关于2024年丰台区公共资源交易平台等保定级服务的公告

服务流程

服务内容

工作内容

评估范围

定级备案

系统调研

1. 了解系统的主要功能设计模块，系统使用人员访问业务，以及业务数据操作和流转的方式、了解系统部署运行环境，包括云平台、物理环境、网络系统结构、服务器及设备资产、操作系统、应用中间件、数据库等基本信息；调研系统范围内涉及的网络设备、安全设备、网络拓扑图等信息，填写相关的信息系统资产调研表。

2. 对照网络安全等级保护第三级的基本要求和安全设计技术要求，结合系统的实际情况，辅助提供涉及应用安全和数据安全相关的身份验证、数据完整性、保密性，的安全合规建议，初步评估了物理环境、通信网络、区域边界、计算环境、****中心等方面的安全合规情况。

3. 根据信息系统调研情况，初步编制系统的备案表和定级报告并组织专家评审。

三级业务系统

定级（专家评审）

备案

差距分析

安全物理环境

对物理机房提出安全控制要求，主要对象为物理环境、物理设备、物理设施等。

1. 物理安全设施评估：对服务器机房、数据中心等物理安全设施进行评估，包括门禁系统、监控摄像头、入侵报警系统等设备的部署和运行情况。

2. 环境控制系统：评估空调系统、温湿度控制系统等环境控制设备的性能和稳定性，****中心内部的温度和湿度处于安全范围内。

3. 电力供应系统：评估电力供应系统的稳定性和可靠性，包括备用电源、稳压器、UPS（不间断电源）等设备的部署和运行情况。

4. 消防安全设施：评估消防报警系统、灭火系统等消防安全设施的部署和运行情况，确保在发生火灾等突发事件时可以及时采取相应措施。

5. 物理访问控制：评估物理访问控制措施，包括门禁系统、电子锁、生物识别设备等，确保只有授权人员可以进入敏感区域。

6. 设备安全性：评估服务器、网络设备等硬件设备的安全性，包括设备固定、防盗标识、设备健康状态监测等，防止设备被盗或损坏。

7. 物理灾备与恢复：评估物理灾备和恢复机制，包括备份数据的存储和管理、灾难恢复设施的部署和运行情况，以应对突发事件和灾难。

通过对安全物理环境的详细工作内容评估，可以有效提升信息系统整体的安全性和可靠性，保障敏感信息和业务的安全运行。

安全通信网络

针对网络架构和通信传输，主要对象为广域网、城域网、局域网的通信传输及网络架构进行测试。对整体架构和拓扑进行分析，包括网络设备、子网划分、边界防火墙、入侵检测系统等，进行测评。

安全区域边界

对边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计等进行测试。

安全计算环境

根据《信息安全等级保护基本要求》进行的对信息系统进行等级评定的过程。

1. 安全策略和安全控制分析：分析系统的安全策略和安全控制措施，包括访问控制、身份认证、加密技术、审计与监控等，评估其与等保要求的符合程度。

2. 安全配置审查：对系统的安全配置进行审查，包括操作系统、数据库、网络设备等的配置，评估其是否符合安全最佳实践和等保要求。

3. 数据保护和加密分析：分析系统中的数据保护和加密措施，包括数据加密、数据备份与恢复、数据分类与标记等，评估其对敏感数据的保护程度。

旨在评估安全计算环境的安全性和等级保护程度，以便采取相应的安全措施和改进措施。

****中心

对整个系统的技术控制要求，通过技术手段实现集中管理，包括系统管理、审计管理、安全管理、集中管控测评。

建立安全管理体系

安全建设管理

对安全方案设计、产品采购和使用、软件开发、工程实施等测管理文件测评

安全运维管理

对环境管理、资产管理、介质管理等运维管理文件进行测评

安全管理制度

对系统的总体管理制度进行测评，包括安全测略、管理制度、制定评审等

安全管理机构

对系统岗位设置、人员配备、授权和审批等控制点测评

安全管理人员

对人员录用、安全意识教育和培训等文件测评

安全测试

渗透测试

经甲方签署漏洞扫描、渗透测试授权后进行测试，包括：

1. 漏洞扫描：模拟外部、内部攻击发现系统的安全漏洞，编制漏洞扫描报告及整改建议，配合整改情况。

2. 渗透测试：采用黑盒测试方式，以模拟黑客攻击方法，对甲方信息系统开展渗透测试，编制渗透测试报告及整改建议，配合整改情况。

漏洞扫描

基线检测

安全整改

协助整改

根据实际情况，出具切实可行的整改建议报告

等保测评

出具测评报告

由等保测评师依据项目编制测评报告，由技术总监对测评报告进行审核。通过审核后测评报告装订、签字、盖章并邮寄甲方。