信息系统安全等级保护测评服务项目招标文件.DOC

PAGE \* MERGEFORMAT PAGE \* MERGEFORMAT 1 国家中药品种保护审评委员会信息系统安全等级保护测评服务项目招标文件 项目概述 国家中药品种保护审评委员会现有国家中药品种保护审评委员会业务审评系统（包括保健食品注册管理系统、中药保护审评审批系统、化妆品注册管理系统等三个子系统）和国家中药品种保护审评委员会门户网站等相关信息系统，依据国家信息系统定级要求、经过专家评审及上级部门审批定为等级保护三级信息系统。随着系统逐年的升级以及业务模块的不断增加，系统情况显得更加复杂，随之也带来了更大的安全风险和隐患。鉴于此，上述信息系统将依据国家信息安全等级保护政策法规、相关标准，从业务系统的重要程度和应用特点入手，由具有等级保护测评资质、CNAS实验室与检查机构资质的第三方测评机构全面、准确的确定信息系统的基本安全需求和特殊安全需求，从而准确定位系统面临的安全风险，为信息系统“量身定制”设计出适用的安全建设整改咨询方案，以保证系统满足相应等级的安全要求。 项目建设的目标和要求 本项目应按照国家规定的信息安全的相关条文以及国家中药品种保护审评委员会的社会影响和行业特点、国际与国内信息安全标准等相关文件和办法的要求及其相关配套标准予以实施。项目实施参照依据： 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 《中华人民共和国计算机信息系统安全保护条例》（国务院147号令） 《信息安全等级保护管理办法》（公通字[2007]43号） 《关于印发信息系统安全等级测评报告模板（试行）的通知》（公信安[2009]1487号） 《GB 17859-1999 计算机信息系统安全保护等级划分准则》 《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB/T 18336-2008 信息技术 安全技术 信息技术安全性评估准则》 《GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则》 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》 《GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求》 《GB/T 28449-2012信息安全技术 信息系统安全等级保护测评过程指南》 其它国家信息安全相关标准 项目实施范围要求： 本项目主要对国家中药品种保护审评委员会重要信息系统进行信息安全等级保护差距分析（预评估）与风险评估、信息系统安全建设整改方案设计、指导用户完成信息系统安全整改建设工作并提供信息系统安全等级测评服务，协助用户完成信息系统安全等级保护其他相关工作。 工作范围 详细技术需求 一是，对国家中药品种保护审评委员会已备案的信息系统开展差距分析服务（预评估）与风险评估服务：依据《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》（以下简称“基本要求”）、《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》（以下简称“风险评估规范”）及国家相关信息安全标准和规范，对上述信息系统开展差距分析和风险评估工作，为下一步安全技术整改建设和安全管理整改建设提供依据。出具《差距分析报告》、《信息系统安全风险评估报告》（具有风险评估资质机构出具）和《信息系统安全整改建议咨询建议书》； 二是，信息系统安全等级保护整改建设咨询服务：从信息安全技术和信息安全管理两大方面，为国家中药品种保护审评委员会信息系统提供信息安全整改咨询服务，整改咨询服务是针对风险评估和差距分析中发现的风险及隐患的高低进行综合分析，提出削减风险的整改建议与措施，制定《信息系统安全建设整改设计方案》，指导国家中药品种保护审评委员会进行信息系统安全整改与加固工作。 三是，信息系统安全等级测评服务：依据信息安全等级保护基本要求对国家中药品种保护审评委员会的重要信息系统从物理安全、网络安全、主机安全、应用安全、数据安全以及管理制度等几方面进行信息安全等级保护测评，确保本次国家中药品种保护审评委员会安全等级保护建设工作，从业务信息安全和系统服务连续性等方面符合信息系统安全等级保护要求。 交付成果 交付具有评估测评资质效力的方案报告，主要包括： 《信息系统安全等级保护差距分析实施方案》 《信息系统安全风险评估实施方案》 《信息系统安全等级保护差距分析报告》 《信息系统安全风险评估报告》 《信息系统安全等级保护测评方案》 《信息系统安全整改建议咨询建议书》 《信息系统安全建设整改设计方案》 《信息系统安全等级保护测评报告》 项目管理需求 测评机构须根据国家中药品种保护审评委员会的地位、性质及采购要求，设计项目管理方案，组织精干的项目组队伍