一、项目名称:睢宁县地理信息公共服务平台(天地图﹒睢宁)二级等保测评服务项目
二、项目编号:****
三、项目概况:
1.项目背景
网络安全工作不仅是信息化工作的重要组成部分,更是涉及国家经济、政治安全和社会稳定的重要因素,同时也是落实主管单位对网络安全及等级保护的要求。
地理信息平台作为整合区域地理空间数据、支撑多领域业务运转的核心数字化载体,关系到城市运行安全、公共利益乃至国家安全的重要资产,一旦出现数据泄露、篡改或系统中断,将直接影响政务服务连续性、民生服务质量,甚至可能引发公共安全事件。为更好地贯彻落实中央关于网络安全的重要指示精神,有效应对当前网络安全面临的严峻威胁和挑战,全力做好重要信息系统网络安全保卫工作,填补安全缺口、保障地理空间数据安全、确保平台持续稳定运行,亟需启动本次网络安全等级保护测评项目,委托具备资质的第三方测评机构,对平台开展全面、专业的安全测评,为后续安全整改与长效防护体系建设提供科学依据。
2.项目目标
2.1委托具备资质的第三方信息安全等级测评机构(以下简称“测评机构”)对单位重要信息系统地理信息公共服务平台(“天地图﹒睢宁”)进行网络安全等级保护测评,查找与分析现有系统的安全防护能力的不足,编制等级保护测评报告,并协助采购方完成测评报告的备案。
2.2根据等级测评成果,由测评机构提出合理可行的安全整改建议,协助甲方进行安全管理与安全技术两方面的整改工作。
2.3本次项目测评系统清单如下:
| 序号 | 系统名称 | 数量 | 安全保护等级 | 备注 |
| 1 | 地理信息公共服务平台(“天地图﹒睢宁”) | 1 | 二级 | |
3.工作内容
3.1等保测评覆盖安全技术测评和安全管理测评两大类10个方面。安全技术测评包括:安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心等5个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等5个方面的安全控制测评。通过人员访谈、文档审查、配置检查、工具测试和实地勘察等方法,对信息系统安全现状进行识别,通过汇总测评结果,并进行整体测评分析,从而形成合理、可信任的测评结论,并提供针对性的整改建议。
3.2根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:
3.2.1安全物理环境
测评内容主要包括:安全物理环境层面主要是对中心机房的物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面进行测评。
3.2.2安全通信网络
测评内容主要包括:安全通信网络主要是对网络架构、通信传输、可信验证方面进行测评。
3.2.3安全区域边界
测评内容主要包括:安全区域边界主要是对边界设备的边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证方面进行测评。
3.2.4安全计算环境
测评内容主要包括:安全计算环境主要是对网络设备、安全设备、服务器、应用系统的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护、镜像和快照保护、数据完整性和保密性方面进行测评。
3.2.5安全管理中心
测评内容主要包括:安全管理中心主要是对系统管理、审计管理方面进行测评。
3.2.6安全管理制度
测评内容主要包括:安全管理制度层面主要是对安全策略、管理制度、制定和发布、评审和修订情况进行测评。
3.2.7安全管理机构
测评内容主要包括:安全管理机构层面主要是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查情况进行测评。
3.2.8安全管理人员
安全管理人员层面主要是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理情况进行测评。
3.2.9安全建设管理
测评内容主要包括:安全建设管理层面主要是对定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择情况进行测评。
3.2.10安全运维管理
测评内容主要包括:安全运维管理层面主要是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理情况进行测评。
4.项目要求
4.1项目实施原则要求
4.1.1客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
4.1.2保密原则:在测评过程中,需严格遵循保密原则,双方提前签订保密协议,对服务过程中涉及的任何用户信息未经允许不向其他任何第三方泄露,以及不得利用这些信息损害采购方利益。
4.1.3最小影响原则:测评工作应该尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应作出说明。
4.1.4规范性原则:信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
4.1.5质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目管理要求开展。
4.1.6系统安全原则:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
4.1.7测评师规范原则:检测成交供应商工作人员必须通过公安部的等级保护等级测评师认证,持证上岗,经采购人确认资格后方可实施检测。
4.2人员要求
4.2.1项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险。
4.2.2项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。
4.3权责问题
成交供应商在等保测评过程中,测评人员或测评公司因自身原因导致的各类安全问题,由成交供应商全权承担责任。
4.4项目进度要求
本次测评项目要求在签订合同后30日内完成。(具体时间要求根据采购人需求进行调整)
4.5标准依据
《信息安全技术 信息系统安全等级保护定级指南》 (GB/T 22240-2020)
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
本次信息系统等级测评服务项目的实施流程、技术方法必须严格执行国家相关标准规范。
5.成果要求
5.1测评完成之后,提供《系统信息安全等级保护测评报告》
5.2测评完成之后,提供《系统信息安全等整改方案》
6.质量保证要求
项目成果需符合国家、省、市****
7.项目预算
根据江苏省信息安全等级保护工作协调小组办公室发布的《关于我省测评机构开展测评业务收费情况的说明》的文件要求,徐州****
8.意见反馈
如有建议或意见,请以书面形式并加盖公章、注明联系人、联系方式,于****17:00之前送至我单位,逾期不受理(如邮寄,****17:00之后到达的邮件将不再受理),地址:睢宁县商务服务中心6楼。
