成都市金牛区人民法院三级等保测评项目

1、成都市金牛区人民法院三级等保测评项目一、项目概况本项目为成都金牛区人民法院内网网络系统等级保护测评工作。要求：对金牛区人民法院内网网络系统进行等级保护三级测评。二、服务商要求参选服务商必须具有省级以上信息安全等级保护工作领导小组办公室颁发的“信息安全等级保护测评机构推荐证书”。三、服务要求测评主要包括技术和管理两个方面的内容：技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，以下1至11项为具体工作内容。测评内容说 明参与人员备注1测评准备阶段项目前期准备、测试环境确认

2、调查被测信息系统的实际情况，准备测评工具、测评资料。采购方项目主管、采购方相关技术人员、测评项目组测试工具接入点确定确定测试工具接入点位置及可能的测试方式采购方技术负责人、测评项目组现场测评工作任务书开发现场测评工作计划及任务分配（包括配合人员）采购方项目负责人、测评项目组2物理测评物理安全测评现场测评信息系统的物理安全，如物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火等。采购方机房管理员、物理安全测评工程师3服务器、数据库测评主机安全测评采用测评工具对信息系统的主机安全进行测评，如账户认证、密码管理、登录限制、身份标识和鉴别、主体和客体的访问控制等安全设置,并对主机进行漏洞扫描。

3、采购方服务器及数据库管理员、安全审计员、主机安全测评工程师4安全管理制度测评安全管理制度测评按照国家要求对被测单位安全管理制度的制定、发布、修订、评审等流程的各项制度进行逐项测评。采购方主管领导、相关负责人、文档管理员，人事部、财务部相关人员；安全管理测评工程师安全管理机构测评按照国家要求对被测单位的安全管理机构设置是否全面合理，机构制度、机构流程进行逐项测评。人员安全管理测评按照国家要求对被测单位信息系统的技术和管理人员的录用、离职、考核等各项制度的进行测评。系统建设管理测评按照国家要求对被测单位信息系统的系统建设、方案设计、采购流程、开发流程、测试验收流程的各项规章制度进行测评。系统运维管

4、理测评按照国家要求对被测单位信息系统的系统运维管理制度，包括网络安全、设备介质管理、系统安全等方面的规章制度进行逐项测评。管理类单元测评结果汇总被测信息系统技术类单元测评结果汇总测评项目组5 应用安全测评应用安全测评结合单元测试、工具（专项）测试结果等进行分析，找出存在的安全威胁测评项目组6 数据备份恢复安全测评数据安全测评现场测评被测信息系统的数据安全，如数据的安全、数据的备份、数据的保密等配置。采购方相关技术人员、数据安全测评工程师7 网络安全测评网络安全测评采用测评工具现场对信息系统的网络安全测评，如防火墙、路由器等设备的访问控制、身份鉴别、安全审计、流量控制、入侵检测等的配置。采购方网

5、络管理员、网络安全测评工程师9 测评结果汇总和协助备案资料准备（与测评同步进行）汇总物理，主机、数据库，网络，应用，数据安全，管理制度测评记录准备备案材料 10测评报告编制（本部分10天）11协助备案协助业主单位进行项目备案准备工作服务商在对实施信息安全等级保护测评服务过程中可能使被测评对象面临安全风险，在测评实施过程中，必须要保证测评对象的安全，主要包括业务信息安全，系统服务安全和物理环境安全。测评人员根据各种测评结果记录，结合招标方提供的各种资料，进行全面的综合分析，编制测评报告。投标方未经招标方允许的情况下，不得以任何形式向第三方提供安全技术文档的全部或部分内容。项目交付文件包括但不限于

6、如下成果和报告：信息安全等级保护测评报告（含差距分析和整改建议）。三、商务要求（1）服务期限：6个月；（2）服务地点：成都市金牛区人民法院；三、服务费用及支付方式（1）本项目的最高限价 65000元 （2）支付方式：出具测评报告后支付合同额的100%。四、评分标准序号评分因素及权重分值评分标准说明1报价30%30分本次报价按满足采购文件要求且报价最低的服务商的价格为基准价进行评分，其价格分为满分；2.投标人的报价不得低于采购预算的20%，且不得高于采购预算。3.投标其他服务商的价格分统一按照下列公式计算：报价得分=（基准价/最后磋商报价）价格权值分。2实施方案20%20分了解法院网络承载的业务

7、系统以及业务系统的数据输入、存储、处理过程；了解基层法院与成都市中级人民法院的网络连接方式，以及安全要求。优秀的得5分，一般的得4分；正确理解信息安全等级测评，测评思路清晰、测评内容完整、测评重点突出，优秀的得5分，一般的得4分；根据测评方案中提供的网络合理性分析、防护能力分析、支持环境分析等专项分析成果模板进行综合评审，优秀的得5分，一般的得4分；根据测评方案中提供的专项安全分析方案，证明可针对本项目进行网络合理性分析、整体防护能力分析、支撑环境分析等专项分析，优秀的得5分，一般的得4分。3等级保护人员能力情况30%30分1.技术负责人同时具有信息安全等级评测师（高级）证书、信息安全保障人员

8、（CISAW）证书、注册信息安全专业人员（CISP）证书、信息安全测评师、国家重要信息系统保护人员培训证书和计算机技术与软件专业技术人员资格认证的信息系统项目管理师（高级）证书，全部满足得10分，部分满足得5分； 2.项目经理同时具有信息安全等级评测师（中级）证书、信息安全保障人员（CISAW）证书、注册信息安全专业人员（CISP）证书、国家网络安全应用检测专业测评人员（NSATP-A）证书、计算机技术与软件专业技术人员资格认证（中级及以上）职称证书和计算机软件产品检验员证书全部提供得10分；部分满足得5分；3.测试人员具有网络规划师、软件评测高级工程师、计算机技术与软件专业技术人员资格认证的信息安全工程师、国家网络安全应用检测专业测评人员（NSATP-A）证书、信息系统审计师(CISA)证书之一得2分，最高得10分;每个证书至少要求1个,否则此项最高得5分。原件备查。需提供测评人员2018年以来至少3个月的社保证明4等级测评单位能力情况10%10分1、同时具有ISO14001和OHSAS18001管理体系认证证书，且认证范围包括“评估测试服务”得6分，只提供