系统安全等级保护测评。 三、项目清单 1.采购清单 序号 名称 内容描述 数量 1 等级保护测评(二级) 根据国家和卫计行业的相关标准要求，对本中心指定的3个信息系统进行等级保护测评工作(二级)，并提供3个系统的等保测评报告、整改建议书。 1次 2 渗透测试 进行全网风险评估，对外发布的重要应用系统，模拟黑客入侵的方法组织渗透团队进行渗透测试，以完成全面风险核查工作。 1次 3 信息安全培训 根据中心信息安全的实际情况和需求，开展1次信息安全培训，培训内容主要包括网络安全法，信息安全等级保护和信息安全技术等。 1次 4 信息安全等级保护测评 协助通过3个系统二级等保测评，在市公安局和市卫计委完成备案。 1次 5 应急响应支撑 协助处理单位内部网络安全事件，对网络攻击、病毒、木马等进行分析查处。 1年 2.测评内容 （1）物理安全评估 根据要求对机房内物理环境及设施进行评估，根据评估结果对需调整的控制点和需采购的安全设备提出合理化建议。 （2）网络安全评估 网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。 （3）主机系统安全 主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的主机和服务器（操作系统、数据库管理系统）安全保障情况。 （4）应用系统安全 应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。 （5）数据安全及备份恢复 数据安全及备份恢复测评将通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。 （6）安全管理制度 安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其他人员、各类管理制度、各类操作规程文件等对象。 按照《信息安全等级保护管理办法》要求，对信息系统进行等级保护测评后，出具公安部门认可的信息安全等级测评报告，并协助填写定级报告和备案表，在市公安局和市卫计委完成备案。 3.整改服务 针对前期测评情况，对中心的物理安全、网络安全、主机系统安全、数据安全、管理制度等查找出与国家信息安全等级保护标准之间的差距，客观反映现有安全状况、当前存在的不足和可能的风险，提出整改措施建议，协助建立完善信息安全管理制度，最终完成并提交等级保护整改建议书。 4.渗透测试 对中心对外发布重要应用系统，模拟黑客入侵的方式进行渗透测试，并提供相应的渗透测试报告。 5.信息安全培训 根据中心信息安全的实际情况和需求，开展至少1次信息安全培训，培训内容主要包括网络安全法、信息安全等级保护、安全巡检、网站安全、操作系统、数据库、WEB应用等的安全加固培训等内容，并提及《信息安全培训方案》信息安全培训方案》、《信息安全培训课件》。 6.应急响应支撑 合同签订2年时间内，中心内部如发生网络安全事件，中标人需安排专业信息安全技术人员协助处理，对网络攻击、病毒、木马等进行分析查处，尽快恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的负面影响。 四、资质要求 投标人是《全国信息安全等级保护测评机构推荐目录》中的服务单位，并提供网上（）查询的证明材料。 五、结算方式 付款人：长沙市疾病预防控制中心。 付款方式：本项目采用总价包干的形式，中标金额以外不再另行支付费用。合同签订10个工作日凭发票预付总额的30%。完成3个信息系统测评定级备案，相关材料验收合格后，按中标金额拨付合同总额的70%。相关款项均在收到发票后通过国库集中支付以转账的方式据实结算，不采用现金结算。