当前位置:
预算金额:¥150000 元 采购方式:直接采购
项目需求详情
点击登录查看采购需求书
一、项目概况
根据根据教育行业及公安部门工作要求,我校信息系统必须进行安全等级保护测评工作,并且根据国家《信息安全等级保护管理方法》、《信息安全技术信息系统安全等级保护测评要求》的规定,等保定级为三级的系统,每年都要测评一次,等保定级为二级的重要系统,建议每两年测评一次。我校网平台与一卡通系统均为三级系统;OA协同办公系统、学工管理系统、点击登录查看科研管理、点击登录查看邮件管理系统、均为二级系统。按照国家要求,以上系统今年需要测评,预算资金为15万元。
通过信息安全等级保护测评工作,可大大促进我校息安全建设工作标准化、制度化,建立信息安全管理制度体系,提高人力资源社会保障信息系统的安全保障能力和防护水平。通过本次项目,对我校主要信息系统现状与国家等级保护工作之间的差距进行分析,并以此出具整改方案,为后期整改做准备,当完成整改建设工作后使我校信息系统的安全防护能力应能够基本符合国家信息系统安全关于等级保护基本要求。
通过信息安全等级保护测评工作,可大大促进我校息安全建设工作标准化、制度化,建立信息安全管理制度体系,提高人力资源社会保障信息系统的安全保障能力和防护水平。通过本次项目,对我校主要信息系统现状与国家等级保护工作之间的差距进行分析,并以此出具整改方案,为后期整改做准备,当完成整改建设工作后使我校信息系统的安全防护能力应能够基本符合国家信息系统安全关于等级保护基本要求。
二、商务需求
(1)验收标准:学校收到信息系统安全等级保护测评报告
(2)质保期:无(本项目为测评项目)
(3)售后服务:2年
(4)付款方式:分期付款
(5)交货期:从签订合同之日起4个月内
(6)交货地点:点击登录查看网络与信息中心
三、技术需求
技术参数及说明
| 工作阶段 | 具体内容 |
| 等级保护差距分析 | 差距分析:针对信息系统的安全保护现状,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面进行分析,分析各层面安全现状与等级保护基本要求之间的差距,完成《信息系统安全差距分析报告》 |
| 安全整改方案设计 | 安全管理设计:根据《信息系统安全差距分析报告》,对信息安全保障中各种制度、规章以及相关制度规章的落实,进行细致的规划设计; 安全技术设计:根据《信息系统安全差距分析报告》,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面,对机房物理环境、网络结构、策略配置、工具评估结果等详细分析,根据分析结果设计安全技术方案,通过对现状的设计规划,完成《信息系统安全整改建设方案》。 |
| 等级测评 | 技术测评: 1、安全物理环境:安全物理环境测评通过访谈和检查的方式评测物理环境安全保障情况。主要涉及对象为信息系统所在机房,具体测评内容包括:(1)物理位置的选择(2)物理访问控制(3)防盗窃和放破坏(4)防雷击(5)防火(6)防水和防潮(7)防静电(8)温湿度控制(9)电力供应(10)电磁防护 2、安全通信网络:安全通信网络测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以及网络安全设备等三大类,具体的测评内容如下所示:(1)结构安全(2)访问控制(3)安全审计(4)边界完整性检查(5)入侵防范(6)恶意代码防范(7)网络设备防护。 3、安全区域边界:安全区域边界安全测评通过访谈、检查和测试的方式,测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。具体测评内容包括:(1)边界防护(2)访问控制(3)入侵防范(4)恶意代码防范(5)安全审计(6)可信验证 4、安全计算环境:安全计算环境测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统,具体测评内容包括:(1)身份鉴别(2)访问控制(3)安全审计(4)入侵防范(5)恶意代码防范(6)可信验证(7)数据完整性(8)数据备份恢复(9)剩余信息保护(10)个人信息保护 5、安全管理中心:安全管理中心测评通过访谈和检查的方式评估生产系统的数据安全保障情况。重点检测信息系统的数据在采集、传输、处理和存储过程中的安全,以及数据备份恢复的安全。具体测评内容包括:(1)系统管理(2)审计管理 管理测评: 1、安全管理制度:安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评标和修订等情况。主要涉及的对象为安全主管人员、安全管理人员、其他人员、管理制度、操作规程文件等,具体测评内容包括:(1)安全策略(2)管理制度(3)制定和发布(4)评审和修订 2、安全管理机构:安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及的对象为安全主管人员、安全管理人员、相关的文件资料和工作记录等,具体测评内容包括:(1)岗位设置(2)人员配备(3)授权和审批(4)沟通和合作(5)审核和检查 3、安全管理人员:安全管理人员测评通过访谈和检查的形式评估机构人员安全控制方面的情况。主要涉及对象为安全主管人员、人事管理人员、相关管理制度、相关工作记录等,具体测评内容包括:(1)人员录用(2)人员离岗(3)安全意安全意识教育和培训(4)外部人员访问管理 4、安全建设管理:安全建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及对象为安全主管人员、系统建设负责人、管理制度、操作规程文件、执行过程记录等,具体测评内容包括:(1)系统定级(2)安全方案设计(3)产品采购和使用(4)自行软件开发(5)外包软件开发(6)工程实施(7)测试验收(8)系统交付(9)等级测评(10)安全服务商选择 5、安全运维管理:通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、运维人员,涉及内容有运维管理制度、运维服务团队的管理制度、操作规程文件、执行过程记录等。具体测评内容包括:(1)环境管理(2)资产管理(3)介质管理(4)设备维护管理(5)漏洞和风险管理(6)网络和系统安全管理(7)恶意代码防范管理(8)配置管理(9)密码管理(10)变更管理(11)备份与恢复管理(12)安全事件处置(13)应急预案管理(14)外包运维管理 6、工具测试:提供漏洞扫描结果分析系统、等级保护操作系统基线核查系统、代码审查系统、大数据基准测试系统、等级保护测评辅助系统、等级保护差距分析辅助系统、等级保护网络设备配置核查系统相应测试工具的软件著作权截图及功能截图。 7、实现测评报告数字化转型,对历年的测评报告通过平台实现,提供功能介绍及设计方案详细描述及功能截图;测评全过程实现实时监控,提供功能介绍及设计方案详细描述及功能截图;测评报告电子数字化分析,提供功能介绍及设计方案详细描述及功能截图;甲方如需同兵团教育局实现数据对接,乙方须免费提供平台服务; 8、交付《信息系统安全等级保护测评报告》 |
| 安全培训 | 1、 网络安全法解读、网络安全意识培训、关键信息基础设施网络安全保护、网络安全等级保护及网络安全技术培训。 2、网络安全意识培训需提供对应手册(宣传册)和视频资料等。 |
其他:项目交付内容:
《信息系统安全整改建设方案》
《信息系统安全等级保护测评报告》
