西南大学信息系统网络安全等级测评课件.docVIP

精品 西南大学信息系统网络安全等级测评 招标文件 采购项目编号： 采 购 机 构：西南大学 采购组织机构：西南大学信息中心 二○一八年十二月 第一部分 招标公告 根据《中华人民共和国政府采购法》和《西南大学采购与招投标管理办法》的有关规定，西南大学信息中心拟对西南大学信息系统安全等级测评项目采用校级招标方式采购，请符合要求的投标人进行投标。 一、招标人：西南大学 二、项目名称：西南大学信息系统安全等级测评 三、项目地点：西南大学 四、采购数量：对西南大学定级为三级的信息系统开展安全等级测评。 五、投标人条件： （一）基本资格条件 1、在中华人民共和国境内注册，具有独立法人资格； 2、具有独立承担民事责任的能力； 3、具有良好的商业信誉和健全的财务会计制度； 4、具有履行合同所必需的设备和专业技术能力； 5、有依法缴纳税收和社会保障资金的良好记录； 6、参加政府采购活动前三年内，在经营活动中没有重大违法记录。 7、法律、行政法规规定的其他条件。 （二）特定资格条件（以下资质须盖投标人公司鲜章） 1、测评方应具有信息安全等级测评资质。 2、测评机构能够在公安部中国信息安全等级保护网推荐目录中查询到。 3、投标人必须为本项目成立等级保护测评小组，测评人员均具有公安部认证的测评师证书，持证上岗。参与测评工作的持证测评人员至少5人构成（其中高级测评师和中级测评师各不少于1人）。需附有测评小组名单并提供相应资质证明复印件。 六、报名方式： 现场报名。报名地点：西南大学信息中心601办公室。投标人持企业介绍信、法人授权委托书、企业营业执照、资质证书等复印件并加盖企业鲜章报名。 七、招标文件获取方式：由招标人在信息中心网站上自行下载。 八、报名截止时间：2018年12月10日14:30 九、开标会时间：2018年12月10日14:30时（北京时间） 十、联系方式： 023联系人：林老师 办公地址：西南大学信息中心617室 第二部分 服务需求一览表及技术规格 项目招标一览表 序号 货物名称 数量 备注 1 西南大学信息系统安全等级保护测评（服务内容见招标书第三部分第二条） 一次 5个定级为三级的校级信息系统 项目基本情况 1、项目情况 为了提升系统的安全保护能力，加强信息安全管理，根据《信息安全等级保护管你理办法》、GB/T 22239《信息安全技术信息系统安全等级保护基本要求》、《教育部办公厅关于组织开展部属单位信息安全等级保护工作的通知》（教技厅函[2015]68号）等法规和标准的要求，需要对西南大学5个定级为三级的校级信息系统进行等级保护测评。通过测评，准确反映待测信息系统的安全防护能力现状，对发现的问题进行深入分析，提出安全整改建议，最终出具信息系统等级保护测评报告。 本次测评系统列表如下： 序号 信息系统 等级 主管单位 1 门户网站系统 三级 信息中心 2 科研系统 三级 科技处部、信息中心 3 青春缙云论坛 三级 宣传部、信息中心 4 校园一卡通 三级 信息中心 5 招生录取系统 三级 招生结业处 本次测评涉及系统的测评根据学校每个信息系统定级的相应指标进行。 2、项目测评依据 项目依据国家《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《信息安全等级保护管理办法》（公通字[2007]43号）、《中华人民共和国国家标准 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《中华人民共和国国家标准 信息安全技术 信息系统安全等级保护测评要求》、《中华人民共和国国家标准 信息安全技术 信息系统安全等级保护测评过程指南》、《中华人民共和国国家标准 GB/T 20984-2007信息安全风险评估规范》等法规要求进行信息系统安全等级测评。 3、项目测评内容 本次需要测评的系统包括被测系统运行密不可分的物理环境、网络环境、主机及相关系统、安全管理制度等。 （1）工具扫描 使用专业的安全分析工具（至少包含专业的主机网络安全分析、应用系统安全析工具）对待测系统进行安全分析。在与我方深入沟通的基础上，对系统进行渗透，对过程进行记录并最终形成工具扫描、渗透报告。 （2）等级测评 本项目信息安全等级保护测评目的和测评内容，必须与信息安全等级保护要求的基本安全控制要求相一致。本项目测评人员应依据测评目的和测评内容，选取、实施特定测评操作的方式方法。测评主要包括以下几个方面的内容： 技术测评： 1）物理安全测评（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）； 2）主机安全测评（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制）； 3）网络安全测评（结构安全、访问控制、安全审计、边界完整性检测、入侵