第三包安全測評采購需求一、項目概況1.1項目背景北京法院對外委托鑒定評估升級改造項目，旨在通過利用信息化手段，打造一個能夠為訴訟服務中心提供服務支撐和工作監管的便民服務系統，全面實現訴訟服務中心職能信息化全覆蓋，積極為當事人提供一站式、低成本、易操作、多渠道的鑒定服務，滿足人民群眾各項司法需求，實現訴訟服務便民、公平、同質。通過線上發起鑒定、審核、委托受理、接收鑒定材料、回傳鑒定報告、鑒定結果入卷等力求達到將線下工作全部規制到線上的規劃目標；同時對鑒定機構資質進行審核、信息公開、公開搖號、考核、評價、廉政審查等，進一步規范對機構的管理；對接本地標準庫，將數據推送至大數據系統，進行數據資源共享。1.2項目目標依據國家網絡安全相關法律法規和等級保護相關標準規范，結合金融法院信息化建設項目的實際情況，對金融法院信息化建設項目進行安全測評。安全測評包括兩部分內容，其中互聯網部分依據安全建設需求進行安全測評并出具安全驗收測評報告，除過專網部分以外的內容，依據等級保護三級標準進行等級測評并出具等級測評報告。二、測評內容及要求2.1驗收測評對本院互聯網進行安全驗收測評，測評機構在項目驗收測評前應提供《項目安全驗收測評方案》并由采購人進行方案確認后，方可開展測評工作，測評工作結束后出具《項目安全驗收測評報告》。安全驗收測評內容主要包括：依據安全建設需求，國家網絡安全等級保護及相關標準規范，從安全通信網絡、安全區域邊界、安全計算環境等層面對金融法院互聯網開展安全驗收測評工作，并出具項目安全驗收測評報告，最終滿足項目安全建設需求。2.2等保測評本項目中的重要業務系統擬定級為等保三級系統，中標單位需要依據《信息安全技術網絡安全等級保護定級指南》（GB/T22240-2020）及相關標準規范，協助采購人對相關系統開展定級、備案等工作，包括擬定級系統梳理、定級材料準備、專家評審，備案材料準備等工作，最終取得公安機關的備案證明。等級測評的主要內容包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理十個層面。測評機構應依據《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）及相關標準規范開展等保測評工作。測評機構在等保測評前應提供《網絡安全等級保護測評方案》，并由采購人進行方案確認后，方可開展測評工作，測評工作結束后出具《網絡安全等級保護測評報告》。本次對信息系統的等級保護測評從技術和管理兩個方面進行開展，包括單元測評和整體測評。等保測評內容具體包括：1、單元測評1）安全物理環境物理安全測評將通過訪談和檢查結合的方式評測信息系統的物理安全保障情況。主要涉及對象為機房。在內容上，物理安全層面測評實施過程涉及10個工作單元，具體如下表：序號工作單元名稱1物理位置的選擇2物理訪問控制3防盜竊和防破壞4防雷擊5防火6防水和防潮7防靜電8溫濕度控制9電力供應10電磁防護2）安全通信網絡安全通信網絡測評將通過訪談、檢查和測試結合的方式評測信息系統的通信網絡安全保障情況。主要涉及對象為網絡架構、網絡設備、安全設備及相關組件。在內容上，安全通信網絡測評過程涉及3個工作單元，具體如下表：序號工作單元名稱1網絡架構2通信傳輸3可信驗證3）安全區域邊界安全區域邊界測評將通過訪談、檢查和測試結合的方式評測信息系統的安全區域邊界保障情況。主要涉及對象為網絡架構、網絡設備、安全設備及相關組件。在內容上，安全區域邊界層面測評實施過程涉及6個工作單元，具體如下表：序號工作單元名稱1邊界防護2訪問控制3入侵防范4惡意代碼和垃圾郵件防范5安全審計6可信驗證4）安全計算環境安全計算環境測評將通過訪談、檢查和測試結合的方式評測信息系統的安全計算環境保障情況。主要涉及對象為終端、服務器、網絡設備、安全設備、移動終端、感知節點設備、控制設備、運業務應用系統、數據庫管理系統、系統管理軟件及系統設計文檔等。在內容上，安全計算環境層面測評實施過程涉及11個工作單元，具體如下表：序號工作單元名稱1身份鑒別2訪問控制3安全審計4入侵防范5惡意代碼防范6可信驗證7數據完整性8數據保密性9數據備份恢復10剩余信息保護11個人信息保護5）安全管理中心安全管理中心測評將通過訪談和檢查結合的方式評測信息系統的安全管理中心保障情況。主要涉及對象為提供集中系統管理的功能軟件等。在內容上，安全管理中心層面測評實施過程涉及4個工作單元，具體如下表：序號工作單元名稱1系統管理2審計管理3安全管理4集中管控6）安全管理制度安全管理制度測評將通過訪談和檢查的形式評測安全管理制度的制定、發布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規程文件等對象。在內容上，安全管理制度測評實施過程涉及4個工作單元，具體如下表：序號工作單元名稱1安全策略2管理制度3制定和發布4評審和修訂7）安全管理機構安全管理機構測評將通過訪談和檢查的形式評測安全管理機構的組成情況和機構工作組織情況。主要涉及安全主管人員、安全管理人員、相關的文件資料和工作記錄等對象。在內容上，安全管理機構測評實施過程涉及5個工作單元具體如下表：序號工作單元名稱1崗位設置2人員配備3授權和審批4溝通和合作5審核和檢查8）安全人員管理安全管理人員測評將通過訪談和檢查的形式評測機構人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關管理制度、相關工作記錄等對象。在內容上，安全管理人員測評實施過程涉及4個工作單元具體如下表：序號工作單元名稱1人員錄用2人員離崗3安全意識教育和培訓4外部人員訪問管理9）安全建設管理安全建設管理測評將通過訪談和檢查的形式評測系統建設管理過程中的安全控制情況。主要涉及安全主管人員、系統建設負責人、各類管理制度、操作規程文件、執行過程記錄等對象。在內容上，安全建設管理測評實施過程涉及10個工作單元，具體如下表：序號工作單元名稱1定級和備案2安全方案設計3產品采購和使用4自行軟件開發5外包軟件開發6工程實施7測試驗收8系統交付9等級測評10服務供應商管理10）安全運維管理安全運維管理測評將通過訪談和檢查的形式評測系統運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規程文件、執行過程記錄等對象。在內容上，安全運維管理測評實施過程涉及14個工作單元具體如下表：序號工作單元名稱1環境管理2資產管理3介質管理4設備維護管理5漏洞和風險管理6網絡和系統安全管理7惡意代碼防范管理8配置管理9密碼管理10變更管理11備份與恢復管理12安全事件處置13應急預案管理14外包運維管理2、整體測評1)安全控制點安全測評安全控制點測評是指對單個控制點中所有要求項的符合程度進行分析和判定。在單項測評完成后，如果該安全控制點下的所有要求項為符合，則該安全控制點符合，否則為不符合或部分符合。2） 安全控制點間測評安全控制點間安全測評是指對同一區域同一類內的兩個或者兩個以上不同安全控制點間的關聯進行測評分析，其目的是確定這些關聯對等級保護對象整體安全保護能力的影響。3）區域間測評區域間安全測評是指對互連互通的不同區域之間的關聯進行測評分析，其目的是確定這些關聯對等級保護對象整體安全保護能力的影響。三、測評要求1、要求供應商根據信息系統實際情況，建立能夠保證測評項目順利進行的項目團隊，采用標準的施工規范和項目控制措施。2、安全測評過程應綜合運用各種手段，通過技術測試、實地調查、訪談等多種途徑以切實發現網絡信息系統中存在的各類問題和隱患。3、安全測評前須向采購人提交測評方案，經確認后方可實施。4、安全測評的過程不能影響各項業務的正常進行，對危險操作給出《風險規避方案》并指明可能產生的后果，在征得批準后方可實施。5、本項目中涉及到的部分等級測評內容，可能會接觸到重要敏感數據，因此需要加強安全保障服務單位的管理，以及整個測評流程的安全風險控制，在《網絡安全等級測評方案》中應提出安全風險的規避方式。防止重要敏感信息泄漏，以及由于相關等級測評內容的