上海海事大学信系统等级保护安全服务项目服务需求.docVIP

上海海事大学信息系统等级保护安全服务项目服务需求 概述 随着上海海事大学智慧校园的建设发展，本校已建成了覆盖教学科研管理与服务的多个重要业务信息系统，包括教务管理系统、校园一卡通系统、网站群平台、财务系统、校园信息门户系统、统一身份认证系统等。这些信息系统在日常教学管理服务活动中发挥着重要作用。根据教育部、市教委在信息系统安全方面的工作指导与要求，参照国家信息系统安全等级保护基本要求，我校计划对学校部分重要信息系统进行信息系统的安全等级保护。对相关系统实施定级备案、差距分析、建设整改，并通过国家相关等级保护测评机构的测评。通过本项目建立与完善我校的信息安全保障体系，提高校园信息化的管理与服务水平。 服务范围 完成两个信息系统的定级、上报、备案； 完成两个信息系统的等保评估（风险评估，差距报告）与完成详细的整改方案； 完成两个信息系统的系统安全加固与整改建设； 完成信息系统的等保测评准备，并负责通过国家等保测评机构的信息系统等级保护二级的测评。 提供后续安全运维方案。 服务需求及相关要求 1、完成两个信息系统的定级、备案 两个系统包括：上海海事大学门户网站（含学校各学院、部门等，以 HYPERLINK 及其子站点的实际内容为准）、教务管理系统。 系统定级 信息系统定级工作是进行信息系统备案、建设、整改、测评、监督检查等后续工作的重要基础。根据我校信息系统的业务信息安全和系统服务安全的实际情况为学校各业务系统定级工作，包括： 完成学校主要信息系统的调研与资料收集与整理分析工作。 针对定级对象，根据GBT22240-2008.信息系统安全保护等级定级指南、教育部《教技厅函[2014]74号-教育行业信息系统安全等级保护定级工作指南》、定级方法等，确定学校重要信息系统的安全保护等级，起草并完成最终的《定级报告》。 配合学校完成相关市教委系统上报的资料撰写、整理工作。 系统备案 根据《信息系统安全等级保护定级指南》对学校重要业务系统进行定级，准备定级备案资料，完成向公安机关备案。 完成备案表，进行专家评审和审批。 向上海市公安局网安办进行备案。 进行定级工作总结。 2、完成两个典型信息系统的等保评估与整改方案 完成两个典型信息系统的预评估，进行等级保护差异分析风险评估，完成整改方案，具体工作包括： 2 HYPERLINK \l _Toc430701100 .1 等级保护差异分析评估 信息安全等级保护整改差距分析是开展等级保护整改工作的前提和依据，将行业等级保护整改的各项要求与学校信息安全管理现状进行比较分析，从管理和技术两个层面找出存在的问题。等保整改差异分析主要是以《信息系统安全等级保护评估指南》和《信息系统安全等级保护基本要求》为指导，首先要求进行安全现状调研和风险评估，根据风险评估的结果与等级保护基本要求进行差距分析，为等保整改方案提供依据和指导。 承建服务商须根据等保要求，对系统进行全面预评测检查，使用等保工具及相关安全软硬件设备对系统安全进行扫描，进行风险评估，并在此基础上形成分析报告。 2 HYPERLINK \l _Toc430701100 .2 等级保护整改方案 信息安全等级保护整改方案是在梳理差距分析的基础上，形成信息安全等级保护整改方案。方案要求包括两个方面，一是安全技术整改，主要通过信息安全产品的集中部署和安全技术的综合运用，解决技术层面存在的问题，提高信息安全防护（技术）水平；二是安全管理整改，主要从安全管理制度、机构、人员、系统建设和系统运维5个方面，提出针对性的管理目标和解决办法。 3、 等级保护整改建设实施 在前期确认整改实施方案的基础上，完成两个信息系统的等保整改建设工作。并根据国家评测标准进行提交前的内部预测评。两个系统为：上海海事大学门户网站（含部门、学院等子站点）、教务管理系统。 进行系统整改安全加固建设，安全加固工作完成包含但不限于物理层面、网络设备层面、主机系统层面以及应用层面的配置加固，补丁更新等。部分涉及需要开发公司修改调整代码的加固工作须书面给出明确的问题现象及原因、测试手段及测试参数、整改要求与检查方式，并监督检查整改情况。上海海事大学不为项目实施和评测增加硬件及服务费用。 完成等级保护信息安全管理体系建设，信息安全管理体系建设是安全管理整改工作的具体落地，是以体系化的思想系统思考安全管理问题，明确信息安全管理的方针、目标和对象。结合等级保护的要求，在信息安全管理标准框架下，通过制订各项信息安全管理制度，制定信息安全管理技术规范，加强信息安全日常管理工作，提高信息安全基础管理水平，实现体系化、制度化、流程化和痕迹化的管理思想。承建服务商须根据等保要求，以等保制度框架为指导，结合我校特点制定信息安全的管理制度体系。完成相关文档的编写、修订以及编目等工作。 根据国家评测标准进行提交前的