DOC《江苏中冠》

并针对存在的问题,结合威胁被利用的可能性、威胁被利用后的后果严重性,交流降低或规避风险的方法,提出初步的建设整改建议. 6)建设整改方案设计:在明确安全问题的基础上,依据交流的建设整改建议,结合各信息系统实际情况,编制建设整改方案,为下一步建设整改实施提供依据. (2)开展信息系统安全建设整改工作 根据采购方建设整改工作具体时间节点要求,及时提供建设整改方案咨询、整改实施技术支持服务,提供包括但不限于以下服务内容:指导信息安全管理体系建设,协助安全策略配置优化、安全防护措施部署等安全加固服务. (3)开展信息系统安全等级保护符合性测评工作 采购方建设整改工作完成后,针对现状测评过程中存在的安全差距开展符合性测评工作工作,确认之前存在的问题是否已经解决,验证整改活动是否已经切实有效的执行.若未完成,需配合采购方继续进行安全建设整改工作;

当整改工作中的主要安全问题已基本解决,则编制提交《信息系统安全等级测评报告》.

(二)项目依据

1、政策依据 1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) 4)《信息安全等级保护管理办法》(公通字[2007]43号) 5)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号) 6)《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010) 7)《计算机信息系统安全保护等级划分准则》(GB 17859-1999 ) 8)《信息安全技术信息系统安全等级保护定级指南》(GBT 22240―2008) 9)《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号) 11)《中华人民共和国网络安全法》

2、技术标准 1)《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008);

2)《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012) 3)《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 28449-2012) 4)《信息安全技术 信息安全风险评估规范》(GB/T 20984―2007) 5)《信息安全技术 信息技术安全性评估准则》(GB/T 18336) 6)《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006) 7)《信息安全技术 网络基础安全技术要求》(GB/T20270-2006);

8)《信息安全技术 操作系统安全技术要求》(GB/T20272-2006);

9)《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006);

10)《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006);

11)《信息安全技术 信息系统安全管理要求》(GB/T 20269―2006) 12)《信息安全技术 信息系统安全管理测评》(GA/T 713-2007) 13)《信息技术 安全技术 信息安全管理体系要求》(GB/T22080-2008) 14)《信息技术 安全技术 信息安全管理实用规则》(GB/T22081-2008) 15)《信息安全技术 信息系统安全保障评估框架》(GB/T 20274)

(四)项目测评系统 本项目为常州工程职业技术学院信息系统的等级测评如下表所示: 序号 信息系统名称 等级

1 常州工程职业技术学院云课堂系统 二级

2 常州工程职业技术学院网上事务大厅系统 二级

三、对询价供应商的基本要求: 1.具有独立承担民事责任能力的法人或其他组织,提供有效的营业执照副本;