技術(shù)標準和要求一、采購內(nèi)容采購單位為：滕州市人民法院；預(yù)算控制價為16萬元，報價單位報價凡超過預(yù)算控制價的，報價文件按無效報價文件處理，不再進行詳細評審。本次投標報價中，報價單位各有2次報價的機會，即公開報價和最終報價。最終報價不能超過首次報價，否則報價無效。服務(wù)內(nèi)容：滕州市人民法院網(wǎng)絡(luò)安全等級測評服務(wù)采購項目。二、項目要求（一）項目目標為了采購人的網(wǎng)絡(luò)安全保障能力建設(shè)，按照國家相關(guān)政策和標準要求，開展網(wǎng)絡(luò)安全等級保護測評工作。通過第三方專業(yè)服務(wù)，切實加強采購人的信息安全防范水平，提高系統(tǒng)抵御風險的能力。（二）測評依據(jù)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》和《信息系統(tǒng)安全等級保護定級指南》的要求，依法對采購人的系統(tǒng)進行統(tǒng)一等級保護測評工作。主要根據(jù)標準和要求：《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019）《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護定級指南》（GB/T22240-2020）《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護測評過程指南》（GB/T28449-2018）《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求》（GB/T36958-2018）《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南》（GB/T36627-2018）《信息安全技術(shù)-網(wǎng)絡(luò)安全等級測評機構(gòu)能力要求和評估規(guī)范》（GB/T36959-2018）上述標準規(guī)范中引用和使用的其他相關(guān)標準規(guī)范。（三）測評服務(wù)范圍針對如下系統(tǒng)開展等級保護測評工作：序號系統(tǒng)名稱定級情況1人民法院業(yè)務(wù)專網(wǎng)3級2科技法庭3級通過測評發(fā)現(xiàn)與信息安全等級保護基本要求存在的差距，根據(jù)測評結(jié)果進行整改，縮小與基本要求之間的差距，提高系統(tǒng)的安全保護能力。（四）測評要求1.測評內(nèi)容按照國家等級保護相關(guān)標準和要求,針對以上測評范圍，開展安全等級保護測評工作，找出系統(tǒng)現(xiàn)狀與相關(guān)標準要求之間的差距，遵循適度原則，提出切實可行的整改建議，完成等級保護測評報告。測評的內(nèi)容包括但不限于以下內(nèi)容：(1)安全測評通用要求：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理十個方面的安全測評；(2)安全擴展要求：云計算安全測評擴展要求、移動互聯(lián)安全測評擴展要求、物聯(lián)網(wǎng)安全測評擴展要求、工業(yè)控制系統(tǒng)安全測評擴展要求四個擴展要求的安全測評。1.安全物理環(huán)境根據(jù)機房和現(xiàn)場安全測評記錄，針對機房和現(xiàn)場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護”等物理安全方面所采取的措施進行，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。2.安全通信網(wǎng)絡(luò)根據(jù)信息系統(tǒng)網(wǎng)絡(luò)和通信安全測評記錄，針對網(wǎng)絡(luò)方面在“網(wǎng)絡(luò)架構(gòu)”、“通信傳輸”“可信驗證”等網(wǎng)絡(luò)安全方面所采取的措施進行檢查，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。3.安全區(qū)域邊界現(xiàn)場測評內(nèi)容包括“邊界防護”、“訪問控制”、“入侵防范”、“惡意代碼和垃圾郵件防范”、“安全審計”、“可信驗證”。4.安全計算環(huán)境現(xiàn)場測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計”、“入侵防范”、“惡意代碼防范”、“可信驗證”、“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“數(shù)據(jù)備份恢復(fù)”、“剩余信息保護”“個人信息保護”。5.安全管理中心現(xiàn)場測評內(nèi)容包括“系統(tǒng)管理”、“審計管理”“安全管理”、“集中管控”等，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。6.安全管理制度根據(jù)現(xiàn)場安全測評記錄，針對信息系統(tǒng)在安全管理制度方面的“安全策略”、“管理制度”、“制訂和發(fā)布”、“評審和修訂”等測評指標，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。7.安全管理機構(gòu)根據(jù)現(xiàn)場安全測評記錄，針對信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“崗位設(shè)置、“人員配備”、“授權(quán)和審批”、“溝通和合作”、“審核和檢查”等測評指標，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。8.安全管理人員根據(jù)現(xiàn)場安全測評記錄，針對信息系統(tǒng)在安全管理人員方面的“人員錄用”、“人員離崗”、“安全意識教育和培訓”、“外部人員訪問管理”等測評指標，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。9、安全建設(shè)管理根據(jù)現(xiàn)場安全測評記，針對信息系統(tǒng)在安全建設(shè)管理方面的“定級和備案”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“等級測評”、“服務(wù)供應(yīng)商選擇”等測評指標，判斷出與其相對應(yīng)的各測評項的測評結(jié)果10、安全運維管理根據(jù)現(xiàn)場安全測評記，針對信息系統(tǒng)在安全運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備維護管理”、“漏洞和風險管理”、“網(wǎng)絡(luò)和系統(tǒng)安全管理”、“惡意代碼防范管理”、“配置管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”、“應(yīng)急預(yù)案管理”、“外包運維管理”等測評指標，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。2、測評工作流程信息安全等級測評過程分為四個基本測評工作：測評準備工作、方案編制工作、現(xiàn)場測評工作、分析及報告編制工作。1）測評準備工作測評準備工作的主要任務(wù)包括：項目啟動、信息收集和分析、工具和表單準備。2）方案編制工作方案編制活動的主要任務(wù)包括：測評對象確定、測評指標確定、測評內(nèi)容確定、工具測試方法確定、測評指導書開發(fā)及測評方案編制。3）現(xiàn)場測評工作現(xiàn)場測評工作的主要任務(wù)包括：現(xiàn)場測評準備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還。4）報告編制活動報告編制活動的主要任務(wù)包括：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論形成及測評報告編制。最終出具信息安全等級測評報告，經(jīng)被測單位確認，提交公安局網(wǎng)安部門進行備案。（五）交付成果該項目提交的文檔至少包括如下文件：