响应技术资料表.docx

响应技术资料表请根据所响应的实际情况，逐条对应本项目附件1"采购需求-览表”中的内容及要求详细填写相应的具体内容。"偏离说明"一栏选择“正偏离"、"负偏离”或"无偏离”进行填写。分项(有分项时填写)采购文件需求响应文件承诺偏离说明项目名称采购内容及要求服务名称所提供服务的内容1南宁中心血站网络安全等级保护测评服务一、总的要求依据信息安全技术网络安全等级保护基本要求(GB/T22239-2019)对南宁中心血站采供血信息管理系统(三级)及南宁中心血站门户网站(二级)开展网络安全等级保护测评工作，并出具网络安全等级保护测评报告。二、标准依据计算机信息系统安全保护等级划分准则(GB17859-1999)信息安全技术网络安全等级保护基本要求(GB/T22239-2019)信息安全技术网络安全等级保护测评要求(GB/T28448-2019)信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018)信息安全技术网络安全等级保护安全设计技术要求(GB/T25070-2019)信息安全技术网络安全等级保护测试评估技术指南(GB/T36627-2018)三、测评内容1、安全通用要求(1)安全通用要求测评内容应包括安全技术和安全管理两大类，其中南宁中心血站网络安全等级保护测评服务请填入贵单位响应的内容。正偏离(负偏离或无偏离)技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方而的测评，安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。2、安全扩展要求（1）应用了不同新技术的安全保护对象处于不同的应用场景中，面临不同的安全威胁，因此会有不同的安全需求，如本项目执行时发现等级保护对象涉及测评标准安全扩展要求（云计算、移动互联网、物联网、大数据、工业控制）方面内容的，则根据实际情况选定适用的安全扩展要求测评内容开展本项目测评工作。C2）该保护对象涉及的安全扩展要求包括：移动互联，移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。四、测评方法（D在测评实施过程中，应采用访谈、检查和测试、渗透测试等测评方法进行，并与国家相关规范及标准的要求相符。（2）访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程；（3）检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程；（4）测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程：（5）渗透测试是模拟黑客的攻击方法，对受保护对象的应用系统、主机、网络进行攻击，从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。五、服务成果测评完成后，出具符合国家等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。分项（有分项时填写）注：表格内容均需按要求填写并盖章，不得留空，否则按无效响应处理。当响应文件的内容低于附件1采购需求一览表”要求时，供应商应当如实写明"负偏离"，否则视为虚假响应。供应商（盖单位公章）：法定代表人或其委托代理人（签字或盖章）: