年月日第五章項(xiàng)目要求一、項(xiàng)目介紹根據(jù)工作需要，核工業(yè)成都機(jī)電學(xué)校擬對學(xué)校的業(yè)務(wù)系統(tǒng)，在技術(shù)和管理兩個方面的10個大項(xiàng)內(nèi)容進(jìn)行網(wǎng)絡(luò)安全等級測評，其內(nèi)容涉及信息系統(tǒng)的物理安全、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理機(jī)構(gòu)等，以核查核工業(yè)成都機(jī)電學(xué)校信息系統(tǒng)已有的信息安全防護(hù)措施是否達(dá)到國家關(guān)于信息安全等級保護(hù)相應(yīng)等級的防護(hù)要求，找出系統(tǒng)在網(wǎng)絡(luò)安全方面存在的脆弱點(diǎn)，并提出安全整改建議。通過測評來發(fā)現(xiàn)問題、解決問題，從而幫助系統(tǒng)的使用者規(guī)避信息安全風(fēng)險。經(jīng)我校初步測算，信息系統(tǒng)共有2個二級信息系統(tǒng)需要進(jìn)行等級測評服務(wù)。中選供應(yīng)商將在采購人指定地點(diǎn)完成所有信息系統(tǒng)的等級保護(hù)測評服務(wù)，并提出整改建議。所需要測評的信息系統(tǒng)如下：測評對象等級數(shù)量門戶網(wǎng)站二級1頂崗實(shí)習(xí)系統(tǒng)二級1二、基本要求1.服務(wù)地點(diǎn)：采購人指定地點(diǎn)。2.付款方式：甲方應(yīng)于本合同生效且甲方收到乙方開具的等額發(fā)票后5個工作日內(nèi)，甲方向乙方支付合同總金額50%的款項(xiàng)，測評工作完成，乙方出具測評報告經(jīng)甲方認(rèn)可，且甲方收到乙方開具的等額發(fā)票后5個工作日內(nèi)，甲方向乙方支付合同金額余下50%的款項(xiàng)。3.供應(yīng)商的報價應(yīng)是完成本項(xiàng)目全部內(nèi)容的全部價格（含稅），除比選文件有明確說明外，在合同履行過程中，不得再增加任何費(fèi)用。4.供應(yīng)商報價不得超過本項(xiàng)目的預(yù)算價，高于預(yù)算的報價將作為無效響應(yīng)文件。5.項(xiàng)目驗(yàn)收要求5.1達(dá)到采購人測評目的：5.1.1通過等級保護(hù)測評，驗(yàn)證信息系統(tǒng)的安全性。5.1.2對信息系統(tǒng)的安全狀態(tài)做出判斷，驗(yàn)證其是否符合等級保護(hù)要求。同時，將測評結(jié)論作為進(jìn)一步完善系統(tǒng)安全防護(hù)措施的依據(jù)。5.1.3出具信息安全等級保護(hù)測評報告。5.2項(xiàng)目交付文檔項(xiàng)目實(shí)施過程及完成后，投標(biāo)人應(yīng)向采購人提交包含但不限于以下的文檔：《網(wǎng)絡(luò)安全等級測評方案》；《網(wǎng)絡(luò)安全等級整改建議》；《網(wǎng)絡(luò)安全等級測評報告》。6.測評依據(jù)：GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求；GA/T1389—2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南；GB/T25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南；GB/T28449-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南；GB/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求；GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范；GB/T18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則。7.項(xiàng)目管理供應(yīng)商必須提供完整的項(xiàng)目管理方案，需要針對以下項(xiàng)目管理要求進(jìn)行項(xiàng)目管理服務(wù)要求進(jìn)行承諾，未提供項(xiàng)目管理服務(wù)承諾為無效響應(yīng)。7.1供應(yīng)商及其測評人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)國家信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和有關(guān)規(guī)定，提供客觀、公平、公正、有效的等級保護(hù)測評服務(wù)，并承擔(dān)相應(yīng)的法律責(zé)任；7.2應(yīng)具備能夠保證其公正性、獨(dú)立性的質(zhì)量體系，確保測評活動不受任何可能影響測評結(jié)果的商業(yè)、財(cái)務(wù)、健康、環(huán)境等方面的壓力；7.3供應(yīng)商在對被測評單位開展等級保護(hù)測評服務(wù)之前需與被測評單位簽訂保密協(xié)議，測評過程中向被測評單位借閱的文檔資料應(yīng)在測評工作結(jié)束后全部歸還被測評單位，未經(jīng)被測評單位允許，不得擅自復(fù)制、保留；7.4供應(yīng)商的崗位配置要至少配置測評師、項(xiàng)目經(jīng)理、滲透工程師、質(zhì)量主管等并明確各個崗位的相關(guān)職責(zé)。7.5測評工具要求7.5.1采用的測評工具必須獲得正版授權(quán)，并在有效期內(nèi)，不得使用盜版軟件；7.5.2采用的測評工具在功能、性能等滿足使用要求前提下，應(yīng)優(yōu)先采用具有國內(nèi)自主知識產(chǎn)權(quán)的同類產(chǎn)品；7.5.3采用的測評工具的生產(chǎn)商應(yīng)為正規(guī)廠商，能夠?qū)Ξa(chǎn)品進(jìn)行持續(xù)更新并提供質(zhì)量和安全保障；7.5.4測評機(jī)構(gòu)所使用的測評工具不會對單位系統(tǒng)產(chǎn)生破壞或負(fù)面影響。9.技術(shù)要求9.1網(wǎng)絡(luò)安全等級保護(hù)測評要求9.1.1投標(biāo)人應(yīng)詳細(xì)描述本次項(xiàng)目整體實(shí)施方案，包括項(xiàng)目概述、等保測評服務(wù)方案、項(xiàng)目實(shí)施方案等。9.1.2投標(biāo)人應(yīng)詳細(xì)描述服務(wù)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)人應(yīng)配置有經(jīng)驗(yàn)的測評人員進(jìn)行本次等級保護(hù)測評工作。9.2網(wǎng)絡(luò)安全等級保護(hù)測評的具體要求9.2.1信息系統(tǒng)技術(shù)安全測評9.2.1.1物理安全測評應(yīng)當(dāng)包含：物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等。9.2.1.2安全通信網(wǎng)絡(luò)測評應(yīng)當(dāng)包含：網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證等。9.2.1.3安全區(qū)域邊界測評應(yīng)包含：邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證等。9.2.1.4安全計(jì)算環(huán)境測評應(yīng)包含：身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個人信息保護(hù)。9.2.1.5安全管理中心測評應(yīng)當(dāng)包含：系統(tǒng)管理、審計(jì)管理、安全管理、集中管控。9.3信息系統(tǒng)管理安全測評9.3.1安全管理制度測評應(yīng)當(dāng)包含：安全策略、管理制度、制定和發(fā)布、審批和修訂。9.3.2安全管理機(jī)構(gòu)測評應(yīng)當(dāng)包含：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。9.3.3安全管理人員測評應(yīng)當(dāng)包含：人員錄用、人員離崗、安全意識教育和培訓(xùn)、外部人員訪問管理。9.3.4安全建設(shè)管理測評應(yīng)當(dāng)包含：定級和備案、安全方案設(shè)計(jì)、安全產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收