XX省XX厅等级保护测评及密码评估服务需求说明.docx

《XX省XX厅等级保护测评及密码评估服务需求说明.docx》由会员分享，可在线阅读，更多相关《XX省XX厅等级保护测评及密码评估服务需求说明.docx（6页珍藏版）》请在第一文库网上搜索。

1、XX省XX厅等级保护测评及密码评估服务需求说明一、总体要求依据国家网络安全等级保护及密码应用安全性评估相关标准及技术规范要求，结合XX省XX厅网络信息安全整体需求及各信息系统具体特点，对XX省XX厅相关信息系统开展网络安全等级保护测评及商用密码应用安全性评估，出具等级测评报告及密评报告。二、测评范围本次测评涉及5个三级系统的等级测评及密码评估，具体系统见下表:序号系统名称测评要求1投资促进在线应用等保三级及密评三级2外贸综合应用3综合业务系统4商贸流通应用5门户网站系统三、依据标准网络安全等级保护测评应依据的国家及行业标准包括：1、GB/T22239-2019信息安全技术网络安全等级保护基本要

2、求2、GB/T28448-2019信息安全技术网络安全等级保护测评要求3、GB/T28449-2018信息安全技术网络安全等级保护测评过程指南4、TISE001-2023信网络安全等级保护测评高风险判定指引密码应用安全性评估应依据的国家及行业标准包括：1、GB/T39786-2023信息安全技术信息系统密码应用基本要求2、GM/T01152023信息系统密码应用测评要求3、GM/T0116-2023信息系统密码应用测评过程指南4、信息系统密码应用高风险判定指引5、商用密码应用安全性评估量化评估规则四、网络安全等级保护测评4.1测评内容本次等级保护测评内容应覆盖安全物理环境、安全通信网络、安全区

3、域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10个层面，具体包括：1）安全物理环境测评内容应包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。2）安全通信网络测评内容应包括：网络架构、通信传输、可信验证。3）安全区域边界测评内容应包括：边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证。4）安全计算环境测评内容应包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。5）安全管理中心测评内

4、容应包括：系统管理、审计管理。6）安全管理制度测评内容应包括：安全策略、管理制度、制度和发布、评审和修订。7）安全管理机构测评内容应包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。8）安全管理人员测评内容应包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。9）安全建设管理测评内容应包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。10）安全运维管理测评内容应包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管

5、理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。4.2测评原则保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究供应商的责任，并签订保密协议。标准性原则：测评方案的设计与实施应依据国家等级保护2.0的相关标准进行。规范性原则：测评工作过程中的文档，具有良好的规范性，便于项目的跟踪和控制。可控性原则：测评服务的进度要严格进度表的安排，保证采购人对于测评工作的可控性。整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。最小影响原则：测评工作对系统和网络的影响必须在可控

6、范围内，测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响。4.3 测评要求（1）供应商应详细描述实施人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本次项目实施。（2）安全测评需要的运行环境（如场地、网络环境等）由采购人提供，供应商应详细描述需要的运行环境的具体要求。4.4 .测评成果（1）网络安全等级保护测评报告(2)网络安全等级保护整改建议书五、商用密码应用安全性评估5.1测评内容根据用户信息系统的保护等级，并依据信息系统密码应用基本要求中条款要求，全面分析应用系统的安全保护措施与密码应用基本要求相应级别之间的差距，进行合规性分析，出具密码应用安全性评估

7、报告及整改建议书，并为系统密码应用加固整改提供技术支持。密评内容应包括技术测评与管理测评2部分，共8个层面：(1)物理和环境安全：采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性。(2)网络和通信安全：采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。(3)设备和计算安全：采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性。(4)应用和数据安全：采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性。(5)管理制度:具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。(6)人员管理:相关人员了

8、解并遵守密码相关法律法规、密码应用安全管理制度。(7)建设运行：依据密码相关标准和密码应用需求，制定密码应用方案。(8)应急处置：制定密码应用应急策略，做好应急资源准备，当密码应用安全事件发生时，按照应急处置措施结合实际情况及时处置。1.2 测评原则遵循以下若干原则，是评估结论真实、准确、可信的基础，也是评估组在独立实施评估时，在相似的情况下得出相似结论的前提。本次商用密码应用安全性测评应满足以下原则：(1)客观公正原则：评估实施过程中评估人员应保证在最小主观判断情形下，按照评估双方认可的评估方案，基于明确定义的评估方式和解释，实施评估活动。(2)经济性和可重用性原则：评估工作可重用已有评估结

9、果，包括商用密码应用安全性评估结果。所有重用结果都应以结果适用于待评估系统为前提，并能够客观反映目前系统的安全状态。(3)可重复性和可再现性原则：依照同样的要求，使用同样的评估方法，不同的评估机构对每个评估实施过程的重复执行应得到同样的结果。可再现性和可重复性的区别在于，前者关注不同评估者评估结果的一致性，后者则与同一评估者评估结果的一致性有关。(4)结果完善性原则：在正确理解GB/T39786-2023信息安全技术信息系统密码应用基本要求各个要求项内容的基础之上，检测所产生的结果应客观反映系统的运行状态。评估过程和结果应服从正确的评估方法，以确保其满足要求。1.3 测评要求(1)供应商应详细

10、描述实施人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本次项目实施。(2)本次项目实施过程中所使用到的测评工具，应包括国密局认可的密码专用检测工具、漏洞扫描工具等获得许可的检测工具，对系统数据进行分析，并以分析结果辅证评估报告。1.4 测评成果本项目测评工作输出包括以下成果：(1)密码应用安全性评估报告、(2)密码应用安全性评估整改建议书。六、项目实施要求6. 1供应商应保证投标项目在采购人条件成熟时应立即开展实施；6. 2供应商在项目实施过程中应服从采购人的统一领导和协调，采购人有权裁决供应商的责任范围，供应商必须执行，在采购人限定的时间内解决问题。如果供应商不能按时完成测评内容，采购人有权中止项目、索赔或拒付款项。七、保密要求7. 1供应商必须和采购人签订保密协议，供应商必须要与参加此次项目的所有项目组成员签订保密协议，在合同签订时一并提供给采购人。7. 2供应商具体实施项目中的重要资料和结果，在项目实施期间和实施结束后，供应商不得带离该地点。7. 3供应商对本规范书中的内容及在磋商过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论供应商成交与否，其对上述内容的保密责任将长期存在。