信息系统适应性改造项目等保测评服务需求方案.pdf

信息系统适应性改造项目等保测评服务需求方案--第1页

信息系统适应性改造项目等保测评服务

方案需求描述

1.项目背景

网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。

开展网络安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，

要求。

根据国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》、

《信息安全等级保护管理办法》、《关于开展全国重要信息系统安全等级保护定级

工作的通知》以及重要信息系统安全等级保护工作实施方案的要求，为贯彻落实

国家网络信息安全等级保护相关工作要求，拟委托具有在效期内的“网络安全等

级测评与检测评估机构服务认证证书”的测评机构对（单位名称）2022年信息

系统适应性改造项目展开等级保护测评，找出与信息安全等级保护要求存在的差

距，在此基础上，按照国家有关规定和标准规范要求对信息系统进行安全建设整

改，且达到信息安全等级保护相关要求，并取得符合主管部门要求的网络安全等

级保护测评报告。

2.测评对象

（单位名称）2022年信息系统适应性改造项目中涉及的11个业务系统。

3.项目依据与参考规范

（1）《GB/T22239-2019信息安全技术网络安全等级保护基本要求》；

（2）《GB/T28448-2019信息安全技术网络安全等级保护测评要求》；

（3）《GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》；

（4）《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要

1

信息系统适应性改造项目等保测评服务需求方案--第1页

信息系统适应性改造项目等保测评服务需求方案--第2页

求》；

（5）《GB/T22240—2020信息安全技术网络安全等级保护定级指南》；

4.项目原则

（1）客观公正性，测评检查人员不带偏见，减少主观判断实施检查活动；

（2）先进性：确保先进性同时，使用成熟稳定技术；

（3）实用性：满足业务功能需求的前提下，做到简单、实用、人性化；

（4）安全性：保证系统数据、交易数据、数据传输以及交易过程的安全性，

防止数据被截取、篡改和丢失；

（5）最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正

常运行，不能对信息系统的运行和业务的正常提供产生显著影响。

（6）必威体育官网网址原则：对项目实施过程获得的数据和结果严格必威体育官网网址，未经授权不

得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。

（7）可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施

进度要按照进度表进度的安排，保证项目实施的可控性。

5.项目实施方案

根据相关国家法律法规和标准，对（单位名称）2022年信息系统适应性改

造项目开展网络安全等级保护测评工作。

（1）测评方协助用户完成系统定级备案工作；

（2）差距测评服务

测评方对用户的信息系统进行测试评估、分析差距、输出差距测评报告和安

全整改建议；

服务商根据等级保护2.0的标准对用户相关信息系统实施差距测评，实施差

2

信息系统适应性改造项目等保测评服务需求方案--第2页

信息系统适应性改造项目