重要系统信息安全等级保护测评服务技术需求书

重要系统信息安全等级保护测评服务技术需求书.项目背景当前，网络信息技术的持续演进，互联网对整个经济社会发展的融合、渗透、驱动作用日益明显，带来的风险挑战也不断增大从横扫全球的勒索病毒、坏兔子病毒等各类病毒，到从未间断的各类黑客攻击事件，要求我们要时刻保持对网络安全事件的警惕和防范国家癌症中心承担重要信息系统的安全保隙责任，拟开展系统风险评估、等级保护测评等工作，加大业务和数据的安全保障力度，切实维护相关业务系统的安全、稳定和高效运行.项目服务原则

（一）安全保密原则投标人在提供安全服务的过程中，要严格遵守合同规定，执行国家《保密法》及有关保密的法律法规，服务过程中凡是涉及到的任何用户信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损害用户利益

（二）最小影响原则投标人开展的安全服务工作，要尽可能小的影响系统和网络的正常运行，不能对业务的正常运行产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如不可抗力无法避免，应对风险进行说明

（三）规范性原则投标人开展的安全服务工作，要由专业的安全服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，提供完整的服务报告

（四）可控性原则投标人在开展安全服务工作过程中采用的工具、方法和过程要在双方认可的范围之内，保证用户对于服务过程的可控性

（五）质量保障原则投标人开展的安全服务工作需特别重视项目质量管理项目的实施需严格按照项目实施方案和流程进行，并由项目协调小组从中监督、控制项目的进度和质量.具体采购内容对全国抗肿瘤药物临床应用监测网、疑难病诊治能力同质化智慧平台、科研随访平台（软硬件环境）等5个系统开展信息安全等级保护三级测评工作（包括初测和复测）主要交付物《系统等级保护测评报告》《等保测评工作方案》.资质要求1）具备有效的国家网络安全等级保护工作协调小组办公室颁发的“网络安全等级保护测评机构推荐证书”2）具备有效的公安部三所颁发的“网络安全等级测评与检测评估机构服务认证证书”3）实施团队成员至少有3位拥有在有效期内的CISP证书4）具有国家密码管理局颁发的《商用密码应用安全性评估》证明.服务承诺5）在项目实施过程中，应充分尊重甲方需求，采取最小影响原则和规范性原则开展工作6）合同期内对发现的各类问题免费进行整改和技术支持7）测评对象选择和具体实施时间以甲方要求为准。