第三级信息系统等级保护服务内容与技术要求.pdfVIP

第三级信息系统等级保护服务内容与技术

要求

第三级信息系统等级保护服务的内容和技术要求

一、项目概述

根据《中华人民共和国网络安全法》，为加强网络安全与

信息化工作，提高网络安全防护水平，落实信息系统安全等级

保护制度，需要采购第三方专业测评机构的服务。该机构将协

助完成定级备案工作、等级测评工作、安全整改工作和监督检

查工作。

二、服务内容与要求

信息安全等级保护工作共分为五步，包括“定级、备案、

建设整改、等级测评、监督检查”。该项目主要完成系统的定

级、备案和等级测评工作。等级测评工作依据安全技术和安全

管理两个方面的测评要求，分别从“安全物理环境”、“安全通

信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”

进行安全测评。

1.定级

该项工作主要依据《信息系统安全等级保护定级指南》

（GB/T-2008）确定系统等级。根据等级保护2.0必威体育精装版要求，

安全保护等级初步确定为二级及以上的等级保护对象，其网络

运营者依据本标准组织进行专家评审、主管部门核准和备案审

核，最终确定其安全保护等级。注：安全保护等级初步确定为

第一级的等级保护对象，其网络运营者可依据本标准自行确定

最终安全保护等级，可不进行专家评审、主管部门核准和备案

审核。

2.备案

信息系统的安全保护等级确定后，二级以上（含二级）信

息系统的运营使用单位或主管部门应到属地公安机关办理备案

手续。跨省或者全国统一联网运行的信息系统在各地运行、应

用的分支系统，向当地设区的市级以上公安机关备案。完成备

案的信息系统，将获得公安机关颁发的《信息系统安全等级保

护备案证明》。

此次项目拟对以下信息系统开展定级备案及等级测评工作。

信息系统名称及安全保护等级如下表：

序号系统名称等级

1信息中心系统1第三级

2信息中心系统2第三级

3监管平台系统1第三级

单项测评结果判定

在等级测评工作的分析与报告编制阶段，需要通过单项测

评结果判定来找出系统的安全保护现状与相应等级的保护要求

之间的差距。这个阶段还需要通过单元测评结果判定、整体测

评和风险分析等方法，分析这些差距导致被测系统面临的风险，

从而给出等级测评结论，形成《信息系统安全等级测评报告》

文本。

单元测评结果判定

在等级测评工作的分析与报告编制阶段，单元测评结果判

定是评估被测系统整体安全保护能力的综合评价活动之一。通

过单元测评结果判定，可以找出整个系统的安全保护现状与相

应等级的保护要求之间的差距，并分析这些差距导致被测系统

面临的风险，从而给出等级测评结论。

报告编制活动

在等级测评工作的分析与报告编制阶段，需要进行报告编

制活动。这个阶段的主要任务是根据现场测评结果和《等级测

评过程指南》的有关要求，找出整个系统的安全保护现状与相

应等级的保护要求之间的差距，并分析这些差距导致被测系统

面临的风险，从而给出等级测评结论，形成《信息系统安全等

级测评报告》文本。

活动整体测评

等级测评工作的活动整体测评是一个综合评估活动，它可

以评估被测系统的整体安全保护能力。在这个阶段，需要通过

单项测评结果判定、单元测评结果判定、风险分析等方法，找

出整个系统的安全保护现状与相应等级的保护要求之间的差距，

并分析这些差距导致被测系统面临的风险，从而给出等级测评

结论。

系统安全保障评估

系统安全保障评估是等级测评工作的一个重要环节，它可

以评估被测系统的整体安全保护能力。在这个阶段，需要通过

单项测评结果判定、单元测评结果判定、风险分析等方法，找

出整个系统的安全保护现状与相应等级的保护要求之间的差距，

并分析这些差距导致被测系统面临的风险，从而给出等级测评

结论。

必威体育官网网址责任与赔偿承诺

服务商需要承诺在技术服务期间严格遵守必威体育官网网址规定，不得

泄漏任何机密信息。服务商还需要对接触到的有关工作活动、

商业活动、技术情报和技术资料等文件进行必威体育官网网址。如果服务商

未能在承诺时间内恢复业务运行，由此产生的费用将由服务商

承担。如果服务商不符合或达不到合同中要求的技术服务标准，

客户可以提前终止或解除合同。

主要交付物清单