内外网三级等保评测安全咨询服务技术需求书.pdfVIP

内外网三级等保评测安全咨询服务技术需求书.pdf

  1. 1、本文档共5页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

内外网三级等保评测安全咨询服务

『技术需求书』

预算金额:40万元项目类型:服务

一、项目名称及数量:内外网三级等保评测安全咨询服务/壹项

二、项目周期:经甲乙双方协商后,自合同签定之日起7日内,乙方提交《开工申请单》,《开工

申请单》经甲方确认之日起365个日历日内完成验收。

三、交货地:长海医院指定地点

四、项目简介:

应国家网络安全法的规定及卫计委互联网信息系统专项整治工作的要求,我院重要信息系统

需要完成三级等保评测工作,评测范围包括每年新增系统及已通过评测需每年复测系统。拟请专

业的安全公司进行内外网三级等保整改工作,协助完成三级等保评测。

五、技术要求

(一)服务人员组成及资质:

1、人员要求:

1.1项目经理1名:需具有10年以上安全相关项目经验,且同时具备CISSP、CISA、PMP、

ISO27001LA、RHCE。

1.2项目实施人员2名:具备信息安全资质CISP、CISAW、ISO27001LA、CISSP、信息安全等级保

护安全建设专业技术人员等资格证书。

1.3项目经理未得到医院同意的情况下不得随意更换。请投标人提供系统实施工程师名单,包括

姓名、手机号码、办公地点、职责。

(二)驻场要求:非驻场

(三)服务内容:

1.服务对象:15个评测的业务系统

2.服务内容:

2.1资产调研分析阶段:

2.1.1根据服务范围的应用组成,派遣专业安全服务工程师到现场梳理各系统的网络结构拓扑以

及相关联的资产,编制信息系统资产清单;

2.1.2对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行

调研和梳理,编制信息系统详细描述文档。

2.2定级备案阶段:依据GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》相

关要求,协助招标方对信息系统进行信息系统安全级别的识别、分析和评估,并对信息系统进行

安全域划分,明确信息系统以及子系统的安全保护等级。协助招标方完成系统定级备案。

2.3风险分析阶段:对服务范围内的业务系统进行安全评估工作。通过对相关人员的访谈、现场

评估、信息系统及网络脆弱性评估并结合渗透测试等技术手段,分析信息系统安全风险以及操作

系统、数据库、中间件及应用等与等保所要求的安全基线差距。并编制信息系统差距分析报告

2.4等保建设设计阶段:

2.4.1对服务范围内信息系统按照差距分析报告对应策略设计整改措施,面向保护对象设计安全

计算环境安全、安全区域边界安全、安全通信网络等方面的整改设计方案;

2.4.2开展详细信息系统安全设计工作,完成网络结构框架设计、功能设计、性能设计、部署方

案设计、安全策略设计等方面,形成安全整改实施方案。

2.4.3提供信息安全等级保护建设详细方案书,应该包括具体的实施内容、流程、风险管理和进

度控制等;

2.5整改加固阶段:

2.5.1派遣专业安全服务工程师为招标人服务器实施边界防护安全策略优化、服务器病毒检查与

清理、主机安全加固、数据库安全加固以及应用安全加固。

2.5.2安全加固实施前,应提交安全加固风险分析及风险规避说明书。

2.6安全复查:

2.6.1派遣专业安全服务工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不

限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。

2.6.2复查结束后,形成加固前后对比复查报告。

2.7管理制度辅助建设:辅助招标人编写方针、制度、各类记录表格模板在内的三层结构的安全

管理制度,达到等级保护测评要求。

2.8等保测评现场辅助:协助测评方完成测评数据采集等工作,直至备案系统通过等级测评。

3服务要求:

3.1.资产梳理

3.1.1根据服务范围的应用组成,派遣专业安全服务工程师到现场梳理各系统的网络结构拓扑以

及相关联的资产,编制信息系统资产清单清单;

3.1.2对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行

调研和梳理,编制信息系统详细描述文档

3.2.定级备案:依据GB/T22240-2019《信息安全技术信息系统安全等级保护定级指南》相

关要求,通过对定级对象分析、定级要素分析,初步确定系统保护等级,协助召开专家咨询会议,

确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。

文档评论(0)

162****6578 + 关注
实名认证
文档贡献者

一线教师

1亿VIP精品文档

相关文档