信息系统安全等级保护测评需求.doc

《信息系统安全等级保护测评需求.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、信息系统安全等级保护测评需求一、项目概况开展等级保护测评工作，测评后需获得符合主管单位要求的测评报告，并取得备案证明。二、合格投标人的资格条件：1、符合《中华人民共和国政府采购法》第二十二条规定的供应商资格条件；2、具备信息安全等级保护工作领导小组办公室颁发的测评机构推荐证书；3、具备中国合格评定国家认可委员会颁发的检验机构认可证书；4、具备质量技术监督局颁发的检验检测机构资质认定证书。三、参考条件1、提供相关的测评工作案例，并得到完成测评单位认可的技术能力。2、售后服务完善，在本地有常驻机构，能够做到响应及时。3

2、、具有所必需的检测设备和专业技术能力。四、现场项目介绍：请各潜在供应商于2019年4月19日10:00自行到联系地址集合参加现场项目介绍会（地址：宁波市江北区环城北路西段518弄89号宁波市急救中心三楼会议室），联系人：李一霁老师电话:87849609。参加现场项目介绍会人员须为供应商的授权代表，现场须提供供应商法人的授权书以及参会人员身份证及复印件。未参加现场介绍会的供应商不具备中标条件。五、系统范围：序号系统名称系统等级1急救信息系统三级六、依据标准投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于

3、如下国家标准：GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》七、服务内容1.根据《GB-T_22240-2008信息安全技术_信息系统安全等级保护定级指南》开展信息系统的定级申报工作。针对被测系统所需要

4、定级的信息系统，分析所属类型、服务范围以及业务对系统的依赖程度，制定细化定级规则，确定系统安全保护等级，完成自定级报告材料；2.整理信息安全等级保护备案材料，提交主管部门进行等级备案；3.基于《信息系统安全等级保护基本要求》（GB/T22239-2008）的等级保护测评服务（包括物理安全、网络安全、主机系统安全、应用安全和数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个方面的安全测评）；4.根据信息系统安全等级保护相关要求，对被测系统提出整改意见；5.测评后出具符合宁波市公安局要

5、求的系统安全保护等级测评报告，并且确保最终取得信息安全主管部门出具的备案证明。八、服务原则1、标准性原则：服务方案的设计与实施应依据国家等级保护的相关标准进行。2、规范性原则：服务工作过程中的文档，具有良好的规范性，便于项目的跟踪和控制。3、可控性原则：服务工作的进度要严格进度表的安排。4、整体性原则：服务的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。5、最小影响原则：服务工作对系统和网络的影响必须在可控范围内，不能对现有信息系统的正常运行、业务的正常开展产生任何影响。九、保密要求对服务的过程数

6、据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标方的责任；对涉及客户的检查项目、资料、检查过程和结果以及客户的知识产权、所有权等其它信息采取保密措施；在接收客户的检查项目时，应对检查项目加强监管，防止泄密。信息安全等级保护评测之前必须签订保密协议。所有检查项目，不经用户同意，不得向与检查无关人员展示；所有检查过程均对外保密，与检查无关人员未经公司批准，不得擅自进入检查现场；在未经许可的情况下与检查无关的人员不得接触被检查项目及相关资料，不得参与检

7、查和编制检查报告；出具的检查报告应为客户保密，未经客户授权，不得将检查报告转交他人，不得擅自公布检查结果；当客户要求用电话、图文传真或其它方式传送检查结果时，应有客户正式的书面委托并证实相关通讯方式可靠后方可执行；不得向无关人员泄露任何有关客户资料和检查结果，检查结果只能通过相关程序及约定的告知方式通知相应业务单位和个人；对接触客户检查项目、资料及其它相关信息的人员应履行为客户保护所有权的义务，不得利用客户的有关知识产权为己牟利。