编辑: 被控制998 | 2019-07-02 |
1 确定测评范围 明确本次被测评信息系统的范围,包括每个信息系统的范围、信息系统的边界等.
2 获得信息系统的信息 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等.
3 确定具体的测评对象 初步确定每个信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等.
4 确定测评工作的方法 根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法.
5 制定测评工作计划 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等.
6 实施等级保护测评 实施测评,包括人工检查、工具扫描等方式.
7 项目总结 对测评结果进行总结、汇报
4、测评内容 序号 测评名称 测评内容
1 物理安全测评 测评信息系统的基础设施安全保障情况,主要涉及机房环境测评.
2 网络安全测评 测评系统的承载网络,包括网络全局和所涉及的重要网络设备.
3 主机安全测评 测评系统所涉及主机操作系统,包括重要服务器、终端操作系统、终端安全软件客户端.
4 应用安全测评 测评系统的安全功能模块,如身份鉴别、安全审计和资源控制等.
5 数据安全测评 测评系统数据的安全,如数据保密性和数据完整性等.
6 安全管理测评 测评信息安全相关管理制度、流程、规范.
7 系统总体等级保护达标情况分析 结合系统定级情况,根据获取的系统软硬件资产和分项测评中发现的风险情况,形成《网络安全等级测评报告》.
5、交付产物 包括但不仅限于以下资料: 《网络安全等级保护测评报告》
6、服务保障与承诺 ①供应商应严格按照测评人员执业守则,按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评,在保证质量、安全的前提下,确保在项目规定的期限内按期完成. ②供应商应协助、配合与主管、监管部门的沟通协调. ③供应商应在项目开始前,应签订保密协议,严格遵守法律法规,对委托单位的商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密,未经同意,严禁将上述内容与任何第三方透露或用于其他商业用途,并承担由此产生的一切损失. ④帮助业主单位完成相应备案文档制作,配合完成本次定级备案. ⑤提供培训服务,对业主单位信息安全管理相关人员进行安全意识教育,指导信息安全管理制度的落实,并针对信息安全事故进行应急处置培训.
7、人员配置要求 本项目总测评工程师必须具有公安部信息安全等级保护评估中心颁发的 信息安全等级测评师(高级) 证书,不具有的将导致严重扣分;
本项目派驻的专业测评工程师必须具有公安部信息安全等级保护评估中心颁发的 信息安全等级测评师 证书,不具有的将导致严重扣分.
五、商务要求
1、服务期限 在本项目合同签订后的3个月内完成测评和备案工作.
2、付款方式 合同签订后支付合同总金额的30%,本项目实施结束,经验收合格后,支付合同总金额的60%,备案复审通过后,1个月内支付合同总金额的10%.
六、评分办法 序号 评分因素及权重 分值 评分标准 说明