信息安全等级保护测评技术规格书.pdfVIP

信息安全等级保护测评技术规格书

一、项目概述：

随着网络安全法的正式施行，网络安全等级保护工作上升为一项

基本国策。与此同时，跟随网络安全法配套的各项规章条例以及标准

规范也逐一落实，2018年6月27日，公安部发布《网络安全等级保护

条例（征求意见稿）》（以下简称“《保护条例》”）。作为《网络安全法》

的重要配套法规，《保护条例》对网络安全等级保护的适用范围、各监

管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建

设提出了更加具体、操作性也更强的要求。

为此，我公司提出了《信息系统信息安全测评项目》，项目旨参照

相关安全安全标准对我公司目前运行的信息系统开展安全测评，确保

其高效、稳定、安全地运行。

欢迎国内具有独立承担民事责任的企业，具备相关资格（具备信

息安全等级保护测评资质）条件的供应商参加。

二、项目实施范围：

芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目，

等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技

术标准要求执行。

定级系统：（二级）

①公司OA办公系统；

②物流系统；

③采购系统；

④质量中心系统；

⑤炼铁部-工业网络系统；

⑥铸管部-工业网络系统；

工作范围包括我公司的等保检测定级、公安系统备案、建设整改、

测评报告等工作，完成国家相关部门对我公司的信息安全要求。

三、项目实施内容：

1、安全检查

（1）信息安全现状问题检查，包括信息安全管理、信息安全技术、信

息安全运维等各方面问题分析；

（2）信息安全存在的主要问题及风险，包括信息安全管理、信息安全

技术、信息安全运维等各方面存在的问题及期潜在风险；

（3）信息安全问题改进建议，包括信息安全管理、信息安全技术、信

息安全运维等各方面整改建议、具体实施方案以及改进期望值。

2、信息安全等级保护检测

根据国家对信息安全等级保护工作的相关法律和技术标准要求，

结合本项目的系统保护等级开展实施与之相应的检查工作，具体检查

内容应包括：对信息系统进行等级保护差距测评，测评内容包括物理

安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。

客观的分析信息系统保护现状和信息安全等级保护基本要求之间的差

距。

3、定级备案

协助我公司的各重要信息系统在网安部门完成定级备案工作，交

付定级报告、专家评审意见表和备案表等内容，并取得相应系统的备

案证明。

4、根据《信息安全等级保护管理办法》和《信息系统安全等级保护基

本要求》，协助建立信息安全等级保护管理体系。

结合等级保护测评报告提出的安全防护现状与等级保护基本要求

之间的差距，明确安全需求，设计符合相应等级要求的信息系统安全

技术建设整改方案，协助开展信息安全等级保护安全技术措施建设。

5、完成信息安全等级保护的最终测评，提交各信息系统的测评报告至

公安等保办，完成测评备案工作。

投标人须依据《信息安全技术网络安全等级保护基本要求》（GB/T

22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T

28448-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T

28449-2018）和《信息安全技术网络安全等级保护定级指南》（GA/T

1389-2017）等国家等级保护相关标准对待测系统进行等级保护测评工

作，内容包括：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边

界、安全计算环境和安全管理中心等五个方面的安全测评；

安全管理测评：包括安全管理机构、安全管理制度、安全管理人

员、安全建设管理和安全运维管理等五个方面的安全测评；

工具测试：针对重要信息系统进行定期的漏洞扫描、渗透测试等

安全服务工作；

整改建议：根据现场测评中发现的问题，分析与GB/T22239-2019、

ISO/IEC27001、ISO/IEC20000、ISO22301、ITIL和ITSS等行业最佳实践

之间的差距，按照网络安全等级保护标准要求提出安全整改建议；

编制测评报告：完成上述测评工作和整改加固实施后，最后出具

符合公安机关要求的各信息系统网络安全等级保护测评报告。

6、信息安全培训

对涉及被测评系统科室人员开展信息安全等级保护工作培训，确

保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安

全策略、信息必威体育官网网址制度，信息安全管理