项目目标随着信息化进程的全面加快，《网络安全法》自2017年6月1日起开始实行，网络安全等保护2.0的相关标准2019年开始宣贯和推行，信息化的程度越来越高也渐渐影响到广州康复实验学校内部的各项核心业务中，重要信息系统已经成为广州康复实验学校各项业务工作正常开展必不可少的组成部分。为全面贯彻落实国家《网络安全法》对于网络安全等级保护制度的相关规定,以及公安部对信息系统等级保护工作的要求，广州康复实验学校结合内部实际情况，依据国家网络安全等级保护相关规范与标准的要求,对广州康复实验学校重要信息系统进行定级备案、差距测评、验收测评。通过统一的网络安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理，使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。项目背景用户需求用户需求书广州康复实验学校2020年新校区智慧校园安防信息化及网络建设项目等级保护测评项目

项目依据（3）依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题，确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在第一时间恢复部分功能。（2）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差距分析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达到等级保护基本要求为目的，设计信息系统等级保护体系建设方案，为后续信息系统的网络安全等级保护安全建设提供依据；（1）依据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GBT22239-2019《信息安全技术网络安全等级保护基本要求》以及GB/T28448-2019《信息安全技术网络安全等级保护测评要求》的要求，对需定级的系统进行等级保护基本要求符合性的调查，采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析报告；具体目标如下：以等级保护标准要求为依据，对广州康复实验学校本次项目重要信息系统进行定级备案、差距测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式，分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析列表；并为确立安全策略、制定安全规划、开展安全建设提供决策建议；协助广州康复实验学校完成本次项目重要信息系统网络安全等级保护验收测评工作，提交验收测评报告；使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。

《关于网络安全等级保护工作的实施意见》2004年9月四部委局联合签发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《广东省深化网络安全等级保护工作方案》（粤公通字[2009]45号）《网络安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号）《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）

《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010《信息安全技术网络安全等级保护测评要求》GB/T28448-2019《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）《信息安全风险评估规范》（GB/T20984-2007）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）《网络安全等级保护管理办法》（公通字[2007]43号）

《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护测评过程指南》（GB/T28449-2012）

服务内容要求本项目需测评的信息系统清单：测评对象《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《信息安全技术服务器技术要求》（GB/T21028-2007）

广州康复实验学校委托具备资质的机构进行网络安全等级保护验收测评工作，并按照等保2.0的相关要求出具验收测评报告，最后协助广州康复实验学校进行测评报告备案工作，提交验收测评报告到当地公安等级保护部门，完成报告备案工作。3、验收测评差距测评包括两个方面的内容：一是安全控制测评，主要测评网络安全等级保护要求的基本安全控制在系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。2、差距测评协助广州康复实验学校准备信息系统有关建设使用、设备部署、网络拓扑、数据存储、运行维护、安全管理等方面的文档资料，按照广东省等保工作管理规定，对系统相关文档进行整理后形成系统定级报告，并指导用户单位提交网安部门审批。1、协助定级备案

物联网安全拓展要求包括：安全物理环境、安全区域边界、安全建设管理。移动互联网拓展要求包括：安全物理环境、安全区域边界、安全计算环境、安全建设管理。云计算拓展要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理。安全通用要求规定了不管等级保护对象形态如何必须满足的要求，评单元分为安全技术测评和安全管理测评两大类，技术要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理要求包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。按照等保2.0的相关要求对信息系统安全等级保护状况进行测试评估，包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。测评要求

测试方法：访谈、检查。测评内容：被测信息系统应对重要的物理安全设置，如物理位置选择、物理范围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应电磁防护等做必要配置。安全物理环境1、安全通用要求测评内容工业控制系统安全拓展要求包括：安全物理环境、网络通信网络、安全区域边界、安全计算环境。

测试方法：访谈、检查。测评内容：被测信息系统网络边界进行安全配置，如边界防护、访问控制、入侵范围、恶意代码防范、安全审计、可信验证等做必要的配置。安全区域边界测试方法：访谈、检查。测评内容：被测信息系统对通信网络安全进行设置，如网络架构、通信传输、可信验证等做必要的配置。安全通信网络

测试方法：访谈、检查。测评内容：被测信息系统的安全管理中心进行安全配置和管理，如系统管理、审计管理等做必要的配置安全管理中心测试方法：访谈、检查。测评内容：被测信息系统安全计算环境进行安全配置，如身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等做必要的配置。安全计算环境

测评方法：访谈、检查。测评内容：被测系统运营单位的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查的管理和落实情况。安全管理机构测评方法：访谈、检查。测评内容：被测系统运营单位的管理制度、制定和发布、修订和评审进行管理和落实情况。安全管理制度

测评方法：访谈、检查。测评内容：被测系统运营单位的系统定级和备案情况、安全方案设计、产品采购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择管理和落实情况安全建设管理测评方法：访谈、检查。测评内容：被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的管理和落实情况。安全管理人员

测评内容：被测系统的基础设施位置选择。安全物理环境2、云计算拓展要求测评方法：访谈、检查。测评内容：被测系统运营单位在环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理、外包运维管理方面的管理和落实情况。系统运维管理

测评内容：对安全计算环境的访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护进行安全配置。安全计算环境测评方法：访谈、检查。测评内容：对云计算环境访问控制、入侵防范、安全审计进行安全配置。安全边界区域测评方法：访谈、检查。

测评内容：云计算环境管理是否符合国家相关规定安全运维管理测评方法：访谈、检查。测评内容：对云计算环境的云服务商选择、供应链管理方面的落实情况。安全建设管理测评方法：访谈、检查。

安全区域边界测评方法：访谈、检查。测评内容：被测系统的无线接入点的位置选择。安全物理环境3、移动互联网拓展要求测评方法：访谈、检查。

安全建设管理测评方法：访谈、检查。测评内容：对移动互联网的移动应用管控进行安全配置。安全计算环境测评方法：访谈、检查。测评内容：对移动互联网的边界防护、访问控制、入侵防范进行安全配置。

测评方法：访谈、检查。测评内容：被测系统的感知节点设备物理防护合理。安全物理环境4、物联网安全拓展要求测评方法：访谈、检查。测评内容：对移动互联网的移动应用软件采购、移动应用开发和安全合理管理

测评方法：访谈、检查。测评内容：对物联网的感知节点进行安全合理管理。安全运维管理测评方法：访谈、检查。测评内容：对物联网系统的接入控制、入侵防范进行安全配置。安全区域边界

测评内容：被测工业控制系统的网络架构、通信传输进行安全配置。安全通信网络测评方法：访谈、检查。测评内容：被测工业控制系统的室外控制设备物理防护措施合理。安全物理环境5、工业控制系统安全拓展要求

测评内容：对工业控制系统的控制设备进行安全控制。安全计算环境测评方法：访谈、检查。测评内容：对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安全配置。安全区域边界测评方法：访谈、检查。

1、测评方法测评方法与工具要求测评方法：访谈、检查。测评内容：对工业控制系统的产品采购和使用、外包软件开发进行安全合理管理。安全建设管理测评方法：访谈、检查。

检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。（3）文档审查利用上机验证的方式检查主机操作系统、数据库、网络设备、安全设备、应用系统等配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。（2）配置检查与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。（1）人员访谈

（2）工具测试在网络安全等级保护测评过程中使用的测评工具严格遵循可控性原则，即所有使用到的测评工具将事先提交给系统管理员检查和确认没问题，并在认可的范围之内进行使用。（1）测评工具2、工具和测试通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。（4）实地查看

（3）投标人应对了解到的信息保密，并提供保密承诺；（2）投标人提供的资格、资质等证明文件应真实有效；（1）投标人必须具备独立完成本项目的能力；1.实施要求项目实施要求利用技术工具（漏洞扫描工具、渗透测试工具）对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试、性能测试等。

2.项目经理资质要求（8）投标人应具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务机构服务认证证书》（7）项目必须按照国家网络安全等级保护的标准要求开展。（6）能按照广州康复实验学校规定的工作内容及进度安排协助完成等级保护工作；（5）在广州康复实验学校进行整改过程中提供必要的技术支持；（4）投标人应在项目现场实施周期内，中标方必须为本项目成立等级保护测评小组，安排包括项目经理和核心技术人员的现场驻场服务，所需电脑等设备自行提供；

6.ITIL证书。5.ISO27001Foundation证书；4.CISP证书；3.中国信息安全认证中心应急服务专家级证书；2.中国信息安全认证中心风险管理专家级证书；1.网络安全等级保护测评师证书中级或以上；

3、投标方需要给出招标方在进行调查和测评时所需要提供的信息列表。经招标方确认后提供给投标方。招标方有权利拒绝提供任何信息列表以外的招标方资产信息；2、本项目中可能需要的硬件平台（如笔记本电脑、PC、工作站等）均由中标方提供，招标方将按照相关要求对设备进行必要的处理。投标方在服务期间未经招标方许可不得将设备带离招标方指定场所，也不得使用任何未经招标方确认的存储设备对测评数据进行复制；1、安全调查和测评的过程中，投标方如需招标方人员配合，投标方需要详细描述需要配合的内容。如需要招标方人员协助完成各种表单，需要详细描述表单的名称、功能及主要表项等等，并由投标方给出具体示例。招标方有权利拒绝提供任何未事先提出的配合要求，由此产生的损失由投标方负全责；其它要求中标人须保证对本项目实施中所获得任何资料和信息严格保密，并与广州康复实验学校签订保密责任书。3.保密要求

支付方式时间，而非款项实际支付时间。乙方不得以资金付款期限已过，向甲方索赔或支付违约金。7、投标方应详细描述安全调查和测评的组织方式，包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。6、实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中，如需使用安全工具，请在实施方案中详细描述所使用的安全工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求等；5、投标方应提供本项目的测评方案，包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法；4、安全测评应按照分层的原则，包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等；

本项目总预算为25万元，在合同签订后支付本项目总额的60%；完成网络安全等级保护现场测评工作并提交定级备案回执后，支付本项目总额的40%。