技术要求山东公共资源交易中心.doc

A1包、信息系统等级保护 一、供应商资格要求 1、符合《中华人民共和国政府采购法》第二十二条的规定。 2、供应商的资质要求：(1)具有省级及以上信息系统安全等级工作协调小组办公室颁发的《信息安全等级保护测评机构推荐证书》 二、技术要求 采购内容及技术要求 网络安全等级保护测评服务，共四个系统。 序号 需要测评的系统 等级 1 一卡通系统 二级 2 内部管理系统 二级 3 财务管理系统 二级 4 校务管理系统 二级 服务内容 按照国家和教育部网络安全等级保护定级指南和相关要求，对山东职业学院四套信息系统，进行网络安全等级保护现状测评和信息安全风险评估，并出具信息系统安全等级测评报告和信息安全风险评估报告。 协助采购人备案定级，并取得网监部门的备案证书。 对山东职业学院网站群系统进行全面深入的非破坏性渗透测试，按照相关要求出具渗透测试报告。 根据等级测评、风险评估、渗透测试的结果，出具《风险控制和安全加固整改建议书》，制订详细的安全整改实施计划，对必须新增安全软硬件产品才能解决相关安全问题，提出详细的风险规避措施和实施建议。 按照采购人要求提供信息安全意识、网络安全等级保护等相关信息安全方面的培训。 每半年对采购人本次采购系统开展安全巡检，出具巡检报告，双方签字，报告采购人留存。 服务要求 等保测评的内容包括但不限于： 编制《信息系统安全等级测评方案》，测评方案是指导整个测评活动的基础技术文档，其内容大致包括：项目概述、被测信息系统情况、测评对象、测评方法与工具、测评内容与实施、漏洞扫描、配合资源要求等。 等级测评主要分为单元测评和整体测评，其中单元测评应从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评《信息系统安全等级保护基本要求》（GB/T 22239-2008）所要求的基本安全控制在信息系统中的实施配置情况。等级测评的广度和深度应符合省公安厅《山东省信息安全等级保护测评工作规范（试行)》要求。 测评工作流程 测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备等。 方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制等。 现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还等。 报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制，最终出具符合公安网监部门符合要求的信息安全等级测评报告等。 五.测评内容 1. ★安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全及备份恢复测评等五个方面。 2. 安全管理制度测评：测评信息系统运营使用单位是否建立一套完整的信息安全管理体系，防止员工的不安全行为引入风险。测评内容包括信息安全总体政策方针、具体管理制度和各类操作规程。 3. 按照《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的要求，结合被测信息系统的状况和各信息系统安全保护等级的相应等级指标，进行等级保护安全现状分析，并出具《系统等保测评报告》。 4. 风险评估服务 从风险管理角度，运用科学的方法和手段为4套信息系统提供信息安全风险评估服务，服务内容包括： 在评估标准的指导下，综合利用相关评估技术、评估方法、评估工具，针对信息系统展开全方位的评估工作。对信息系统进行风险评估，确保风险分析的内容与范围应该覆盖信息系统的整个体系，包括：系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。 渗透测试服务 由中标人模仿黑客，从攻击者的角度对学校网站群系统进行安全检测。检测过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，站在攻击者角度进行主动性探测，要求中标人能够发现使用传统检测方法无法发现的攻击路径、攻击方法和技术弱点。渗透测试能以非常明显、直观的结果来反映出网站系统的安全现状，能够让采购人直观地知道学校网站系统所面临的问题。 安全方案设计与安全建设整改 针对安全需求分析阶段发现的问题，提出削减风险的技术与管理的安全建议与措施，设计合理、满足等级保护相应级别要求的安全建设整改与加固方案，并通过安全产品的采购、安全控制集成、安全管理制度的建设等环节，将安全方针和安全策略具体落实到信息系统中去，建设满足等级保护要求和用户安全需求的信息系统安全技术保护体系以及配套的安全管理体系，提交《风险控制和安全加固整改建议书》。 交付物（含电子版） 项目实施完成后，要求投标人提供包括但不限于交付物如下： 《信息系统信息安全等级保护测评报告》（4套系统）； 《信息安全风险评估报告》（4套系