项目实施参照标准及依据

一、项目实施参照标准及依据公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字[2007]43号）。《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全技术信息系统安全等级保护测评过程指南》《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》（GB/T21028-2007）《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）二、项目内容1.等保测评主要对住房公积金管理信息系统和门户网站的信息安全等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，免费指导整改工作，最终完成等级保护测评报告，将测评报告报当地公安机关备案，并提供信息安全等级保护建设信息安全咨询、建议等技术服务工作。此次本项目投标报价包含项目启动实施至出具等级保护测评报告及完成当地公安机关备案等项目结束期间产生的全部费用，招标方不再承担其他费用。测评的内容包括但不限于以下内容：安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。（1）物理安全根据日照市住房公积金管理中心信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。（2）网络安全根据日照市住房公积金管理中心信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。（3）主机安全主机安全现场测评包括对日照市住房公积金管理中心信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。（4）应用安全应用安全现场测评包括对日照市住房公积金管理中心信息系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。（5）数据安全及备份恢复日照市住房公积金管理中心信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。（6）安全管理制度根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。（7）安全管理机构根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。（8）人员安全管理根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。（9）系统建设管理根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。（10）系统运维管理根据现场安全测评记录，针对日照市住房公积金管理中心信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。待整改完毕后，进行结果确认，完成信息安全等级保护测评，出具测评报告，并将测评报告报当地公安机关备案。2.健全信息安全技术体系与管理体系按照信息系统安全等级保护的相关要求，梳理和完善日照市住房公积金管理中心信息安全管理制度，健全和完善信息安全管理体系和技术保障体系。三、成果交付该项目提交的文档至少包括如下文件：《日照市住房公积金管理中心信息系统安全等级保护测评方案》《日照市住房公积金管理中心信息系统安全等级保护差距分析报告及整改建议》《日照市住房公积金管理中心系统信息安全等级保护测评报告》四、人员要求投标人参与本次安全检测与等级保护测评项目的专业技术检测人员不少于3人，其中，高级测评师不少于2名。参与项目的成员均具有信息安全等级测评师资质。参与项目的成员具有CISA(国际信息系统审计师)认证证书。参与项目的成员具有ITIL专家级资质证书。参与项目的成员具有CISSP、CISP、CCNP、CCIE资质证书。参与技术检测的人员均为中国公民，无违法犯罪记录并签订安全保密协议。