江苏启东吕四港经济开发区综合治理中心三级等保测评服务项目公告

根据《中华人民共和国安全生产法》《信息安全等级保护管理办法》（公通字〔2007〕43 号） 《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）等法律法规，以及《江苏省网络安全等级保护工作管理办法》最新要求，开展三级等保测评服务项目，现就本项目服务采购进行市场询价调研。

一、采购内容：

（一）测评依据
按照网络安全等级保护3.0标准开展本次等保测评工作，测评的指标、内容及其程序需严格执行如下规范要求：
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息系统安全保护等级定级指南》（GB/T 22240-2008）
《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）
《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）
《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）
《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018）
《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）
《信息系统安全管理测评》（GA/T 713-2007）
《信息安全等级保护等级测评实施细则》
《信息安全风险评估规范》（GB/T 20984-2007）
《信息安全风险管理指南》（GB/Z 24364-2009）
《信息安全管理体系要求》（GB/T 22080-2008）
《信息安全管理实用规则》（GB/T 22081-2008）
《信息系统安全管理要求》（GB/T 20269-2006）
《信息安全事件分类分级指南》（GB/Z 20986-2007）
《信息安全事件管理指南》（GB/Z 20985-2007）
《信息系统灾难恢复规范》（GB/T 20988-2007）
《信息安全应急响应计划规范》（GB/T 24363-2009）

（二）测评内容：
等保测评覆盖安全技术测评和安全管理测评两大类10个方面。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等5个层面上的安全控制测评；安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等5个方面的安全控制测评。
根据国家对网络安全等级保护工作的相关法律和技术标准要求，结合本项目的系统保护等级开展实施与之相应的检查工作，具体检查内容应包括：

（1）安全物理环境
测评内容主要包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

（2）安全通信网络