项目需求和服务方案要求.docxVIP

项目需求和服务方案要求 一、 项目背景 为了落实《中华人民共和国网络安全法》 的有关法律要求， 提高信息系统的 安全保护水平， 选择具备资质的第三方专业机构， 在全面了解现有信息化现况的 基础上，开展信息系统安全等级保护测评工作。 通过本次工作， 发现信息系统中 存在的安全风险， 分析信息系统安全现状与相关政策文件、 技术标准内容要求的 差距，提出安全建设整改建议。 切实加强信息安全防范水平， 提高系统抵御风险 的能力。 , ■ i、F、 / J - .11.* ［、- 二、 总体要求 1、按照网络安全等级保护定级标准和工作要求，开展信息系统安全等级保 护系统梳理和定级工作， 协助完成系统的定级报告， 并协助完成到公安机关的备 案更新工作。 2、按照国家等级保护相关标准和要求，对招生考试信息平台、网上阅卷系 统、门户网站系统三级系统开展信息系统安全等级保护测评工作， 对内部综合管 理系统等二级系统开展信息系统安全等级保护测评工作， 找出系统现状与相关标 准要求之间的差距， 遵循适度原则， 提出切实可行的整改建议， 最终完成等级保 护测评报告。 3、针对测评中发现的信息安全管理漏洞和薄弱环节，并深入分析下一步审 计信息系统建设和管理的实际安全需求， 协助开展相关的安全整改工作， 确保审 计重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。 三、服务内容 1、定级梳理 按照公安部网络安全等级保护工作要求，开展信息系统安全等级保护定级备 案工作。要求完成各系统的定级报告，并协助到公安机关完成备案。系统情况如 下表： 序号 应用系统名称 安全保护等级 备注 1 第三级 第三级 第三级 第二级 2、信息安全等保测评 （1）测评依据 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发 的《关于信息安全等级保护工作的实施意见》 （公通字[2004]66号）； 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的 《信息安全等级保护管理办法》（公通字[2007]43 号）。 《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010 ) 《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448-2012 ) 《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449-2012) 《计算机信息系统安全保护等级划分准则》 (GB 17859-1999) 《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006) 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006) 《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006) 《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2006) 《信息安全技术 服务器技术要求》(GB/T 21028-2007) 《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006) 《信息安全技术 信息系统安全管理要求》(GB/T20269-2006) 《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006) 《信息技术 安全技术 信息技术 安全性评估准则》(GB/T 18336-2001) 《信息系统密码应用基本要求》(GMT 0054-2018) 《信息系统密码测评要求》(试行) 《信息系统密码测评过程指南》(试行) 项目涉及的其它相关国际、国内标准或规范 (2)测评内容 测评的内容包括但不限于以下内容： 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据 安全等五个方面的安全测评信息系统安全等级进行等级测评。 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管 理和系统运维管理等五个方面的安全测评。 1）物理安全 A 物理安全 根据 信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选 择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防 静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进 行，判断出与其相对应的各测评项的测评结果。 B机房咨询服务 依据国家相关标准，对电子信息系统机房的室内装饰装修、室内环境、空 气调节系统、照明装置、供配电系统、防雷接地系统及文档验收等方面进行咨 询服务。 2）网络安全 根据 信息系统网络安全测评记录， 针对网络方面在“结构安全”、“访问控制”、 “安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”