上海海事大学信息系统等级保护安全服务项目服务需求
一、概述
随着上海海事大学智慧校园的建设发展,本校已建成了覆盖教学科研管理与服务的多个重要业务信息系统,包括教务管理系统、校园一卡通系统、网站群平台、财务系统、校园信息门户系统、统一身份认证系统等。这些信息系统在日常教学管理服务活动中发挥着重要作用。根据教育部、市教委在信息系统安全方面的工作指导与要求,参照国家信息系统安全等级保护基本要求,我校计划对学校部分重要信息系统进行信息系统的安全等级保护。对相关系统实施定级备案、差距分析、建设整改,并通过国家相关等级保护测评机构的测评。通过本项目建立与完善我校的信息安全保障体系,提高校园信息化的管理与服务水平。
二、服务范围
完成两个信息系统的定级、上报、备案;
完成两个信息系统的等保评估(风险评估,差距报告)与完成详细的整改方案;
完成两个信息系统的系统安全加固与整改建设;
完成信息系统的等保测评准备,并负责通过国家等保测评机构的信息系统等级保护二级的测评。 提供后续安全运维方案。
三、服务需求及相关要求
1、完成两个信息系统的定级、备案
两个系统包括:上海海事大学门户网站(含学校各学院、部门等,以www.daodoc.com及其子站点的实际内容为准)、教务管理系统。 系统定级
信息系统定级工作是进行信息系统备案、建设、整改、测评、监督检查等后续工作的重要基础。根据我校信息系统的业务信息安全和系统服务安全的实
际情况为学校各业务系统定级工作,包括:
完成学校主要信息系统的调研与资料收集与整理分析工作。
针对定级对象,根据GBT22240-2008.信息系统安全保护等级定级指南、教育部《教技厅函[2014]74号-教育行业信息系统安全等级保护定级工作指南》、定级方法等,确定学校重要信息系统的安全保护等级,起草并完成最终的《定级报告》。
配合学校完成相关市教委系统上报的资料撰写、整理工作。 系统备案
根据《信息系统安全等级保护定级指南》对学校重要业务系统进行定级,准备定级备案资料,完成向公安机关备案。
完成备案表,进行专家评审和审批。 向上海市公安局网安办进行备案。 进行定级工作总结。
2、完成两个典型信息系统的等保评估与整改方案
完成两个典型信息系统的预评估,进行等级保护差异分析风险评估,完成整改方案,具体工作包括:
2.1 等级保护差异分析评估
信息安全等级保护整改差距分析是开展等级保护整改工作的前提和依据,将行业等级保护整改的各项要求与学校信息安全管理现状进行比较分析,从管理和技术两个层面找出存在的问题。等保整改差异分析主要是以《信息系统安全等级保护评估指南》和《信息系统安全等级保护基本要求》为指导,首先要求进行安全现状调研和风险评估,根据风险评估的结果与等级保护基本要求进行差距分析,为等保整改方案提供依据和指导。
承建服务商须根据等保要求,对系统进行全面预评测检查,使用等保工具及相关安全软硬件设备对系统安全进行扫描,进行风险评估,并在此基础上形成分析报告。
2.2 等级保护整改方案
信息安全等级保护整改方案是在梳理差距分析的基础上,形成信息安全等级保护整改方案。方案要求包括两个方面,一是安全技术整改,主要通过信息安全产品的集中部署和安全技术的综合运用,解决技术层面存在的问题,提高信息安全防护(技术)水平;二是安全管理整改,主要从安全管理制度、机构、人员、系统建设和系统运维5个方面,提出针对性的管理目标和解决办法。
3、等级保护整改建设实施
在前期确认整改实施方案的基础上,完成两个信息系统的等保整改建设工作。并根据国家评测标准进行提交前的内部预测评。两个系统为:上海海事大学门户网站(含部门、学院等子站点)、教务管理系统。
进行系统整改安全加固建设,安全加固工作完成包含但不限于物理层面、网络设备层面、主机系统层面以及应用层面的配置加固,补丁更新等。部分涉及需要开发公司修改调整代码的加固工作须书面给出明确的问题现象及原因、测试手段及测试参数、整改要求与检查方式,并监督检查整改情况。上海海事大学不为项目实施和评测增加硬件及服务费用。
完成等级保护信息安全管理体系建设,信息安全管理体系建设是安全管理整改工作的具体落地,是以体系化的思想系统思考安全管理问题,明确信息安全管理的方针、目标和对象。结合等级保护的要求,在信息安全管理标准框架下,通过制订各项信息安全管理制度,制定信息安全管理技术规范,加强信息安全日常管理工作,提高信息安全基础管理水平,实现体系化、制度化、流程化和痕迹化的管理思想。承建服务商须根据等保要求,以等保制度框架为指导,结合我校特点制定信息安全的管理制度体系。完成相关文档的编写、修订以及编目等工作。
根据国家评测标准进行提交前的内部预测评工作。
4、等级保护协助测评
完成等保整改建设以后,要求协助学校进行等保测评,并通过国家测评机构的等保二级测评。协助测评阶段主要工作内容如下:
准备测评机构需要的资料;
为测评人员的信息收集提供支持和协调; 准确填写调查表格;
四、对方案及项目实施等的要求
1.方案必须具有:
(1)完备性:包含但不限于上述业务需求及要求;
(2)安全性:方案中尽可能设计各种在保证高效前提下的安全可用有效的安全控制措施;
2.设计方案应具有详细的描述,针对招标要求与内容具体陈述所提供的服务内容、方式、计划安排、以及相应的人员配备、资源设备,包括可靠性、安全性、完备性等方面的分析描述;
3.对服务过程中的使用的工具进行说明,确保服务过程的风险可控; 4.投标人应在投标书中对项目的实施进行详细描述,包含但不限于:组织结构、人员组成、人员资质说明、专业技能、充当角色、人员稳定性保证措施、详细实施计划、文档管理方式、与招标人的沟通、质量控制措施、相关罚则等。
5.投标人保证派遣到用户现场工作的安全工程师具备相应的资质,并获得甲方认可。保证派遣人员未经甲方同意,不得调换或撤离,项目人员必须接受我校的项目管理,保障项目时间,人天,质量的要求。 6.本项目不接受转包,分包。
五、投标内容要求
为保证招标人客观公正地选择合作伙伴,投标人提供的报价资料中除具有上述各条款要求的技术方案外,投标人还需提供以下相关材料:
1.公司营业执照复印件(加盖公章); 2.报价单(附件二);
3.公司组织结构及相关人员配置情况;
4.对所设计方案的合理性、科学性、先进性、完备性等的详细分析; 5.拟选派的项目组成员名单及相关技能证明以及项目小组的组织结构等的描述;
6.项目实施方案、项目质量控制措施、项目文档管理措施等的详细说明; 7.后续的技术服务支持保障措施的详细描述; 8.竞争性商务报价。商务报价表应明细到最小模块;
9.项目完成周期;
六、投标人资质要求
参与我校等级保护项目的投标人,具有以下资质和案例,将优先选择:
1、投标人具有高校等级保护服务的案例五个以上,具有通过国家测评机构等级保护测评合格的高校案例二个以上。项目案例需要提供客户名单及联系方式;
2、投标人项目组成员要求具有相关安全服务的资质,专业技能资质证明包括但不限于:CCIE,CISP,CISA,27001证书,RHCE,项目经理证,漏洞挖掘证明等证书。
七、其他要求
1.项目实施周期要求在合同签署后2个月内完成;
2.报价为闭口合同报价,除包含前述各项服务外,还须包含有国家等保测评机构对两个系统的评测费用。
3.报价不得超过20万人民币,否则视为无效报价。
八、付款方式
1、合同签订后10个工作日内,支付合同总价的30%。
2、完成所有服务工作,并经甲方最终验收审核后,支付合同总价的70%。
3、合同内全部款项均以“银行转帐”方式予以支付。
