包组名称:密码评估服务
对****市公共就业服务能力提升示范项目进行商用密码应用安全性评估。要求如下:
*、总体要求
依据**/* *****-****《信息安全技术信息系统密码应用基本要求》等国家和行业商用密码相关规范标准,在服务期内,对本项目关键基础设施、重要应用、网络进行商用密码应用安全性评估。
开展商用密码安全性评估的同时,按我省有关密码应用要求进行商用密码应用安全性评估,测评内容为:商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。测评后,出具加盖检测机构(中标人)印章的《商用密码应用安全性评估报告》纸质*式*份。
*、详细要求
(*) 商用密码总体要求测评
*)密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
*)密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
*)密码产品合规性测评:信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。
*)密码服务合规性测评:信息系统中使用的密码服务是否通过国家密码管理部门许可。
(*) 密码技术应用测评
从物理和环境、网络和通信、设备和计算、应用和数据*个层面对信息系统中应用的密码技术进行分析与评估。
物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素:重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。
网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素:安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。
设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。
应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。
(*)密钥管理测评
对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节:密钥生成,密钥存储,密钥分发, 密钥更新、密钥撤销,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。
(*)安全管理测评
对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。
*)安全管理制度维度,包括但不限于下列内容与措施:密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。
*)人员管控维度,包括但不限于下列内容与措施:了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。
*)信息系统实施维度,包括但不限于下列内容与措施:信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。
*)应急预案维度,包括但不限于下列内容与措施:应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。
*、定级备案
协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。
*、团队要求
为保障项目执行管理调度得当,过程管控高效,确保工作质量和成果,投标人应组建不少于*人的项目团队(投标文件中须提供拟派人员名单及岗位分工)。其中,项目经理*人,具备相应管理和沟通能力。