项目具体工作内容和要求.docx

项目具体工作内容和要求
一、项目测评总体工作内容和要求
：对信息系统开展前期调研，确定测评范围，并搜集信息，确定测评方案。
：依据国家、公安机关和国土规划行业有关信息系统安全等级保护要求，利用专业的安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
（2）安全管理机构。安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
（3）人员安全管理。人员安全管理测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
（4）系统建设管理。系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
（5）系统运维管理。系统运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。

依据等级保护标准要求，进行技术和管理方面等10个类别的单元测评，完成对各个指标项的符合性评估后，需要对信息系统的安全情况进行总体评估。主要从层面内安全、层面间安全、区域间安全、系统结构安全进行整体评估，总结关键风险点。
单独出具单台主机的详细漏洞描述和解决建议作为后期整改依据。

依据系统测评结果，针对不符合项、系统漏洞和系统风险点，提出安全整改建议，并形成安全整改方案。

四、项目整改建议方案要求
协助采购人进行整体安全整改规划方案的详细设计，主要包括（不限于）技术措施、管理措施以及安全建设规划，形成信息系统的《等级保护整改建议方案》。
（一）技术措施的详细设计

依据每个信息系统所需达到安全等级的相应要求和信息系统的实际情况，给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架。

对安全实现技术框架中使用到的相关信息安全产品提出功能指标要求。对需要开发的安全控制组件，提出功能指标要求。

对安全实现技术框架中使用到的相关信息安全产品提出性能指标要求。对需要开发的安全控制组件，提出性能指标要求。

结合目前信息系统网络拓扑，以图示的方式给出安全技术实现框架的实现方式，包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的，给出网络调整的图示方案等。

依据信息系统安全总体方案中提出的安全策略的要求，制定设计和设置信息安全产品或安全组件的安全策略实现计划。
（二）管理措施的详细设计
结合系统实际安全管理需要和技术建设内容，协助采购人确定安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
（三）安全建设的规划方案
依据信息系统安全总体方案、采购人信息化建设的中长期发展规划和安全建设资金状况确定各个时期的安全建设目标。
根据安全建设目标和信息系统安全总体方案的要求，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。
在时间和经费上对安全建设项目列表进行总体考虑，分到不同的时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。

五、协助整改和验收测评要求
，结合自身的技术优势，充分考虑到采购人信息系统实际情况，特提供一份具体细致的、操作性强的《整改建议方案》，协助完成信息系统等级保护的相关工作。
，成交供应商应通过等级测评判定信息系统是否按照预先设定的安全模式运行，安全控制措施是否得到合理的应用，信息系统是否达到相关标准的要求，是否具备相应等级的安全防护能力等。
，对信息系统的资料和测评结果进行综合分析，形成测评报告。通过专家讨论会议，对测评报告进行评审，出具等级保护测评报告。
4．成交供应商应通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现信息系统安全等级保护，能够做到不同安全等级的信息系统应具有不同的安全保护能力，并使采购人信息系统安全等级保护达到信息系统安全等级保护工作的各项要求。

六、定级备案要求
协助完成信息系统的信息安全等级保护定级备案工作，工作内容