宣城市中级人民法院司法查控系统等级保护测评方案
一、服务内容
1、按照《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络等级安全保护测评要求》(GB/T28448-2019)等国家相关政策条例、信息安全标准和要求,对司法查控系统(三级系统)进行信息安全等级保护测评,最终通过等保测评并出具信息系统安全等级测评报告。主要包含但不限于以下服务内容:
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)整体测评:应从安全控制点间、层面间和区域间等方面进行安全分析和测评,并最后从系统结构安全方面进行综合分析,对系统结构进行安全测评。
(4)形成差距分析报告:依据测评结果和《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019),对信息系统进行安全现状分析,形成相应的差距分析报告。
(5)编制系统安全整改方案:依据《信息安全技术网络安全保护等级基本要求》和《信息安全技术网络安全等级保护测评要求》,结合差距分析结果,编制针对各信息系统的安全整改建议及建设方案。
(6)编制等级测评报告:完成上述测评工作和建设方实施整改后,对系统进行复测评并出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
2、安全咨询服务:通过对安全问题的分析和总结,结合业界实践经验,对安全运行进行分析,对规划和安全体系进行指导服务。并对安全课题、安全热点事件、行业安全规范提供咨询、解读、分析、指导服务;
3、网络安全应急响应服务:一年内提供网络安全应急支撑服务,完善应急预案,举行应急演练,协助用户开展网络安全事件的预防、发现、预警和协调处置等工作,提供24小时专家电话服务、出现问题承诺提供至少2人到现场支持。根据应急事件的等级对网络安全事件进行及时支撑和处理,把网络安全事件的风险降到最低:
4、安全加固服务:针对安全漏洞和安全配置评估中发现的安全漏洞和配置缺陷,提供加固意见和方案论证,配合客户完成配置修复。
二、服务原则
1、符合性原则:符合国家、教育部等信息系统安全等级评估/测评有关规范,指出防范的方针和保护的原则;
2、标准性原则:等级测评及风险分析发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行;
3、规范性原则:安全服务提供商在项目实施工作中的过程和文档,应具有很好的规范性,可以便于项目的跟踪和控制;
4、可控性原则:安全服务的方法和过程要在双方认可的范围之内,保证对于服务工作的可控性;
5、整体性原则:等级测评及整改建议的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
6、最小影响原则:测评及扫描工作应尽可能小的影响系统和网络的正常运行,不能对各系统的运行和业务产生显著影响;
7、保密原则:应对服务过程中获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,否则有权追究其责任。
三、服务依据
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)
《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)
《GB/T 25058-2019信息安全技术网络安全等级保护实施指南》
《GB/T 28448-2019信息安全技术网络安全等级保护测评要求》
《GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南》
四、服务要求
1、总体要求
本项目中重要信息系统,是指已经定级备案系统。项目招标后,应立即开展测评工作,并履行完成投标人承诺的等保测评服务。
本项目通过购买信息系统等级保护测评服务,达到信息系统安全等级保护等级要求。
2、测评机构及人员要求
(1)测评机构入围全国等级保护测评机构推荐目录(网址 http://www.djbh.net可查询)。
(2)测评机构至少提供二个第三级系统测评案例。
(3)提供不少于四名具有等级保护测评资格的专业技术人员,组建合理的测评项目组,其中项目组成员具有高级测评师证书的一名,具有中级工程师证书的两名(中级测评师中同时具有机电专业国家注册一级建造师证书的机构优先考虑),在本项目进行期间,未经采购人同意,中途不得更换人员,也不得将检测任务分包或转包。(投标文件中须提供资格证明扫描件或影印件)
3、服务要求
等保安全培训:免费提供一次培训,培训内容为网络安全及等保测评相关内容。
4、其他要求
(1)保密要求。投标人应提供保密承诺,自签订合同之日起至项目验收,采取必要的控制措施防止因项目实施造成的任何信息泄漏。
(2)风险规避。投标人应提供风险规避声明,自签订合同之日起至服务期结束,采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。