服务类

名称：2021年网络安全等级保护测评

服务范围：

服务要求：1.等级保护对象安全技术测评

（1）安全物理环境测评。包含：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（2）安全通信网络测评。包含：网络架构、通信网络、可信验证。

（3）安全区域边界测评。包含：边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证。

（4）安全计算环境测评。包含：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心测评。包含：系统管理、审计管理。

2.等级保护对象安全管理测评

（1）安全管理制度测评。包含：安全策略、管理制度、制定与发布、评审和修订。

（2）安全管理机构测评。包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（3）安全人员管理测评。包含：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（4）安全建设管理测评。包含：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等保测评、服务商供应商选择。

(5)安全运维管理测评。包含：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

3.风险分析和评价

依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》，针对用户门户网站系统、OA办公系统和邮件系统采用风险分析方法，分析信息系统测评结果中存在的问题可能对信息系统安全造成的影响，并给出发现的安全问题以及风险分析评价情况。

服务时间：签订合同后3个月内完成。

服务标准：《计算机信息系统安全等级保护划分准则》GB 17859-1999

《信息安全等级保护管理办法》（公通字2007【43】号）

《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019

《网络安全等级保护安全设计技术要求》GB/T 25070-2019

《网络安全等级保护测评过程指南》 GB/T 28449-2018

《网络安全等级保护定级指南》 GA/T 1389-2017

《网络安全等级保护测试评估技术指南》GB/T 36627-2018

《网络安全等级保护安全管理中心技术要求》GB/T 36958-2018

《信息安全技术 信息安全风险评估规范》（GB/T 20984—2007）

《中华人民共和国网络安全法》

信息安全管理体系标准（ISO/IEC 27001）

信息安全管理标准（ISO/IEC 13335）等。