信息系统安全等级保护测评技术服务项目需求.docVIP

信息系统安全等级保护测评技术服务项目需求 一、项目背景 宁波市人力资源和社会保障局承担着全市社会保险、就业创业、劳动关系、劳动监察、人事人才等诸多民生管理服务职能，信息数据覆盖全市900万社保卡持卡人。一直以来，全局上下高度重视网络安全保障工作，在贯彻落实国家、省、市有关信息系统安全等级保护和安全政策、标准要求的基础上，积极对市人社局及局属事业单位建设、管理、运维的业务信息系统按照网络安全等级保护要求进行定级、备案、测评工作，加强业务信息系统安全防护能力，满足并达到相应信息安全等级保护的水平和防护要求，提高市人社局业务信息系统的整体防护能力。 测评业务系统范围 （一）现有已经测评的业务信息系统 序号 信息系统名称 是否定级 是否备案 备案编号 安全保护等级 1 宁波市人力资源和社会保障局业务信息管理信息系统（养老、医保、就业、社保卡、数据中心） 是 是 23302123300100001 三级 2 医保通移动支付平台 是 是 3302173301217001 三级 3 宁波市人力资源和社会保障局门户网站 是 是 33021233001 二级 4 宁波市就业创业网系统 是 是 33021233001150001 二级 5 宁波考试网门户网站系统 是 是 33021233001150002 二级 6 12333信息系统 是 是 33021233001150004 二级 7 宁波人才网门户网站系统 是 是 33021233001150003 二级 8 一体化公共服务平台 是 是 3302173301217002 二级 9 信息一体化综合办公平台 是 是 3302173301217003 二级 10 信息一体化人事人才信息系统 是 是 3302123300119001 二级 （二）测评服务期限 2020年1月1日至2020年12月31日 （三）测评范围 在测评服务期内，对市人社局及局下属单位的现有、新建、改建的业务信息系统，提供等保三级及三级以下复测和测评备案服务。 三、测评服务内容 1.根据《GB-T_22240-2008 信息安全技术_信息系统安全等级保护定级指南》开展信息系统的定级申报工作。针对被测系统所需要定级的信息系统，分析所属类型、服务范围以及业务对系统的依赖程度，制定细化定级规则，确定系统安全保护等级，完成自定级报告材料； 2.整理信息安全等级保护备案材料，提交主管部门进行等级备案； 3.对被测信息系统进行摸底、分析和梳理，提出测评方案，并逐一对信息系统进行安全等级保护测评； 4.基于《信息系统安全等级保护基本要求》（GB/T22239-2008）的等级保护测评服务（包括物理安全、网络安全、主机系统安全、应用安全和数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个方面的安全测评）； 5.根据信息系统安全等级保护相关要求，对被测系统提出整改意见。 6.取得被测系统相关的备案证明； 7.协助被测单位完成与网络与信息安全相关的其他工作。 四、测评依据 投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南 GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南 GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求 GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南 五、测评原则 1.保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标方的责任。 2.标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。 3.规范性原则：测评工作过程中的文档，具有良好的规范性，便于项目的跟踪和控制。 4.可控性原则：测评服务的进度要严格进度表的安排。 5.整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 6.最小影响原则：测评工作对系统和网络的影响必须在可控范围内，测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响。 六、其他 1.服务合同期限为三年，合同内容采取一年一审的方式确定，业主单位合同结束前30天对中标单位服务内容及服务质量进行审核，并决定是否续约，中标单位按年报价，在服务内容不增加的前提下，中标单位不得擅自在服务期限内增加价格。 2.在合同正式生效15个工作日内，投标单位支付10%的履约保证金后，支付100%合同款；合同结束后15个工作日内，无息返还履约保证金。 3.在乙方为甲方提供服务过程中，乙方能够接触或从甲方处