用户需求书
2020-03-02 13:21:47 来源:范文大全收藏下载本文
用户需求书
一、供应商资质条件
(1) 投标人须具有中华人民共和国工商营业执照或事业单位法人证书;
(2) 投标人必须具有深圳市政府采购注册供应商资格(供应商注册网址:http://www.daodoc.com).
(3) 投标人须具有国家信息安全测评认证中心的安全服务资质或广东省公安厅颁发的安全服务资质;
(4) 投标人具有国家保密局颁发的涉及国家秘密的计算机系统集成资质; 本项目不接受联合体投标
二、项目简介
1、项目概况
针对近年来我国信息安全面临的严峻形势,为了全面加强我国信息安全保障工作,确保国家基础信息网络和重要信息系统的安全,实现信息化建设与保障信息安全的协调发展,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年7月16日,公安部等四部门联合发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),要求各个信息系统责任管理部门做好系统等级保护定级备案工作,并根据《信息系统等级保护定级指南》对信息系统进行测评、整改。 2008年11月,等保相关标准《信息系统安全等级保护实施指南》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》、《广东省公安厅关于计算机信息系统安全保护的实施办法》、《广东省计算机信息系统安全保护条例》、相继推出,说明等级保护已进入了实施阶段。深圳市规划和国土资源委员会作为国家职能机构,在网络中运行着多个信息系统,为有效防范运用信息系统进行办公处理、项目管理和内部控制过程中产生的风险,促进的安全、持续、稳健运行,决定严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化建设,实行信息安全等级保护。
深圳市规划和国土资源委员会网络结构为委机关-派出机构-下属单位组成的星形结构,包括委机关和20个派出机构及下属单位。
目前深圳市规划和国土资源委员会信息系统内包括的主要应用系统有:办文系统、行政事务管理系统、规划业务系统、土地业务系统、图形系统、档案系统、房地产信息系统、产权登记系统、督察与监管系统以及公众服务系统等,包含的子系统约70个。
深圳市规划和国土资源委员会主要硬件环境包括:委机关机房2个,各下属单位有独立机房;内网现有核心交换机18台,防火墙4台,隔离网闸4台,IPS 3台;外网有防火墙6台,IPS 3台;内外网服务器合计约100台。
2、项目目的及建设目标
根据《信息安全等级保护管理办法》及《涉及国家秘密的信息系统分级保护管理规范》的规定,通过专业的信息安全服务以及相应的信息系统运行维护管理基础设施建设,构建全面、完整、高效的信息安全体系构架,提高深圳市规划和国土资源委员会整体安全防护能力。以安全服务和运维管理相结合的方式,以专业的安全服务来补充安全产品的不足,为深圳市规划和国土资源委员会信息化的健康发展提供坚实的信息安全保障。
根据深圳市规划和国土资源委员会信息系统现状,对照安全等级保护工作和分级保护工作的标准和要求,进行全面的安全评估,建立和实施信息安全管理体系,达到如下目标:
识别采购单位所有信息系统,并完成系统定级。
对信息系统进行全面的安全评估,查找与等级保护要求之间的差距和安全风险。涉密系统,查找与分级保护要求之间的差距和安全风险。
建立符合信息系统安全等级保护要求的安全管理体系(包括组织体系、制度体系和技术体系)。
形成信息安全管理运作和持续提升机制。
为采购单位培训一批合格的掌握信息安全管理和等级保护能力的信息安全人员。
3、项目所依据及参考的标准 《信息系统安全等级保护实施指南》 《信息系统安全保护等级定级指》 《信息系统安全等级保护基本要求》
《信息系统安全等级保护测评准则(国家标准报批稿)》 《信息安全等级保护管理办法-公通字【2007】43号文件 》
《关于开展全国重要信息系统安全等级保护定级工作的通知—公通字【2007】861号文件》
《广东省计算机信息系统安全保护条例》 《广东省公安厅关于计算机信息系统安全保护的实施办法》 《涉及国家秘密的信息系统分级保护技术要求》 《涉及国家秘密的信息系统分级保护方案设计指南》 《涉及国家秘密的信息系统分级保护管理规范》
4、项目采购范围
1)、等级保护及分级保护服务 服务流程下图所示:
图一 等保流程图
根据以上流程进行相应服务。具体内容见第三条、项目技术要求。 2)、应急响应服务
投标方应建立7x24小时服务响应热线,在服务期内提供紧急现场服务。招标方网络应用系统如果遇到重大安全事件投标方技术人员必须在2小时内到达现场,在4小时内发现原因尽快解决,或在4小时内提供临时解决方案并实施。工作结束后应出具安全事件的详细分析报告及解决方案。需在投标书中提供报告模板。
并提供不限次数7x24小时电话咨询服务。
5、项目合同服务期限 合同期限为一年。
服务在项目启动后半年内完成。 应急响应服务期限为合同签订起一年。
三、项目技术要求
根据《信息系统等级保护定级指南》、《信息系统安全等级保护实施指南》、《信息安全风险评估指南》、《信息安全风险管理指南》以及国际上相关安全安全标准《ISO/IEC 17799/27001信息安全管理标准》对深圳市规划和国土资源委员会整个信息系统进行信息安全等级保护咨询服务工作。根据《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统分级保护技术要求》等对涉密信息系统进行分级保护。至少包括以下服务内容:
定级阶段
按照国家有关管理规范(如信息安全技术信息安全等级保护定级指南),确定目标信息系统的安全保护等级,并形成定级报告。
1、信息系统识别和描述
调查了解信息系统的行业特征、主管部门、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
调查了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
调查了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。
调查了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
调查了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
对收集的信息进行整理、分析,形成对信息系统的总体描述文件。内容包括:系统概述、系统边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理的信息资产、用户的范围和用户类型、信息系统的管理框架。
2、信息系统划分
依据系统识别描述的结果,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,将信息系统进行划分出相对独立的信息系统并作为定级对象。
在信息系统划分的过程中,首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。
对信息系统进行划分,如涉及到涉密的信息系统则不做等级保护,必须按照保密局的分级保护技术要求进行分级保护方案设计,完成设计后需组织专家组进行评审,其中需要有保密部门专家参加并通过评审。
在对信息系统进行划分并确定定级对象后,在信息系统总体描述文件的基础上,进一步增加信息系统划分信息的描述。
输出
目标信息系统总体描述文件
目标信息系统(子系统)详细描述文件
3、系统定级
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。首先从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级,然后从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级,最后将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
输出 信息系统安全保护等级定级报告
4、定级备案
根据国家管理部门(公安部)对备案的要求,整理相关备案材料,向受理备案的单位(深圳市公安局)提交备案材料。
输出 定级报告 备案材料
二、安全评估阶段
1、形成评价指标和评估方案
根据我委各个信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标。根据评价指标,结合确定的具体对象制定可以操作的评估方案,涉密系统根据《涉及国家秘密的信息系统分级保护技术要求》进行评估和分析。评估方案可以包含以下内容:
管理状况评估表格; 网络状况评估表格;
网络设备(含安全设备)评估表格; 主机设备评估表格; 主要设备安全测试方案; 重要操作的作业指导书。 输出:
涉密系统评估方案
2、现状与评价指标对比——差异分析
其中涉密系统参照分级保护要求进行差异分析;非涉密系统参照等级保护要求进行差异分析。
通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论。整理和分析不符合的评价指标,确定信息系统安全保护的基本需求。
3、风险评估 对信息系统重要资产进行风险评估,分析并确定不能接受的安全风险,然后确定额外安全措施并判断对超出等级保护基本要求部分实施额外安全措施的必要性,提出信息系统的额外安全保护需求。
输出: 风险评估报告
不同系统对应等级评估报告 安全需求分析报告
三、整改、规划阶段 1总体安全设计 1.1总体安全策略设计
形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合等级保护基本要求和安全保护特殊要求,构建机构信息系统的安全技术体系结构和安全管理体系结构。
1.2技术体系结构设计
针对信息系统的安全需求和信息安全方针策略,规划设计技术体系,包括技术防护体系、技术管控体系和技术恢复体系。
技术防护体系
技术防护体系属于事前保护措施,侧重于预防保护,由物理安全、网络安全、主机安全、应用安全和数据安全组成起全方位多层次的防御体系。
技术管控体系
技术管控防护体系属于事中保护措施和全局管控,由评估评测、安全审计、安全监控和安全管理组成。
技术恢复体系
技术恢复体系属于事后保护措施,确保能够从安全事故或灾难中恢复过来,由备份系统、容灾系统和自动恢复组成
1.3管理体系结构设计
规划设计管理体系包括组织体系和制度体系。是根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构。 输出
相关安全管理制度
信息系统安全保护等级总体方案
2安全建设项目规划
根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等,形成安全建设项目计划,在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
输出
信息系统安全建设项目计划
3、技术解决方案设计 3.1技术措施实现内容设计
据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据。
3.2管理措施实现内容设计
根据机构当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。
输出
信息系统安全保护等级安全详细设计方案 投标方需在标书中附输出文档模版。
应急响应服务
服务商应建立7x24小时服务响应热线,在服务期内提供紧急现场服务。业主方网络应用系统如果遇到重大安全事件服务商技术人员必须在2小时内到达甲方现场,在4小时内发现原因尽快解决,或在4小时内提供临时解决方案并实施。工作结束后应出具安全事件的详细分析报告及解决方案。并提供不限次数7x24小时电话咨询服务
四、项目服务要求
1、售后服务内容,要求和期限;
在一年合同期内,中标方需向甲方提供系统安全应急响应服务。
2、维护要求;
3、技术培训等要求
根据项目实施过程和制定的安全策略和技术规范对信息中心及各分支机构网络/系统管理员进行有针对性地培训。
包括以下培训: 系统工作人员培训。
各接入单位网络及系统管理员培训。
提供对用户计算机安全基础培训的材料,并以PPT形式提供。 应用系统等级保护评级方法培训。
五、项目管理要求
1、组织实施要求
中标方应安排专职的项目经理负责本次服务项目的实施,中标方应保证项目团队成员的稳定,以保证服务的质量和连贯性。
2、项目服务期限要求
等级保护服务在项目启动后半年内完成。 应急响应服务期限为合同签订起一年。
3、项目人员安排要求
中标方针对本项目的成员应为资深工程师,具有同类项目的工作经验,需提供项目组成员详细的联系方式、安全服务项目经验。
除了项目经理外,项目组至少要有3名现场工程师。
4、项目验收要求
系统定级报告符合要求,并通过公安部门备案; 差距分析结果完整具体,差距分析报告通过专家评审;
风险评估结果有效,风险评估报告通过党政机关信息安全联合检查相关内容; 信息安全管理制度齐全有效,内容可操作性强,并通过党政机关信息安全联合检查相关内容;
信息安全组织体系被采纳执行; 分级保护系统设计方案通过有保密主管部门专家参加的专家组的评审; 信息安全技术体系齐全有效,并通过专家评审; 信息安全审计有利于持续提升,并通过专家评审; 协助甲方通过公安部门的信息系统等级保护测评; 项目通过规划国土委技术委员会验收。
专家评审需为相关部门认可的第三方专家组成的专家组。上述任何一项没有通过,采购单位可对服务商处罚合同金额的10%,可以累计处罚,上限是30%。
5、项目付款方式
合同签订后支付30%,等级保护咨询工作完成并通过验收后支付60%,合同一年结束后支付尾款10%
6、项目其他要求
人人范文网 m.inrrp.com.cn 手机版