指标项

指标要求

1.依据与参考规范

（1）《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》

（2）《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》

（3）《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》

（4）《GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求》

2. 测评原则

（1）客观公正性，测评检查人员不带偏见，减少主观判断实施检查活动；

（2）先进性：确保先进性同时，使用成熟稳定技术；

（3）实用性：满足业务功能需求的前提下，做到简单、实用、人性化；

（4）安全性：保证系统数据、交易数据、数据传输以及交易过程的安全性，防止数据被截取、篡改和丢失；

（5）可重复性和可再现性，不论谁执行检查，依照同样的要求，使用同样的检查方式，对每个检查实施过程的重复执行应该得到同样的结果。

3.实施流程

依据国家等级保护2.0相关标准要求，中标商须组织聘请网络安全等级保护专家对采购方现有约50个信息系统的自主定级情况进行评审，形成有专家签名的《网络安全等级保护定级专家评审意见》，并对其中8个信息系统、平台开展协助定级备案、网络安全等级保护差距评估工作、网络安全等级保护整改方案服务、网络安全等级保护验收测评服务，形成公安部门认可的《网络安全等级保护差距评估报告》和《网络安全等级保护等级测评报告》书面盖章报告。具体各项要求如下：

（1）协助整理定级备案材料

按照《信息安全技术 网络安全等级保护定级指南》的要求，协助采购方整理未备案信息系统的定级备案材料，提交等级定级报告、备案表和自检表送至公安部门备案，协助学校取得由公安机关出具的《信息系统安全等级保护备案证明》，报送广东省教育厅审核，并取得主管部门审批意见。

▲（2）聘请专家完成定级评审服务

聘请网络安全等级保护专家对采购方现有信息系统自主定级情况进行评审，专家们应根据《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）、教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知》等文件形成有专家签名的《网络安全等级保护定级专家评审意见》，并按照安全影响重要程度对采购方2级以上信息系统进行推荐排序。该工作涉及的所有费用已包含在本项目报价中，采购人不再另付费用。

（3）进行差距评估

由中标方根据等级保护2.0的标准对信息系统开展等级保护差距评估工作，按照公安部标准测评报告模板撰写测评记录，完成提交《网络安全等级保护差距评估问题清单列表》，提供符合网络安全等级保护标准和当前网络、系统现状切实可行的《网络安全等级保护整改方案》。

（4）进行验收测评

在信息系统进行完成差距测评后，协助采购方完成整改实施，中标方对信息系统的安全技术和安全管理各个层面的安全控制进行整体性验证，针对采购方定级系统进行全面的安全等级保护测评，编制《网络安全等级保护测评报告》提交公安部门备案，协助采购方完成等级保护测评工作，进行评审。

4.测评指标内容

按照网络安全等级保护2.0的要求进行测评。

（1）网络安全等级保护2.0差距评估应至少包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

（2）安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、数据安全和备份恢复六个方面的安全控制测评；安全管理测评包括；安全管理制度、安全管理机构、安全管理人员、安全建设管理和系统运维管理五个方面的安全控制测评。

（3）根据被测系统信息系统的具体情况，结合标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

▲本项目在实施过程中所使用到的专业安全服务工具由中标人提供，中标人必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷，提供自主《计算机软件著作权登记证书》或授权截图，并保证工具和软件可用性和可靠性。由此产生的一切责任由中标人负完全责任（此费用已包含在本项目报价中，采购人不再另付费用）。

5.测评资质要求

★供应商必须具有公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》，项目成员人数不得少于3人。

6.工期要求

合同签订后30个工作日内，中标方聘请广东省网络安全等级保护专家对采购方约50个信息系统、平台的自主定级情况进行定级评审，并按照安全影响重要程度对采购方2级以上信息系统进行推荐排序，形成定级评审意见。采购方参考评审意见，确定8个信息系统作为本次采购的等保测评对象，中标方在采购方确定测评对象后30个工作日内，对测评对象进行网络安全等级保护差距评估工作，并提交网络安全等级保护差距评估问题清单和整改建议。采购方的测评对象分批进行整改，每批测评对象完成整改后，中标方须在15个工作日内再次进场完成复测，并出具《等级保护专家评审意见》和《网络安全等级保护等级测评报告》。每完成一个对采购方确定的评测对象全面的安全等级保护测评，编制《网络安全等级保护测评报告》提交公安部门备案，协助采购方完成等级保护测评工作，评审通过后完成备案，最终获取备案证书的，视为完成信息系统等级保护服务一个，采购方将按完成信息系统等级保护服务的个数和采购单价与中标方进行结算。项目周期不超过两年（合同有效期自签订合同起至次年10月10日），合同有效期内每年9月底前由中标商发起结算申请，采购方当年予以结算一次；合同终止后不予结算和支付。

7.保密要求

（1）中标方及其服务人员均须与采购方签署相关保密协议，同时要求提供中标方与其服务人员就本次服务签署的保密协议。

（2）针对本服务项目，要求服务人员的变动率不得超过20%，确需变更应提前通知采购方并获得批准后方可进行。

（3）服务过程中所有原始资料和数据均须妥善保管，仅限在项目组内为本服务项目所用，不得以任何方式外泄或用于其它用途，服务人员须及时删除销毁存储在电脑中或纸质的数据和文件材料。

8.售后服务

中标方需提供一年（合同有效期后一年）的免费售后服务，对本次测评范围内的问题提供远程技术咨询，对于漏洞的修补、 问题的排除给出建议和指导。