招标
州应急管理综合应用平台软件测评、等保测评以及密码保护测评服务采购项目比选采购公告
金额
28.5万元
项目地址
四川省
发布时间
2024/09/30
公告摘要
项目编号zzss-2024-885
预算金额28.5万元
招标公司甘孜藏族自治州应急管理局
招标联系人尼满老师0836-2834100
招标代理机构四川中泽盛世招标代理有限公司
代理联系人杨老师028-87789977
标书截止时间2024/10/10
投标截止时间2024/10/14
公告正文
州应急管理综合应用平台软件测评、等保测评以及密码保护测评服务采购项目 比选采购公告
(招标编号:ZZSS-2024-885)
项目所在地区:四川省,甘孜藏族自治州
一、招标条件
本州应急管理综合应用平台软件测评、等保测评以及密码保护测评服务采购项 目已由项目审批/核准/备案机关批准,项目资金来源为自筹资金28.5万元,招 标人为甘孜藏族自治州应急管理局。本项目已具备招标条件,现招标方式为其 它方式。
二、项目概况和招标范围
规模:州应急管理综合应用平台软件测评、等保测评以及密码保护测评服 务采购
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)州应急管理综合应用平台软件测评、等保测评以及密码保护测评服务采购 ;
三、投标人资格要求
(001州应急管理综合应用平台软件测评、等保测评以及密码保护测评服务采购) 的投标人资格能力要求:1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必须的设备和专业技术能力;
4、具有依法缴纳税收和社会保障资金的良好记录;
5、参加本次采购活动前三年内,在经营活动中没有重大违法记录;
6、法律、行政法规规定的其他条件。
6.1、供应商、供应商的法定代表人、主要负责人在参加本次采购活动前三年内 无行贿犯罪记录;
6.2、按照比选文件的规定合法获取比选文件的证明材料;6.3、授权参加本次采购活动的供应商代表证明材料;6.4、本项目接受联合体参加采购活动。;
本项目允许联合体投标。
四、招标文件的获取
获取时间:从2024年10月08日 09时00分到2024年10月10日 17时00分 获取方式:本项目采取非现场报名,电子发售方式,供应商在我司指定网站( http://www.sczzss.cn/)报名,具体报名流程详见该网站供应商服务系统及使 用手册。报名所需资料:1、单位介绍信及经办人身份证明:获取比选文件时,供应商为法人或者其他组织的,需提供单位介绍信(需注明采购项目名称、采 购项目编号、经办人姓名)、经办人身份证明加盖单位鲜章;供应商为自然人 的,只需提供本人身份证明;2、本项目的报名登记表(信息填写完整无误);将以上报名所需资料上传至我司指定网站(http://www.sczzss.cn/)
五、投标文件的递交
递交截止时间:2024年10月14日 10时00分
递交方式:四川省成都市金牛区二环路西三段213号宏源大厦A座4楼纸质文 件递交
六、开标时间及地点
开标时间:2024年10月14日 10时00分
开标地点:四川省成都市金牛区二环路西三段213号宏源大厦A座4楼 七、其他
1.比选文件售价:人民币300元/份,比选文件售后不退, 资格不能转让。2.项目负责:刘菁、喻宇;质控审核:宋伟;项目执行:张雨晴、文荟尧;询 问、质疑、投诉受理:李静怡
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招 标 人:甘孜藏族自治州应急管理局
地 址:甘孜州康定市炉城镇南郊快速通道 联 系 人:尼满老师
电 话:0836-2834100
像孤耷伦
电子邮件:/
招标代理机构:四川中泽盛世招标代理有限公司
地 址: 成都市金牛区二环路西三段213号宏源大厦A座4楼 联 系 人: 杨老师
电 话: 028-87789977
电子邮件: 2844136766@qq.com
招标人或其招标代理机构主要负责人(项目负责人): (签名)
招标人或其招标代理机构: (盖章)
一、项目概述
根据《中华人民共和国网络安全法》《四川省省级信息化项目管理办法》《甘孜州信息化建设项目管 理办法(试行)》《中华人民共和国密码法》《信息安全等级保护商用密码管理办法》(公通字〔2007〕43号)《GB/T 39786-2021信息安全技术
信息系统密码应用基本要求》等相关信息化管理要求,需对甘孜藏族自治州应急管理局应急管理综 合应用平台建设服务采购项目(以下简称:本项目)开展商用密码应用安全测评、软件测评和网络安全 等级保护测评工作,从而进一步优化完善项目涉及的软件部分的功能、性能,提升平台安全性和稳定 性;甘孜藏族自治州应急管理局特开展此次商用密码应用安全测评、软件测评和网络安全等级保护测 评工作。
软件测评服务对象为本项目软件建设软件应用系统,按照GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE)
第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》的标准,对应用系统的功能性、性能效 率、信息安全性进行评测并出具合格的《软件评测报告》。
依据国家和行业信息安全的相关标准,全面了解和掌握系统现有安全状况,评估“应急管理综合 应用平台”其与《信息安全技术网络安全等级保护基本要求》GB/T 22239-
2019对应网络安全等级保护等级要求的差距,发现系统存在的安全问题及风险,提出适宜的安全整改 建议,最终提交该系统《网络安全等级保护测评报告》。
根据《中华人民共和国密码法》《信息安全等级保护商用密码管理办法》(公通字〔2007〕43号)《GB/T 39786-2021信息安全技术
信息系统密码应用基本要求》,全面了解和掌握本单位密码应用的现状,为后期提供密码应用奠定基 础,最终提交该系统《商用密码应用安全性评估报告》。
二、服务内容(实质性要求)
1.软件测评
应按照GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》的要求对本项目软件部分开展测评。本次软件测评范围:以采购人提供的功能范围清单为准。本次软件测评服务主要包括:功能测试、性能效率测试、信息安全性测试。通过第三方测试机构进行评估和测评,发现平台中存在的漏洞 并提出问题报告,最终出具软件测评报告。
1.1.1.1.(1)功能性测试
本项目软件产品满足明确和隐含要求功能的能力。具体内容包括:对系统涉及的业务逻辑与系 统逻辑功能进行功能适合性、功能正确性、功能完备性测试,验证与预期设计结果的符合程度。
1.1.1.2.(2)性能效率测试
使用测试工具对系统的性能效率特征进行测试,选用压力测试、负载测试及并发测试三种测试 策略进行测试,最后测试输出内容至少包含响应时间、资源占用率及事务通过率等测试结果,依据 测试数据判定系统的性能效率方面是否符合预期设计要求。具体内容包括:时间特性、资源利用率、容量等。
1.1.1.3.(3)信息安全性测试
信息安全性测试:依据国家信息安全相关标准的要求和被测系统安全需求,采用自动化工具和 手工验证相结合的方式,对本系统的各项安全机制进行验证,检测系统的安全防护手段和能力,评 估系统的安全状况。具体内容包括:对系统信息安全性进行保密性、完整性、抗抵赖性、可核查性 及真实性的测试,验证系统在信息安全性方面的符合程度。
(4)成果交付
软件评测工作主要交付物:《软件测评服务方案》、《问题报告》、《软件测评报告》。
2. 网络安全等级保护测评
(1)测评对象
(2)测评要求
根据项目需求,为保障信息安全现场测评过程安全可控,明确测评人员职责分配、规范测评人 员操作,保障测评结果有效,至少包括以下几个流程:
(3)测评内容
根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术
网络安全等级保护测评要求》、《中华人民共和国网络安全法》等有关规定及要求,对本系统进行 第三方测评工作,为保证测评的真实性,供应商将客观、公正的对系统开展评估工作,在评估过程 中出现的不符合性,供应商将如实反馈并提出相应整改建议,采购人自行开展整改工作。供应商根 据采购人实际整改情况出具(优/良/中/差)结论的测评报告。
按照网络安全等级保护测评依据开展测评工作(包括不限于以下项目):
①安全物理环境
安全物理环境检查主要是了解信息系统的物理安全保障情况,涉及对象为机房。在内容上,安 全物理环境层面测评实施过程涉及的工作单元,具体如下表:
表1 安全物理环境测评内容
②安全通信网络
安全通信网络检查主要是了解系统的网络架构和通信传输等,涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上,安全通信网络层面测评过程涉及的工作单元,具体如 下表:
表2 安全通信网络测评内容
③安全区域边界
安全区域边界检查主要是了解系统在网络边界的防护措施,涉及对象为防火墙、入侵检测、安 全审计等安全设备。在内容上,安全区域边界层面测评实施过程涉及的工作单元,具体如下表:表3 安全区域边界测评内容
④安全计算环境
安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施,涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上,安全计算环境层面测评实施过程涉及的工 作单元,具体如下表:
表4应用系统安全测评内容
⑤安全管理中心
安全管理中心检查主要是了解系统在管理、审计等集中管理的情况,涉及对象为综合管理类设 备、综合审计类设备等。在内容上,安全管理中心实施过程涉及的工作单元,具体如下表:表5安全管理中心测评内容
⑥安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况,主要涉及 安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容 上,安全管理制度测评实施过程涉及的工作单元,具体如下表:
表6安全管理制度测评内容
⑦安全管理机构
安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况,主要涉及安 全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实 施过程涉及的工作单元,具体如下表:
表7安全管理机构测评内容
⑧安全管理人员
安全管理人员测评是为了了解单位人员安全方面的情况,主要涉及安全主管人员、人事管理人 员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程涉及的工作单元,具体如下表:
表8安全管理人员测评内容
⑨安全建设管理
安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况,主要涉及安全主管人 员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全建设 管理测评实施过程涉及的工作单元,具体如下表:
表9安全建设管理测评内容
⑩安全运维管理
安全运维管理测评是为了了解系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程涉及的工作单元,具体如下表:
表10安全运维管理测评内容
(4)交付产物
包括但不仅限于以下资料:《网络安全等级保护测评服务方案》、《网络安全等级保护测评报 告》。
3.商用密码应用安全测评服务工作要求
根据《中华人民共和国密码法》《信息安全等级保护商用密码管理办法》(公通字〔2007〕43 号)《GB/T 39786-2021信息安全技术
信息系统密码应用基本要求》,全面了解和掌握本单位密码应用的现状,为后期提供密码应用奠定 基础。
(1)测评范围
本次初步测评范围和系统名称如下:
(2)测评依据
此次依据的标准包括但不限于以下内容:
a.《中华人民共和国网络安全法》
b.《中华人民共和国密码法》
c.《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》d.《信息系统密码应用测评要求》
e.《信息系统密码应用测评过程指南》
f.《信息系统密码应用高风险判定指引》
g.《商用密码应用安全性评估量化评估规则》
h.《GM/T 0005-2021随机性检测规范》
i.《GM/T 0009-2012 SM2密码算法使用规范》
j.《GM/T 0014-2012 数字证书认证系统密码协议规范》
k.《GM/T 0022-2014 IPSec VPN技术规范》
l.《GM/T 0027-2014 智能密码钥匙技术规范》
m.《GMT 0028-2014 密码模块安全技术要求》
n.《GM/T 0030-2014 服务器密码机技术规范》
o.《GM/T 0037-2014 证书认证系统检测规范》
p.《GM/T 0038-2014 证书认证密钥管理系统检测规范》
q.《GB/T37092-2018信息安全技术密码模块安全要求》
(3)测评要求
按照商用密码应用安全性分类分级评估的要求,依据《GB/T39786-2021 信息安全技术
信息系统密码应用基本要求》及信息系统等级保护定级情况,本项目测评要求如下表所示:
(4)交付产物
包括但不仅限于以下资料:《商用密码应用安全测评服务方案》、《商用密码应用安全性评估 报告》。
1.1.2. 三、项目实施人员要求
服务团队成员应根据本项目服务内容由具有相关专业(商用密码应用安全测评、软件测试、网 络安全等级保护测评)的人员担任。须提供相应资质及公司员工的相关证明材料,以确保项目团队 成员专业能力匹配采购人项目需求。
1.1.3. 四、项目实施要求(实质性要求)
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面 顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
1.供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客 观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
2.应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的 商业、财务、健康、环境等方面的压力;
3.供应商在对被测评单位开展商用密码应用安全测评服务、等级保护测评服务之前需与被测评 单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评 单位,未经被测评单位允许,不得擅自复制、保留;
4.首次测评完成后应根据测评情况出具整改意见和缺陷报告,并协助采购人完成整改。复测后 应向采购人提交被测信息系统《网络安全等级保护测评报告》、《软件测评报告》、《商用密码应 用安全性评估报告》以及相应文档。
三、商务要求(实质性要求)
1.服务时间:自合同签订之日起180个工作日内完成测评工作(测评工期不含系统整改期)。2.服务地点:采购人指定地点。
3.付款方式:合同签订生效后,供应商向采购人报送《软件测评服务方案》、《网络安全等级 保护测评服务方案》、《商用密码应用安全测评服务方案》等测评服务方案后,10个工作日内采购 人向供应商支付合同总金额的30%;软件测评、等级保护测评及商密服务工作完成,并提交测评报告 等相关资料经采购人审核确认后,10个工作日内采购人向供应商支付合同总金额的剩余70%。
4.报价要求:报价包含但不限于实施和完成本项目所需的员工工资、各类保险费、福利费、加 班费、资料打印装订费、管理费、税费和各种风险等一切费用。采购人按照成交金额进行结算,供 应商须根据本项目的实际情况与自身现实情况,并充分考虑不确定性因素可能导致的风险自行报价。若因供应商原因造成的漏报、错报而导致重复工作成本,由供应商自行负责。采购人不承担任何 费用;
5.验收标准:按比选文件要求、供应商的响应文件及承诺、签订的合同、国家及行业相关规范 标准以及行业相关规范标准进行验收;
6.违约责任:如因供应商在履行过程中的疏忽、失职、过错等故意或者过失原因给采购人造成 损失或侵害,包括但不限于采购人本身的财产损失、由此而导致的采购人对任何第三方的法律责任 等,供应商对此均应承担全部的赔偿责任。
7.其他要求:在合同签订生效之日起,服务供应商至少需提供一位服务人员在甘孜藏族自治州 应急管理员驻场开展相关工作。
| 系统名称 | 安全等级 |
| 应急管理综合应用平台 | 三级 |
| 序号 | 关键实施阶段 | 工作要求 |
| 1 | 确定测评范围 | 明确本次被测评信息系统的范围,包括每个信息系统的 范围、信息系统的边界等。 |
| 2 | 获得信息系统 的信息 | 通过调查或查阅资料的方式,了解被测评信息系统的构 成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 |
| 3 | 确定具体的测 评对象 | 初步确定每个信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界 设备、网关设备、服务器设备、工作站、应用系统等。 |
| 4 | 确定测评工作 的方法 | 根据信息系统安全等级情况、系统规模大小等,明确本 次测评的方法。 |
| 5 | 制定测评工作 计划 | 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 |
| 6 | 实施等级保护 测评 | 实施测评,包括人工检查、工具扫描等方式。 |
| 7 | 项目总结 | 对测评结果进行总结、汇报。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 物理位置的选 择 | 检查机房,测评机房物理场所在位置上是否具有防震、防风 和防雨等多方面的安全防范能力。 |
| 2 | 物理访问控制 | 检查机房出入口等过程,测评信息系统在物理访问控制方面 的安全防范能力。 |
| 3 | 防盗窃和防破 坏 | 检查机房内的主要设备、介质和防盗报警设施等过程,测评 信息系统是否采取必要的措施预防设备、介质等丢失和被破 坏。 |
| 4 | 防雷击 | 检查机房设计/验收文档,测评信息系统是否采取相应的措 施预防雷击。 |
| 5 | 防火 | 检查机房防火方面的安全管理制度,检查机房防火设备等过 程,测评信息系统是否采取必要的措施防止火灾的发生。 |
| 6 | 防水和防潮 | 检查机房及其除潮设备等过程,测评信息系统是否采取必要 措施来防止水灾和机房潮湿。 |
| 7 | 防静电 | 检查机房等过程,测评信息系统是否采取必要措施防止静电 的产生。 |
| 8 | 温湿度控制 | 检查机房的温湿度自动调节系统,测评信息系统是否采取必 要措施对机房内的温湿度进行控制。 |
| 9 | 电力供应 | 检查机房供电线路、设备等过程,测评是否具备为信息系统 提供一定电力供应的能力。 |
| 10 | 电磁防护 | 检查主要设备等过程,测评信息系统是否具备一定的电磁防 护能力。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 网络架构 | 检查核心设备的CPU和内存使用率,整个网络带宽是否满足 现状,VLAN划分是否合理,网络架构是否做到设备冗余、链 路。 |
| 2 | 通信传输 | 检查数据在传输过程中的的完整性和保密性措施。 |
| 3 | 可信计算 | 检查设备是否进行可信验证。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 边界防护 | 检查网络边界是否有访问控制设备,访问控制策略是否合 理,是否关闭了闲置端口等。 |
| 2 | 访问控制 | 检查网络中的访问控制策略是否合理、有效。 |
| 3 | 入侵防范 | 检查网络中是否采用了入侵防范措施,验证该措施是否有 效。 |
| 4 | 恶意代码和垃 圾邮件防范 | 检查网络中是否有恶意代码和垃圾邮件防范措施。 |
| 5 | 安全审计 | 检查网络中是否有综合安全审计措施。 |
| 6 | 可信验证 | 检查设备是否进行可信验证。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 身份鉴别 | 检查所有设备的登录用户是否有身份鉴别措施,是否有复 杂度、唯一性等检查。 |
| 2 | 访问控制 | 检查用户的权限分配情况,默认用户和默认口令使用情况 等。 |
| 3 | 安全审计 | 检查是否开启安全审计功能,是否能审计到每个用户,审 计记录是否有保护措施。 |
| 4 | 入侵防范 | 检查设备在运行过程中的入侵防范措施,如关闭不需要的 端口和服务、最小化安装、部署入侵防范产品等。 |
| 5 | 恶意代码防范 | 检查设备的恶意代码防范情况。 |
| 6 | 可信验证 | 检查设备是否进行可信验证。 |
| 7 | 数据完整性 | 检查系统数据的传输完整性和存储完整性措施。 |
| 8 | 数据保密性 | 检查系统数据的传输保密性和存储保密性措施。 |
| 9 | 数据备份恢复 | 检查系统的安全备份情况,如重要信息的备份、硬件和线 路的冗余等。 |
| 10 | 剩余信息保护 | 检查系统的剩余信息保护情况,如将用户鉴别信息以及文 件、目录和数据库记录等资源所在的存储空间再分配时的 处理情况。 |
| 11 | 个人信息保护 | 检查系统对个人信息的采集和使用情况。 |
| 序 号 | 工作单元名称 | 工作单元描述 |
| 1 | 系统管理 | 检查是否对系统管理员进行统一的身份鉴别,操作审计等。 |
| 2 | 审计管理 | 检查是否对审计管理员进行统一的身份鉴别,操作审计等。 |
| 3 | 安全管理 | 检查是否对安全管理员进行统一的身份鉴别,操作审计等。 |
| 4 | 集中管控 | 检查是否划分独立的安全管理区域,是否对网络中运行的设 备进行状态监测、日志审计、安全审计等,是否对补丁、恶 意代代码进行统一管理。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 安全策略 | 核查网络安全工作的总体方针和安全策略文件是否明 确机构安全工作的总体目 标、范围、原则和各类安全策略 |
| 2 | 管理制度 | 检查有关管理制度文档和重要操作规程等过程,测评 信息系统管理制度在内容覆盖上是否全面、完善。 |
| 3 | 制定和发布 | 检查有关制度制定要求文档等过程,测评信息系统管 理制度的制定和发布过程是否遵循一定的流程。 |
| 4 | 评审和修订 | 检查管理制度评审记录等过程,测评信息系统管理制 度定期评审和修订情况。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 岗位设置 | 检查部门/岗位职责文件,测评信息系统安全主管部门 设置情况以及各岗位设置和岗位职责情况。 |
| 2 | 人员配备 | 检查人员名单等文档,测评信息系统各个岗位人员配备 情况。 |
| 3 | 授权和审批 | 检查相关文档,测评信息系统对关键活动的授权和审批 情况。 |
| 4 | 沟通和合作 | 检查相关文档,测评信息系统内部部门间、与外部单位 间的沟通与合作情况。 |
| 5 | 审核和检查 | 检查记录文档等过程,测评信息系统安全工作的审核和 检查情况。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 人员录用 | 检查人员录用文档等过程,测评信息系统录用人员时 是否对人员提出要求以及是否对其进行各种审查和考 核。 |
| 2 | 人员离岗 | 检查人员离岗安全处理记录等过程,测评信息系统人 员离岗时是否按照一定的手续办理。 |
| 3 | 安全意识教育和 培训 | 检查培训计划和执行记录等文档,测评是否对人员进 行安全方面的教育和培训。 |
| 4 | 外部人员访问管 理 | 检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 定级和备案 | 检查系统定级相关文档等过程,测评是否按照一定要 求确定系统的安全等级。 |
| 2 | 安全方案设计 | 检查系统安全建设方案等文档,测评系统整体的安全 规划设计是否按照一定流程进行。 |
| 3 | 产品采购和使 用 | 测评是否按照一定的要求进行系统的产品采购。 |
| 4 | 自行软件开发 | 检查相关软件开发文档等,测评自行开发的软件是否 采取必要的措施保证开发过程的安全性。 |
| 5 | 外包软件开发 | 检查相关文档,测评外包开发的软件是否采取必要的 措施保证开发过程的安全性和日后的维护工作能够正 常开展。 |
| 6 | 工程实施 | 检查相关文档,测评系统建设的实施过程是否采取必 要的措施使其在机构可控的范围内进行。 |
| 7 | 测试验收 | 检查测试验收等相关文档,测评系统运行前是否对其 进行测试验收工作。 |
| 8 | 系统交付 | 检查系统交付清单等过程,测评是否采取必要的措施 对系统交付过程进行有效控制。 |
| 9 | 等级测评 | 检查系统之前等级测评的情况,以及之前测评机构的 资质等。 |
| 10 | 服务供应商选 择 | 测评是否选择符合国家有关规定的安全服务单位进行 相关的安全服务工作。 |
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 环境管理 | 检查机房安全管理制度,机房和办公环境等过程,测评 是否采取必要的措施对机房的出入控制以及办公环境的 人员行为等方面进行安全管理。 |
| 2 | 资产管理 | 检查资产清单,检查系统、网络设备等过程,测评是否 采取必要的措施对系统的资产进行分类标识管理。 |
| 3 | 介质管理 | 检查介质管理记录和各类介质等过程,测评是否采取必 要的措施对介质存放环境、使用、维护和销毁等方面进 行管理。 |
| 4 | 设备维护管理 | 检查设备使用管理文档和设备操作规程等过程,测评是 否采取必要的措施确保设备在使用、维护和销毁等过程 安全。 |
| 5 | 漏洞和风险管 理 | 检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 |
| 6 | 网络和系统安 全管理 | 检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件 的生成及备份、变更审批等内容;检查运维操作日志是 否覆盖网络和系统的日常巡检、运行维护、参数的设置 和修 改等内容;核查是否具有对日志、监测和报警数据等进 行分析统计的报告;核查开通远程运维的审批记录,核 查针对远程运维的审计日志是否不可以更改等。 |
| 7 | 恶意代码防范 管理 | 检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
| 8 | 配置管理 | 检查是否对基本配置信息进行记录和保存,基本配置信 息改变后是否及时更新基本配置信息库等。 |
| 9 | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符 合国家密码管理规定。 |
| 10 | 变更管理 | 检查变更方案和变更管理制度等过程,测评是否采取必 要的措施对系统发生的变更进行有效管理。 |
| 11 | 备份与恢复管 理 | 检查系统备份管理文档和记录等过程,测评是否采取必 要的措施对重要业务信息,系统数据和系统软件进行备 份,并确保必要时能够对这些数据有效地恢复。 |
| 12 | 资产管理 | 检查是否有资产清单,清单是否包括资产类别、资产责 任部门、 重要程度和所处位置等内容;是否依据资产的重要程度 对资产进行标识,不同类别的资产在管理措施 的选取上是否不同;核查资产管理制度是否明确资产的 标识方法以及不同资产的管理措施要求。 |
| 13 | 应急预案管理 | 检查应急响应预案文档等过程,测评是否针对不同安全 事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
| 14 | 外包运维管理 | 检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 |
| 系统名称 | 拟定安全等级 |
| 应急管理综合应用平台 | 三级 |
| 指标类 | 评估 指标 | 评估标准 |
| 总体要求 | 合规性 | 核查密码算法是否以国家标准或行业标准形式发布 或取得国家密码管理部门同意其使用的证明文件。 |
| 合规性 | 密码技术应以国家标准或行业标准发布。 | |
| 合规性 | 密码产品、密码模块应获得国家密码管理部门颁布 的密码产品型号证书,或国家密码管理部门认可的商 用密码测评机构出具的合格检测报告。 | |
| 物理和环境安全 | 真实性 | 宜采用密码技术进行物理访问身份鉴别,保证重要 区域进入人员身份的真实性。 |
| 完整性 | 宜采用密码技术保证电子门禁系统进出记录数据的 存储完整性。 | |
| 完整性 | 宜采用密码技术保证视频监控音像记录数据的存储 完整性。 | |
| 网络和通信安全 | 真实性 | 应采用密码技术对通信实体进行身份鉴别,保证通 信实体身份的真实性。 |
| 完整性 | 宜采用密码技术保证通信过程中数据的完整性。 | |
| 机密性 | 应采用密码技术保证通信过程中重要数据的机密性。 | |
| 完整性 | 宜采用密码技术保证网络边界访问控制信息的完整 性。 | |
| 真实性 | 可采用密码技术对从外部连接到内部网络的设备进 行接入认证,确保接入的设备身份真实性。 | |
| 设备和计算安全 | 真实性 | 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。 |
| 管理设备 | 远程管理设备时,应采用密码技术建立安全的信息 传输通道。 | |
| 完整性 | 宜采用密码技术保证系统资源访问控制信息的完整 性。 | |
| 完整性 | 宜采用密码技术保证设备中的重要信息资源安全标 记的完整性。 | |
| 完整性 | 宜采用密码技术保证日志记录的完整性。 | |
| 完整性、真实性 | 宜采用密码技术对重要可执行程序进行完整性保护 |
| ,并对其来源进行真实性验证。 | ||
| 应用和数据安全 | 真实性 | 应采用密码技术对登录用户进行身份鉴别,保证应 用系统用户身份的真实性。 |
| 完整性 | 宜采用密码技术保证信息系统应用的访问控制信息 的完整性。 | |
| 完整性 | 宜采用密码技术保证信息系统应用的重要信息资源 安全标记的完整性。 | |
| 机密性 | 应采用密码技术保证信息系统应用的重要数据在传 输过程中的机密性。 | |
| 机密性 | 应采用密码技术保证信息系统应用的重要数据在存 储过程中的机密性。 | |
| 完整性 | 宜采用密码技术保证信息系统应用的重要数据在传 输过程中的完整性。 | |
| 完整性 | 宜采用密码技术保证信息系统应用的重要数据在存 储过程中的完整性。 | |
| 不可否认性 | 在可能涉及法律责任认定的应用中,宜采用密码技 术提供数据原发证据和数据接收证据,实现数据原发 行为的不可否认性和数据接收行为的不可否认性。 | |
| 管理制度 | 制度 | 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介 质管理等制度。 |
| 应根据密码应用方案建立相应密钥管理规则。 | ||
| 应对管理人员或操作人员执行的日常管理操作建立 操作规程。 | ||
| 应定期对密码应用安全管理制度和操作规程的合理 性和适用性进行论证和审定,对存在不足或需要改进 之处进行修订。 | ||
| 应明确相关密码应用安全管理制度和操作规程的发 布流程并进行版本控制。 | ||
| 应具有密码应用操作规程的相关执行记录并妥善保 存。 | ||
| 人员管理 | 人员 | 应了解并遵守密码相关法律法规、密码应用安全管 理制度。 |
| 应建立密码应用岗位责任制度,明确各岗位在安全 系统中的职责和权限: 根据密码应用实际情况,设置密钥管理员、密码安 全审计员、密码操作员等关键安全岗位; 对关键岗位建立多人共管机制; 密钥管理、密码安全审计、密码操作人员职责互相 |
| 制约互相监督,其中密码安全审计员岗位不可与密钥 管理员、密码操作员兼任; 相关设备与系统的管理和账号不得多人共用。 | ||
| 应建立上岗人员培训制度,对于涉及密码的操作和 管理的人员进行专门培训,确保其具备岗位所需专业 技能。 | ||
| 应定期对密码应用安全岗位人员及逆行考核。 | ||
| 应建立关键人员保密制度和调离制度,签订保密合 同,承担保密义务。 | ||
| 建设运行 | 建设运行 | 应根据密码相关标准和密码应用需求,制定密码应 用方案。 |
| 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要求参照附 录B。 | ||
| 应按照应用方案实施建设。 | ||
| 投入运行前应进行密码应用安全性评估。 | ||
| 在运行过程中,应严格执行既定的密码应用安全管 理制度,应定期开展密码应用安全性评估及攻防对抗 演习,并根据评估结果进行整改。 | ||
| 应急处置 | 应急处置 | 应制定密码应用应急策略,做好应急资源准备,当 密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置。 |
| 事件发生后,应及时向信息系统主管部门进行报告。 | ||
| 事件处置完成后,应及时向信息系统主管部门及归 属的密码管理部门报告事件发生情况及处理情况。 |
解决方案
联系我们
返回顶部