淄博市信息安全等级保护测评项目

1、淄博市信息安全等级保护测评项目编制时2019年8月26间：日项目名称：淄博市信息安全等级保护测评项目米购人：淄博市大数据局联系人：李主任联系电话金来源：财政资金拟采用的政府采购方式：竞争性磋商拟采用的评审方法：综合评分法供应商资质要求：1、加载统一社会信用代码的营业执照(注：2018年1月1日起，企业一律使用加载统一社会信用代码的营业执照，原加载注册号的营业执照不再有效)2、提供无行贿犯罪声明函(与无重大违法记录声明函合并，并单独说明)及中国裁判文书网()的查询结果截图并加盖公章3、符合中华人民共和国政府采购法第二十二条规定且应为未被列入信用中国网站()中国政府采购

2、网()信用山东网站(WWW)渠道信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商；4、本项目不接受联合体投标。付款方式：本项目甲方采用方式付款(可选择银行转账或者汇票、支票等形式)，合同签订后5各工作日内乙方向甲方提供银行账户并提供全额增值税发票，甲方在收到银行账户及发票后7个工作日内预付合同价款的20%剩余80%价款待信息安全等级测评工作完成并经甲方验收通过后10个工作日予以支付。采购内容：本次采购共分为1个包，供应商进行报价，按招标文件要求对所投内容做出报价响应。采购项目清单:1.行政服务域三级等级保护评测名称参数数量等级保护测评包括信息安全等级测

3、评、信息安全管理规章制度梳理编制等。信息安全等级测评服务内容测评内容1依据GB-T22239-2008信息系统安全等级保护测评要求等管理规范和技术标准，检测信息系统安全等级保护状况是否达到相应等级基本要求，通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题。包括安全技术测评和安全管理测评，其中安全技术测评包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；安全管理测评包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评O1物理安全针对物理安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、

4、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。2、网络安全针对网络安全方面的“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等测评指标，判断出与其相对应的各测评项的测评结果。3、主机安全针对主机安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码防护”、“资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。4、应用安全针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、“通信完整性”、“通信保密性”、“软件容错”、“资源控制”等

5、测评指标，判断出与其相对应的各测评项的测评结果。5、数据安全及备份恢复针对数据安全方面的“数据完整性”、“数据保密性”、“备份和恢复”等测评指标，判断出与其相对应的各测评项的测评结果。6、安全管理制度针对安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。7、安全管理机构针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。8人员安全管理针对人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问

6、管理”等测评指标，判断出与其相对应的各测评项的测评结果。9、系统建设管理针对系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。10、系统运维管理针对系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。测评工作流程信息

7、安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评工作量也就越大。1、测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。2、方案编制工作方案编制活动的主要任务包括:测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编3、现场测评工作现场测评工作的主要任务包括:现场测评准备、现场测评和结果记录、结果确认和资料归还。4、报告编制活动报告编制活动的主要任务包括:单项测评结

8、果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编最终出具信息安全等级测评报告,经被测单位确认，提交公安局网安部门进行备案。安全管理体系建设咨询按照安全管理需求，协助进行信息安全管理体系建设，包括:成立信息安全领导小组，编制信息安全规章制度和操作规程，建立信息安全监督机制、应急机制、通报机制、事件责任追究机制和风险管理机制，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容。规范系统运维管理，开展运维标准化作业，明确运维体系、费用标准、工作规范、流程标准、操作规程、装备标准、管理制度、考核标准，包含机房环境安全

9、、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。信息安全整改建设咨询1安全技术体系建设咨询完成等级测评后，提出技术安全建议与措施，指导信息系统的安全整改与加固。整改与加固实施方案的制定需要注意以下几点：(1)实施风险削减建议的优先度，便于用户在评估后根据揭示出的安全风险建立实施风险管理的计划；(2)提请注意风险削减与实施费用的平衡控制，做到适度安全；(3)提出的具体技术加固与整改措施、方案、建议等，覆盖所有评估内容；在对网络、系统、应用做加固工作时如果涉及的安全策略调整、协议、端口管理、打补丁等，要考虑加固对象的实施

10、风险，必要时要做好加固前的测试工作。(5)系统整改加固后，需要对已实施的安全措施进行有效性确认，以保证达到目标。2.公共服务域三级等级保护评测包括信息安全等级测评、信息安全管理规章制度梳理编制等。信息安全等级测评服务内容测评内容依据GB-T22239-2008信息系统安全等级保护测评要求等管理规范和技术标准，检测信息系统安全等级保护状况是否达到相应等级基本要求，通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题。等级保护测评包括安全技术测评和安全管理测评，其中安全技术测评包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；安全管理测评包括安全管理机构、安

11、全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。1、物理安全针对物理安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。2、网络安全针对网络安全方面的“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等测评指标，判断出与其相对应的各测评项的测评结果。3、主机安全针对主机安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码防护”、“资源控制”等测评指标

12、，判断出与其相对应的各测评项的测评结果。4、应用安全针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、“通信完整性”、“通信保密性”、“软件容错”、“资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。5、数据安全及备份恢复针对数据安全方面的“数据完整性”、“数据保密性”、“备份和恢复”等测评指标，判断出与其相对应的各测评项的测评结果。6、安全管理制度针对安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。7、安全管理机构针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检

13、查”等测评指标，判断出与其相对应的各测评项的测评结果。8人员安全管理针对人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。9、系统建设管理针对系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。10、系统运维管理针对系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、

14、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。测评工作流程信息安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评工作量也就越大。1、测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。2、方案编制工作方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指

15、导书开发及测评方案编制。3、现场测评工作现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。4、报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。安全管理体系建设咨询按照安全管理需求，协助进行信息安全管理体系建设，包括:成立信息安全领导小组，编制信息安全规章制度和操作规程，建立信息安全监督机制、应急机制、通报机制、事件责任追究机制和风险管理机制，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施

16、、验收交付、等级测评、安全服务等管理内容。规范系统运维管理，开展运维标准化作业，明确运维体系、费用标准、工作规范、流程标准、操作规程、装备标准、管理制度、考核标准，包含机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。信息安全整改建设咨询1安全技术体系建设咨询完成等级测评后，提出技术安全建议与措施，指导信息系统的安全整改与加固。整改与加固实施方案的制定需要注意以下几点：(1)实施风险削减建议的优先度，便于用户在评估后根据揭示出的安全风险建立实施风险管理的计划；(2)提请注意风险削减与实施费用的平衡控制，做到

17、适度安全；(3)提出的具体技术加固与整改措施、方案、建议等，覆盖所有评估内容；(4)在对网络、系统、应用做加固工作时如果涉及的安全策略调整、协议、端口管理、打补丁等，要考虑加固对象的实施风险，必要时要做好加固前的测试工作。(5)系统整改加固后，需要对已实施的安全措施进行有效性确认，以保证达到目标。3.政府网站群系统三级等级保护评测1信息安全等级保护测评内容淄博市政府网站群系统是按照平台资源集约化、网站管理分级化、政务服务便捷化化、平台功能组件化、数据汇集高效化的技术路线打造政府网站群。系统平台应用由前端应用、后台数据库、中间件平台3个功能子系统支撑构成。依据信息系统安全等级保护定级指南(GB/

18、T22240-2008)的要求，遵循规范的流程，按照等级保护三级要求分别对政府网站群3个功能子系统开展测评工作。根据定级梳理结果，按照信息安全技术信息系统安全保护等级基本要求(GB/T22239-2008),对信息系统系统进行信息安全等级保护现状测评。包括安全技术测评和安全管理测评。等级保护测评安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。重点测评对象种类主要考虑以下几个方面：主机房(包括其环境、设备和设施等)和部分辅机房；(2)存储被测系统

19、重要数据的介质的存放环境；(3)办公场地；整个系统的网络拓扑结构；(5)安全设备，包括防火墙、入侵检测设备和防病毒网关等；(6)边界网络设备(可能会包含安全设备)，包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等；(7)对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等;(8)承载被测系统主要业务或数据的服务器(包括其操作系统和数据库)；(9)管理终端和主要业务应用系统终端；(10)能够完成被测系统不同业务使命的业务应用系统；(11)业务备份系统；(12)信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；(13)涉及到信

20、息系统安全的所有管理制度和记录。(14)制定各系统应急预案并协助进行演练。依据信息系统安全等级保护基本要求，结合淄博市政府网站群系统安全等级进行等级保护测评，并逐项明确不符合项与安全要求之间的差距及可能造成的风险，出具完整的等级测评报告。2、测评工作流程信息安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评工作量也就越大°(1)测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。(2)方案编

21、制工作方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制°(3)现场测评工作现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。(4)报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制°最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。3、信息安全建设规划依据对淄博市政府网站群3个子系统系统安全现状测评的结果对网络结构及设备部署情况进行整体规划和调整，考虑物理设计、网络设计、主机设

22、计、应用设计和其他设计等内容。依据信息系统安全等级保护基本要求（GB/T22239-2008、信息安全技术信息系统安全管理要求（GBT20269-2006等，完成安全管理体系的规划指导。制定等级保护整改方案，指导信息系统安全技术体系和安全管理体系的构建。4、信息安全管理体系建设按照信息系统安全等级保护的相关要求，建立信息安全保护持续改进机制，梳理信息系统的信息安全等级保护管理制度体系，协助健全和完善信息安全的管理体系、技术体系和运维体系，促进信息安全保障水平不断提升。5、信息安全风险评估按照GB-T20984-2007信息安全风险评估规范标准和要求，对淄博市政府网站群系统进行风险评估，明确信息

23、系统安全风险，提出合理的、满足等级保护要求总体建设和管理规划，并制定安全实施计划，以指导后续的信息系统安全建设工程实施。6、安全咨询服务通过对安全问题的分析和总结，结合业界实践经验，对淄博市政府网站群系统安全运行进行分析，提出相应的改进建议，对规划和安全体系进行指导服务。并对安全科研课题、安全热点事件、行业安全规范提供咨询、解读、分析、指导服务。4.城市APP、微信公众号三级等级保护评测1信息安全等级保护测评内容城市APP微信公众号由主站、子站、微门户(安卓及IOS版本)、区县门户等构成。依据信息系统安全等级保护定级指南(GB/T22240-2008)的要求，遵循规范的流程，按照等级保护三级要

24、求对城市APP微信公众号开展测评工作。根据定级梳理结果，按照信息安全技术信息系统安全保护等级基本要求(GB/T22239-2008),对信息系统系统进行信息安全等级保护现状测评。包括安全技术测评和安全管理测评。安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。重点测评对象种类主要考虑以下几个方面：等级保护测评主机房(包括其环境、设备和设施等)和部分辅机房；存储被测系统重要数据的介质的存放环境；(3)办公场地；(4)整个系统的网络拓扑结构；(5)安

25、全设备，包括防火墙、入侵检测设备和防病毒网关等；(6)边界网络设备(可能会包含安全设备)，包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等；(7)对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；(8)承载被测系统主要业务或数据的服务器(包括其操作系统和数据库)；(9)管理终端和主要业务应用系统终端；(10)能够完成被测系统不同业务使命的业务应用系统；(11)业务备份系统;(12)信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；(13)涉及到信息系统安全的所有管理制度和记录。(14)制定各系统应急预案并协助进行演练。

26、依据信息系统安全等级保护基本要求，结合城市APP、微信公众号系统安全等级进行等级保护测评，并逐项明确不符合项与安全要求之间的差距及可能造成的风险，出具完整的等级测评报告。2、测评工作流程信息安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本耍求项越多，所需进行的测评工作量也就越大°(1)测评准备工作测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。(2)方案编制工作方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内

27、容确定、工具测试方法确定、测评指导书开发及测评方案编制°(3)现场测评工作现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。(4)报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制°最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。3、信息安全建设规划依据对淄博市城市APP微信公众号系统安全现状测评的结果对网络结构及设备部署情况进行整体规划和调整，考虑物理设计、网络设计、主机设计、应用设计和其他设计等内容。依据信息系统安全等级保护基本要求（GB

28、/T22239-2008、信息安全技术信息系统安全管理要求（GBT20269-2006等，完成安全管理体系的规划指导。制定等级保护整改方案，指导信息系统安全技术体系和安全管理体系的构建。4、信息安全管理体系建设按照信息系统安全等级保护的相关要求，建立信息安全保护持续改进机制，梳理信息系统的信息安全等级保护管理制度体系，协助健全和完善信息安全的管理体系、技术体系和运维体系，促进信息安全保障水平不断提升。5、信息安全风险评估按照GB-T20984-2007信息安全风险评估规范标准和要求，对淄博市城市APP微信公众号进行风险评估，明确信息系统安全风险，提出合理的、满足等级保护要求总体建设和管理规划，并制定安全实施计划，以指导后续的信息系统安全建设工程实施。6、安全咨询服务通过对安全问题的分析和总结，结合业界实践经验，对城市APP微信公众号系统安全运行进行分析，提出相应的改进建议，对规划和安全体系进行指导服务。并对安全科研课题、安全热点事件、行业安全规范提供咨询、解读、分析、指导服务。、