附件：芜湖市卫生计生委信息系统安全等级测评采购需求.docx.docxVIP

PAGE7 / NUMPAGES8 芜湖市卫生计生委信息系统安全等级测评采购需求 一、项目概述 为贯彻落实国家信息安全等级保护制度，根据公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）的要求，以国家等级保护相关标准《信息安全等级保护基本要求》（GB/T 22239-2008）、《信息安全等级保护定级指南》（GB/T 22240-2008）为基础，进一步提高芜湖市卫计委整体信息安全防护水平，明确信息系统的安全保护水平与国家信息安全等级保护相关要求之间的差距以及系统存在的安全隐患，需对芜湖市卫计委重要信息系统实施等级保护测评工作，以便为后续的安全建设和整改工作提供建议和决策依据，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力，为芜湖市卫计委信息化健康发展提供可靠保障。 二、项目要求及系统情况 1.要求投标单位为信息系统进行前期分析评估和优化加固服务以及后期巡检、测试、等级测评等服务内容。服务总体的目的是通过专业技术服务团队分步、有序、扎实、全面的对芜湖市卫计委信息系统进行深入的分析评估，理清各种基础数据和运行情况，发现各种问题和隐患，在此基础上提供针对性的整改建议，配合芜湖市卫计委信息系统提供后期运行全过程支持服务。 2.后期按照国家信息安全等级保护制度的要求，为芜湖市卫计委在推进信息安全等级保护工作过程中监督、检查、指导等提供专业技术支持，并提供相关技术咨询服务、信息安全技术培训、信息系统（网络）安全性测评、信息系统安全方案咨询和评审等。 3.根据中华人民共和国国家标准《GB/T 22239 信息安全等级保护基本要求》 、《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》以及有关文件要求，将对以下信息系统等级保护测评项目进行公开招标。 序号 系统名称 等级 备注 1 区域卫生信息平台 三级 等级保护测评服务 2 门户网站 贰级 等级保护测评服务 三、测评要求 依据国家相关文件、标准、系统安全保护等级和《信息系统安全等级保护测评要求》对被测系统进行等级保护测评。 1. 等级保护测评内容 等级保护测评内容主要包括以下几个方面： （1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。 （2）安全管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 （3）形成差距分析报告：依据测评结果和《信息系统安全等级保护基本要求》（GB /T 22239-2008），对各信息系统进行安全现状分析，形成相应的差距分析报告。 （4）编制系统安全整改方案：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，结合差距分析结果，编制针对各信息系统的安全整改建设方案。 （5）编制和完善安全管理制度：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，协助建设方制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。 （6）等级保护安全培训：为采购方提供不少于2次的信息安全技术培训，确保技术人员了解、掌握关于信息系统等级保护相关规定，信息安全策略、信息保密制度，授权使用系统流程，信息安全管理制度和相关流程等。为采购方开展全方位信息安全业务培训，全面提升信息化人才队伍的安全意识和专业技能水平。 （7）编制等级测评报告：完成上述测评工作和建设方实施整改后，出具符合公安机关要求的（年度）信息系统安全保护等级测评报告。 2.其他要求 （1）工期要求 自合同双方约定开工之日起30日内出具测评报告. （2）报价要求 报价应包含完成该项目所发生的一切费，包括现场调查考察费、基础资料收集费、方案咨询人员差旅费，税金、保险、交通费、通信费、办公费、人员生活费等各项费用。采购人将不予支付投标人没有列入的项目费用，并认为此项目的费用已包括在投标报价中。 四、测评服务成果验证 投标方技术文件中须清晰陈述其在项目各阶段拟实现的项目成果的构成和形式、项目成果验证方法、项目成果的呈报及验收程序与活动的组织方式等。包含但不限于以下成果： 序号 工作阶段 项目成果 构成和形式 项目成果验证 1 测试准备 等级测评项目启动 应包含测试的进度安排、人力资源计划、质量保证、风险管理、沟通管理等内容。 2 信息收集与分析 应完成信息收集与分析，形成相关文件。 3 工具和表单准备 涉及表单应包含：单位基本情况、参与人员名单、物理环境情况、信息系统基本情况、信息系统承载业务（服务）情况、信息系统网络结构（环境）情况、外联线路及设备端口（网络边界）情况、网络设备情况、安全设备情况、服务器设备情况、终端设备情况、系统软件情况、应用系统软件情况、