《信息化建设项目网络安全等级保护测评服务方案V1》由会员分享,可在线阅读,更多相关《信息化建设项目网络安全等级保护测评服务方案V1(8页珍藏版)》请在金锄头文库上搜索。
1、XXX 市信息化建设项目网络安全等级保护测评服务1.1服务目标根据国务院信息化工作办公室关于信息安全等级保护工作的实施意见、信息安全等级保护管 理办法、关于开展全国重要信息系统安全等级保护定级工作的通知以及XXX市重要信息系统安 全等级保护工作实施方案的要求,对XXX市水务局”智慧排水”信息化建设项目开展网络安全等级保 护测评工作。服务供应商应根据网络安全等级保护测评的基本要求提供等级保护咨询服务,对系统进行 必要的等保安全性评估,找出与国家信息安全等级保护基本要求存在的差距,在此基础上协助采购人按 照国家有关规定和标准规范要求对信息系统进行安全建设整改,协助采购人顺利通过国家信息安全等级 保
2、护主管部门的备案审核和取得信息系统安全等级保护备案证明,出具符合国家信息安全等级保护 主管部门要求的网络安全等级保护测评报告,高质量通过国家信息安全等级保护主管部门的报告审核。 1.2服务内容及要求1.2.1服务内容本次测评的XXX市水务局”智慧排水”信息化建设项目具体信息如下:序号系统名称备注XXX市“智慧排水”建设项目1排水户管理应用系统2排水管井管理应用系统3排水口管理应用系统4污水厂监管应用5污泥监管应用6防内涝应急与日常联合调度管理系统含3个子系统7排水审批辅助分析应用系统8农污设施监管应用系统9排水设施档案管理系统10排水设施基础信息管理系统11物联感知监控接入和管理应用系统(含物
3、联网平台)12排水业务考核管理应用系统13排水可视化应用(排水一张图)14XXX市水务APP应用(排水移动应用)15水务行政执法管理应用系统16模型平台17排水业务分析算法与模型库管理应用和决策辅助支撑系统序号系统名称备注XXX市三防指挥信息化建设工程项目18水利防灾减灾综合业务应用平台19水利防灾减灾监控视频整合平台20三防可视化会商指挥平台含机房工程、计算机网络 系统、信息安全建设和视 频会商网络XXX市水务一体化平台数据米集管理中心建设项目21XXX市水务一体化平台含5个子系统注:上表系统拟定等级保护级别为二级。系统名称、数量、子系统数量、定级级别等,最终以等级保护定备案结果为准,服务供
4、应商参与本子项投标视为知悉并接受本子项的服务要求。XXX市水务局”智慧排水”信息化建设项目部署在XXX市电子政务云,系统仍在建设阶段。本次要求服务供应商提供的服务包括但不限于:1、为保证三大信息化建设项目的顺利验收,要求服务供应商自合同签订之日起,根据 网络安全等级保护测评的基本要求对采购人提供或要求提供的相关方案提供咨询服务,对 不符合国家信息安全等级保护相关要求的方案和问题提出建议,协助采购人完成项目的安 全建设。2、为保证XXX市水务局”智慧排水”信息化建设项目中的信息系统定级合理化且能够 顺利通过国家信息安全等级保护主管部门的备案审核,服务供应商协助采购人确定定级对 象,给出合理的定级
5、建议,并协助采购人取得国家信息安全等级保护主管部门的信息系 统安全等级保护备案证明。3、为保证XXX市水务局”智慧排水”信息化建设项目中的信息系统能够顺利达到国家 信息安全等级保护相关要求,服务供应商在服务期内须对系统进行有必要的等保安全性评 估,找出与国家信息安全等级保护基本要求存在的差距,在此基础上协助采购人按照国家 有关规定和标准规范要求对信息系统进行安全建设整改,达到国家信息安全等级保护相关 要求。4、服务供应商应当依据国家网络安全等级保护制度规定,按照有关管理规范和技术标 准(服务期内若相关规范、标准有更新的,以最新的为准),对建设项目网络(含信息系 统、数据资源等)的安全保护状况进
6、行检测评估,在服务期内公平、公正且规范化地出具 符合国家信息安全等级保护主管部门要求的网络安全等级保护【系统名称】等级测评报 告,并协助采购人获取国家信息安全等级保护主管部门的提交网络安全等级测评报告 回执。其中协助信息系统进行定级,需要依据GB/T 22240-2020信息安全技术网络安全等级保护定级指 南;对信息系统的测评需要依据GB/T 22239-2019信息安全技术网络安全等级保护基本要求的安 全通用技术要求和云计算安全扩展要求、移动互联安全扩展要求、物联网系统安全扩展要求进行实施。 1.2.2服务原则(一)规范性原则 严格遵循国家、行业相关规范、标准开展工作,项目实施应由专业的测评
7、师依照规范的 操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记 录,以便于项目的跟踪和控制。(二)最小影响原则 做好风险预防措施,尽可能避免对在运网络和信息系统造成影响;测评人员应该仅以发 现系统安全漏洞为目的,不得采取对被测系统带有破坏性的信息安全测试。(三)公平公正原则 中标服务商需严格遵守国家现行的有关标准,公正、独立、自主地开展测评工作,维护 采购人的合法权益。(四)优质服务原则 要求中标服务商提供的是最低限度的要求,中标服务商应保证提供符合测试和分析要求 和有关标准的优质服务,并确保测试报告符合项目最终验收的所有要求。要求所使用的标 准和规范如与实施方所
8、执行的标准不一致时,按较高标准执行。(五)保密原则 对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害客户利益的行为。(六)非破坏性测试原则 对于被测试的业务系统应确保系统运行和数据安全,不得产生因测试带来的系统破坏和数据损失,并不因测试而产生其它非业务数据,如确实因测试需要而产生非业务数据,则 须经过采购人同意方可开展测试。1.2.3服务依据网络安全等级保护测评要求依据GB/T 22239-2019信息安全技术网络安全等级保护基本要求、 GB/T 22240-2020信息安全技术网络安全等级保护测评要求,在对信息系统进行安全技术和安全管
9、 理的安全控制测评及系统整体测评结果基础上,针对相应等级信息系统遵循的标准进行综合性测评,提 出相应的安全评审意见。主要遵循及参考的法律法规及等级保护相关技术标准,主要参考标准如下:(以下以国家相关部门颁发的最新标准为准):中华人民共和国网络安全法中华人民共和国计算机信息系统安全保护条例(国务院147号令) 信息安全等级保护管理办法(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号) 信息安全等级保护备案实施细则(公信安20071360号)计算机信息系统安全保护等级划分准则(GB 17859-1999)信息安全技术网络安全等级保护定级指南(GB/
10、T 22240-2020)信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070-2019)信息安全技术网络安全等级保护测评过程指南(GB/T 28449-2018)信息安全技术网络安全等级保护实施指南(GB/T 25058-2019)信息安全技术网络安全等级保护安全管理中心技术要求(GB/T 36958-2018)信息安全技术网络安全等级保护测试评估技术指南(GB/T 36627-2018)1.2.4服务内容具体要求1.2.4.1等级保护咨询
11、服务本项目服务期内,服务供应商提供等级保护咨询服务,根据网络安全等级保护测评的基本要求,对 采购人提供、或要求提供的建设方案、系统设计方案等,以及建设项目实施过程中采购人发现可能不符 合国家信息安全等级保护相关要求的问题提出调整建议方案,协助采购人完成建设项目的安全建设。 1.2.4.2定级备案要求服务供应商在三大信息化建设项目信息系统定级工作阶段提供定级备案咨询服务,要求包括协助采 购人:确定定级对象、初步确定等级(含定级建议)、安排专家评审(相关费用计入投标总价)、相关 资料准备、提交国家信息安全等级保护主管部门备案审核、取得国家信息安全等级保护主管部门的信 息系统安全等级保护备案证明。1
12、.2.4.3等级保护测评要求根据相关国家法律法规和标准,服务供应商对三大信息化建设项目开展等保安全性评估和网络安全 等级保护测评的相关工作。测评对象种类要求依照网络安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合测评机构多年 的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对比网络安全等级保 护的具体要求,全方面对信息系统进行全面评估。测评对象包括安全通用要求测评对象和移动互联系统安全扩展要求测评对象、云计算安全扩展要求 测评对象以及物联网系统安全扩展要求测评对象。测评内容要求为保证采购人的信息系统能够达到网络安全等级保护测评的安全要求,要求等保安全性
13、评估采用与 网络安全等级保护测评完全一致的测评标准。网络安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情 况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安 全测评的基础。安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心 五个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理 五个方面的安全控制测评。系统整体测评涉及到
14、信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安 全控制配置,与特定信息系统的实际情况紧密相关。根据被测系统信息系统的具体情况,结合标准要求, 确定系统整体测评的具体内容,在安全控制测评的基础上,在安全控制测评的基础上,重点考虑安全控 制点间、层面间、区域间的相互关联关系,分析评估安全控制点间、层面间、区域间是否存在安全功能 上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统 对应安全等级保护级别的符合性结论。服务期内,服务供应商应根据建设项目实施情况或采购人
15、要求,开展必要的等保安全性评估,并出 具测评记录及问题汇总、网络安全等级保护安全性评估报告(每个系统1份)和网络安全等 级保护整改建议;在建设项目主体工程通过初步验收后半年内且完工验收申请前,服务供应商对系统 进行全面的网络安全等级保护测评,根据实际测评结论出具符合标准的、有效的网络安全等级保护等 级测评报告(每个系统1份),并协助采购人通过国家信息安全等级保护主管部门的报告审核,获取 提交网络安全等级测评报告回执;为保证服务期内采购人符合国家信息安全等级保护主管部门的检 查要求,在建设项目主体工程合同验收前服务供应商开展必要的网络安全等级保护测评工作,并在建设 项目开展项目终验工作前出具符合标准的、有效的网络安全等级保护等级测评报告(每个系统1份), 协助采购人向国家信息安全等级保护主管部门进行提交。渗透测试服务要求按照信息安全技术网络安全等级保护测评过程指南(GB/T 28449-2018)文件中关于等级保护 测评现场测试包含通过渗透测试辅助完成整体网络安全等级保护测评工作。服务供应商在
