(略) 自治 (略)

OA (略)

参加投标的供应商：

(略) 承担的 (略) 自治 (略) OA (略) 项目（批准文件编号：内财购备字[ * 号，采购项目编号：NZC 点击查看>> ），根据采购人服务内容要求，现作如下补充：

附件6  信息系统等级保护服务要求

* 、项目背景

根据《 (略) 自治区计算机信息系统安全保护办法》（ (略) 自治区人民政府令第 * 号）的要求，信息系统使用单位应选择符合法定条件的安全等级测评机构对等级保护 * 级及以上的 (略) 测评，其中 * 级系统每年至少测评 * 次， * 级系统每两年至少测评 * 次。根据（ (略) 自治区人民政府令第 * 号）的要求，每年度应对相关信息系统开展 * 次安全测评和安全防护整改加固工作。

(略) 络安全日益严重， (略) 自治区民委为降低信息系统方面的安全缺陷，为检验信息系统防御能力、发现安全隐患、降低信息泄露风险，增强应对信息系统突发和紧急事件，降低信息安全紧急事件的影响，开展信息安全等级保护、渗透测试、应急保障建设和加固工作。

* 、项目内容

本项目内容包括：等级保护测评服务、渗透测试服务、系统安全应急响应服务。以上服务内容，当 * 方信息系统发生变更时，可在限定数量内与规模相当的信息系统调整。供应商必须根据采购人需求， (略) 的整体设计方案和具体实现方式，设计方案优劣将作为评标重要依据。

供应商为 (略) 需的软硬件工具，由供应商根据 (略) 采购，免费提供本项目服务，产权归属不变。

2.1等级保护服务

针对本项目的等保服务技术方案：供应商 (略) 业信息安全等级保护管理规范和技术标准，判断信息系统的安全保护能 (略) 业要求之间的符合程度的差距分析测评方案。测评技术方案应包括（但不限于）：对本次测评工作的说明、定级梳理、备案、采用的技术方案、测试方法、测试工具使用，测评过程中的风险控制，以及需要采购人了解的其它问题。

具体内容：

2.1.1技术测评

1.     物理和环境安全

物理安全测评通过访谈和检查的方式评测物理环境安全保障情况。主要涉及对象为信息系统机房。

具体测评内容包括：

 （1）物理位置的选择

（2）物理访问控制

（3）防盗窃和防破坏

（4）防雷击

（5）防火

（6）防水和防潮

（7）防静电

（8）温湿度控制

（9）电力供应

（ * ）电磁防护

1.     网络和通信安全

网络安全测评通过访谈、检查和测试的方式评测 (略) 络安全保障情况。主要涉及对象为 (略) 络拓扑结构、网 (略) 络安全设备等 * 大类。

具体的测 (略) 示：

（1）网络架构

（2）通信传输

（3）边界防护

（4）访问控制

（5）入侵防范

（6）恶意代码防范

（7）安全审计

（8）集中管控

1.     设备和计算安全

主机系统安全测评通过访谈、检查和测试的方式，测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。

具体测评内容包括：

（1）身份鉴别

（2）访问控制

（3）安全审计

（4）入侵防范

（5）恶意代码防范

（6）资源控制  

2.     应用和数据安全

应用安全测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统。

具体测评内容包括：

（1）身份鉴别

（2）访问控制

（3）安全审计

（4）软件容错

（5）资源控制

（6）数据完整性

（7）数据保密性

（8）数据备份恢复

（9）剩余信息保护

（ * ）个人信息保护

3.     安全策略和管理制度

安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

具体测评内容包括：

（1）管理制度

（2）安全策略

（3）制定和发布

（4）评审和修订

4.     安全管理机构和人员

安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

具体测评内容包括：

（1）岗位设置

（2）人员配备

（3）授权和审批

（4）沟通和 (略)

（5）审核和检查

（6）人员录用

（7）人员离岗

（8）安全意识教育和培训

（9）外部人员访问管理

5.     安全建设管理

系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。

具体测评内容包括：

（1）定级和备案

（2）安全方案设计

（3）产品采购和使用

（4）自行软件开发

（5）外包软件开发

（6）工程实施

（7）测试验收

（8）系统交付

（9）等级测评

（ * ）服务供应商选择  

6.     安全运维管理

通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、各类运维人员，涉及内容有开发方的运维管理制度、 (略) 关于 (略) 的各类管理制度、操作规程文件、执行过程记录等对象。

具体测评内容包括：

（1）环境管理

（2）资产管理

（3）介质管理

（4）设备维护管理

（5）漏洞和风险管理

（6）网络和系统安全管理

（7）恶意代码防范管理

（8）配置管理

（9）密码管理

（ * ）变更管理

（ * ）备份与恢复管理

（ * ） (略) 置

（ * ）应急预案管理

（ * ）外包运维管理

2.2渗透测试服务

通过多种方法，每季度对信息系统主机、数据库、应用、网络和安全设施开展 * 次全方位的渗透测试，编制渗透测试报告，针对发现的问题制定加固方案。渗透测试内容应至少包括以下测试：弱口令测试、身份认证测试、SQLInjection 测试、Cross Site Script 测试、Web Services 测试、SSL测试、文件操作测试等

2.3 系统安全应急响应服务

对安全监测发现的问题，在第 * 时间通知，并根据客户需要，协助消除安全隐患，并对 * 些安全事件为客户提供应急响应方案。

2.4云计算安全扩展要求

针对云计算环境安全扩展要求主要增加的内容包括：“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“云计算环境管理”等

具体测评内容：

1.     物理和环境安全

1.     物理位置选择

2.     网络和通信安全

3.     网络架构

4.     访问控制

5.     入侵防范

6.     安全审计

7.     集中管控

8.     设备和计算安全

1.     身份鉴别

2.     访问控制

3.     安全审计

4.     入侵防范

5.     资源控制

6.     镜像和快照保护

7.     应用和数据安全

1.     数据完整性

2.     数据保密性

3.     数据备份恢复

4.     剩余信息保护

5.     个人信息保护

6.     安全建设管理

1.     云服务商选择

2.     供应链管理

3.     安全运维管理

1.     云计算环境管理

其他事项无变化 。 

联 系 人：费少萍

联系电话： 点击查看>>

传    真：  点击查看>>

电子信箱：  * * .com

地    址： (略) 市 (略) 大街 * 号院2号楼 *

(略) 自治 (略)

* 年 * 月 * 日

《采购文件的更正通知书回执》

(略) 自治 (略) 送达的《关于 (略) 自治 (略) OA (略) 项目采购文件的变更通知书》，我单位于    年月  日收悉。

收件人:(签字、加盖公章)

     年 月    日

(略) 自治 (略)

OA (略)

参加投标的供应商：

(略) 承担的 (略) 自治 (略) OA (略) 项目（批准文件编号：内财购备字[ * 号，采购项目编号：NZC 点击查看>> ），根据采购人服务内容要求，现作如下补充：

附件6  信息系统等级保护服务要求

* 、项目背景

根据《 (略) 自治区计算机信息系统安全保护办法》（ (略) 自治区人民政府令第 * 号）的要求，信息系统使用单位应选择符合法定条件的安全等级测评机构对等级保护 * 级及以上的 (略) 测评，其中 * 级系统每年至少测评 * 次， * 级系统每两年至少测评 * 次。根据（ (略) 自治区人民政府令第 * 号）的要求，每年度应对相关信息系统开展 * 次安全测评和安全防护整改加固工作。

(略) 络安全日益严重， (略) 自治区民委为降低信息系统方面的安全缺陷，为检验信息系统防御能力、发现安全隐患、降低信息泄露风险，增强应对信息系统突发和紧急事件，降低信息安全紧急事件的影响，开展信息安全等级保护、渗透测试、应急保障建设和加固工作。

* 、项目内容

本项目内容包括：等级保护测评服务、渗透测试服务、系统安全应急响应服务。以上服务内容，当 * 方信息系统发生变更时，可在限定数量内与规模相当的信息系统调整。供应商必须根据采购人需求， (略) 的整体设计方案和具体实现方式，设计方案优劣将作为评标重要依据。

供应商为 (略) 需的软硬件工具，由供应商根据 (略) 采购，免费提供本项目服务，产权归属不变。

2.1等级保护服务

针对本项目的等保服务技术方案：供应商 (略) 业信息安全等级保护管理规范和技术标准，判断信息系统的安全保护能 (略) 业要求之间的符合程度的差距分析测评方案。测评技术方案应包括（但不限于）：对本次测评工作的说明、定级梳理、备案、采用的技术方案、测试方法、测试工具使用，测评过程中的风险控制，以及需要采购人了解的其它问题。

具体内容：

2.1.1技术测评

1.     物理和环境安全

物理安全测评通过访谈和检查的方式评测物理环境安全保障情况。主要涉及对象为信息系统机房。

具体测评内容包括：

 （1）物理位置的选择

（2）物理访问控制

（3）防盗窃和防破坏

（4）防雷击

（5）防火

（6）防水和防潮

（7）防静电

（8）温湿度控制

（9）电力供应

（ * ）电磁防护

1.     网络和通信安全

网络安全测评通过访谈、检查和测试的方式评测 (略) 络安全保障情况。主要涉及对象为 (略) 络拓扑结构、网 (略) 络安全设备等 * 大类。

具体的测 (略) 示：

（1）网络架构

（2）通信传输

（3）边界防护

（4）访问控制

（5）入侵防范

（6）恶意代码防范

（7）安全审计

（8）集中管控

1.     设备和计算安全

主机系统安全测评通过访谈、检查和测试的方式，测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。

具体测评内容包括：

（1）身份鉴别

（2）访问控制

（3）安全审计

（4）入侵防范

（5）恶意代码防范

（6）资源控制  

2.     应用和数据安全

应用安全测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统。

具体测评内容包括：

（1）身份鉴别

（2）访问控制

（3）安全审计

（4）软件容错

（5）资源控制

（6）数据完整性

（7）数据保密性

（8）数据备份恢复

（9）剩余信息保护

（ * ）个人信息保护

3.     安全策略和管理制度

安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

具体测评内容包括：

（1）管理制度

（2）安全策略

（3）制定和发布

（4）评审和修订

4.     安全管理机构和人员

安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

具体测评内容包括：

（1）岗位设置

（2）人员配备

（3）授权和审批

（4）沟通和 (略)

（5）审核和检查

（6）人员录用

（7）人员离岗

（8）安全意识教育和培训

（9）外部人员访问管理

5.     安全建设管理

系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。

具体测评内容包括：

（1）定级和备案

（2）安全方案设计

（3）产品采购和使用

（4）自行软件开发

（5）外包软件开发

（6）工程实施

（7）测试验收

（8）系统交付

（9）等级测评

（ * ）服务供应商选择  

6.     安全运维管理

通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、各类运维人员，涉及内容有开发方的运维管理制度、 (略) 关于 (略) 的各类管理制度、操作规程文件、执行过程记录等对象。

具体测评内容包括：

（1）环境管理

（2）资产管理

（3）介质管理

（4）设备维护管理

（5）漏洞和风险管理

（6）网络和系统安全管理

（7）恶意代码防范管理

（8）配置管理

（9）密码管理

（ * ）变更管理

（ * ）备份与恢复管理

（ * ） (略) 置

（ * ）应急预案管理

（ * ）外包运维管理

2.2渗透测试服务

通过多种方法，每季度对信息系统主机、数据库、应用、网络和安全设施开展 * 次全方位的渗透测试，编制渗透测试报告，针对发现的问题制定加固方案。渗透测试内容应至少包括以下测试：弱口令测试、身份认证测试、SQLInjection 测试、Cross Site Script 测试、Web Services 测试、SSL测试、文件操作测试等

2.3 系统安全应急响应服务

对安全监测发现的问题，在第 * 时间通知，并根据客户需要，协助消除安全隐患，并对 * 些安全事件为客户提供应急响应方案。

2.4云计算安全扩展要求

针对云计算环境安全扩展要求主要增加的内容包括：“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“云计算环境管理”等

具体测评内容：

1.     物理和环境安全

1.     物理位置选择

2.     网络和通信安全

3.     网络架构

4.     访问控制

5.     入侵防范

6.     安全审计

7.     集中管控

8.     设备和计算安全

1.     身份鉴别

2.     访问控制

3.     安全审计

4.     入侵防范

5.     资源控制

6.     镜像和快照保护

7.     应用和数据安全

1.     数据完整性

2.     数据保密性

3.     数据备份恢复

4.     剩余信息保护

5.     个人信息保护

6.     安全建设管理

1.     云服务商选择

2.     供应链管理

3.     安全运维管理

1.     云计算环境管理

其他事项无变化 。 

联 系 人：费少萍

联系电话： 点击查看>>

传    真：  点击查看>>

电子信箱：  * * .com

地    址： (略) 市 (略) 大街 * 号院2号楼 *

(略) 自治 (略)

* 年 * 月 * 日

《采购文件的更正通知书回执》

(略) 自治 (略) 送达的《关于 (略) 自治 (略) OA (略) 项目采购文件的变更通知书》，我单位于    年月  日收悉。

收件人:(签字、加盖公章)

     年 月    日