信息系统安全等级保护测评需求.docxVIP

信息系统安全等级保护测评需求 一、项目概况 按相关要求开展等级保护测评工作， 测评后需获得符合主管单位要求的测评 报告，并取得备案证明。 二、资格要求： 、符合《中华人民共和国政府采购法》第二十二条规定的供应商资格条件； 、二年内未被国家网络安全等级保护工作协调小组办公室责令整改的测评机 构； 、具备信息安全等级保护工作领导小组办公室颁发的测评机构推荐证书； 、具备中国合格评定国家认可委员会颁发的检验机构认可证书； 、具备质量技术监督局颁发的检验检测机构资质认定证书。 三、参考条件 、提供相关的测评工作案例个，并有完成测评单位认可的证明。 、售后服务完善，在本地有常驻机构，能够做到 * 小时响应。 、具有所必需的检测设备和专业技术能力。 四、现场项目介绍： 请各潜在供应商于年月日： 自行到联系地址参加现场项目踏勘 （地址：宁波市新芝路弄号），联系人：陈德威 电话。参加现场踏勘人员须为供应商的授权代表，现场须提供供应商法人的授权书以及参会人员身份证及复印件。 未参加现场介绍会的供应商不具备中标条件。 1 / 4 五、系统范围： 序号 系统名称 系统等级 宁波市海曙区西门望春社区卫生服务中心 二级 基础支撑系统（西门中心） 宁波市海曙区西门望春社区卫生服务中心 二级 基础支撑系统（望春中心） 六、依据标准 投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： 《信息安全技术信息系统安全等级保护基本要求》 《信息安全技术信息系统安全等级保护定级指南》 《信息安全技术信息系统安全等级保护实施指南》 《信息安全技术信息系统安全等级保护测评要求》 《信息安全技术信息系统安全等级保护测评过程指南》七、服务内容 . 根据《 信息安全技术信息系统安全等级保护定级指南》 开展信息系统的定级申报工作。 针对被测系统所需要定级的信息系统， 分析所属类型、 服务范围以及业务对系统的依赖程度， 制定细化定级规则， 确定系统安全保护等级， 完成自定级报告材料； . 整理信息安全等级保护备案材料，提交主管部门进行等级备案； . 从信息化建设实践出发，基于《信息系统安全等级保护基本要求》 （）的等 级保护测评服务（包括物理安全、网络安全、主机系统安全、应用安全和数据安 2 / 4 全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管 理等十个方面的安全测评） ； . 根据信息系统安全等级保护相关要求，对被测系统提出整改意见； . 测评后出具符合宁波市公安局要求的系统安全保护等级测评报告，确保最 终取得信息安全主管部门出具的备案证明， 并完成测评服务过程中其他的相关工 作。 八、服务原则 、标准性原则：服务方案的设计与实施应依据国家等级保护的相关标准进行。 、规范性原则：服务工作过程中的文档规范，便于项目的跟踪和控制。 、可控性原则：服务工作的进度要严格根据进度表的安排。 、整体性原则： 服务的范围和内容应当整体全面， 包括国家等级保护相关要求涉及的各个层面。 、最小影响原则： 服务工作对系统和网络的影响必须在可控范围内， 不能对现有信息系统的正常运行、业务的正常开展产生任何影响。九、保密要求 对服务的过程数据和结果数据严格保密， 未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为， 否则招标人有权追究投标方的责任； 对涉及客户的检查项目、 资料、检查过程和结果以及客户的知识产权、 所有权等其它信息采取保密措施； 在接收客户的检查项目时， 应对检查项目加强监管， 防止泄密。信息安全等级保护评测之前必须签订保密协议。 所有检查项目， 不经用户同意， 不得向与检查无关人员展示； 所有检查过程均对外保密， 与检查无关人员未经公司批准， 不得擅自进入检 3 / 4 查现场； 在未经许可的情况下与检查无关的人员不得接触被检查项目及相关资料， 不得参与检查和编制检查报告； 出具的检查报告应为客户保密， 未经客户授权，不得将检查报告转交他人， 不得擅自公布检查结果； 当客户要求用电话、图文传真或其它方式传送检查结果时，应有客户正式 的书面委托并证实相关通讯方式可靠后方可执行； 不得向无关人员泄露任何有关客户资料和检查结果， 检查结果只能通过相 关程序及约定的告知方式通知相应业务单位和个人； 对接触客户检查项目、 资料及其它相关信息的人员应履行为客户保护所有 权的义务，不得利用客户的有关知识产权为己牟利。 4 / 4