采購需求1、項(xiàng)目概況依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全等級保護(hù)管理辦法》等相關(guān)法律法規(guī)要求，擬對宿州職業(yè)技術(shù)學(xué)院訪客系統(tǒng)（以下簡稱：訪客系統(tǒng)）開展網(wǎng)絡(luò)安全等級保護(hù)二級測評服務(wù)。訪客系統(tǒng)是一款數(shù)字化工具，它管理和記錄進(jìn)入學(xué)院的訪客信息。通過填寫訪客、被訪人員信息以及訪問時(shí)間，反饋通行二維碼，訪客掃描二維碼即可進(jìn)入校園，簡化了外單位人員進(jìn)出校園流程，同時(shí)詳細(xì)的記錄來訪人員信息，提升了管理效率以及來訪的安全性。本次網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)內(nèi)容包括：安全技術(shù)測評，安全管理測評，工具測試，編制系統(tǒng)安全整改方案，編制測評報(bào)告。2、項(xiàng)目實(shí)施范圍本次參于網(wǎng)絡(luò)安全等級保護(hù)測評的系統(tǒng)如下：序號待測系統(tǒng)名稱安全保護(hù)等級備注1訪客管理系統(tǒng)二級3、指導(dǎo)思想和基本準(zhǔn)則根據(jù)公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)的《信息安全等級保護(hù)管理辦法》（公通字〔2007〕43號）、《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字〔2004〕66號）、《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安〔2007〕861號）、公安部《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號）等文件精神，結(jié)合宿州職業(yè)技術(shù)學(xué)院工作實(shí)際，現(xiàn)擬對智慧校園基礎(chǔ)平臺及其應(yīng)用實(shí)施網(wǎng)絡(luò)安全等級保護(hù)測評，以進(jìn)一步完善信息系統(tǒng)安全管理體系和技術(shù)防護(hù)體系，切實(shí)提高系統(tǒng)信息安全防護(hù)能力。4、等級保護(hù)測評主要包括以下幾個(gè)方面：1)等保測評：完成包括安全物理環(huán)境、安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全管理中心和安全管理機(jī)構(gòu)、安全管理制度、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理方面的測評工作；2)工具測試：針對重要信息系統(tǒng)進(jìn)行漏洞掃描、滲透測試等安全服務(wù)工作；3)整改建議：投標(biāo)人應(yīng)根據(jù)現(xiàn)場測評中發(fā)現(xiàn)的問題，分析與GB/T22239-2019、ISO/IEC27001、ISO/IEC20000、ISO22301、ITIL和ITSS等行業(yè)最佳實(shí)踐之間的差距，按照網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)要求提出安全整改建議；4)編制測評報(bào)告：完成上述工作后，投標(biāo)人最后出具符合標(biāo)準(zhǔn)要求的信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)測評報(bào)告。5、工作要求：（1）實(shí)施原則規(guī)范性原則：成交供應(yīng)商工作中的過程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；標(biāo)準(zhǔn)性原則：測評方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國家等級保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行?？煽匦栽瓌t：測評的工具、方法和過程需在雙方認(rèn)可的范圍之內(nèi)并符合進(jìn)度表的安排，保證采購人對服務(wù)工作的可控性；整體性原則：測評和分析的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個(gè)層面，避免由于遺漏造成未來的安全隱患；最小影響原則：測評工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無法避免出現(xiàn)這些情況應(yīng)在應(yīng)答書上詳細(xì)描述)；保密原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害采購人網(wǎng)絡(luò)的行為，否則采購人有權(quán)追究責(zé)任。（2）測評依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》（GB/T22240-2020）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》（GB/T28448-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》（GB∕T28449-2018）（3）等級保護(hù)測評內(nèi)容根據(jù)國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)，本次項(xiàng)目的網(wǎng)絡(luò)安全等級保護(hù)測評應(yīng)包括以下內(nèi)容：安全技術(shù)測評：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等五個(gè)方面的安全測評；安全管理測評：包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全測評。a）安全物理環(huán)境安全物理環(huán)境是對機(jī)房和辦公場所的物理環(huán)境安全防護(hù)情況進(jìn)行測評，包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面的安全狀況。b）安全通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)測評是對網(wǎng)絡(luò)系統(tǒng)安全防護(hù)情況進(jìn)行測評，包括網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證等方面的安全狀況。c）安全區(qū)域邊界安全區(qū)域邊界是對邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范、安全審計(jì)、可信驗(yàn)證等方面的測評。d）安全計(jì)算環(huán)境安全計(jì)算環(huán)境是對身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)等方面的測評。e）安全管理中心安全管理中心是對系統(tǒng)管理、審計(jì)管理、安全管理、集中管控等方面的測評。f）安全管理制度安全管理制度測評是對安全策略、管理制度、制定和發(fā)布、評審和修訂進(jìn)行測評。g）安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)測評是對崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況進(jìn)行測評。h）安全管理人員安全管理人員測評是對人員錄用、人員離崗、安全意識教育和培訓(xùn)、外部人員訪問管理等情況進(jìn)行測評。i）安全建設(shè)管理安全建設(shè)管理測評是對建設(shè)過程中安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、等級測評、服務(wù)供應(yīng)商選擇等情況進(jìn)行測評。j）安全運(yùn)維管理安全運(yùn)維管理測評是對環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理等情況進(jìn)行測評。6、報(bào)價(jià)要求本項(xiàng)目報(bào)總價(jià)，報(bào)價(jià)包含完成本項(xiàng)目服務(wù)期間所產(chǎn)生的一切費(fèi)用，采購人后期不再另行追加費(fèi)用。7、驗(yàn)收標(biāo)準(zhǔn)本項(xiàng)目服務(wù)的驗(yàn)收將以成交供應(yīng)商提交《測評報(bào)告》并在公安部登記管理系統(tǒng)填報(bào)結(jié)果為準(zhǔn)。