昆明市公安局交通警察支队关于购买电动车管理系统（昆明市电动自行车管理系统）安全等级保护测评服务的计划

为推进实施两个规划市级示范工作，根据昆明市财政局印发的《昆明市市本级2018年政府购买服务指导性目录》（昆财非税[2018]170号）文件精神，昆明市公安局交通警察支队拟采用政府购买服务的方式，开展“电动车管理系统（昆明市电动自行车管理系统）”安全等级保护测评服务购买工作，编制购买服务计划如下：

一、  项目名称

电动车管理系统（昆明市电动自行车管理系统）安全等级保护测评（目录名称及编码：政府委托的其他评估服务，E1006）

二、  购买主体

单位名称：昆明市公安局交通警察支队

三、  主要内容

（一）项目内容：对昆明市公安局交通警察支队电动车管理系统（昆明市电动自行车管理系统）进行安全等级保护测评，并出具初评报告及整改建议报告。具体测评系统如下：

（二）服务期限：自合同签订之日起至测评结束。

（三）测评内容

1.  物理安全测评

物理安全的测评，在实施时主要采取访谈和实地察看以及文档检查，以及检查机房建设文档的方式进行。通过询问昆明市公安局交通警察支队机房在物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的实现情况。再通过实地察看确定这些方面的实现情况与访谈的结果是否一致，以便精确了解信息系统物理安全方面的情况，从而判断物理安全的安全措施是否达到相应等级信息系统应该达到的基本要求。

2.  网络安全测评

网络安全的测评，在实施时主要对信息系统所在的公安网、互联网、视频专网采取访谈、实地查看及配置核查的方式进行，通过询问网络结构、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面的实现情况。再通过检查确定这些方面的实现情况与访谈的结果是否一致，以便精确地了解网络安全方面的情况，从而判断网络安全的安全措施是否达到相应等级信息系统应该达到的基本要求。

3.  主机安全的测评

主机安全的测评，在实施时主要对信息系统的服务器操作系统和数据库采取访谈、配置检查以及工具测试的方式进行，通过询问身份鉴别、访问控制、安全审计等的实现情况。再通过检查确定这些方面的实现情况与访谈的结果是否一致。最后通过使用等级保护工具箱进行测试，通过在不同的位置接入漏洞扫描工具，扫描主机自身的漏洞情况、在同一网段内暴露的漏洞情况、在不同网段内暴露的漏洞情况，以及在互联网上暴露的漏洞情况等。这也在一个侧面反映了信息系统在网络安全方面部署的策略是否真正地起作用。通过这些，从而精确地了解主机安全方面的情况，以判断主机安全的安全措施是否达到相应等级信息系统应该达到的基本要求。

4.  应用安全测评

应用安全的测评，在实施时主要对信息系统采取访谈和检查以及测试的方式进行，通过询问身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面的实现情况。再通过检查确定这些方面的实现情况与访谈的结果是否一致。最后通过使用漏洞扫描工具，通过在不同的位置接入漏洞扫描工具，扫描WEB应用自身的漏洞情况、在同一网段内暴露的漏洞情况、在不同网段内暴露的漏洞情况，以及在互联网上暴露的漏洞情况等。这也在一个侧面反映了信息系统在网络安全方面部署的策略是否真正地起作用。通过这些，从而精确地了解应用安全方面的情况，以判断应用安全的安全措施是否达到相应等级信息系统应该达到的基本要求。

5.  数据安全及备份恢复测评

数据安全就备份恢复的测评，在实施时主要采取访谈和检查的方式进行，通过询问数据完整性、数据保密性、备份与恢复等方面的实现情况。再通过检查确定这些方面的实现情况与访谈的结果是否一致。最后，在网络边界处使用协议分析工具，分析数据流在传输过程中是否进行加密。通过这些，从而精确地了解应用安全方面的情况，以判断应用安全的安全措施是否达到相应等级信息系统应该达到的基本要求。

6.  安全管理制度测评

安全管理制度的测评，在实施时主要对昆明市公安局交通警察支队相关管理制度采取访谈和检查的方式进行，通过询问管理制度、制定与发布、评审与修订等方面的实现情况。再通过检查确定这些方面的实现情况与访谈的结果是否一致，从而精确地了解安全管理制度方面的情况，以判断安全管理制度层面是否达到相应等级信息系统应该达到的基本要求。

7.  安全管理机构测评

安全管理机构的测评，在实施时主要对昆明市公安局交通警察支队负责系统管理的部门采取访谈和检查的方式进行，通过询问岗位设置、人员配备、授权与审批、沟通与合作、审核和检查等方面的实现情况，再通过检查确定这些方面的实现情况与访谈的结果是否一致，从而精确地了解安全管理机构方面的情况，以判断安全管理机构层面是否达到相应等级信息系统应该达到的基本要求。

8.  人员安全管理测评

人员安全管理的测评，在实施时主要对昆明市公安局交通警察支队负责系统管理的人员采取访谈和检查的方式进行，通过询问人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面的实现情况。再通过检查确定这些方面的实现情况与访谈的结果是否一致，从而精确地了解人员安全管理方面的情况，以判断人员安全管理层面是否达到相应等级信息系统应该达到的基本要求。

9.  系统建设管理测评

系统建设管理的测评，在实施时主要对昆明市公安局交通警察支队采取访谈和检查的方式进行，通过询问系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等方面的情况。再通过检查相关文档确定这些方面的实现情况与访谈的结果是否一致，从而精确地了解系统建设管理方面的情况，以判断系统建设管理层面是否达到相应等级信息系统应该达到的基本要求。

10.  系统运维管理测评

系统建设管理的测评，在实施时主要对昆明市公安局交通警察支队采取访谈和检查的方式进行，通过询问环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面的情况。再通过检查相关文档确定这些方面的实现情况与访谈的结果是否一致，从而精确地了解系统运维管理方面的情况，以判断系统运维管理层面是否达到相应等级信息系统应该达到的基本要求。

四、  预算资金

（一）项目资金：4万元。

（二）资金来源：2019年中央和省级政法转移支付资金业务（办案）费电动车管理系统项目资金。

五、  承接标准

1.  供应商必须具有独立法人资格；具备《中华人民共和国政府采购法》第二十二条规定的条件：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术服务团队；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；

（6）法律、行政法规规定的其他条件。

2.  供应商在过去三年中不曾在任何合同中违约或被驱逐，或因供应商自身的原因而导致合同被解除情况；未被列入“信用中国”网站（www.creditchina.gov.cn）失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及中国政府采购网（www.ccgp.gov.cn）“政府采购严重违法失信行为信息记录”。

六、  目标要求

1.  整体评估：针对单项评估结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体评估的具体结果，并对系统结构进行整体安全评估。

2.  风险分析：根据等级保护的相关规范和标准，采用风险分析的方法分析等级评估结果中存在的安全问题可能对信息系统安全造成的影响。

3.  评估报告编制：根据等级评估结论，编制评估报告，包括概述、信息系统描述、评估对象说明、评估指标说明、评估内容和方法说明、单元评估、整体评估、评估结果汇总、风险分析和评价、等级评估结论、整改建议等。

4.  最终交付报告：出具初评报告及整改建议报告。

5.  人员要求：供应商应组成专业的服务团队，并指派一名服务负责人，负责双方之间的联络。所有工作人员上岗前需出具无犯罪记录相关证明材料，劳动合同、身份证复印件和在本公司6个月以上的社保证明（社保局开具），由采购方保存备案，不能出具的人员参与项目测评工作。

七、  购买方式

根据《昆明市人民政府办公厅关于转发云南省2019年政府集中采购目录及标准的通知》（昆政办〔2019〕33号）：“部门集中采购目录之内且单项或批量采购金额在20万元（不含）以下，政府集中采购目录之外且单项或批量采购金额在50万元（不含）以下的项目，不属于政府采购范围，由采购单位按照内控，财务制度执行”的规定，我单位拟按照内控，财务制度执行。

八、  资金支付方式

按照签订购买服务协议内容支付服务费用。

昆明市公安局交通警察支队

科技信息化处

2019年10月21日