第三包安全测评采购需求

第三包安全测评采购需求一、项目概况1.1项目背景北京法院对外委托鉴定评估升级改造项目，旨在通过利用信息化手段，打造一个能够为诉讼服务中心提供服务支撑和工作监管的便民服务系统，全面实现诉讼服务中心职能信息化全覆盖，积极为当事人提供一站式、低成本、易操作、多渠道的鉴定服务，满足人民群众各项司法需求，实现诉讼服务便民、公平、同质。通过线上发起鉴定、审核、委托受理、接收鉴定材料、回传鉴定报告、鉴定结果入卷等力求达到将线下工作全部规制到线上的规划目标；同时对鉴定机构资质进行审核、信息公开、公开摇号、考核、评价、廉政审查等，进一步规范对机构的管理；对接本地标准库，将数据推送至大数据系统，进行数据资源共享。1.2项目目标依据国家网络安全相关法律法规和等级保护相关标准规范，结合金融法院信息化建设项目的实际情况，对金融法院信息化建设项目进行安全测评。安全测评包括两部分内容，其中互联网部分依据安全建设需求进行安全测评并出具安全验收测评报告，除过专网部分以外的内容，依据等级保护三级标准进行等级测评并出具等级测评报告。二、测评内容及要求2.1验收测评对本院互联网进行安全验收测评，测评机构在项目验收测评前应提供《项目安全验收测评方案》并由采购人进行方案确认后，方可开展测评工作，测评工作结束后出具《项目安全验收测评报告》。安全验收测评内容主要包括：依据安全建设需求，国家网络安全等级保护及相关标准规范，从安全通信网络、安全区域边界、安全计算环境等层面对金融法院互联网开展安全验收测评工作，并出具项目安全验收测评报告，最终满足项目安全建设需求。2.2等保测评本项目中的重要业务系统拟定级为等保三级系统，中标单位需要依据《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）及相关标准规范，协助采购人对相关系统开展定级、备案等工作，包括拟定级系统梳理、定级材料准备、专家评审，备案材料准备等工作，最终取得公安机关的备案证明。等级测评的主要内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理十个层面。测评机构应依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）及相关标准规范开展等保测评工作。测评机构在等保测评前应提供《网络安全等级保护测评方案》，并由采购人进行方案确认后，方可开展测评工作，测评工作结束后出具《网络安全等级保护测评报告》。本次对信息系统的等级保护测评从技术和管理两个方面进行开展，包括单元测评和整体测评。等保测评内容具体包括：1、单元测评1）安全物理环境物理安全测评将通过访谈和检查结合的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。在内容上，物理安全层面测评实施过程涉及10个工作单元，具体如下表：序号工作单元名称1物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护2）安全通信网络安全通信网络测评将通过访谈、检查和测试结合的方式评测信息系统的通信网络安全保障情况。主要涉及对象为网络架构、网络设备、安全设备及相关组件。在内容上，安全通信网络测评过程涉及3个工作单元，具体如下表：序号工作单元名称1网络架构2通信传输3可信验证3）安全区域边界安全区域边界测评将通过访谈、检查和测试结合的方式评测信息系统的安全区域边界保障情况。主要涉及对象为网络架构、网络设备、安全设备及相关组件。在内容上，安全区域边界层面测评实施过程涉及6个工作单元，具体如下表：序号工作单元名称1边界防护2访问控制3入侵防范4恶意代码和垃圾邮件防范5安全审计6可信验证4）安全计算环境安全计算环境测评将通过访谈、检查和测试结合的方式评测信息系统的安全计算环境保障情况。主要涉及对象为终端、服务器、网络设备、安全设备、移动终端、感知节点设备、控制设备、运业务应用系统、数据库管理系统、系统管理软件及系统设计文档等。在内容上，安全计算环境层面测评实施过程涉及11个工作单元，具体如下表：序号工作单元名称1身份鉴别2访问控制3安全审计4入侵防范5恶意代码防范6可信验证7数据完整性8数据保密性9数据备份恢复10剩余信息保护11个人信息保护5）安全管理中心安全管理中心测评将通过访谈和检查结合的方式评测信息系统的安全管理中心保障情况。主要涉及对象为提供集中系统管理的功能软件等。在内容上，安全管理中心层面测评实施过程涉及4个工作单元，具体如下表：序号工作单元名称1系统管理2审计管理3安全管理4集中管控6）安全管理制度安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上，安全管理制度测评实施过程涉及4个工作单元，具体如下表：序号工作单元名称1安全策略2管理制度3制定和发布4评审和修订7）安全管理机构安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上，安全管理机构测评实施过程涉及5个工作单元具体如下表：序号工作单元名称1岗位设置2人员配备3授权和审批4沟通和合作5审核和检查8）安全人员管理安全管理人员测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上，安全管理人员测评实施过程涉及4个工作单元具体如下表：序号工作单元名称1人员录用2人员离岗3安全意识教育和培训4外部人员访问管理9）安全建设管理安全建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上，安全建设管理测评实施过程涉及10个工作单元，具体如下表：序号工作单元名称1定级和备案2安全方案设计3产品采购和使用4自行软件开发5外包软件开发6工程实施7测试验收8系统交付9等级测评10服务供应商管理10）安全运维管理安全运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上，安全运维管理测评实施过程涉及14个工作单元具体如下表：序号工作单元名称1环境管理2资产管理3介质管理4设备维护管理5漏洞和风险管理6网络和系统安全管理7恶意代码防范管理8配置管理9密码管理10变更管理11备份与恢复管理12安全事件处置13应急预案管理14外包运维管理2、整体测评1)安全控制点安全测评安全控制点测评是指对单个控制点中所有要求项的符合程度进行分析和判定。在单项测评完成后，如果该安全控制点下的所有要求项为符合，则该安全控制点符合，否则为不符合或部分符合。2） 安全控制点间测评安全控制点间安全测评是指对同一区域同一类内的两个或者两个以上不同安全控制点间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响。3）区域间测评区域间安全测评是指对互连互通的不同区域之间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响。三、测评要求1、要求供应商根据信息系统实际情况，建立能够保证测评项目顺利进行的项目团队，采用标准的施工规范和项目控制措施。2、安全测评过程应综合运用各种手段，通过技术测试、实地调查、访谈等多种途径以切实发现网络信息系统中存在的各类问题和隐患。3、安全测评前须向采购人提交测评方案，经确认后方可实施。4、安全测评的过程不能影响各项业务的正常进行，对危险操作给出《风险规避方案》并指明可能产生的后果，在征得批准后方可实施。5、本项目中涉及到的部分等级测评内容，可能会接触到重要敏感数据，因此需要加强安全保障服务单位的管理，以及整个测评流程的安全风险控制，在《网络安全等级测评方案》中应提出安全风险的规避方式。防止重要敏感信息泄漏，以及由于相关等级测评内容的