农民日报社信息系统安全等级保护

1、个人资料整理，仅供个人学习使用农民日报社信息系统安全等级保护整改方案设计及测评项目需求项目介绍根据信息安全等级保护管理办法、关于开展信息安全等级保护安全建设整改工作的指导 意见等文件的要求，现需对我报社中国农业新闻网”网站系统按照等保三级的要求进行安 全评估、整改方案设计和测评。矚慫润厲钐瘗睞枥庑赖賃軔朧。项目需求方案设计原则安全性：方案设计要达到信息系统安全等级保护三级的要求；开放性：系统符合开放性设计原则，具备优良的可扩展性、可升级性，可以支持开放系统平台，运行于现有的技术标准之上；聞創沟燴鐺險爱氇谴净祸測樅。兼容性：与现有系统需要完全兼容，构成一个整体；稳定性：要保证系统运行的稳定性，使

2、系统运行风险降至最低；可管理性：可以对系统进行管理和监控；经济性：在满足所有需求的前提下，选择最合适的设备及软件，使系统具有较好的性价比。总体需求和目标投标方聘请国家信息安全等级保护工作协调小组办公室推荐测评机构名单中的第三方专业测评机构对我报社中国农业新闻网”网站系统进行安全评估、差距分析、测评并出具测评 报告，由投标方设计本系统的整改方案，确保本系统在整改实施后，符合信息系统安全等残骛楼諍锩瀨濟溆塹籟婭骤東。项目单位 中国农业新闻网”网站系统能通 达到基本符合（含）等保三级以上的结论，并级保护基本要求三级的技术要求和管理要求。投标方必须承诺按整改方案完成系统整改实施后，过第三方专业测评机构

3、的安全等级保护测评，通过国家相关主管部门的审核。酽锕极額閉镇桧猪訣锥顧荭钯。对投标方的要求投标方须根据现有的系统环境对系统等级保护安全整改从技术和管理两方面提供详尽的解决方案。对于技术方案中所提供设备的性能参数要有明确介绍，产品的部署方案和配置策略要有明确的说明，要达到可招标、可实施的标准；管理方案中要明确需要制定和完善的制度 和流程，以及这些制度和流程应包含的内容。彈贸摄尔霁毙攬砖卤庑诒尔肤。投标方在整改方案设计时应整体全面、综合考虑各种因素，不能出现因选型不当或未考虑的因素而出现安全隐患及其他问题。謀养抟箧飆鐸怼类蒋薔點鉍杂。（3）测评机构要求：500万元;（一）需具有中华人民共和国事业单

4、位法人证书，开办资金不少于（二）需具有资质如下：公安部能力评估合格证书北京市等级测评机构推荐证书CMA国家计量认证证书CAL国家监督审查认可授权证书CNAS检查机构认可证书CNAS实验室认可证书（三）具有近二年（20XX年至今）承担过二个（含）以上国家或部委级的等级保护测评工 作（四）具有近二年（20XX年至今）承担过二个（含）以上国内知名网站（互联网）的等级 保护测评工作 招标内容投标方需根据国家信息安全等级保护相关政策，按照信息安全等级保护三级的要求，完成我报社中国农业新闻网”网站系统第三方测评、差距分析、整改方案设计、项目监理等工作。厦礴恳蹒骈時盡继價骚卺癩龔。等保测评（1）投标方聘请国

5、家信息安全等级保护工作协调小组办公室推荐测评机构名单中的第三方专业测评机构根据信息系统安全等级保护测评要求以及信息系统安全等级保护测评过程指南 等要求对我报社 中国农业新闻网”网站系统进行调研和评估，出具差距分析报告；在用户完成整改实施后， 进行信息安全等级保护三级测评，出具国家相关主管部门认可的测评报告，测评结论为基本符合（含）以上。茕桢广鳓鯡选块网羈泪镀齐鈞。（2）投标方应参与调研和评估，配合系统测评、分析差距，确定系统安全需求，做出合理的等级保护安全规划并设计详细的系统整改方案。鹅娅尽損鹤惨歷茏鴛賴縈诘聾。整改方案设计（1）在本阶段，系统等级保护建设与实施方案设计作为系统安全建设和改造的

6、前提和依据， 应明确设计目标，结合甲方实际情况，满足业务系统的安全需求， 突出保护重点，合理规划， 形成整体的安全防护体系。方案设计应遵照国家信息安全等级保护工作的法律法规，遵循相关的国家标准规范。 籟丛妈羥为贍债蛏练淨槠挞曉。（2 ）投标方根据信息系统安全等级保护基本要求和第三方专业测评机构出具的差距分析报 告、结合系统实际情况并遵循本项目规定的方案设计原则，进行整改方案详细设计， 包括安全技术体系和安全管理体系两部分：預頌圣鉉儐歲龈讶骅籴買闥龅。技术方案包括物理、主机、网络、应用、数据等方面的安全整改，如需增加设备，则要在方 案中详细列出设备的性能参数、配置指标及数量等；方案中还需详细说明

7、系统和产品的部署方案和配置策略，均要达到可招标、可实施的要求；渗釤呛俨匀谔鱉调硯錦鋇絨钞。管理方案包括管理机构、人员、管理制度、系统建设管理、运维管理等方面的安全整改，要 明确管理机构和人员角色、明确需要制定和完善的规章制度和流程，以及这些机构、制度和流程应包括的内容。 铙誅卧泻噦圣骋贶頂廡缝勵罴。（3） 系统的整改方案要统一考虑、分别设计，对于系统间的衔接部分要有明确的划分界限。（4）详细整改方案必须按优于安全等级保护测评中基本符合等保三级的最低标准设计（技术类和管理类均优于）。擁締凤袜备訊顎轮烂蔷報赢无。（5 ）投标方设计的整改方案需得到用户及相关系统开发方和集成方的认可。（6）投标方需组

8、织专家对整改方案进行论证，确保方案切实可行，保证按此方案招标和实施可以使系统达到等保三级的要求。参加论证的专家要包括国家信息安全等级保护安全建设指导专家委员会专家名单 中的政策专家和技术专家以及国家相关信息安全主管部门的专 家。贓熱俣阃歲匱阊邺镓騷鯛汉鼉。安全整改（1）在后期的整改实施中，投标方需向整改方介绍项目和整改方案情况并承担项目监管职 责，派专人负责监督指导整改方按照整改方案和信息系统安全建设相关要求完成系统整改工作，包括技术和管理两个方面的整改。 所派人员需全程跟踪项目实施， 掌控安全整改实施进 度和质量，及时纠正项目实施中的偏差， 按月编制工作报告， 并定时向用户方项目管理人员 汇

9、报项目中的问题。 坛搏乡囂忏蒌鍥铃氈淚跻馱釣。（2）投标方需按用户要求定期组织召开项目介绍会，会同整改方共同介绍项目进展情况。安全培训投标方需按用户要求组织安全相关培训，内容包括等级保护政策、信息安全理论和管理、安全意识和安全操作、系统安全运维等，具体要求如下：蜡變黲癟報伥铉锚鈰赘籜葦繯。（1 ）投标方应编制详细的培训方案，包括培训的具体内容、培训地点、人数、培训计划以及培训费用。培训具体时间在合同生效之后由双方协商安排。買鯛鴯譖昙膚遙闫撷凄届嬌擻。（2 ）培训讲师必须是国家信息安全等级保护安全建设指导专家委员会专家名单中的政策专家和技术专家以及国家相关信息安全主管部门的专家和具有相关信息系统

10、安全资质的专家。米购人认为不合适可立即要求更换。綾镝鯛駕櫬鹕踪韦辚糴飙铳麦。（3）投标方的投标报价应包含以上培训课程所需场地、器材、教师、教材、辅导材料、人员差旅费以及相关的所有费用。驅踬髏彦浃绥譎饴憂锦諑琼针。其他（1）整改完成后，投标方负责进行系统自测；对于在自测中发现的问题和未达到等保三级要求的地方，投标方必须监督实施方按整改方案进行弥补，使系统能够达到等保三级的要求。猫虿驢绘燈鮒诛髅貺庑献鵬缩。（2）如因方案缺陷导致系统未达到等保三级的要求，由投标方负责解决所有问题（包括方案、设备、软件、实施等），确保甲方系统能够达到等保三级的要求。锹籁饗迳琐筆襖鸥娅薔嗚訝摈。（3）在正式测评中，投标

11、方需配合第三方专业测评机构做好系统测评工作，确保系统通过 等保测评。（4）投标方协助项目单位完成等级保护备案需要的各项材料准备工作。项目实施与服务要求投标方必须向用户提供能满足标书中所列要求测评、方案设计、培训、实施监理等服务，负责解决全部技术问题。若本标书中有关信息系统安全等级保护项目需求出现不合理或不完整 的问题时，投标方有责任提出补充修改方案并征得项目单位同意后付与实施。投标方需和用户签订机房设备进场协议和保密协议，保证机房设备和环境不受损坏、用户信息不被泄露。構氽頑黉碩饨荠龈话骛門戲鷯。项目实施要求（1）投标方应本着认真负责态度组织具有相关安全资质的人员提供服务，做好投标的整体 方案并

12、提出服务以及技术支持的措施、计划和承诺。輒峄陽檉簖疖網儂號泶蛴镧釃。（2 ）投标方必须提供项目实施的工作内容、工作日程表，并严格按照日程表执行。日程表 内容至少应包括实施日期、实施内容、技术培训等。本招标书及所要求指标将作为测试和验 收的基本要求。 尧侧閆繭絳闕绚勵蜆贅瀝纰縭。（3）系统项目工作一开始，投标方就应允许项目单位的工作人员参与本项目的各项工作。（4 ）投标方应针对本项目提供完整、详细的项目管理控制文档，包括质量管理体系、项目 控制流程等。（5）投标方应负责在项目完成时将系统的全部有关技术文件、图表资料及测试、验收报告等文档汇集成册交付项目单位，并交付相应的电子版本。识饒鎂錕缢灩筧嚌

13、俨淒侬减攙。（6 ）因方案设计不当或未考虑的因素而导致系统未能通过等保三级测评及其他问题由投标 方负责。（7）投标方负责与其他供货商和服务商（与用户系统相关的厂商）的所有协调工作，并承 担协调费用以及由于其他供货商和服务商为配合本项目而进行的相关工作有可能发生的所 有费用。凍鈹鋨劳臘错痫婦胫籴铍賄鹗。（8 ）投标方在进行评估时不能影响甲方系统的正常运行和使用，项目实施应依据等级保护相关要求和标准进行。（9）为了确保项目的顺利进行和完成，在项目实施过程中，投标方应与项目单位建立必要 的技术联络会制度，投标方需根据用户要求定期组织召开项目沟通会，汇报项目进展情况。 恥諤銪灭萦欢煬鞏鹜錦聰櫻郐。服务

14、时间和地点差距分析、整改方案设1个月内完成系统的测鯊腎鑰诎漣鉀沩懼統庫服务完成时间：投标方在合同签定之日起 2个月内完成系统的评估、 计，提交最终的详细整改设计方案； 在整改实施方完成整改实施后的 评，出具正式测评报告，监督整改实施方完成相关上报材料的准备工作。 摇饬缗。服务地点：北京 验收要求（1）在标书规定的地点和时间内，按照标书要求完成所有服务内容。（2 ）投标方需保证按整改方案实施可以通过等保三级的测评并获得相应的国家主管部门认 可的测评报告。（3）投标方需监督指导系统整改方按整改方案实施，保证系统能够通过最终的测评。硕癘鄴颃诌攆檸攜驤蔹鸶胶据。（4） 由项目单位和投标方（中标人） ，

15、必要时有第三方共同组成验收小组 ，对投标方提供的 服务进行验收，如果验收小组认为投标方提供的服务与要求不符，将在投标方改进服务后重 新组织验收。（5）项目验收分为初验和终验，初验在详细整改方案设计完成并通过专家评审、最终提交 给项目单位后进行，终验在系统整改实施完成、 通过第三方测评并通过国家主管部门审核后 进行。阌擻輳嬪諫迁择植秘騖輛埙鵜。交付成果 投标方必须根据服务完成时间和甲方的要求向项目单位提供交付件纸件和相应的电子文件氬嚕躑竄贸恳彈濾颔澩纷釓鄧。（所有文档必须是中文），交付文件包括但不限于：服务实施方案 服务进度安排 等级保护差距分析报告 详细整改设计方案 信息系统安全等级保护测评报

16、告 项目监管报告 验收报告投标方未经甲方允许， 不得以任何形式投标方服务过程中产生的所有文档版权归甲方所有，向第三方提供跟甲方项目相关的文档资料。釷鹆資贏車贖孙滅獅赘慶獷緞。违约责任1%作为罚金。超出违 赔偿甲方因此遭受的损（1） 中标方未能按照服务条款中约定 （如：服务内容、服务时间、服务方式等 ）向甲方提供 技术支持与服务，视为违约，甲方有权将此记为技术支持和服务中断， 并保留进一步向中标 方索赔由于技术支持和服务中断给甲方造成的损失的权利。怂阐譜鯪迳導嘯畫長凉馴鸨撟。（2）对于技术支持和服务的中断，每中断一次，扣除合同总价款的 约保证金的部分，甲方有权要求中标方按此标准退回已支付的金额，

17、 失。谚辞調担鈧谄动禪泻類谨觋鸾。视为中标方违约,（3）如中标方未能按标书规定的时间完成服务内容或未达到甲方的要求，在规定的时间以后完成的，每逾期一天按照合同总价款的0.5%作为罚金，如因此给甲方造成损失，中标方应负责赔偿。如中标方逾期15天仍未能按甲方要求提交相应成果和文档，则视为中标方不能提交，甲方有权解除合同，中标方须赔偿甲方因此造成的损失。嘰觐詿缧铴嗫偽純铪锩癱恳迹。2 倍,2倍的惩罚性赔偿金，且并不当然免除其依法应受的其（4）若因中标方提供的服务和方案缺陷导致甲方系统未能达到等保三级的要求，中标方应 按照合同总金额的2倍向甲方支付惩罚性赔偿金，若该赔偿未达到给甲方造成损失的 则中标方

18、应当支付给甲方造成损失的 它处罚。熒绐譏钲鏌觶鷹緇機库圆鍰缄。6 / 5（5）中标方对甲方的数据和信息应严格保密，未经甲方授权不得泄露给任何单位和个人, 否则甲方有权追究中标方责任。需求附件：序号项目名称信息安全等级保 护咨询及整改方 案设计EASS应用安全控制系统服务器 版隐身侠电脑信息 防护系统测评服务10商务要求供货周期售后服务要求1、投标时提供设备原厂中标后451、提供产品应商服务承诺书。天以内当是未经拆2、投标人必须具有项目封、全新的原所涉及的所有产品的原中标后3天装正品。生产厂家的正式授权代以内2、交货后三年理资格。免费原厂服务3、供应商在竞价时须根中标后3天（软件升级，据资质要求中的内容，以内保修），接报修以附件形式上传相关资电话后当天响质证明。应并提出解决4、报价总额应包括运方案。保修期输、安装调试以及上门内，如发生故培训服务等费用。障，接报修后由投标方聘