广州市规划和自然资源局广州市规划和自然资源局2023年不动产统一登记平台面向优化营商环境升级改造项目子项3：安全测评采购需求征求意见公告

项目编号：无 发布时间：2024-01-23 10:17:57 一、采购项目名称：广州市规划和自然资源局广州市规划和自然资源局2023年不动产统一登记平台面向优化营商环境升级改造项目子项3：安全测评采购需求征求意见公告二、采购品目名称：三、本公告期限（不得少于5个工作日）自：2024年01月23日至2024年01月30日止四、任何供应商、单位或者个人对本项目采购需求（征求意见稿）公告有异议的，可以自公告开始之日起至公告期满后5个工作日内将书面意见反馈给采购人、采购代理机构。五、联系事项（一）采购人：广州市规划和自然资源局地址：广州市越秀区吉祥路80号联系人：王先生联系电话：020-83334470（二）采购代理机构：地址：/联系人：/联系电话：/1.采购需求公告附件.docx广州市规划和自然资源局2023年不动产统一登记平台面向优化营商环境升级改造项目子项3：安全测评采购需求一、项目概述根据《网络安全法》规定，二级及以上信息系统需要到公安机关进行备案：①已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后10日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续；②新建第二级以上信息系统，应当在投入运行后10日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。广州市规划和自然资源局为了贯彻落实《中华人民共和国网络安全法》、《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，保护广州市规划和自然资源局的信息系统的网络安全，特开展对广州市规划和自然资源局信息系统的网络安全等级保护测评工作。通过测评充分了解重要信息系统的网络安全现状、安全风险和需求，为广州市规划和自然资源局的网络安全建设工作打下坚实基础。二、项目预算项目预算：人民币壹拾万圆整（¥100,000元）。最高限价：人民币壹拾万圆整（¥100,000元）。本项目为年度支付项目，2024年支付100%。本项目属于专门面向中小微企业采购的项目。三、项目内容（一）测评对象清单序号信息系统名称对应级别1广州市不动产统一登记平台第三级（二）项目依据与参考规范主要参考标准如下：（以下以国家相关部门颁发的最新标准为准）1.《GB/T22239-2019信息安全技术网络安全等级保护基本要求》2.《GB/T28448-2019信息安全技术网络安全等级保护测评要求》3.《GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》4.《GB/T25070-2019》信息安全技术网络安全等级保护安全设计技术要求》5.《中华人民共和国网络安全法》6.《信息安全等级保护管理办法》（公通字〔2007〕43号）7.《GB/T22240—2020信息安全技术信息系统安全等级保护定级指南》（三）项目原则1.客观公正性，测评检查人员不带偏见，减少主观判断实施检查活动；2.先进性：确保先进性同时，使用成熟稳定技术；3.实用性：满足业务功能需求的前提下，做到简单、实用、人性化；4.安全性：保证系统数据、交易数据、数据传输以及交易过程的安全性，防止数据被截取、篡改和丢失；5.最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。6.保密原则：对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。7.可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。（四）项目实施方案根据相关国家法律法规和标准，中标人对广州市规划和自然资源局2023年不动产统一登记平台面向优化营商环境升级改造项目开展网络安全等级保护测评工作。1.差距分析服务中标人根据等级保护2.0的标准对采购人的指定的信息系统实施差距分析检测，实施差距分析后出具《差距分析及整改建议》。网络安全等级保护2.0差距分析包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全控制测评；安全管理测评包括；安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。系统整体测评主要包括安全控制点间、层面间两部分。如图所示：网络安全等级保护测评安全控制测评系统整体测评安全技术测评安全管理测评安全控制点间层面间系统安全保障评估安全问题风险分析安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理根据被测系统信息系统的具体情况，结合标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。2.安全整改协助服务协助采购人制定并落实安全管理制度，落实安全责任，建设安全设施，落实安全技术措施，提供咨询服务，指导采购人完成指定的信息系统的安全整改，达到国家规定的信息安全要求。3.验收测评服务待采购人根据整改建议完成相关整改后，中标人再次对采购人的指定的信息系统进行验收测评，并根据实际测评结论出具符合2.0标准的《网络安全等级保护等级测评报告》，并协助采购人向当地公安机关的提交报告。（五）测评指标内容1.安全物理环境安全物理环境测评是对被测系统的机房和办公场所的物理环境安全防护情况进行测评，包括机房物理位置选择、物理访问控制、防盗窃和防破、防雷击、防火、防水和防潮、防静电应、温湿度控制、电力供应、电磁防护等方面的安全状况。2.安全通信网络安全通信网络测评是对被测系统的通信网络安全防护情况进行测评，包括网络架构、通信传输、可信验证等方面的安全状况。3.安全区域边界安全区域边界测评是对被测系统的区域边界的安全防护情况进行测评，包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的安全状况。4.安全计算环境安全计算环境测评是对被测系统的计算环境的安全防护情况进行测评，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。5.安全管理中心安全管理中心测评是对被测系统的管理中心安全保护情况进行测评，包括系统管理、审计管理。6.安全管理制度安全管理制度测评是对被测系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。7.安全管理机构安全管理机构测评是对被测系统的岗位设置、授权和审批、沟通和合作、审核和检查等情况进行测评。8.安全管理人员安全管理人员测评是是对被测系统相关内部人员的人员录用、人员离岗、安全意识教育和培训，以及外部人员访问管理等情况进行测评。9.安全建设管理安全建设管理测评是是对被测系统建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自主软件开发、工程实施、测试验收、系统交付、等级保护测评、中标人选择等情况进行测评。10.安全运维管理安全运维管理测评是对被测系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险、网络和系统安全管理、配置管理、恶意代码防范管理、密码管理、变更管理、安全事件处置、应急预案管理等、外包运维管理等情况进行测评。（六）项目成果内容1.《网络安全等级保护等级测评报告》2.公安机关出具的等保备案回执四、服务期限、服务方式、服务地点（一）服务期限：需配合采购人在2024年6月30日前完成所有服务内容。（二）服务方式：现场检测、远程检测。（三）服务地点：采购人指定地点。五、商务要求报价人需在广东地区注册、具有独立法人资格、具有等级保护测评推荐证书、有能力提供相应的技术及服务，且具有良好财务状况和商业信誉的公司。六、付款方式（一）本合同签定生效之日起15个工作日内，甲方向乙方支付本合同总金额的50%为项目预付款；（二）乙方完成本合同约定的工作内容后，提交相应交付物之日，经甲方确认核实约定内容完成并出具合同验收意见起15个工作日内，甲方向乙方支付本合同总金额的50%。