DOC《佛山市人力资源公共服务中心》

佛山市人力资源公共服务中心 门户网站信息安全等级保护测评项目 项目编号:RLZY(B)-2018-02 采购人:佛山市人力资源公共服务中心 发布日期:二零一八年九月 第一部分 报价人要求 根据佛山市人力资源公共服务中心项目预算《中华人民共和国政府采购法》以及佛山市人力资源公共服务中心业务发展需要,拟采用询价方式采购我中心门户网站信息系统等级保护定级及测评服务,兹邀请合格的供应商前来报价.

相关采购要求如下:

1、报价人须是中国大陆境内合法注册的非联合体企业或事业单位,能独立承担民事责任,具有从事本项目的经营范围和能力;

2、报价人不是制造商,报价时必须提供安全检测服务工具原厂商针对本项目出具的授权书;

3、本项目不接受联合体方式报价;

4、提供营业执照复印件并盖章;

5、信息系统名称、数量及定级如下: 序号 项目内容 数量 定级 项目建设情况 预算

1 佛山市人才网

1 三级 100w以内,设备托管在经信机房 4.5万元

6、按照《信息系统安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)及其它信息系统安全等级保护相关法律法规、标准等要求,为以上两个三级系统编写系统定级备案材料,并报送佛山市公安部门定级备案;

开展信息系统安全测评服务,如果检测结果为不符合,提交《信息系统安全等级保护整改建议方案》;

如果检测结果为符合,提交《信息系统安全等级保护测评报告》;

7、按照《信息系统安全等级保护整改建议方案》,对信息系统的安全等级保护提供技术支持咨询和制度完善整改服务工作,不包括源代码层面的整改工作;

8、协助完善能满足等级保护三级标准的安全管理制度;

9、协助完成验收测评工作,确保通过等保三级标准;

10、测评完成后,要求提供以下文件: 《信息系统安全等级保护定级备案表》,整体一份;

《信息系统安全等级保护定级报告》,每个系统一份;

《信息系统安全等级保护整改建议方案》,整体一份;

《信息系统安全等级保护管理制度集》,整体一份;

《信息系统安全等级保护测评报告》,每个系统一份;

《信息系统安全等级保护备案证明》,公安颁发的一份;

《信息系统安全等级保护测评服务项目保密承诺书》,一份;

以及其它相关的项目过程文档.

11、提供增值税专用发票. 第二部分 采购项目内容 2.1项目背景 依据国务院、工信部、公安部等法律法规文件要求,计算机信息系统运营使用单位需要开展信息系统等级安全保护测评和备案等要求,信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法,开展信息安全等级保护工作,即是国家法律法规的要求,同时也是满足自身信息安全建设的需要,目的是为了解决单位信息安全面临的威胁和存在的安全问题;

采购人当前有2个重要信息系统需要开展测评工作,整个测评工作流程包括:定级备案―差距测评―安全整改―验收测评,同时按照相关法律法规文件要求开展测评整改验收工作,通过系统专业全面的测评,找出采购人当前面临的安全风险隐患,加快进行整改完善,以达到相关主管部门和法律法规的要求,也可以此为契机提升采购人信息化建设的发展. 2.2项目采用的技术与规范: 2.2.1与等级保护相关的国家政策性文件有: 1994年02月 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 2003年07月 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 2004年09月 《关于印发的通知》(公通字[2004]66号) 2007年06月 《关于印发的通知》(公通字[2007]43号) 2007年07月 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号) 2008年07月 《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号) 2009年11月 《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号) 2.2.2与等级保护相关的广东省政策性文件有: 2007年08月 《关于开展省直单位重要信息系统安全等级保护定级工作的通知》 2007年12月 《广东省计算机信息系统安全保护条例》 2008年08月 《关于印发的通知》(粤公通字[2008]228号) 2008年10月 关于贯彻《广东省计算机信息系统安全保护条例》和《广东省公安厅关于计算机信息系统安全保护的实施办法》的通知(广公(网警)[2008]633号) 2009年04月 《关于印发的通知》(粤公通字[2009]45号) 2009年11月 《关于做好2010年广州亚运会信息网络安全保卫前期工作的通知》(粤等保办[2009]12号) 2010年03月 《关于积极推进信息系统安全等级保护整改和测评工作的通知》(粤等保办[2010]1号) 2010年04月 《关于开展 保平安、迎亚运 信息安全大检查的通知》(粤等保办[2010]2号) 2.3项目目标: 本项目等级测评服务内容要求如下: (1)物理安全:主要考虑应如何构建一个安全可靠的物理环境.这要求我们在方案设计时应注重对建筑、机房、办公场所的物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护这10个方面的规划建设和安全防护.在物理安全环境的构建中,不但要考虑硬件设施的添置,而且要加强相应管理制度和管理规定的制定和执行. (2)网络安全:主要考虑应如何构建一个安全可靠的通信网络.这要求我们在方案设计时应从结构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络设备防护、这六个方面结合系统实际网络环境进行综合考量,确定一个怎样的网络才能在符合等级保护的相关要求的同时,满足整个信息系统的具体使用和安全需求. (3)主机安全:主要考虑应如何构建一个安全可信的主机安全计算环境.这要求我们在方案设计时应从主机身份鉴别、主机自主访问控制、主机安全审计、主机入侵防范、主机恶意代码防范和主机资源控制这5个方面结合主机系统实际应用环境进行综合考量,确定一个怎样的主机系统环境才能在符合等级保护的相关要求的同时,满足整个信息系统的具体使用和安全需求. (4)应用安全:主要考虑应如何构建一个安全可信的应用安全计算环境.这要求我们在方案设计时应从应用身份鉴别、应用访问控制、应用安全审计、通信完整性、通信保密性、软件容错、应用资源控制这7个方面结合应用系统的实际情况进行综合考量,确定一个怎样的应用系统环境才能在符合相关要求的同时,满足整个信息系统的具体使用和安全需求. (5)数据安全与备份恢复:主要考虑如何构建一个安全可靠的数据安全和备份恢复机制.这要求我们在方案设计时应从数据完整性、数据保密性、数据备份与恢复这5个方面结合信息系统的实际情况进行综合考量,确定一个怎样的数据安全和备份恢复机制才能在符合等相关要求的同时,满足整个信息系统的具体使用和安全需求. (6)人员安全管理:人是安全管理的基础,也是安全管理工作的组织者和具体执行者,因此一个完善的人员安全管理机制将大大提升整个安全管理工作的有效性和有序性.这要求我们在系统设计和整改时应从人员录用、人员离岗、人员考核、安全意识教育与培训、第三方人员访问管理这5个方面结合系统和单位的实际情况进行综合考量,确定一个怎样的人员安全管理机制才能在符合相关要求的同时,更好地组织和执行整个信息系统安全管理工作. (7)系统建设管理:对于系统建设的管理,主要应从系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商的选择这9个方面考虑.因此,在系统设计和整改的时候,我们应结合系统和单位的实际情况,规范系统建设过程中的流程管理、产品管理、文档管理和进度管理,才能在符合相关要求的同时,提高系统建设的管理水平,确保整个系统的建设有序、高效的完成. (8)系统运维管理:对于系统运维的管理,主要应从环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理这15个方面考虑.因此,在系统设计和整改的时候,我们应结合系统和单位的实际情况,依托相应的安全管理制度,构建一个完善的系统运维管理机制,才能在符合相关要求的同时,提高系统运维的管理水平,确保安全管理制度的执行力度,保证整个系统的运维有序、高效的进行. 2.4测评工具要求 (1)按照信息安全等级保护现场实施与安全技术服务要求,本项目在实施过程中所使用到的专业安全测评服务工具,必须是有针对信息系统安全进行分析检查的安全扫描工具(具体要求见下表),报价人若非工具制造商的报价时必须提供安全扫描工具原厂商针对本项目出具的授权书. (2)报价人必须保证项目中使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件合法性和可靠性,由此产生的一切责任由成交人负完全责任.