网站安全等保测评服务项目

一、测评服务要求

1、 项目背景

为满足信息化安全建设的需要，按照相关文件及《网络安全法》要求，为进一步提升网络与信息安全工作水平，消除信息系统安全隐患，充分掌握和降低信息系统所面临的安全风险，加强系统抵御网络安全威胁的能力，针对信息系统安全防护组织等级测评服务招标。

2、 总体要求

(1)按照网络安全等级保护定级标准和工作要求，开展信息系统安全等级保护系统梳理和定级工作，协助完成系统的定级报告，并协助完成到公安机关的备案工作。

(2)按照国家等级保护2.0相关标准和要求，开展信息系统安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，遵循适度原则，提出切实可行的整改建议，最终完成等级保护测评报告。

(3)针对测评中发现的信息安全管理漏洞和薄弱环节，深入分析下一步信息系统建设和管理的实际安全需求，协助开展相关的安全整改工作，确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。

二、服务内容

1、 定级梳理

按照公安部网络安全等级保护工作要求，开展信息系统安全等级保护定级备案工作。要求完成各系统的定级报告，并协助到公安机关完成备案。系统情况如下表：

信息系统名称: 邹城市人民医院官方网站    安全保护等级: 第三级

2、 信息安全等保测评

技术部分：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

管理部分：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

（一）安全技术测评

安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全测评。

1.安全物理环境。对机房和现场在“物理位置选择”“物理访问控制”“防盗窃和防破坏”“防雷击”“防火”“防水和防潮”“防静电”“温湿度控制”“电力供应”“电磁防护”等物理环境方面所采取的技术措施进行测评，并形成测评结果记录。

2.安全通信网络。对在“网络架构”“通信传输”“可信验证”等通信网络方面所采取的技术措施进行测评，并形成测评结果记录。

3.安全区域边界。对区域边界方面采取的“边界防护”“访问控制”“入侵防范”“恶意代码和垃圾邮件防范”“安全审计”“可信验证”等技术措施进行测评，并形成测评结果记录。

4.安全计算环境。对计算环境方面采取的“身份鉴别”“访问控制”“安全审计”“入侵防范”“恶意代码防范”“可信验证”“数据完整性”“数据保密性”“数据备份恢复”“剩余信息保护”“个人信息保护”等技术措施进行测评，并形成测评结果记录。

5.安全管理中心。对安全管理中心在“系统管理”“审计管理”“安全管理”“集中控制”等方面的技术措施进行测评，并形成测评结果记录。

（二）安全管理测评

安全管理测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全测评。

1.安全管理制度。对信息系统在安全管理制度方面的“安全策略”“管理制度”“制定和发布”“评审和修订”等管理措施进行测评，并形成测评结果记录。

2.安全管理机构。对信息系统在安全管理机构方面的“岗位设置”“人员配备”“授权和审批”“沟通和合作”“审核和检查”等管理措施进行测评，并形成测评结果记录。

3.安全管理人员。对信息系统在安全管理人员方面的“人员录用”“人员离岗”“安全意识教育和培训”“外部人员访问管理”等管理措施进行测评，并形成测评结果记录。

4.安全建设管理。对信息系统在安全建设管理方面的“定级和备案”“安全方案设计”“产品采购和使用”“自行软件开发”“外包软件开发”“工程实施”“测试验收”“系统交付”“等级测评”“服务供应商选择”等管理措施进行测评，并形成测评结果记录。

5.安全运维管理。对信息系统在安全运维管理方面的“环境管理”“资产管理”“介质管理”“设备维护管理”“漏洞和风险管理”“网络和系统安全管理”“恶意代码防范管理”“配置管理”“密码管理”“变更管理”“备份与恢复管理”“安全事件处置”“应急预案管理”“外包运维管理”等管理措施进行测评，并形成测评结果记录。

健全安全管理体系

按照信息系统安全等级保护的相关要求，梳理和完善我单位信息安全管理制度，健全和完善信息安全管理体系和技术保障体系。

依据标准《信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息安全技术 信息系统安全管理要求》（GBT20269-2006）等，完成安全管理体系的设计，制定等级保护整改方案，指导完成信息系统安全技术体系和安全管理体系的建立健全。待整改完毕后，进行结果确认，完成网络安全等级保护测评，出具测评报告，并将测评报告报当地公安机关备案。

3、 成果交付

项目实施完成后，要求投标人提供包括但不限于交付物如下：

《邹城市人民医院网站网络安全等级保护测评差距分析报告》

《邹城市人民医院网站网络安全整改方案》

《邹城市人民医院网站信息系统等级保护测评报告》

项目相关的各项管理文档以及生成的阶段性报告或资料等过程文档。

4、 测评单位要求

(1)供应商必须符合《中华人民共和国政府采购法》第二十二条的规定；

(2)供应商必须具备山东省公安厅推荐的《网络安全等级保护测评机构推荐证书》；

5、 其他要求

(1)本次等级测评成立项目组，指定项目负责人负责整个项目，项目组成员至少包含1名高级等级测评师、2名中级等级测评师、3名初级测评师，投标人应详细描述项目组成员人员分工计划。项目负责人同时具有等级测评师证书、CSSP（注册软件安全专业人员认证）

(2)工期要求：合同签订后30日内出具报告。

(3)项目实施过程中所收集、产生的所有与本项目相关文档、资料，包括文字、图片、表格、数字等各种形式所属权均归属甲方，成交供应商有义务对所涉及到的内容保密，并在签定合同时签署保密协议。

1宗

80000.00元