项目具体工作内容和要求.docx

该【项目具体工作内容和要求 】是由【毒药 Posion】上传分享，文档一共【14】页，该文档可以免费在线阅读，需要了解更多关于【项目具体工作内容和要求 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。项目具体工作内容和要求
一、项目测评总体工作内容和要求
:对信息系统开展前期调研,确定测评范围,并搜集信息,确定测评方案。
:依据国家、公安机关和国土规划行业有关信息系统安全等级保护要求,利用专业的安全测评设备和软件(等保工具箱、专业安全扫描器、漏洞测试工具等)从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面对目标信息系统进行安全需求测评分析,确定信息系统安全建设整改需求,提交《差距测评分析报告》和《整改建议方案》。
:提供无偿的咨询服务,指导协助采购人完成信息系统信息安全整改,达到国家规定的信息安全要求。
:对信息系统进行验收测评,按照公安部制定的信息安全等级测评报告格式编制等级测评报告,并向公安机关提交符合要求的验收测评报告,完成测评备案及验收工作。
:《信息系统等级保护备案证》、《等级测评详细方案》、《差距测评分析报告》、《整改建议方案》、《信息系统验收测评报告》等。
二、确定测评方案和测评基本原则
对信息系统开展前期调研,确定测评范围,并搜集信息,确定测评方案。成交供应商应依据客观性和公正性原则、经济性和可重用性原则、可重复性和可再现性原则、结果完善性原则、最小影响原则、规范性原则为采购人提供信息系统安全等级保护测评服务。

测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。

基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。

不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。

测评所产生的结果应当证明是良好的判断和对测评项的正确理解,测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。

信息系统安全等级保护测评服务的实施应由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
三、项目差距测评要求
(一)差距测评方式
等级保护测评方法主要包括人员访谈、文档检查和系统测试三类。
人员访谈:测评工程师通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。
文档检查:测评工程师通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。
系统测试:测评工程师依照相关标准与法律法规实施测评,使用等级保护检查工具箱设备作为主要系统检查、信息收集、分析工具,同时结合其他专业脆弱性安全扫描工具、安全配置核查工具的扫描分析结果作为参考。将该阶段搜集的数据信息录入系统测评核查表,以供后期分析。配置核查扫描提供每个扫描任务的日志文件报告,方便后期进行行为审计。
(二)差距测评内容
依据《信息系统安全等级保护基本要求》,从技术和管理方面等10个类别的单元测评内容进行差距测评。

(1)物理安全。物理安全测评将通过访谈和检查结合的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。
(2)网络安全。网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。
(3)主机系统安全。主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的主机系统安全保障情况。
(4)应用安全。应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。为信息系统整体安全性进行综合评价做准备。
(5)数据安全。数据安全测评将通过访谈、检查和测试结合的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。

(1)安全管理制度。安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
(2)安全管理机构。安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
(3)人员安全管理。人员安全管理测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
(4)系统建设管理。系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
(5)系统运维管理。系统运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。

依据等级保护标准要求,进行技术和管理方面等10个类别的单元测评,完成对各个指标项的符合性评估后,需要对信息系统的安全情况进行总体评估。主要从层面内安全、层面间安全、区域间安全、系统结构安全进行整体评估,总结关键风险点。
单独出具单台主机的详细漏洞描述和解决建议作为后期整改依据。

依据系统测评结果,针对不符合项、系统漏洞和系统风险点,提出安全整改建议,并形成安全整改方案。
四、项目整改建议方案要求
协助采购人进行整体安全整改规划方案的详细设计,主要包括(不限于)技术措施、管理措施以及安全建设规划,形成信息系统的《等级保护整改建议方案》。
(一)技术措施的详细设计

依据每个信息系统所需达到安全等级的相应要求和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架。

对安全实现技术框架中使用到的相关信息安全产品提出功能指标要求。对需要开发的安全控制组件,提出功能指标要求。

对安全实现技术框架中使用到的相关信息安全产品提出性能指标要求。对需要开发的安全控制组件,提出性能指标要求。

结合目前信息系统网络拓扑,以图示的方式给出安全技术实现框架的实现方式,包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的,给出网络调整的图示方案等。

依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。
(二)管理措施的详细设计
结合系统实际安全管理需要和技术建设内容,协助采购人确定安全管理建设的范围和内容,同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
(三)安全建设的规划方案
依据信息系统安全总体方案、采购人信息化建设的中长期发展规划和安全建设资金状况确定各个时期的安全建设目标。
根据安全建设目标和信息系统安全总体方案的要求,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
五、协助整改和验收测评要求
,结合自身的技术优势,充分考虑到采购人信息系统实际情况,特提供一份具体细致的、操作性强的《整改建议方案》,协助完成信息系统等级保护的相关工作。
,成交供应商应通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的要求,是否具备相应等级的安全防护能力等。
,对信息系统的资料和测评结果进行综合分析,形成测评报告。通过专家讨论会议,对测评报告进行评审,出具等级保护测评报告。
,能够做到不同安全等级的信息系统应具有不同的安全保护能力,并使采购人信息系统安全等级保护达到信息系统安全等级保护工作的各项要求。
六、定级备案要求
协助完成信息系统的信息安全等级保护定级备案工作,工作内容包括:协助完成信息系统等级保护定级备案材料准备;协助完成定级备案材料向公安机关递交报备流程,并取得《信息系统等级保护定级备案证明》。
七、测评工具要求
测评工具严格遵循可控性原则。测评过程中所使用的测评工具需符合信息安全等级保护测试标准,符合《信息安全等级保护检查工具箱技术规范》、《信息安全等级保护检查工具测评方案》的等级保护检查工具箱设备。
(1)本项目在实施过程中所使用到的专业安全服务工具由成交供应商免费推荐,成交供应商必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由成交供应商负完全责任。
(2)测评工具软件运行可能需要的硬件平台(如计算机、打印机等)均由成交供应商自行准备,采购方有权按照相关的要求对设备进行必要的处理。成交供应商在测评期间未经采购方许可,不得将设备带离采购方指定的场所,也不得使用任何未经采购方确认的存储设备对测评数据进行复制。
(3)成交供应商须在投标文件中列出专业安全服务工具清单。
八、项目人员要求
1、数量要求
项目经理1人,项目实施成员(除项目经理外)2人。
2、项目经理资质要求
1)工作经验:10年以上信息安全工作及项目管理经验。