上饒公交居民服務(wù)一卡通系統(tǒng)等級保護(hù)測評服務(wù)需求分析報(bào)告一、服務(wù)要求1、服務(wù)內(nèi)容服務(wù)范圍服務(wù)要求備注系統(tǒng)備案專家評審----居民服務(wù)—智慧城市一卡通三級等保測評五年1）信息系統(tǒng)定級、備案；2）信息系統(tǒng)等級測評；3）協(xié)助完善信息安全管理制度4）協(xié)助安全整改工作；5）應(yīng)急響應(yīng)支持服務(wù)；主要工作內(nèi)容的具體要求如下：1）協(xié)助定級、評審、備案、獲取證書1.1）具體要求：依據(jù)《信息安全等級保護(hù)定級指南》（GB/T22240-2008）要求，依據(jù)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面的重要程度，完成各信息系統(tǒng)的《備案表》，組織專家對《定級報(bào)告》、《備案表》進(jìn)行評審；協(xié)助獲得《備案證明》。1.2）主要工作內(nèi)容：確定業(yè)務(wù)信息和系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體；根據(jù)不同的受侵害客體，綜合評定對客體的侵害程度；確定業(yè)務(wù)信息和系統(tǒng)服務(wù)兩方面安全保護(hù)等級；確定信息系統(tǒng)安全保護(hù)等級；形成各信息系統(tǒng)的《定級報(bào)告》。完成各信息系統(tǒng)的《備案表》，組織專家對《定級報(bào)告》、《備案表》進(jìn)行評審；報(bào)送信息安全等級保護(hù)工作協(xié)調(diào)小組，獲得《備案證明》。1.3）交付成果（包括但不限于）：《定級報(bào)告》、《備案表》和《備案證明》。2）信息系統(tǒng)等級保護(hù)測評2.1）具體要求：工作階段、流程、內(nèi)容、及成果交付嚴(yán)格遵循《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》等文件，根據(jù)系統(tǒng)等級開展相應(yīng)級別的單項(xiàng)測評和整體測評，測評報(bào)告內(nèi)容及格式嚴(yán)格遵照公安部《信息系統(tǒng)安全等級測評報(bào)告模板（2019年版）》。2.2）交付成果（包括但不限于）：《信息系統(tǒng)安全等級測評報(bào)告》等。3）協(xié)助完善信息安全管理制度3.1）依據(jù)《信息安全管理體系規(guī)范》、《信息安全管理實(shí)施細(xì)則》，結(jié)合《信息系統(tǒng)安全等級保護(hù)基本要求》內(nèi)容，同時(shí)參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)，對信息安全管理現(xiàn)狀進(jìn)行需求分析，確定安全管理目標(biāo)和安全策略，針對信息系統(tǒng)的各類管理活動，梳理已存在的系統(tǒng)運(yùn)維管理制度、人員安全管理制度、系統(tǒng)建設(shè)管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等；對未覆蓋的安全管理域，制定其相關(guān)管理制度和文件。3.2）交付成果（包括但不限于）：《信息安全管理制度匯編》等。4）協(xié)助安全整改工作4.1）依照《信息安全等級保護(hù)安全建設(shè)整改工作指導(dǎo)意見》（公信安[2009]1429號），嚴(yán)格遵循《信息安全等級保護(hù)安全建設(shè)整改工作指南》各項(xiàng)要求，在系統(tǒng)測評工作的基礎(chǔ)上，對現(xiàn)狀進(jìn)行全面的分析，制訂信息安全等級保護(hù)安全建設(shè)整改方案，方案內(nèi)容包含但不限于：當(dāng)前風(fēng)險(xiǎn)分析、安全需求分析、總體安全策略、安全建設(shè)整改技術(shù)方案設(shè)計(jì)、信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)建議、項(xiàng)目預(yù)算，整改后可能存在的其他問題；出具方案后，協(xié)助開展安全整改工作。4.2）項(xiàng)目交付成果（包括但不限于）：《信息安全等級保護(hù)安全整改方案》等。5）應(yīng)急響應(yīng)服務(wù)在突發(fā)/重大信息安全事件后對包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)。在服務(wù)周期范圍內(nèi)，提供若干次現(xiàn)場應(yīng)急響應(yīng)服務(wù)。安排具有信息系統(tǒng)安全資深人員和應(yīng)急響應(yīng)工作經(jīng)驗(yàn)豐富技術(shù)人員完成實(shí)施工作，根據(jù)每次應(yīng)急響應(yīng)的情況，必要時(shí)提供軟、硬件設(shè)備參與應(yīng)急響應(yīng)工作，并進(jìn)行分析，出具《安全事件分析報(bào)告》。同時(shí)，盡可能地減少和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。3、服務(wù)實(shí)施要求（1）實(shí)施要求1）成交供應(yīng)商提供的資格、資質(zhì)等證明文件應(yīng)真實(shí)有效；2）成交供應(yīng)商在項(xiàng)目現(xiàn)場實(shí)施周期內(nèi)，必須為本項(xiàng)目成立等級保護(hù)測評項(xiàng)目部，安排包括項(xiàng)目經(jīng)理和各測評實(shí)施小組進(jìn)場調(diào)研、測評工作；3）在采購人進(jìn)行整改過程中提供必要的技術(shù)支持；4）能按照采購人規(guī)定的工作內(nèi)容及進(jìn)度安排協(xié)助完成等級保護(hù)工作。（2）項(xiàng)目管理要求供應(yīng)商具有公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全等級測評與檢測評估機(jī)構(gòu)服務(wù)認(rèn)證證書》；具有國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心頒發(fā)的網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位或公安部部第一研究所頒發(fā)的網(wǎng)防服務(wù)中心證書；具有中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的信息安全應(yīng)急處理二級以上資質(zhì)證書；具有中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的信息安全風(fēng)險(xiǎn)評估二級以上資質(zhì)證書：4、項(xiàng)目進(jìn)度要求：項(xiàng)目實(shí)施進(jìn)度要求：60