彭州妇幼保健计划生育服务中心等级保护测评服务采购项目.doc

彭州市妇幼保健计划生育服务中心等级保护测评服务采购项目 竞 争 性 谈 判 文 件 项目编号：2018FJZX04 项目名称：彭州市妇幼保健计划生育服务中心等级保护测评服务采购项目 采 购 人：彭州市妇幼保健计划生育服务中心 2018年09月 目 录 网站 二级 2.测评内容 根据国家等级保护相关标准,供应商对“彭州市妇幼保健计划生育服务中心（彭州市妇幼保健院）”信息系统安全等级保护测评的内容包括但不限于以下内容： （1）从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面对本次项目所含系统进行测评。（测评须涵盖本项目所列系统涉及的所有硬件及软件）； （2）物理安全测评包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护； （3）网络安全测评包括：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护； （4）主机安全测评包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防护、恶意代码防范、资源控制； （5）应用安全测评包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制； （6）数据安全包括：数据完整性、数据保密性、数据备份与恢复； （7）安全管理制度测评包括：管理制度、制定和发布、评审和修订； （8）安全管理机构测评包括：岗位设置、人员配备、授权和审批、沟通与合作、审核与检查； （9）人员安全管理测评包括：人员录用、人员考核、人员离岗、安全意识教育和培训、外部人员访问管理； （10）系统建设管理测评包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择； （11）系统运维管理测评包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。 3、测评原则 本次安全保护等级测评实施方案设计与具体实施应满足以下原则: ①保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究供应商的责任； ②标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行； ③规范性原则：供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制； ④可控性原则：等保测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性； ⑤整体性原则：等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面； ⑥最小影响原则：等保测评服务工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。 4.本次等级保护测评的整体要求 （1）供应商应详细描述本次项目整体实施方案，包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等； （2）供应商应详细描述服务人员的组成、资质及各自职责的划分。供应商应配置有经验的测评人员进行本次等级保护测评工作； （3）本次服务项目实施过程中所使用到的各种工具软件由供应商推荐，经采购人确认后由供应商提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等； （4）安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由供应商推荐，经采购人确认后由供应商提供并在测评中使用； （5）安全测评需要的运行环境（如场地、网络环境等）由采购人提供，供应商应详细描述需要的运行环境的具体要求。 5.安全测评报告 供应商应对采购人的各个信息系统进行等级保护测评,形成相应的报告。 (1)供应商在测评后出具符合“彭州市妇幼保健计划生育服务中心（彭州市妇幼保健院）”要求的系统安全保护等级测评报告； (2)供应商协助采购人办理信息系统安全保护等级备案手续 6．对报价文件的要求 供应商承诺在方案中提到的各项服务均含在本次报价范围内。 7．项目验收 （1）本项目的目标是输出等级保护测评报告,并配合办理信息系统安全保护等级备案手续,该项目将产生一定数量的文档。 （2）供应商应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责 （3）供应商应提