内外网三级等保评测安全咨询服务技术需求书.pdfVIP

内外网三级等保评测安全咨询服务

『技术需求书』

预算金额:40万元项目类型:服务

一、项目名称及数量：内外网三级等保评测安全咨询服务/壹项

二、项目周期：经甲乙双方协商后，自合同签定之日起7日内，乙方提交《开工申请单》，《开工

申请单》经甲方确认之日起365个日历日内完成验收。

三、交货地：长海医院指定地点

四、项目简介：

应国家网络安全法的规定及卫计委互联网信息系统专项整治工作的要求，我院重要信息系统

需要完成三级等保评测工作，评测范围包括每年新增系统及已通过评测需每年复测系统。拟请专

业的安全公司进行内外网三级等保整改工作，协助完成三级等保评测。

五、技术要求

（一）服务人员组成及资质：

1、人员要求：

1.1项目经理1名：需具有10年以上安全相关项目经验，且同时具备CISSP、CISA、PMP、

ISO27001LA、RHCE。

1.2项目实施人员2名：具备信息安全资质CISP、CISAW、ISO27001LA、CISSP、信息安全等级保

护安全建设专业技术人员等资格证书。

1.3项目经理未得到医院同意的情况下不得随意更换。请投标人提供系统实施工程师名单，包括

姓名、手机号码、办公地点、职责。

（二）驻场要求：非驻场

（三）服务内容：

1.服务对象：15个评测的业务系统

2.服务内容：

2.1资产调研分析阶段：

2.1.1根据服务范围的应用组成，派遣专业安全服务工程师到现场梳理各系统的网络结构拓扑以

及相关联的资产，编制信息系统资产清单；

2.1.2对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行

调研和梳理，编制信息系统详细描述文档。

2.2定级备案阶段：依据GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》相

关要求，协助招标方对信息系统进行信息系统安全级别的识别、分析和评估，并对信息系统进行

安全域划分，明确信息系统以及子系统的安全保护等级。协助招标方完成系统定级备案。

2.3风险分析阶段：对服务范围内的业务系统进行安全评估工作。通过对相关人员的访谈、现场

评估、信息系统及网络脆弱性评估并结合渗透测试等技术手段，分析信息系统安全风险以及操作

系统、数据库、中间件及应用等与等保所要求的安全基线差距。并编制信息系统差距分析报告

2.4等保建设设计阶段：

2.4.1对服务范围内信息系统按照差距分析报告对应策略设计整改措施，面向保护对象设计安全

计算环境安全、安全区域边界安全、安全通信网络等方面的整改设计方案；

2.4.2开展详细信息系统安全设计工作，完成网络结构框架设计、功能设计、性能设计、部署方

案设计、安全策略设计等方面，形成安全整改实施方案。

2.4.3提供信息安全等级保护建设详细方案书，应该包括具体的实施内容、流程、风险管理和进

度控制等；

2.5整改加固阶段：

2.5.1派遣专业安全服务工程师为招标人服务器实施边界防护安全策略优化、服务器病毒检查与

清理、主机安全加固、数据库安全加固以及应用安全加固。

2.5.2安全加固实施前，应提交安全加固风险分析及风险规避说明书。

2.6安全复查：

2.6.1派遣专业安全服务工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不

限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。

2.6.2复查结束后，形成加固前后对比复查报告。

2.7管理制度辅助建设：辅助招标人编写方针、制度、各类记录表格模板在内的三层结构的安全

管理制度，达到等级保护测评要求。

2.8等保测评现场辅助：协助测评方完成测评数据采集等工作，直至备案系统通过等级测评。

3服务要求：

3.1.资产梳理

3.1.1根据服务范围的应用组成，派遣专业安全服务工程师到现场梳理各系统的网络结构拓扑以

及相关联的资产，编制信息系统资产清单清单；

3.1.2对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行

调研和梳理，编制信息系统详细描述文档

3.2.定级备案：依据GB/T22240-2019《信息安全技术信息系统安全等级保护定级指南》相

关要求，通过对定级对象分析、定级要素分析，初步确定系统保护等级，协助召开专家咨询会议，

确定系统保护等级，协助撰写定级报告、协助联络公安机关，完成定级备案工作。