【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保资讯
等保资讯 您的位置:首页>等保资讯 >
中国科学技术大学先进技术研究院智慧园区综合业务系统等级保护测评方案
时间:2021-04-29阅读量:1746来源:安徽等级保护网关键词:中国科学技术大学先进技术研究院 智慧园区综合业务系统 等级保护测评方案 返回列表

中国科学技术大学先进技术研究院智慧园区综合业务系统等级保护测评方案

一、服务内容

1、依据国家相关文件、标准、系统安全保护等级和《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)及《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)对智慧园区综合业务系统(二级系统)进行信息安全等级保护测评,最终通过等保测评并出具信息系统安全等级测评报告。主要包含但不限于以下服务内容:

(1)安全技术测评。包括安全物理环境、安全通讯网络、安全区域边界、安全计算环境及安全管理中心等五个方面的安全测评。

(2)安全管理测评。包括安全管理机构、安全管理制度、安全管理人员、安全建设管理及安全运维管理等方面的安全测评。

(3)形成差距分析报告。依据测评结果和《网络安全等级保护基本要求》(GB/T 22239-2019),对各信息系统进行安全现状分析,形成相应的差距分析报告。

(4)编制系统安全整改方案。依据《网络安全等级保护基本要求》和《网络安全等级保护安全设计技术要求》,结合差距分析结果,编制针对各信息系统的安

全整改建设方案。

(5)编制和完善安全管理制度。依据《网络安全等级保护基本要求》和《网络安全等级保护安全设计技术要求》,协助委托单位制订和完善各项信息安全管理

制度,规范信息安全日常管理工作,提高信息安全基础管理水平。

按年完成上述信息系统定级备案及测评工作和实施整改后,供应商出具符合

公安机关要求的(年度)网络安全等级保护测评报告。

2、安全咨询服务:通过对安全问题的分析和总结,结合业界实践经验,对安全运行进行分析,对规划和安全体系进行指导服务。并对安全课题、安全热点事件、行业安全规范提供咨询、解读、分析、指导服务;

3、网络安全应急响应服务:一年内提供网络安全应急支撑服务,完善应急预案,举行应急演练,协助用户开展网络安全事件的预防、发现、预警和协调处置等工作,提供24小时专家电话服务、出现问题承诺提供至少2人到现场支持。根据应急事件的等级对网络安全事件进行及时支撑和处理,把网络安全事件的风险降到最低:

4、安全加固服务:针对安全漏洞和安全配置评估中发现的安全漏洞和配置缺陷,提供加固意见和方案论证,配合客户完成配置修复。 

二、服务原则

1、符合性原则:符合国家、教育部等信息系统安全等级评估/测评有关规范,指出防范的方针和保护的原则;

2、标准性原则:等级测评及风险分析发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行;

3、规范性原则:安全服务提供商在项目实施工作中的过程和文档,应具有很好的规范性,可以便于项目的跟踪和控制;

4、可控性原则:安全服务的方法和过程要在双方认可的范围之内,保证对于服务工作的可控性;

5、整体性原则:等级测评及整改建议的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;

6、最小影响原则:测评及扫描工作应尽可能小的影响系统和网络的正常运行,不能对各系统的运行和业务产生显著影响;

7、保密原则:应对服务过程中获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,否则有权追究其责任。

三、服务依据

公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)

《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)

《GB/T 25058-2019信息安全技术网络安全等级保护实施指南》

《GB/T 28448-2019信息安全技术网络安全等级保护测评要求》

《GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南》

四、服务要求

1、总体要求

本项目中重要信息系统,是指已经定级备案系统。项目招标后,应立即开展测评工作,并履行完成投标人承诺的等保测评服务。

本项目通过购买信息系统等级保护测评服务,达到信息系统安全等级保护等级要求。

2、测评机构及人员要求

(1)测评机构入围全国等级保护测评机构推荐目录(网址 http://www.djbh.net可查询)。

(2)测评机构至少提供二个第三级系统测评案例。    

(3)提供不少于四名具有等级保护测评资格的专业技术人员,组建合理的测评项目组,其中项目组成员具有高级测评师证书的一名,具有中级工程师证书的两名(中级测评师中同时具有机电专业国家注册一级建造师证书或者系统集成项目管理工程师证书的机构优先考虑),在本项目进行期间,未经采购人同意,中途不得更换人员,也不得将检测任务分包或转包。(投标文件中须提供资格证明扫描件或影印件)

3、服务要求

等保安全培训:免费提供一次培训,培训内容为网络安全及等保测评相关内容。

4、其他要求 

(1)保密要求。投标人应提供保密承诺,自签订合同之日起至项目验收,采取必要的控制措施防止因项目实施造成的任何信息泄漏。

(2)风险规避。投标人应提供风险规避声明,自签订合同之日起至服务期结束,采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。

上一篇:中国科学技术大学先进技术研究院智慧园区综合业务系统等级保护测评询价采购公告 下一篇:宿州职业技术学院网络安全等级保护测评采购项目竞争性磋商公告
Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。