2018年等级保护测评项目需求说明

1、2018年等级保护测评项目需求说明一、项目基本情况介绍 信息系统等级保护是指依据信息系统的重要程度，划分为不同的安全等级，并综合平衡考虑系统安全要求、所面临安全风险和实施安全措施的成本，进行安全措施的调整和定制，形成不同等级的安全措施进行保护。随着我国信息技术的快速发展，为维护国家安全和社会稳定，维护信息网络安全，2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发信息安全等级保护管理办法（公通字200743号），并制定了包括计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求等50多个国家标准和行业标

2、准，形成了信息安全等级保护标准体系。2017年6月1日，中华人民共和国网络安全法实施，从法律层面确定了金融行业和领域是国家重点保护对象，参照信息系统等级保护的核心思想和思维方式，结合信息安全评估服务，需对我行信息系统开展等级测评，以满足新形势下的信息安全需求工作。此外，银保监会、人行、公安部等各级监管机构对我行信息系统等级保护实施情况的监管，以报表、报告等形式贯穿全年的信息安全报送工作中。开展信息系统等级保护测评工作也是满足行业监管要求的必要工作之一。二、项目采购服务范围：本次等级保护测评工作计划针对7个系统进行测评工作。已备案系统进行复评：三级系统：核心业务系统、核心骨干网、网银系统二级系统

3、：财务总账系统、薪酬绩效考核系统、SWIFT系统新定级系统（二级）：官方网站 已备案三级已备案二级新定级系统合计3个3个1个7个三、项目技术要求1、测评公司能够把握和理解国家对该类项目的具体要求，对等级保护政策标准本身有较深的认识；2、测评公司应具有完善的工作流程，有计划、按步骤地开展测评工作，保证测评活动的每个环节都得到有效的控制；3、为维护双方的利益，测评公司（供应商）在我行实际测评工作中对我单位的系统、信息、数据有安全保密的义务，进场时必须签订保密协议；4、测评公司应具有完善的测评方案，包括物理安全、主机安全、网络安全、应用安全、数据备份与恢复，管理安全等。 四、项目验收考核要求 按照我

4、行项目计划完成等级保护测评等工作，并提交到公安局网监部门完成备案工作。项目的最终验收需双方在提供的验收报告上签字盖章。五、成果版权要求如无特殊说明，知识产权归我行所有。六、供应商要求1、供应商具有独立法人资格，具有在有效期内的营业执照；2、供应商应具备天津市信息安全等级保护工作协调小组办公室颁发的信息安全等级保护测评机构推荐证书，且推荐证书在有效期内；3、供应商的注册时间不少于3年，注册资本人民币不少于1000万元；提供近三年经会计师事务所审计的度财务报告、营业执照副本复印件；4、供应商须具有银行业等级保护测评案例。5、供应商应满足公安部网络安全等级保护测评机构管理办法中测评师资质不少于15人，其中高级测评师不少于1人，中级测评师不少于5人的要求，提供测评师证书及社保证明。七、项目其他商务条款1、双方签订合同生效后，供应商需立即组织成立项目组，并于5个工作日内入场开始实施项目。项目实施完成，由我行验收合格后支付合同价格90%款项，待验收合格之日起满一年，支付项目余款10%。2、在项目验收