PDF《鹤壁丰鹤发电有限责任公司》

鹤壁丰鹤发电有限责任公司 关键信息系统安全等级测评技术规范 采购人:鹤壁丰鹤发电有限责任公司 时间:2017 年6月目录

一、技术规范

1

1、总则及资质要求.

1 2.项目背景

2 3.标准及规范

2 3.1 总则

2 3.2 引用的规范及标准.2 4.技术要求

3 4.1等级测评要求.3 4.2整改建议要求.4

二、 服务范围

5

三、技术资料及交付进度.5

四、递交材料进度.6

五、技术服务

6 鹤壁丰鹤发电有限责任公司关键信息系统等级保护测评技术规范

1

一、技术规范

1、总则及资质要求 1.1本技术规范书适用于鹤壁丰鹤发电有限责任公司关键信息系统安全等级保护测评项 目,包含DCS、SIS、MIS 等系统. 本次信息系统安全等级保护测评项目的范围涉及以下信息系统: 序号 信息系统名称 信息系统描述

1 DCS系统 火电机组控制系统软硬件、网络及边界安全防护

2 SIS系统 厂级监控系统软硬件、网络及边界安全防护

3 MIS 系统 管理信息系统软硬件、网络及边界安全防护 1.2鹤壁丰鹤发电有限责任公司在本采购文件中提出了最低限度的技术要求,并未规定 所有的技术要求和适用的标准,报价响应人应提供满足本采购文件和所列标准要求的高 质量服务. 1.3如果报价响应人没有以书面对本采购书的条文提出异议,鹤壁丰鹤发电有限责任公 司则认为报价响应人提出的服务应完全符合本采购书的要求.如有异议,不管是多么微 小,都应在差异表中提出. 1.4 从签订合同之后至报价响应人开展项目之日的这段时间内,鹤壁丰鹤发电有限责任公司有权提出因规程、规范和标准发生变化而产生的一些补充修 改要求,报价响应人应遵守这些要求. 1.5本技术规范书所引用的标准若与报价响应人所执行的标准发生矛盾时,按较高的标 准执行. 1.6报价响应人在现场测评期间对测评的信息系统及其网络和硬件设备负有保护责任, 遵守鹤壁丰鹤发电有限责任公司的相关管理制度. 1.7本采购文件为订货合同的附件,与合同正文具有同等效力.双方最终签订的技术协 议以本采购技术规范文件为蓝本. 1.8报价响应人提供的技术方案和测评报告等应使用中文. 1.9 合同签订后中标人提供的文件,包括项目计划书、项目实施方案、测评报告、整改方 案等及相互通(信)讯,均应使用中文.不论在合同谈判及签约后的项目测评期间,中 文是主要的工作语言.若文件为英文,应同时附中英文相一致对照文件,若中英文有矛 鹤壁丰鹤发电有限责任公司关键信息系统等级保护测评技术规范

2 盾时以中文为主. 1.10 报价响应人必须是公安部全国等级保护测评机构推荐目录中的企业,须具有公安部 信息安全等级测评机构认证资质,并提供资质证明. 1.11 报价响应人需提供本项目测评人员的基本信息,项目测评人员须取得公安部信息安 全等级测评师资格,并提供资格证书. 1.12 报价响应人须有近三年以来至少三个电厂网络安全等保测评项目业绩,需提供业绩 证明文件. 1.13 为保证售后服务的响应速度及服务质量,故障发生后需

1 小时之内响应,6 小时之 内到达现场. 2.项目背景 依据《信息安全等级保护管理办法》(公通字[2007]43 号)、《信息安全等级保护 基本要求》 (GB/T 22239-2008)、 《信息系统安全等级保护实施指南》 (信安字[2007]10 号)、《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429 号)等相 关文件要求,为全面提升鹤壁丰鹤发电有限责任公司信息系统的安全保障能力和防护水 平,择优选取具有信息安全等级测评资质的第三方安全等级测评公司,对本单位系统进 行全面的安全等级测评并协助完成整改工作. 3.标准及规范 3.1 总则 3.1.1 本技术规范书中包括的所有设备应遵照下列组织的适用标准和规范进行测评. 所采 用的标准和规范应为合同期间的最新有效版本.当参照的规范和标准与本规范书存在明 显冲突时,报价响应人应向采购方指出冲突之处并取得鹤壁丰鹤发电有限责任公司的书 面意见. 3.1.2报价响应人应保证向鹤壁丰鹤发电有限责任公司提供的所有服务遵循采购方所在 国和当地的法律、法规及适用的规范和标准. 3.1.3报价响应人可提出其他相当的替代标准,但需经鹤壁丰鹤发电有限责任公司书面 确认. 3.2 引用的规范及标准 1) 《中华人民共和国保守国家秘密法》(1988 年9月5日中华人民共和国主席令第

6 号公布) 2) 《中华人民共和国保守国家秘密法实施办法》(国家保密局文件国保发[1990]1 号) 鹤壁丰鹤发电有限责任公司关键信息系统等级保护测评技术规范

3 3) 《中华人民共和国国家安全法》(主席令

68 号,1993 年2月22 日第七届全国人民 代表大会常务委员会第三十次会议通过) 4) 《中华人民共和国计算机信息系统安全保护条例》(国务院令

147 号) 5) 《计算机信息系统保密管理暂行规定》(国家保密局文件国保发[1998]1 号) 6) 《计算机信息系统国际联网保密管理规定》(国家保密局文件国保发[1999]1 号) 7) 《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令

195 号) 8) 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 (1997 年12 月8日国务院信息化工作领导小组审定) 9) 《计算机病毒防治管理办法》 (2000 年4月26 日中华人民共和国公安部第

51 号令) 10) 《计算机信息网络国际联网安全保护管理办法》(1997 年12 月11 日国务院批准,

1997 年12 月30 日公安部发布) 11) 《计算机信息系统安全专用产品分类原则》(1997 年4月公安部发布) 12) 《计算机信息系统安全保护等级划分准则》(1999 年9月国家技术监督局发布) 13) 《互联网电子公告服务管理规定》(信息产业部

2000 年10 月8日第

4 次部务会议 通过) 14) 《互联网站从事登载新闻业务管理暂行规定》(国务院新闻办公室和信息产业部

11 月7日联合发布) 15) 《计算机信息系统安全等级保护划分准则》(GB/T17859-1999) 16) 《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002) 17) 《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002) 18) 《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002) 19) 《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002) 20) 《计算机信息系统安全等级保护管理要求》(GA/T391-2002) 21) 《计算机机房场地安全要求》(GB9361-88) 4.技术要求 4.1 等级测评要求 4.1.1 测评内容 本项目按照信息安全等级保护的安全等级测评标准进行安全等级测评.具体项目测 评内容如下: 安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等 鹤壁丰鹤发电有限责任公司关键信息系统等级保护测评技术规范

4 五个方面的安全测评. 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系 统运维管理等五个方面的安全控制测评. 3.1.2 测评要求 在安全等级测评过程中,每个工作阶段、流程、........