根据信息安全等级保护2.0标准《GBT22239-2019信息安全技术网络安全等级保护基本要求》、《GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求》等相关文件要求,整改服务提供商应提供信息安全管理体系进行全面整改服务,使得整改后的系统能够通过等保2.0的测评要求。
一、采购项目须知:
1. 根据采购项目需求中的要求提供相关方案材料。
2. 提供公司营业执照、资质证明、等保服务整改案例等相关材料。
3. 本次采购采用综合评议采购方式进行,有一家公司(含)以上参与,视为有效。
4. 综合评议相关材料可以向我方索取。
5. 相关材料报送时间及地址:
材料报送时间和地点:2020年8月3日至2020年8月7日(办理时间:工作日上午8:30-11:30,下午1:00-5:00),至浙江产权交易所有限公司。
地址:杭州市上城区望江东路332号望江国际4幢19层
邮编:310008
二、采购项目需求
(一)测评问题及风险项修复
指导并协助对测评机构提出的安全物理环境、安全通信网络、安全计算环境、漏洞扫描等方面的问题和风险项制定全面的解决方案,使其满足等保2.0的测评要求。
(二)安全管理制度建设
根据等保2.0的要求,协助浙交所对原有信息管理制度进行修订,并对缺少的相关制度进行补充完善。
1. 安全管理机构设置
根据等保2.0的要求,对信息安全领导机构的设立,安全管理各个方面的负责人及各个工作岗位的职责,各种安全管理活动的审批程序,明确对内对外的沟通协作方式,对各项安全管理活动的监督审核机制等进行明确规定。
2. 安全管理人员配置
根据等保2.0的要求,对人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面进行明确规定。
3. 安全建设管理
对系统建设生命周期中的各阶段(设计、采购、实施等)中各项安全管理活动的流程和要求提出合理建议。
4. 安全运维管理
根据等保2.0的要求,对系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理等方面进行明确规定。
(三)应急预案及演练
根据信息安全管理制度,结合浙交所实际情况,针对信息系统特点和可能的突发性安全事件制定规范、全面、体系化的应急预案,指导并配合应急演练。
(四)响应要求
等保2.0整改服务提供商,应对上述全部要求进行响应。
材料清单见附件