【正文】 統(tǒng)邊界描述、網(wǎng)絡(luò)拓撲、設(shè)備部署、支撐的業(yè)務(wù)應(yīng)用的種類和特性、處理的信息資產(chǎn)、用戶的范圍和用戶類型、信息系統(tǒng)的管理框架。信息系統(tǒng)劃分依據(jù)系統(tǒng)識別描述的結(jié)果，在綜合分析的基礎(chǔ)上將組織機構(gòu)內(nèi)運行的信息系統(tǒng)進行合理分解，將信息系統(tǒng)進行劃分出相對獨立的信息系統(tǒng)并作為定級對象。在信息系統(tǒng)劃分的過程中，首先考慮組織管理的要素，然后考慮業(yè)務(wù)類型、物理區(qū)域等要素。對信息系統(tǒng)進行劃分，如涉及到涉密的信息系統(tǒng)則不做等級保護，必須按照保密局的分級保護技術(shù)要求進行分級保護方案設(shè)計，完成設(shè)計后需組織專家組進行評審，其中需要有保密部門專家參加并通過評審。在對信息系統(tǒng)進行劃分并確定定級對象后，在信息系統(tǒng)總體描述文件的基礎(chǔ)上，進一步增加信息系統(tǒng)劃分信息的描述。輸出目標信息系統(tǒng)總體描述文件目標信息系統(tǒng)（子系統(tǒng)）詳細描述文件系統(tǒng)定級信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。首先從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務(wù)信息安全保護等級，然后從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務(wù)安全保護等級，最后將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者確定為定級對象的安全保護等級。輸出 信息系統(tǒng)安全保護等級定級報告定級備案根據(jù)國家管理部門（公安部）對備案的要求，整理相關(guān)備案材料，向受理備案的單位（深圳市公安局）提交備案材料。輸出 定級報告 備案材料二、安全評估階段形成評價指標和評估方案根據(jù)我委各個信息系統(tǒng)的安全保護等級從信息系統(tǒng)安全等級保護基本要求中選擇相應(yīng)等級的指標，形成評價指標。根據(jù)評價指標，結(jié)合確定的具體對象制定可以操作的評估方案，涉密系統(tǒng)根據(jù)《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》進行評估和分析。評估方案可以包含以下內(nèi)容：管理狀況評估表格； 網(wǎng)絡(luò)狀況評估表格；網(wǎng)絡(luò)設(shè)備（含安全設(shè)備）評估表格； 主機設(shè)備評估表格； 主要設(shè)備安全測試方案； 重要操作的作業(yè)指導書。輸出：涉密系統(tǒng)評估方案現(xiàn)狀與評價指標對比——差異分析其中涉密系統(tǒng)參照分級保護要求進行差異分析；非涉密系統(tǒng)參照等級保護要求進行差異分析。通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測試、滲透攻擊等方式進行安全技術(shù)和安全管理方面的評估，判斷安全技術(shù)和安全管理的各個方面與評價指標的符合程度，給出判斷結(jié)論。整理和分析不符合的評價指標，確定信息系統(tǒng)安全保護的基本需求。風險評估 對信息系統(tǒng)重要資產(chǎn)進行風險評估，分析并確定不能接受的安全風險，然后確定額外安全措施并判斷對超出等級保護基本要求部分實施額外安全措施的必要性，提出信息系統(tǒng)的額外安全保護需求。輸出： 風險評估報告不同系統(tǒng)對應(yīng)等級評估報告 安全需求分析報告三、整改、規(guī)劃階段 1總體安全設(shè)計 形成機構(gòu)綱領(lǐng)性的安全策略文件，包括確定安全方針，制定安全策略，以便結(jié)合等級保護基本要求和安全保護特殊要求，構(gòu)建機構(gòu)信息系統(tǒng)的安全技術(shù)體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。針對信息系統(tǒng)的安全需求和信息安全方針策略，規(guī)劃設(shè)計技術(shù)體系，包括技術(shù)防護體系、技術(shù)管控體系和技術(shù)恢復(fù)體系。技術(shù)防護體系技術(shù)防護體系屬于事前保護措施，側(cè)重于預(yù)防保護，由物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全組成起全方位多層次的防御體系。技術(shù)管控體系技術(shù)管控防護體系屬于事中保護措施和全局管控，由評估評測、安全審計、安全監(jiān)控和安全管理組成。技術(shù)恢復(fù)體系技術(shù)恢復(fù)體系屬于事后保護措施，確保能夠從安全事故或災(zāi)難中恢復(fù)過來，由備份系統(tǒng)、容災(zāi)系統(tǒng)和自動恢復(fù)組成規(guī)劃設(shè)計管理體系包括組織體系和制度體系。是根據(jù)等級保護基本要求、安全需求分析報告、機構(gòu)總體安全策略文件等，調(diào)整原有管理模式和管理策略，既從全局高度考慮為每個等級信息系統(tǒng)制定統(tǒng)一的安全管理策略，又從每個信息系統(tǒng)的實際需求出發(fā)，選擇和調(diào)整具體的安全管理措施，最后形成統(tǒng)一的整體安全管理體系結(jié)構(gòu)。輸出相關(guān)安全管理制度信息系統(tǒng)安全保護等級總體方案2安全建設(shè)項目規(guī)劃根據(jù)安全建設(shè)目標和信息系統(tǒng)安全總體方案的要求，設(shè)計分期分批的主要建設(shè)內(nèi)容，并將建設(shè)內(nèi)容組合成不同的項目，闡明項目之間的依賴或促進關(guān)系等，形成安全建設(shè)項目計劃，在時間和經(jīng)費上對安全建設(shè)項目列表進行總體考慮，分到不同的時期和階段，設(shè)計建設(shè)順序，進行投資估算，形成安全建設(shè)項目計劃。輸出信息系統(tǒng)安全建設(shè)項目計劃技術(shù)解決方案設(shè)計 據(jù)建設(shè)目標和建設(shè)內(nèi)容將信息系統(tǒng)安全總體方案中要求實現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔。使得在信息安全產(chǎn)品采購和安全控制開發(fā)階段具有依據(jù)。根據(jù)機構(gòu)當前安全管理需要和安全技術(shù)保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應(yīng)的本期安全實施內(nèi)容，以保證安全技術(shù)建設(shè)的同時，安全管理的同步建設(shè)。輸出信息系統(tǒng)安全保護等級安全詳細設(shè)計方案 投標方需在標書中附輸出文檔模版。應(yīng)急響應(yīng)服務(wù)服務(wù)商應(yīng)建立7x24小時服務(wù)響應(yīng)熱線，在服務(wù)期內(nèi)提供緊急現(xiàn)場服務(wù)。業(yè)主方網(wǎng)絡(luò)應(yīng)用系統(tǒng)如果遇到重大安全事件服務(wù)商技術(shù)人員必須在2小時內(nèi)到達甲方現(xiàn)場，在4小時內(nèi)發(fā)現(xiàn)原因盡快解決，或在4小時內(nèi)提供臨時解決方案并實施。工作結(jié)束后應(yīng)出具安全事件的詳細分析報告及解決方案。并提供不限次數(shù)7x24小時電話咨詢服務(wù)四、項目服務(wù)要求售后服務(wù)內(nèi)容，要求和期限；在一年合同期內(nèi)，中標方需向甲方提供系統(tǒng)安全應(yīng)急響應(yīng)服務(wù)。維護要求；技術(shù)培訓等要求根據(jù)項目實施過程和制定的安全策略和技術(shù)規(guī)范對信息中心及各分支機構(gòu)網(wǎng)絡(luò)/系統(tǒng)管理員進行有針對性地培訓。包括以下培訓： l 系統(tǒng)工作人員培訓。l 各接入單位網(wǎng)絡(luò)及系統(tǒng)管理員培訓。l 提供對用戶計算機安全基礎(chǔ)培訓的材料，并以PPT形式提供。l 應(yīng)用系統(tǒng)等級保護評級方法培訓。五、項目管理要求組織實施要求中標方應(yīng)安排專職的項目經(jīng)理負責本次服務(wù)項目的實施，中標方應(yīng)保證項目團隊成員的穩(wěn)定，以保證服務(wù)的質(zhì)量和連貫性。項目服務(wù)期限要求等級保護服務(wù)在項目啟動后半年內(nèi)完成。應(yīng)急響應(yīng)服務(wù)期限為合同簽訂起一年。項目人員安排要求中標方針對本項目的成員應(yīng)為資深工程師，具有同類項目的工作經(jīng)驗，需提供項目組成員詳細的聯(lián)系方式、安全服務(wù)項目經(jīng)驗。除了項目經(jīng)理外，項目組至少要有3名現(xiàn)場工程師。項目驗收要求l 系統(tǒng)定級報告符合要求，并通過公安部門備案； l 差距分析結(jié)果完整具體，差距分析報告通過專家評審；l 風險評估結(jié)果有效，風險評估報告通過黨政機關(guān)信息安全聯(lián)合檢查相關(guān)內(nèi)容； l 信息安全管理制度齊全有效，內(nèi)容可操作性強，并通過黨政機關(guān)信息安全聯(lián)合檢查相關(guān)內(nèi)容；l 信息安全組織體系被采納執(zhí)行； l 分級保護系統(tǒng)設(shè)計方案通過有保密主管部門專家參加的專家組的評審； l 信息安全技術(shù)體系齊全有效，并通過專家評審； l 信息安全審計有利于持續(xù)提升，并通過專家評審； l 協(xié)助甲方通過公安部門的信息系統(tǒng)等級保護測評； l 項目通過規(guī)劃國土委技術(shù)委員會驗收。專家評審需為相關(guān)部門認可的第三方專家組成的專家組。上述任何一項沒有通過，采購單位可對服務(wù)商處罰合同金額的10%，可以累計處罰，上限是30%。項目付款方式合同簽訂后支付30%，等級保護咨詢工作完成并通過驗收后支付60%，合同一年結(jié)束后支付尾款10%項目其他要求