大理白族自治州人民检察院2024年网络安全等级保护测评项目询价函

尊敬的供应商：

您好！感谢您对我单位的关注和支持。按照等级保护2.0标准，****人民检察院决定对其负责运营和使用的1个三级信息系统****人民检察院检察工作网）开展网络安全等级保护测评，并编制系统等级保护测评报告，完**全问题汇总及分析，切实提高被测系统的安全防护能力。

一、测评内容

测评将依据《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T28448-2019 信息安全技术 网络安全等级保护测评要求》等国家标准，通过静态评估、现场测试、综合评估等相关环节和阶段，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面，****人民检察院的1个三级信息系统****人民检察院检察工作网）开展等级保护测评。判****人民检察院现有的安全保护水平与网络安全等级保护国家相关规范和技术标准要求项之间的符合情况，衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力，并协助进行整改，使****人民检察院的信息系统最终符合国家标准要求，取得《网络安全等级保护等级测评报告》（按系统独立提供）。

二、测评标准

依据《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T28448-2019 信息安全技术 网络安全等级保护测评要求》等国家标准。

1、国家和行业有关信息安全的法规和标准：

《中华人民**国网络安全法》

《GB 17859—1999 计算机信息系统 安全保护等级划分准则》

《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》，

《GB/T28448-2019 信息安全技术 网络安全等级保护测评要求》，

《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》，

《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》。

《GB/T 20984—2022 信息安全技术 信息安全风险评估方法》

2、与项目有关的信息安全相关国家和行业的技术标准；

3、项目建设方与等级保护测评机构签订的等保测评合同；

4、若国家或行业标准，按该标准执行；如无国家或行业标准或现有标准已经落后于技术发展而新的标准又尚未出台，则根据技术发展状况及需求向项目建设方提出采用何种市场通行的或先进厂家标准的论证和建议，经建设方同意后作为监理服务的依据，如有遇国家颁布新的标准则必须采用新标准。

三、服务要求

1、网络安全等级测评

按照等级保护2.0标准，****人民检察院决定对其负责运营和使用的1个三级信息系统****人民检察院检察工作网）开展网络安全等级保护测评，并编制系统等级保护测评报告，完**全问题汇总及分析，切实提高被测系统的安全防护能力。具体工作流程如下：

1）系统调研

了解信息系统及单位现状，对后期测评做好准备工作。

2）现场测评

（1）安全技术测评

安全技术测评包括五个部分，分别是安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心。

a）安全物理环境

物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等），设备和介质的防盗窃防破坏等方面。测评以下十个控制点：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

b）安全通信网络

网络安全主要涉及网络架构、通信传输以及可信验证等。测评以下三个控制点：网络架构、通信传输、可信验证。

c）安全区域边界

安全区域边界测评以下六个控制点：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

d）安全计算环境

安全计算环境测评以下十一个控制点：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

e****中心

****中心测评以下四个控制点：系统管理、审计管理、安全管理、集中管控。

（2）安全管理测评

安全管理测评包括五个部分：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

a）安全管理制度

安全管理制度测评以下四个控制点：安全策略、管理制度、制定和发布、评审和修订。

b）安全管理机构

安全管理机构测评以下五个控制点：岗位设置、人员配备、授权和审批、沟通和**、审核和检查。

c）安全管理人员

安全管理人员测评以下四个控制点：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

d）安全建设管理

系统建设管理有以下十个控制点：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

e）安全运维管理

安全运维管理测评以下十四个控制点：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

3）系统整体测评

系统整体测评从以下三个方面进行测评：安全控制点间测评、层面间测评和区域间测评。

4）测评报告编制

要求测评机构在完成现场检查工作后，完**全问题汇总及分析，经过后期的综合分析与风险判断，确定等级保护测评结论，编写等级保护测评报告，为后续的信息系统安全整改提供有力的依据，出具系统测评报告。

服务成果：《网络安全等级测评报告》

五、投标文件要求

1.公司营业执照复印件、资质证书复印件等相关资质证明文件。★测评机构需具备《网络安全等级测评与检测评估机构服务认证证书》。

2.公司近三年内类似业务的业绩证明文件。

3.报价单

4.报价资料彩色扫描件发****@qq.com。

六、投标截止时间

为了保证年度测评工作的顺利进行，****公司能在2024年10月19日（17：00点）前将报价文件递交到我单位，逾期不予受理。

七、联系方式及地址

联系人：张师 139****3972

联系地址：**市**街道小关邑西侧

****

2024年10月16日

报 价 单

单位名称（盖公章）：

2024年10月 日