大学等级保护测评服务2021招标公告

(略) (略) 和 * 卡通系统的续评，获得年度测评证明（ * 日前）， (略) 要求的信息系统测评及续评（ * 日前）。根据相关文件及标准要求， (略) (略) 测评的信 (略) 络安全等级保护定级、备案、测评、协助整改等工作， (略) 发布的《信息安全等级保护测评报告模版（ * 年版）》要求，出具符合格式要求的等级测评报告。

1、工作内容

1.1定级备案服务

(略) (略) 测评的 (略) 定级、备案材料的编写，协助采购方到 (略) 门办理备案手续，确保信息系统安全保护等级定级准确、备案完整。

1.2信息系统安全等级保护测评服务

依据《信 (略) 络安全等级保护基本要求》GB/T *** 9、《信 (略) 络安全等级保护测评要求》GB/T *** 、《信 (略) 络安全等级保护安全设计技术要求》GB/T *** 9、《信 (略) 络安全等级保护测评过程指南》GB/T *** 8等标准的要求， (略) (略) 测评的 (略) 等级测评，出 (略) 络安全等级保护格式要求的等级测评报告。测评范围 (略) 涉及的机房基础设施、网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最 (略) (略) 门的等级保护检查要求。

测评内容应包括但不限于以下内容：

（1）安全技术测评：包括安全物理环境、 (略) 络、安全区域边界、安全计算环境 (略) 等 * 个方面的安全测评。

（2）安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等 * 个方面的安全测评。

（3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。

1.3安全整改建设方案编制

安全整改建设方案应严格依据《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全保护实施指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求制定《 (略) 信息系统安全整改建设方案》，并在后续提 (略) 服务，协助客户完善信息系统的安全防护措施，使系统达到等级保护相应级别的相关要求。

1.4 * 次测评

采购方完成信息系统安全整改后，对整改后的 (略) 复测，出具正式的测评报告， (略) 门办理备案手续。

1.5标准和规范

《GB/T * 9- (略) 络安全等级保护测评过程指南》

《GBT * 9- (略) 络安全等级保护基本要求》

《GB/T * 0- (略) 络安全等级保护设计技术要求》

《GB/T * 8- (略) 络安全等级保护测评要求》

《GB/T *** 9信息安全技术 网络安全等级保护实施指南》

《GB/T 2 * 信息安全技术 网络安全等级保护定级指南》

1.6测评实施原则

在项目实施过程中必须满足以下原则：

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人， (略) (略) 为。

标准性原则：测评方案的设计与实施应依据国家信息系统安全等级保护的 (略) 。

规范性原则：投标方的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

可控性原则：项目安排工作进度要跟上进度表的安排，保证工作的可控性。

最小影响原则：测评工作应尽可能小的 (略) 络，并在可控范围内；测评工作不能对现有信息系 (略) 、业务的正常开展产生任何影响。

整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

1.7整体要求

（1）投标人应详细描述本次信息系统安全等级保护测评的整体实施方案，包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。

（2）投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的 (略) 本次信息安全等级保护测评工作。

（3）投标 (略) 络安全等级保护工作协调小组颁发的《网络安全等级保护测评机构推荐证书》（近 (略) 门停业整改过的测评机构不能参与本项目）。

（4）投标人应具备等级测评项目经验，参与项目的测评人员不少于3人；投标供应商必须提供高级测师资质证明或CISP证书,种类含盖CISO、CISE和CISP-PTE等。

（5）本次信息系统安全等级保护测评 (略) 使用到的各种工具软件（包括测试工具和报告编写工具）应符合国家相关要求，经招标人确认后由投标人提供并在信息系统等级保护测评中使用。

（6）信息系统安全等级保护测 (略) 环境（如场地、网络环境等）由招标人提供，投标人应详细描 (略) 环境的具体要求。

（7）供应商测评后输出的整改方案 (略) 的实际情况和要求给出合理的整改建议。

1.8专用工具要求

本项目涉及工程实施 (略) 需的工具，由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前， (略) 测评，如果需要 (略) 软件或代码升级。

1.9安全管理要求

为做好全过程的安全保密工作，在等级保护测评前、中、后 * 个阶段都要做好安全保密工作。

(1)等级保护测评前

1）对等级保护测 (略) 安全保密教育，制定安全保密措施；

2）签订安全保密协议。

(2)等级保护测评中

1）对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方 (略) 严格的安全保密管理；

2）等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序；

3）对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围；

4）对测评设备、 (略) 严格的保密管理；

5）工作过程中对人员要实施封闭式集中管理；

6） (略) 人员遵守被测单位的相关管理规定。

(3)等级保护测评后

1）认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏；

2）现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何 (略) 程序；

3）在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。

1. * 售后服务

项目验收后免费提供 * 年的安全服务， (略) 安全防护、漏洞修复、网络优化、配置加固、安全建设方案编写、安全管理制度完善、安全 (略) 服务。测评机构必须提供7X * 小时应急服务工作，特殊重大事件发生，需要 (略) 进行支撑。

3、测评风险规避要求

项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。

指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文 (略) 安全保密管理，对重点设备的 (略) 监督，对接入的 (略) 控制。

安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法：

1）操作的申请和监护

在实施过程中必须遵守的相关操作章程，以防止敏感信息泄漏 (略) 理意外事件。

2）操作时间控制

对测评直接影响系统工作时，尽可能避开敏感时期。

3）人员与数据管理

必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。

4）制定应急预案

根据测评范围界定的系统情况，在实施前制定应急预案。

5）关键业务系统风险控制

对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和简单测 (略) 。

6）优化扫描策略

分类扫描:对不同的主机和 (略) 不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。

7）数据备份与恢复

对业务系统和数据库主机，应对 (略) 备份，防止测评过程中对设备与主机的损伤影响业务系 (略) 。

8）厂商协作

厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息，在测评之前，由 * 方共同分析测评对业务可能造成的风险，分析可能存在的问题。在测评过程中尽量规避这些风险。

* 、其它要求

1、如成交供应商发生兼并、重组， (略) 按投标文件承担相应售后服务；

2、供应商使用的技术装备、设施应当符合《信息安全等级保护管理办法》中对信息安全产品的要求；

3、供应商的技术方案中应有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

4、供应商需提供等级保护测评案例成交通知书备查。

?

?

?

?

?