XX市城市管理指挥中心信息系统安全等级保护
测评服务项目招标内容与要求
一、项目说明 1. 项目基本情况
根据《网络安全法》、《内蒙古自治区计算机信息系统安全保护办法》(自治区人民政府令第183号)和《信息安全等级保护管理办法》的要求,现对XX市城市管理指挥中心所属的4个信息系统(4个系统暂定为3个三级系统,1个二级系统)进行安
恶全等级测评。具体预算情况如下: 2.招标方式:竞争性磋商
3.服务期:从合同签订之日起至项目通过验收。 5.付款方式:测评合同签订后10日内,支付合同总额的30%;测评完成出具测评报告、测评证书并验收后10日内,支付合同总额的70%的余款。
二、 服务内容与服务要求 (一)服务内容
服务名称 等级保护测评 等级保护测评 等级保护测评 等级保护测评 系统名称 XX市数字化城市管理系统 12319城管热线呼叫系统 12345市长热线 OA办公系统 1 1 1 1 数量 系统等级 三级 三级 三级 二级 招标预算:273785元,整包。
4.交工时间和地点:采购人指定的施工时间和交付地点。
对OA系统按照二级标准进行测评,并提供内蒙古公安厅认可
的测评报告。对其他三个系统按照三级标准进行测评,并提供内蒙古自治区公安厅和XX市公安局认可的测评报告。
为强化落实信息安全等级保护工作,按照等级保护要求,结合在运行的系统,在对各项信息化应用进行充分调研及详细分析的基础上,开展信息系统安全等级保护测评服务工作,工作的目标是将在运行系统建设成为一个即满足业务需要,又符合等级保护要求的重要平台,同时满足未来系统扩展的需要,对具有政治目的、经济目的等恶意攻击的行为进行有效防护,提高XX市城市管理指挥中心信息安全保障能力和防护水平。
(二)服务要求
要求按照等级保护2.0的标准进行测评。 1.测评范围
支撑2级系统的所有软硬件、物理环境、备份、管理制度,系统测评项目不少于66个项236控制点。
支撑3级系统的所有软硬件、物理环境、备份、管理制度,系统测评项目不少于73个项389控制点。
技术测评标准及要求,测评技术依据主要标准为:《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术 信息系统安全等级保护测评要求》、《信息安全技术 信息系统安全等级保护测评过程指南》等国标,测评范围要求如下:
物理安全:物理安全测评通过访谈和检查的方式评测物理环境安全保障情况。主要涉及对象为信息系统机房。
网络安全:网络安全测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以、网络安全设备等三大类。
主机安全:主机系统安全测评通过访谈、检查和测试的方式,测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。
应用安全:应用安全测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统。
数据安全:数据安全测评通过访谈和检查的方式评估生产系统的数据安全保障情况。重点检测信息系统的数据在采集、传输、处理和存储过程中的安全,以及数据备份恢复的安全。
安全管理制度:安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
安全管理机构:安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
人员安全管理:人员安全管理测评通过访谈和检查的形式评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
系统建设管理:系统建设管理测评通过访谈和检查的形式评
估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
系统运维管理:通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、各类运维人员,涉及内容有开发方的运维管理制度、信息中心关于运维服务团队的各类管理制度、操作规程文件、执行过程记录等对象。
测评指标 安全子类数量 技术/管安全类 理 S类 (2级) 物理安全 网络安全 技术类 主机安全 应用安全 数据安全 安全管理制度 管理类 安全管理机构 0 0 0 9 11 19 2 16 5 8 4 5 5 8 4 11 27 16 20 0 0 7 10 0 2 3 2 7 12 1 1 2 4 2 S类 (3级) 1 1 3 5 2 A类 A类 G类 G类 F类 F类 (2(3(2(3(2(3要求项 控制点 二三二三级) 级) 级) 级) 级) 级) 级 级 级 级 1 0 1 2 1 1 0 1 2 1 8 5 3 1 0 29 4 31 6 12 0 6 0 2 0 18 10 18 23 47 7 3 6 3 6 6 7 3 7 3 6 3 24 40 20 34 21 37 4 8 人员安全0
管理 系统建设管理 系统运维管理 合 计 0 0 27 51 42 54 12 54 69 105 0 0 28 41 13 18 9 18 41 59 66 73 236 389 2.测评原则要求:(1)最小影响原则:服务工作不能对现有信息系统及网络的正常运行产生显著影响。(2)保密性原则:对服务过程中获知的任何业务系统及信息系统基础设施信息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何违法行为。 (3)规范性原则:服务的实施必须由专业的、有资质的工程师依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。(4)可控性原则:服务的工具、方法和过程要在双方认可的范围之内,保证对服务过程的可控性。(5)全局测评原则,应对系统全局进行整体性测评。
3.保密要求:供应商必须根据以上原则为所约定信息系统(含基础设施、设备及系统)设计制定相应的信息系统等级保护测评服务方案,以科学、公正、客观、规范的服务,依据《信息安全等级保护基本要求》、《信息安全等级保护测评准则》以及相关国家标准、行业标准等,测试该系统对应保护等级的符合性、适应性、充分性,从而验证所约定信息系统的安全性。为所约定开展测评的信
XX市城市管理指挥中心信息系统安全等级保护测评服务项目招标内容与要求【模板】
