中国民航科学技术研究院 重要信息系统等级保护测评技术需求部分2013年7月 目录一 项目背景3二 建设目标3三 项目建设依据4四 建设原则5五 项目范围5六 项目内容6七 项目管理7八 服务文档要求7九 项目实施与验收7十 项目交付8十一 组织和人员8十二 文档保密9十三其他9一 项目背景信息安全等级保护制度是国家信息安全保障工作的基本制度,开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。1994年，国务院147号令《中华人民共和国计算机信息系统安全保护条例》规定“计算机信息系统实行安全等级保护”；2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的出台明确提出了 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。为了贯彻落实147号令和27号文的要求，公安部等四部委制定了《信息安全等级保护管理办法》（公通字[2007]43号），该文件由四部委共同会签印发，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，以及信息安全等级保护建设的几个环节，包括：信息系统定级、备案、安全风险评估及差距分析、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。2005年发布的《关于信息安全等级保护的实施意见》（公通字 [2005] 66号），确立了等级保护作为国家信息安全保障的基本制度，指出“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度”。本项目依据国家相关信息安全政策及技术标准，结合我院信息安全等级保护建设需要，为项目建设提供全面信息系统安全等级保护差距性分析；信息系统安全等级保护体系咨询规划；等级保护整改加固指导服务；信息安全规划；信息系统安全等级保护测评等服务，等级保护相关支撑工具及软件,为信息安全提供保障。二 建设目标以对我院信息系统开展信息安全等级保护建设整改工作为核心，通过对我院信息系统进行技术和管理体系的分析、规划、整改和加固及测评，达到： (一) 整体上提升我院信息系统的技术防护能力和安全管理水平，并达到信息系统安全等级保护相应级别系统的要求，针对定级为信息安全等级保护二级及三级的系统，通过整改加固，最终通过测评机构符合性检测，获得测评机构出具的符合性测评报告； (二) 制定三年信息安全工作规划，明确每年信息安全工作的主要内容,并建立以信息安全等保符合性要求建设为核心的信息安全常态工作机制。 (三)通过安全培训提高我院人员安全意识，加强我院相关岗位人员的专业技能。确保信息安全策略、规章制度和技术规范在我院的顺利贯彻执行，促进工作成果让院内各部门受益。（四）通过采用相关技术及手段，实现信息系统信息安全现状可以进行持续跟踪及循环改进，形成信息安全等级保护工作的常态化管理手段。三 项目建设依据本项目建设（差距性分析、整改规划设计、规划设计、等级保护测评）应依据但不限于下列相关的政策条例、国家标准、行业标准。1.《国家电子政务工程建设项目管理暂行办法》（国家发展改革委第55号令）；2.《国家信息化领导小组关于印发〈国家电子政务总体框架〉的通知》（国信[2006]2号）；3.《中共中央办公厅、国务院办公厅关于转发〈国家信息化领导小组关于推进国家电子政务网络建设的意见〉的通知》（中办发〔2006〕18号文件）；4.《中共中央办公厅、国务院办公厅关于转发〈国家信息化领导小组关于我国电子政务建设指导意见〉的通知》，（中办发[2002]17号文件）；5. 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）6. 《关于信息安全等级保护的实施意见》（公通字[2005]66号）。7. 《信息安全等级保护管理办法》（公通字[2007]43号）。8. 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）。9. 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）10. 《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）11. 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）12. 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008）13. 《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。14. 《信息安全管理体系要求》（GB/T 22080-2008）15. 《信息系统安全管理要求》（GB/T 20269-2006）16. 《信息安全保障技术框架》（IATF）17. 《信息安全管理体系规范》（ISO 27001）18. 《民用航空网络与信息安全管理规范》（MH/T 0035—2012）19. 《民用航空网络与信息安全评估规范》（MH/T 0036—2012）四 建设原则按照《信息系统安全等级保护实施指南》相关规定并兼顾民航相关标准内容开展工作，遵循： ??紧密结合实际原则 紧密结合我院信息系统实际情况，制定切实可行的目标，防止需求分析结果空洞，与实际情况脱节。 ??参考并符合政策法规原则 充分参考国内信息安全建设法律法规、民航局规定以及国际标准和最佳实践，保证分析结论的符合性和设计的合规性。 ??统一规划分步实施原则 按照项目管理思想和实际需要，实行统一规划分步实施。 ??持续改进和提高原则 充分认识到信息安全工作的长期性和艰巨性，结合质量管理思想，采用相关技术及手段，实现等级保护工作的常态化机制。五 项目范围对我院信息系统进行差距分析、整改方案设计、整改加固指导、等级测评工作，并对全局的信息安全进行未来三年的信息安全规划设计工作，最后还要针对不同层面的人员进行整体的信息安全教育培训工作。我单位现有安全保护等级三级系统一个，安全保护等级二级系统十五个。六 项目内容（1）初测评（差距性分析）中标人根据《信息安全技术 信息系统安全等级保护测评要求》和《信息安全技术 信息系统安全等级保护测评过程指南》等文件的要求，按照等级保护基本要求所规定的检查项，针对我院项目范围的信息系统进行等级保护差距分析工作，逐项进行合规性检测。其实质是采用基线安全分析的方法，明确目前当前信息系统与等级保护要求的不符合项及差距。交付物：《信息系统差距性分析报告》（2）咨询及整改方案设计根据初测评结果，参考我院实际可提供资源，由中标人从技术和管理两个方面设计整改和加固方案，目的是通过整改方案实施可以通过正式测评。同时，对我院信息安全管理体系进行研究和分析，依据等级保护的管理要求以及民航局相关工作的要求，协助梳理信息安全管理体系。交付物：《信息系统整改设计方案》（3）整改加固实施指导 根据整改和加固方案，由我院相关部门组织力量和资源对我院信息系统实施整改和加固工作。根据整改范围和具体内容，进行安全设备的集成和设备加固以及管理体系和制度方面的完善。 （4）正式等级测评 整改加固工作完成后，由具有资质的测评机构对整改后系统进行信息安全等级保护测评，获得相应的测评报告。需要向公安机关报备的测评报告，送至公安部门报备。 交付物：《信息系统等级测评报告》（5）信息安全规划最后依据我院信息系统的整体安全现状进行信息安全建设规划和设计，依据远期粗略近期明细的原则，规划未来三年的信息安全建设，明确每年信息安全工作的主要内容。通过滚动式规划和建设，满足我院的信息安全目标及国家和民航局相关政策和标准的要求。 交付物：《信息安全规划设计方案》（6）安全培训为了推动此项工作长效开展，并促进工作成果让院内各部门受益，整体建设工作完成后，中标单位须根据我院信息安全相关情况设计可行的安全培训课程，并提供相关培训服务。培训涉及内容范围：相关信息安全管理和技术方面的知识普及性培训，参与人员范围包括我院各相关部门；加强我院相关岗位人员的专业技能培训，确保信息安全策略、规章制度和技术规范在我院的顺利贯彻执行，参与培训人员为信息所信息安全相关负责人员；信息安全专业培训方面提供至少一人次的CISP培训认证。具体培训时间中标后另行协商。交付物：《信息安全培训课件》（7）信息系统等级测评相关辅助软件及服务为贯彻落实《信息安全等级保护管理办法》（公通字[2007]43号文件）的相关精神，针对我院信息系统众多，等保测评过程复杂，规范程度难以管控及自测评工作开展困难等问题。通过使用信息系统等级测评相关软件来保证我院在等级保护测评工作开展过程中能够在安全测评的技术、方法、标准和流程得到统一规范化管理，同时确保我院逐年开展等级保护自测评工作地准确性及高效性，使等级保护工作可以有效的常态化管理。并能够对测评过程产生的数据进行信息化管理，保证数据可以有效的利用及存储；该软件应满足如下基本要求：1)资产信息收集能够为测评人员提供测评过程相关的资产信息管理功能，其中包括：物理环境、网络全局、网络设备、操作系统、数据库、应用、数据安全和备份恢复、管理制度等资产信息；2)测评指导书及测评方案生成能够自动生成“测评指导书”和“测评方案”，为测评工作在第二阶段的开展提供方案支撑；3)现场测评表单生成能够在现场测评阶段，生成在“资产现场确认信息录入”阶段录入的所有资产信息的测评表单，以及管理制度、数据安全和备份恢复等通用的测评表单，目的是为现场测评工作提供标准化输出，保证现场测评工作的合规性；4)分项表单管理能够实现在“现场测评表单生成”阶段完成后，将这些测评结果数据进行有效管理，可以为后续分类表单导出、生成测评报告提供数据来源；5)测评结果浏览和录入能够查看、编辑现场测评过程中测评结果，并可以通过资产类别的不同选择对应需要进行测评的对象，并可以进行指标测评结果查看及编辑；6)生成测评报告能够实现测评报告的自动化生成，生成格式为.docx格式报告；交付物：《信息系统等级测评软件》7)培训投标单位应为我院提供此产品以及相关技术培训，使得我院工作人员可以开展自测评工作。七 项目管理中标方在接到通知后，应派遣相关人员到业主方与相关的实施人员共同开始该项目的具体实施工作。为保障本项目按期按质的完工，投标方需要投标文件中，制定详细的项目施工方案，明确项目组织结构、项目经理责任、项目人员配备、质量管理、进度管理、风险管理等。八 服务文档要求中标方在服务完成后，应将服务(包括定级、差距性分析、体系咨询规划、等级保护测评)所有交付成果汇编成册交付业主单位。九 项目实施与验收9.1项目建设实施计划要求中标方应本项目合同签订后，按照项目建设的要求、项目实施计划开展实施工作。项目建设工作内容 (差距性分析、整改加固方案设计、整改加固指导、体系咨询规划、安全培训、等级保护测评)。本项目实施工期应在4个月内完成。9.2项目验收（1）中标方在服务实施完毕后，进行自检，合格后准备验收文件，并书面通知招标人。（2）招标人确认中标方的自检内容后，组织有关专家及相关单位进行验收。（3）验收合格后，中标方应向招标人提交服务实施过程中的所有资料，以便组织验收及招标人日后管理和维护。（4）验收依据：经济合同、第四章内容、第六章内容、国内相应的标准、规范。十 项目交付投标人应详细描述交付流程、交付方式、交付内容。同时投标人应在投标文件中详细描述项目实施完毕后应向业主单位移交的交付物，包括但不限于：（1）工作计划（2）规划文档（3）服务方案（4）各阶段关键成果及资料（5）其它资料十一 组织和人员（1）对中标服务商的要求中标服务商必须具备等级保护测评机构资质；并提供其他证明信息安全服务能力和水平的资质证书。中标服务商需提供参与本项目的工作人员详细名单及项目组织结构，并附上核心服务人员简历和资质证明。核心服务人员包括：项目经理、安全专家、高级技术人员、关键岗位成员等。（2）项目实施组织及人员要求项目经理应拥有5年以上信息安全服务行业从业经验及等级保护高级测评师资质；安全专家须深入了解信息安全等级保护相关技术标准，能从全局把握、指导本项目实施工作；高级技术人员需具有等级保护测评师资质；参与本项目的高级技术人员不少于6人。所报核心服务人员一旦确定，不能擅自更改。项目确定后，必须保证所有人员的现场支持和工作饱和。十二 文档保密要求投标方对中国民航科学技术研究院文件以及中国民航科学技术研究院业务的相关文档严格保密。中标服务商应提供可靠的机制确保项目实施参与人员在任何情况下不泄露项目所涉及的所有技术和商务信息。十三其他投标人应在全部响应以上技术需求的前提下，可根据对本项目需求的理解，结合自身技术特点及项目经验可对本项目提出优化方案及合理化建议。