188bet亚洲体育：安全等级保护服务项目询价公告

188bet亚洲体育：安全等级保护服务项目采用询价方式采购，诚邀符合条件的公司或供应商前来参与，现将有关事宜予以公告。

一、采购项目编号: 揭职院JYCKS1603号。

二、采购项目的名称：188bet亚洲体育：安全等级保护服务项目。

三、投标上限：195000.00元（含税、安装、运费等所有费用）

四、评标方式：询价

五、资格要求：

1、必须为在广东省公安厅备案的《信息安全等级保护测评机构推荐证书》中的测评机构；

2、测评工程师具有公安部认证的等保测评师资格；

六、技术参数

(一)、项目明细列表：

（1）检测对象：

（2）项目服务需求清单：

(二)、具体要求：

1、测评基本依据

投标人应按照《信息安全等级保护管理办法》、《广东省计算机信息系统安全保护条例》、《广东省信息安全等级测评工作细则》、《信息安全等级保护实施指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《信息安全风险评估规范》等相关文件内容和要求，组织开展188bet亚洲体育：信息系统信息安全等级保护测评、工具测试、渗透测试、信息安全管理体系建设、信息安全培训和咨询等工作。

2、测评基本原则

（1）客观性和公正性原则

测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

（2）经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

（3）可重复性和可再现性原则

不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

（4）结果完善性原则

测评所产生的结果应当证明是良好的判断和对测评项的正确理解，测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

3、差距测评需求

差距测评工作应根据各个被测信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出各信息系统的基本安全保护需求。其主要工作过程至少应包括：

（1）确定各系统范围和分析对象

中标人应明确不同等级信息系统的范围和边界，通过调查或查阅资料的方式，了解信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。确定了每个等级信息系统的分析对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。

（2）形成评价指标和评估方案

中标人根据各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标，形成评价指标。

（3）现状与评价指标对比

中标人应通过各种方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与评价指标的符合程度，给出判断结论。整理和分析不符合的评价指标，确定信息系统安全保护的基本需求。

（4）特殊安全需求

中标人应通过对各信息系统重要服务器和网络设备等重要资产特殊保护要求的分析，确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分，协助业主方采用相应的方法，确定可能的安全风险，提出信息系统的特殊安全保护需求。

（5）测评技术要求

根据《信息安全技术信息系统安全等级保护测评要求》，测评应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。

安全控制测评是信息系统整体安全测评的基础。对安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。

系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关。测评人员应根据特定信息系统的具体情况,结合测评要求,决定系统测评的具体内容,在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

4、验收测评需求

（1）中标人应通过自身在等保测评工作中积累的经验，结合自身的技术优势，充分考虑到188bet亚洲体育：信息系统实际情况，特提供一份具体细致的、操作性强的等级保护实施计划，协助188bet亚洲体育：完成信息系统等级保护的相关工作。

（2）中标人应依据《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求，按照严格程序对信息系统的安全防护能力进行的科学公正的综合测评活动，完成对信息系统的等级保护落实情况与等级保护相关标准要求之间的符合程度的测试判定。

（3）在差距评估完成并指导和协助用户进行系统整改后，中标人应通过等级测评判定信息系统是否按照预先设定的安全模式运行，安全控制措施是否得到合理的应用，信息系统是否达到相关标准的要求，是否具备相应等级的安全防护能力等。

（4）中标人应整理测评数据，对188bet亚洲体育：资料和测评结果进行综合分析，形成测评报告。召开专家委员会，对测评报告进行评审，出具等级保护测评报告。

（5）中标人应通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现信息系统安全等级安全保护能够做到不同安全等级的信息系统应具有不同的安全保护能力，并使188bet亚洲体育：信息系统安全等级保护达到公安网监部门对信息系统安全等级保护工作的各项要求，并完成测评报告的备案工作。

5、信息系统信息安全技术方案设计

（1）设计内容

以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导，结合学院信息系统安全现状及未来5年发展趋势，建立一套完善的安全防护体系方案。通过体系化、标准化的信息安全风险评估，积极采取各种安全管理和安全技术防护措施，从技术提高网络与信息系统安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止企业信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信息系统安全稳定运行，确保业务数据安全。

方案设计时通过对边界互联安全分析，外网业务安全风险分析、内网业务安全风险分析、运维管理安全风险分析等，实现对边界互联安全的设计、外网业务安全的设计、核心/骨干网络安全的设计和运维管理安全的设计。

（2）设计原则

?重点保护原则

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

?适度安全原则

任何信息系统都不能做到绝对的安全，过多的安全要求必将造成易用性降低和运行的复杂性，因此要在安全需求、安全风险和易用性之间进行平衡和折中。

?风险管理原则

进行安全风险管理，确认可能影响信息系统的安全风险，正确的识别风险、合理的管理风险，并让信息系统的安全风险降低到可以接受的水平以内。

?分权制衡原则

在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。

?标准化原则

在方案设计和设备选型方面必须遵循国家以及行业内的相关标准，并充分考虑不同产品之间的兼容性。

?统一安全管理原则

在方案设计中主机、网络设备、安全设备、应用系统、数据库等必须遵循统一安全管理的要求。

（3）依据标准和规范

6、制度建设需求

根据《信息系统安全等级保护基本要求》和《信息安全管理体系要求》等相关标准，结合188bet亚洲体育：信息安全的环境、组织结构、资源和管理流程等方面的特点来设计学院信息安全管理体系，主要包括但不少于以下内容：

（1）建立符合188bet亚洲体育：实际情况的、可行的安全管理制度体系。

（2）制定统一的安全管理策略和各个岗位的细化安全管理策略，明确各级的安全管理目标、内容和方法，并通过制订各级安全管理规章制度加以确定。

（3）在安全管理策略的实施过程中应及时对发现的问题进行分析，并根据系统自身安全需求的变化或安全技术的发展对安全策略自身进行修正与调整，使安全管理策略与实际的安全需求相一致，并与安全技术的发展一致。

信息系统、各种信息技术角色的具体情况，从应用和操作的角度对相关安全管理制度、操作规范和流程等进行明确的定义。

七、采购项目商务要求：

1、项目实施进度要求：

中标人须自合同签订之日起10日内开展项目工作，30个工作日内完成188bet亚洲体育：3个信息系统的定级备案材料编制、差距评估工作和安全技术需求安全管理需求分析，并提交安全技术需求报告、安全管理需求报告和系统整改方案，同时向揭阳市网监部门提交3个系统定级备案材料；

在信息系统整改期间，完成信息安全制度体系建设工作，同时开展信息安全技术规划和安全架构方案设计工作，使我方信息系统从多方面达到等级保护测评的要求；

投标人须在系统整改工作完成后5个工作日内开展项目验收测评工作，15个工作日内完成现场验收测评，确定测评结果，出具3个信息系统的验收测评报告，并将验收测评报告提交至揭阳市网监部门备案。

中标人需对188bet亚洲体育：信息系统安全服务项目工作做出具体安排，严格管理流程，编写详细的项目实施方案及项目实施时间计划，并就建立规范的测评流程、科学的测评方法、全面的测评内容、完善的测评工具、完备的测评指标体系和测评结果、有效的安全保密控制措施做出说明。严格落实人员安排，控制实施进度和项目质量，并能根据我院要求合理调整实施安排，落实全部项目任务。

2、项目验收：

（1）中标人完成等级测评、信息系统信息安全技术方案设计、安全管理制度建设等项目工作，并协助我方最终将验收测评报告提交至揭阳市网监部门备案后10个工作日内，由中标人向我方提出项目验收申请，然后我方组织相关人员与中标人一起进行整个项目的验收工作。

（2）验收内容和验收标准参照既定的技术方案、实施要求和验收标准，在验收完成后，中标人和我方应出具共同签字的验收报告。

八、获取询价文件时间、方式、地点。

1、获取询价文件时间：2016年10月31日----2016年11月4日止（上班时间）。

2、获取询价文件方式：188bet亚洲体育：网络中心。

3、获取询价地点：188bet亚洲体育：网络中心。

九、报价文件截止递交时间：2016年11月10日上午9：30；

十、报价文件递交方式：加盖公章后密封；

十一、询价时间：2016年11月10日上午10：00。

十二、询价地点：188bet亚洲体育：科技与设备处。

十三、联系方式

联系人：李宗辉老师

电话：0663-8859915，13751665005

十四、报名时须携带如下证件：

1、《企业营业执照》复印件（加盖公章）；

2、《税务登记证》复印件（加盖公章）。

188bet亚洲体育：科技与设备处

2016年10月31日