各经营企业:
我院拟对以 (略) 场信息征集工作,请有相关产品及信息且有合法合格资质的供应商前来参加。
一、调研项目内容
| 项目名称 | 科室 | 主要内容 | 备注 |
| (略) (略) 2025年等级保护测评服务项目 | 信息科 | 2025年等保测评服务 (详细见附件) | |
二、调研资料要求
1、具有独立承担民事责任的能力;2、具有良好的商业信誉和健全的财务会计制度;3、具有履行合同所必须的设备和专业技术能力;4、具有依法缴纳税收和社会保障资金的良好记录;5、企业财务和经营状况良好,具备履行合同能力,无不良记录,无违法违纪记录;6、具备类似经验或业绩及服务能力,并具备相关证明材料;7、法律、行政法规规定的其他条件。本项目不接受联合体参与。
(一)各企业需提供以下资料
1、报名需提供资格证明文件:
* ①供应商有效的企业法人营业执照副本、税务登记证、组织机构代码证副本复印件(若供应商已办理三证合一的,则只需提供有效的三证合一证书);有效期内安 (略) 相关资质证(例:工程类分包资质等);
*②经办人员身份证复印件;
*③法定代表人授权书(原件),法人身份证复印件;
④相关证明材料;
⑤ 国家对该行业要求的其他相关资质;
⑥厂家资质(营业执照、税务登记证、组织机构代码证)复印件(物资类);⑦厂家授权(经销商需提供)(物资类);
*⑧报名企业征信报告(信用中国上自行打印简版);
*⑨企业无犯罪证明承诺书自我承诺(加盖鲜章);
⑩特殊行业提供相关人员复印操作证件(加盖鲜章);
?产品或服务 (略) 政府采购中标价格(中标通知书复印件)。
*?测评公司须符合公安部第三研究所(认证中心)发布的《网络安全等级保护测评机构服务认证获证机构名录》
(二)注意事项
1.以上资料均需加盖单位公章;
2.以上资料需装订成册、密封并加盖单位骑缝章;
3.以上资料需调研当天现场递交;
4.星标条款为必须提供资料。
(三)特别说明
本次公示的项目调研需求, (略) 对市场同类项目的调研了解,请各参与企业准备调研报告并讲解,介绍货物情况及对应单价,给与合理报价。
三、报名方式和时间
报名时间:2025年2月24日――2025年2月28日
报名方式:邮箱报名(需注明项目名称+公司名称+联系人+电话+邮箱)相关资料扫描发送以下邮箱:*@*q.com)
四、市场调研时间
2025年3月6日下午15:40
五、市场调研地点
(略) (略) (略) (略) (略) 门诊三楼信息科
六、其他
方案资料随授权人带到现场进行拆封。
联系电话:0835-(略)
联系人:周老师
(略) (略)
2025年2月21日
附件
一、项目名称: (略) (略) 2025年等级保护测评服务项目
二、项目简介:
本次所需测评系统共计八个,具体如下:
| 序号 | 标的名称 | 备注 |
| 1 | HIS系统等保测评 | |
| 2 | LIS系统等保测评 | |
| 3 | PACS系统等保测评 | |
| 4 | OA系统等保测评 | |
| 5 | HERP系统等保测评 | |
| 6 | (略) 系统等保测评 | |
| 7 | EMR系统等保测评 | |
| 8 | (略) 系统等保测评 |
三、资格条件:
1、测评公司须符合公安部第三研究所(认证中心)发布的《网络安全等级保护测评机构服务认证获证机构名录》
2、本项目的特定资格要求:
(1)参加本次政府采购活动的供应商单位及其现任法定代表人、主要负责人在前三年内无行贿犯罪记录;
(2) (略) 络安全等级测评与检测评估机构服务认证证书;
四、技术服务要求:
技术服务要求:
一、等保测评:
按照《中华人 (略) 络安全法》和《信息安全等级保护管理办法》等相关要求, (略) 络安全等级保护测评服务供应商,对我单位相关信息系统安全等级状况开展等级测评工作,并出具等级保护测评报告。根据采购人的要求, (略) 络安全保障等配套服务。
(1)测评内容包括技术和管理测评:
1.技术安全性测评包括但不限于:安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心。
2.管理安全测评包括但不限于:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
(2)测评对象及范围
本次等级保护测评系统包括:
| 序号 | 系统名称 | 安全保护等级 |
| 1 | HIS系统 | 三级 |
| 2 | LIS系统 | 三级 |
| 3 | PACS系统 | 三级 |
| 4 | OA系统等保测评 | 三级 |
| 5 | HERP系统等保测评 | 三级 |
| 6 | (略) 系统等保测评 | 三级 |
| 7 | EMR系统等保测评 | 三级 |
| 8 | (略) 系统等保测评 | 三级 |
(3)依据标准
①《中华人 (略) 络安全法》
②GB/T (略)-2019《信息安全技术 网络安全等级保护基本要求》
③GB/T(略)-2019《信息安全技术 网络安全等级保护测评要求》
④GB/T(略)-2018《信息安全技术 网络安全等级保护测评过程指南》
⑤GB/T(略)-2018《信息安全技术 网络安全等级保护测试评估技术指南》
⑥《信息安全等级保护管理办法》公通字[2007] 43号
⑦《网络安全等级保护测评机构管理办法》公信安[2018] 765号
注:以上标准以最新标准为准。
(4)测评原则
客观性和公正性原则:
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
经济性和可重用性原则:
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
可重复性和可再现性原则:
不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重 (略) 别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
结果完善性原则:
测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
(5)项目具体要求
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括:安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心五个方面;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面 (略) 域间的相互关联关系,测评安全控制间、层 (略) 域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
供应商根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查、访谈、测试工作。
供应商根据采购人具体要求,提供安全咨询等配套服务,包括但不限于:提供专项检查服务,如模拟黑客可能使用的攻击技术和漏洞发现技术对的业务应用系统实施非破坏性的攻击测试,从而发现目前所存在的安全漏洞和可侵入点,出具详细的渗透测试报告。为业主提供最新的信息安全资讯, (略) 络安全法规、安全标准体系、信息系统安全规划及建设,产品采购选型等咨询服务。
二、测评要求
(1)安全物理环境
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 物理位置选择 | 通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。 |
| 2 | 物理访问控制 | 通过访谈、检查主机房出入口、 (略) 域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
| 3 | 防盗窃和防破坏 | 通过访谈、检查机房的主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
| 4 | 防雷击 | 通过访谈、检查机房的设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
| 5 | 防火 | 通过访谈、检查机房的设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
| 6 | 防水和防潮 | 通过访谈、检查机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
| 7 | 防静电 | 通过访谈、检查机房是否采取必要措施防止静电的产生。 |
| 8 | 温湿度控制 | 通过访谈、检查机房温、湿度情况,是否采取必要措施对机房内的温湿度进行控制。 |
| 9 | 电力供应 | 通过访谈、检查机 (略) 、设备等过程,是否具备提供一定的电力供应的能力。 |
| 10 | 电磁防护 | 通过访谈、检查是否具备一定的电磁防护能力。 |
(2) (略) 络
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 网络架构 | 通过访谈、检查、 (略) 络拓扑情况、抽查核心交换机、接入交换 (略) (略) 络互联设备,测试 (略) (略) 络宽带分配情况等过程, (略) (略) 段划分、隔离等情况的合理性和有效性,以 (略) 、关键设备硬件冗余,系统可用性保证情况。 |
| 2 | 通信传输 | 通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。 |
| 3 | 可信验证 | 通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
(3) (略) 域边界
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 边界防护 | 通过访谈、检查、测试边界完整性检查设备,测评分析跨域边界的访问控制和数据流通过边界设备的控制措施,非法内联、外联、无线准入控制的监测、阻断等能力。 |
| 2 | 访问控制 | 通过访谈、检查、 (略) 络访问控制设备策略部署,测试系统对外暴露安全漏洞情况等过程,测评分 (略) 络的数据流量控制以及基于应用协议和应用内容的访问控制能力。 |
| 3 | 入侵防范 | 通过访谈、检查、 (略) (略) 、 (略) 络节点检测、防止或限制从内部和 (略) 络攻击行为的防护能力, (略) 络行为分析、监测、报警能力,特 (略) 络攻击行为的分析,对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。 |
| 4 | 恶意代码和防垃圾邮件 | 通过访谈、检查、 (略) (略) 对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况。 |
| 5 | 安全审计 | 通过访谈、 (略) 络边界、 (略) 络节点安全审计情况等,测评分析信息系统审计配置和审计记录保护,审计内容等情况。 |
| 6 | 可信验证 | 通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
(4)安全计算环境
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 身份鉴别 | 通过访谈、检查、测试对登录的用户进行身份标识和鉴别,是否具有不易被冒用的特点,口令应有复杂度要求并定期更换,以及远程管理安全、双因素鉴别等内容。 |
| 2 | 访问控制 | 通过访谈、检查、测试是否启用访问控制功能,依据安全策略控制用户对资源的访问;是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限等内容。 |
| 3 | 安全审计 | 通过访谈、检查安全审计范围及内容。 |
| 4 | 入侵防范 | 通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警,是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。 |
| 5 | 恶意代码防范 | 通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制,能否及时识别入侵和病毒行为并将其有效阻断等内容。 |
| 6 | 可信验证 | 通过访谈、通过访谈安全员,检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
| 7 | 数据完整性 | 通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
| 8 | 数据保密性 | 通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
| 9 | 数据备份恢复 | 通过访谈、检查、测试重要数据本地备份与恢复功能,异地实时备份功能,以及重 (略) 理系统的热冗余和高可用性保证等。 |
| 10 | 剩余信息保护 | 通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除,存有敏感数据的存储空间被释放或重新分配前是否有效清除等。 |
| 11 | 个人信息保护 | 通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息,对用户个人信息的访问和使用等。 |
(5)安全管理中心
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 系统管理 | 通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计,以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。 |
| 2 | 审计管理 | 通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计,以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。 |
| 3 | 安全管理 | 通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计,以及是否通过安全管理员对安全策略、参数进行配置等。 |
| 4 | 集中管控 | 通过访谈、检查、测试是否具有特定 (略) 域, (略) 络中的安全设备或安全组件进行集中管控, (略) 、安全设备、网络设备和服务的运行进行集中监测,对分散在各设备上的审计数据进行收集汇总和集中分析,并确保记录留存符合法律法规要求,对安全策略、恶意代码、升级补(略)等安全相关事项进行集中管理,对网络中发生的各类安全事件进行识别、报警和分析等。 |
(6)安全管理制度
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 安全策略 | 通过访谈、 (略) 络安全工作的总体方针及安全策略是否全面、完善。 |
| 2 | 管理制度 | 通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程。 |
| 3 | 制度和发布 | 通过访谈、检查管理制度定期评审和修订情况。 |
| 4 | 评审和修订 | 通过访谈、检查管理制度在内容覆盖上是否全面、完善。 |
(7)安全管理机构
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 岗位设置 | 通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
| 2 | 人员配备 | 通过访谈、检查各个岗位人员配备情况。 |
| 3 | 授权和审批 | 通过访谈、检查对关键活动的授权和审批情况。 |
| 4 | 沟通和合作 | 通过访谈、检查内部部门间、与外部单位间的沟通与合作情况。 |
| 5 | 审核和检查 | 通过访谈、检查安全工作的审核和检查情况。 |
(8)安全管理人员
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 人员录用 | 通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
| 2 | 人员离岗 | 通过访谈、检查人员离岗时是否按照一定的手续办理。 |
| 3 | 安全意识教育和培训 | 通过访谈、检查是否对人员进行安全方面的教育和培训。 |
| 4 | 外部人员访问管理 | 通过访谈、检查对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
(9)安全建设管理
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 定级和备案 | 通过访谈、检查是否按照一定要求确定系统的安全等级。 |
| 2 | 安全方案设计 | 通过访谈、检查整体的安全规划设计是否按照一定流程进行。 |
| 3 | 产品采购和使用 | 通过访谈、检查是否按照一定的要求进行系统的产品采购。 |
| 4 | 自行软件开发 | 通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
| 5 | 外包软件开发 | 通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
| 6 | 工程实施 | 通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
| 7 | 测试验收 | 通过访谈、检查系统运行前是否对其进行测试验收工作。 |
| 8 | 系统交付 | 通过访谈、检查是否采取必要的措施对系统交付过程进行有效控制。 |
| 9 | 等级测评 | 通过访谈、检查等级测评、整改情况。 |
| 10 | 服务商选择 | 通过访谈、检查是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
(10)安全运维管理
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 环境管理 | 通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
| 2 | 资产管理 | 通过访谈、检查是否采取必要的措施对系统的资产进行分类标识管理。 |
| 3 | 介质管理 | 通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
| 4 | 设备维护管理 | 通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
| 5 | 漏洞和风险管理 | 通过访谈、检查安全漏洞和隐患识别、处理情况,以及是否定期开展安全测评以及安全问题的应对措施。 |
| 6 | 网络和系统安全管理 | 通过访谈、检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。是否采取必要 (略) 络的安全配置、网络用户权限和审计日志等方面进行有效的管理, (略) 络安全运行。 |
| 7 | 恶意代码防范管理 | 通过访谈、检查是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
| 8 | 配置管理 | 通过访谈、检查基本配置信息管理情况 |
| 9 | 密码管理 | 通过访谈、检查是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
| 10 | 变更管理 | 通过访谈、检查是否采取必要的措施对系统发生的变更进行有效管理。 |
| 11 | 备份与恢复管理 | 通过访谈、检查是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
| 12 | 安 (略) 置 | 通过访谈、检查是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
| 13 | 应急预案管理 | 通过访谈、检查是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
| 14 | 外包运维管理 | 通过访谈、检查外包运维服务商选择是否符合国家要求,外包运维保密、服务内容管理等。 |
(11)安全扩展要求
按照所测评系统的具体情况选用云计算安全扩展要求、移动互联安全扩展要求、 (略) 安全扩展要求、工业控制系统安全扩展要求。
(12)验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内:
1.渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在SQL、Cookie注入漏洞; (略) 理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
| 注入 | 失效的身份认证 |
| 敏感信息泄露 | XML外部实体(XXE) |
| 失效的访问控制 | 安全配置错误 |
| 跨站脚本(XSS) | 不安全的反序列化 |
| 使用含有已知漏洞的组件 | 不足的日志记录和监控 |
2.性能测试
通过模 (略) 络(包括丢包、时延、带宽等)、软件系统(包括负载、响应)、负载下硬件占用(包含CPU、内存)等进行全面的测评评估验证系统的可靠性、可用性,通过对测试结果的分析,给出相应的整改建议。
3.漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
三、测评工作步骤
供应商对信息系统的初次等级测评应至少包含以下四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商应对等级保护测评各阶段具体工作内容进行描述。
1.准备活动阶段:对被测系统进行调研分析,明确测评对象、测评方法等工作。
2.方案编制阶段:制定信息安全等级保护测评项目计划书、测评实施方案,并提交委托方确认。
3.现场测评阶段:按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具《整改意见》,并在整改过程中提供技术咨询服务。
4.分析与报告编制:向委托方提交被测信息系统安全等级保护测评报告以及相应文档。
四、实施要求
1.系统梳理
协助完成待测信息系统梳理工作。
2.初测
对本项目所涉及信息系统进行现场测评,初次测评完成后提交初评的整改意见报告。
3.整改加固协助
协助对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的回归测评。
4.成果递交
整理测评结果,提交被测信息系统安全等级保护测评报告以及相应渗透测试报告稿文档。
5.现场测评
测评人 (略) 固定办公地点进行现场测评和技术测试,不能通过远程或者邀请第三方人员进行技术实施从而完成本项目测评工作。
五、项目管理与实施保障
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
1.供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任。
2.应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。
3.供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留。
4.供应商的岗位配置要至少配置总测评工程师、技术负责人、质量负责人以及团队人员,其中总测评工程师、技术负责人和质量负责人应独立配置,不能有兼任的情况。
5.测评人员要求
参与此次等级保护测评的供应商其测评人员应具备并符合以下要求:
(1)开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
(2)开展此次等级保护测评工作的人员应具备从事信息系统安全测评相关工作的经验,包含但不限于:总测评工程师、项目负责人、质量负责人、项目测评师等。
(3)测评项目组人员在对开展等级保护测评工作之前需签订保密协议。
(4)测评人员人数必须大于等于4人。
6.测评工具要求
(1) 采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件。
(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品。
(3)采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
(4)测评机构所使用的测评工具不会对系统产生破坏或负面影响。
7.由于测评工作存在一定的风险,包括但不限于:数据丢失、配置参数丢失、网络中断、服务中断等隐患,供应商应当充分识别测评工作可能带来的风险并告知委托方,委托方应当就测评工作存在潜在风险采取必要措施进行确认后方可开展测评。
六、网络安全保障服务1、重要信息系统渗透测试服务:服务团队在服务期内至少 (略) 络安全测试工具,对重要系统进行非破坏性模拟黑客攻击,入侵目标系统过程和细节,以书面报告呈现,真实、深入地找出当前信息安全问题和隐患,提出《渗透测试服务报告》以及《风险评估报告》,报告包含 (略) 理方案。
2、服务人员及时间要求:服务期内提供不低于30天的服务时间,提供的专业渗透测试工程师从业经验不低于3年。
3、支持自动测试评估, (略) 络地址即可进行自动测试评估。
3.1支持目标系统信息收集,包括不限于:系统配置文件、帐号密码、截屏、系统等信息。
3.2支持弱口令猜解,能够对AFP、MYSQL、SMB、SSH、WinRM、DB2、POP3、SNMP、Telnet、FTP、MSSQL、Postgresql、VNC等服务进行暴力破解。
3.3支持漏洞利用攻击的重放,重现渗透过程。
