信息安全等级保护测评技术规格书.pdfVIP

信息安全等级保护测评技术规格书 一、项目概述： 随着网络安全法的正式施行，网络安全等级保护工作上升为一项基本国策。与此同时，跟随网络安全法 配套的各项规章条例以及标准规范也逐一落实，2018年6月27 日，公安部发布《网络安全等级保护条例 （征求意见稿）》（以下简称“ 《保护条例》”）。作为《网络安全法》的重要配套法规，《保护条例》 对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保 护建设提出了更加具体、操作性也更强的要求。 为此，我公司提出了《信息系统信息安全测评项目》，项目旨参照相关安全安全标准对我公司目前运行 的信息系统开展安全测评，确保其高效、稳定、安全地运行。 欢迎国内具有独立承担民事责任的企业，具备相关资格（具备信息安全等级保护测评资质）条件的供应 商参加。 二、项目实施范围： 芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目，等保测评级别按国家对我公司信息安全 等级保护工作的相关法律和技术标准要求执行。 定级系统：（二级） ①公司OA办公系统； ②物流系统； ③采购系统； ④质量中心系统； ⑤炼铁部-工业网络系统； ⑥铸管部-工业网络系统； 工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作，完成国家相关部门 对我公司的信息安全要求。 三、项目实施内容： 1、安全检查 （1）信息安全现状问题检查，包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析； （2）信息安全存在的主要问题及风险，包括信息安全管理、信息安全技术、信息安全运维等各方面存 在的问题及期潜在风险； （3）信息安全问题改进建议，包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、 具体实施方案以及改进期望值。 2、信息安全等级保护检测 根据国家对信息安全等级保护工作的相关法律和技术标准要求，结合本项目的系统保护等级开展实施与 之相应的检查工作，具体检查内容应包括：对信息系统进行等级保护差距测评，测评内容包括物理安 全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。客观的分析信息系统保护现状和信 息安全等级保护基本要求之间的差距。 3、定级备案 协助我公司的各重要信息系统在网安部门完成定级备案工作，交付定级报告、专家评审意见表和备案表 等内容，并取得相应系统的备案证明。 4、根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，协助建立信息安全等 级保护管理体系。 结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距，明确安全需求，设计符合 相应等级要求的信息系统安全技术建设整改方案，协助开展信息安全等级保护安全技术措施建设。 5、完成信息安全等级保护的最终测评，提交各信息系统的测评报告至公安等保办，完成测评备案工 作。 投标人须依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网 络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术 网络安全等级保护测评过程指南》 （GB/T 28449-2018）和《信息安全技术 网络安全等级保护定级指南》（GA/T 1389-2017）等国家等级 保护相关标准对待测系统进行等级保护测评工作，内容包括： 安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五 个方面的安全测评； 安全管理测评：包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五 个方面的安全测评； 工具测试：针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作； 整改建议：根据现场测评中发现的问题，分析与GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301、ITIL和ITSS等行业最佳实践之间的差距，按照网络安全等级保护标准要求提出安全整改建议； 编制测评报告：完成上述测评工作和整改加固实施后，最后出具符合公安机关要求的各信息系统网络安 全等级保护测评报告。 6、信息安全培训 对涉及被测评系统科室人员开展信息安全等级保护工作培训，确保管理人员和技术人员掌握关于信息系 统等级保护相关规范、信息安全策略、信息保密制度，信息安全管理制度和相关流程等。 培训内容主要有： （1）近几年典型安全事件回顾 （2）当前安全形势分析 （3）信息安全体系介绍 （4）等级保护基本简介 （5）本次检查总结分析 7、需投标供应商承诺安全应急响应服务和每季度至少提供一次安全巡检，至少提供一年，并提供技术 方案