**政府采购智慧云平台电子卖场
定点议价采购公告
****采用定点采购议价方式实施本次采购。
(一)项目名称:****信息技术服务(**集采)定点采购
(二)项目编号:****
(三)预算金额:80,000.00
(四)采购需求:
1 | 服务内容:网格安全等级保护测评 需求详细说明:查看附件 | ****削坡建房信息管理 系统网络安全等级保护测评服务项目 采购需求 一、投标供应商资格 1.投标人须是具有独立承担民事责任能力的,在中华人民**国境内注册的法人(不接受联合体投标,须提交企业法人《营业执照》副本或注册登记证书副本复印件) 2.******部第三研究所颁发的《网络安全等级测评与检测评估机构服务机构服务认证证书》(提供证书复印件); 3.投标人具备《政府采购法》第二十二条所规定的条件; 4.本采购项目不接受联合体投标。 二、采购需求 (一)项目背景 随着信息化进程的全面加快,《网络安全法》自2017年6月1日起开始实行,网络安全等保护2.0的相关标准2019年开始宣贯和推行,信息化的程度越来越高也渐渐融合到****内部的各项核心业务中,削坡建房信息管理系统已经成为****业务工作正常开展必不可少的组成部分。 为全面贯彻落实国家《网络安全法》对于网络安全等级保护制度的相关规定, 以及**部对信息系统等级保护工作的要求,****结合内部实际情况,依据国家网络安全等级保护相关规范与标准的要求,对****削坡建房信息管理系统进行定级备案、差距测评、验收测评。通过统一的网络安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护,并对等级保护工作的实施进行监督、管理,使落实网络安全等级保护工作后的系统网络安全防御能力得到提升,并且符合国家网络安全等级保护验收要求。 (二)项目目标 以等级保护标准要求为依据,选择一家测评机构对****削坡建房信息管理系统进行定级备案、差距测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式,分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析列表;并为确立安全策略、制**全规划、开展安全建设提供决策建议;协助****完成削坡建房信息管理系统网络安全等级保护验收测评工作,提交验收测评报告;使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。 具体目标如下: (1)依据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GBT22239-2019《信息安全技术网络安全等级保护基本要求》以及GB/T28448-2019《信息安全技术网络安全等级保护测评要求》的要求,对需定级的系统进行等级保护基本要求符合性的调查,采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析报告; (2)依据信息系统安全保护等级所应达到的防护要求,结合信息系统等级保护差距分析结果,对在技术、管理层面不符合等级保护标准要求的环节,采取适当的纠正措施,以达到等级保护基本要求为目的,设计信息系统等级保护体系建设方案,为后续信息系统的网络安全等级保护安全建设提供依据; (3)依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题,确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求,能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量**(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要**损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在第一时间恢复部分功能。 (三)项目依据 □《网络安全等级保护管理办法》 (公通字[2007]43号) □《网络安全等级保护安全建设整改工作指导意见》 (公信安[2009]1429号) □《****小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) □《关于网络安全等级保护工作的实施意见》 2004年9月四部委局联合签发的 □《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号) □《**省深化网络安全等级保护工作方案》 (粤公通字[2009]45号) □《信息安全技术 信息系统安全等级保护定级指南》 (GB/T 22240-2020) □《信息安全技术网络安全等级保护测评要求》GB/T28448-2019 □《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019) □《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019) (四)测评对象 本项目需测评的信息系统清单: 序号 需测评系统的名称 对应等级 1 削坡建房信息管理系统 三级 (五)服务内容要求 1、差距测评 差距测评包括两个方面的内容:一是安全控制测评,主要测评网络安全等级保护要求的基本安全控制在系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。 2、验收测评 ****委托具备资质的机构进行网络安全等级保护验收测评工作,并按照等保2.0的相关要求出具验收测评报告,最后协助****进行测评报告备案工作,提交验收测评报告到当地**等级保护部门,完成报告备案工作。 (六)测评要求 按照等保2.0的相关要求对信息系统安全等级保护状况进行测试评估,包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。 安全通用要求规定了不管等级保护对象形态如何必须满足的要求,评单元分为安全技术测评和安全管理测评两大类,技术要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心;管理要求包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。 云计算拓展要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理。 移动互联网拓展要求包括:安全物理环境、安全区域边界、安全计算环境、安全建设管理。 物联网安全拓展要求包括:安全物理环境、安全区域边界、安全建设管理。 工业控制系统安全拓展要求包括:安全物理环境、网络通信网络、安全区域边界、安全计算环境。 (七)测评内容 1、安全通用要求 安全物理环境 □测评内容:被测信息系统应对重要的物理安全设置,如物理位置选择、物理范围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应电磁防护等做必要配置。 □测试方法:访谈、检查。 安全通信网络 □测评内容:被测信息系统对通信网络安全进行设置,如网络架构、通信传输、可信验证等做必要的配置。 □测试方法:访谈、检查。 安全区域边界 □测评内容:被测信息系统网络边界进行安全配置,如边界防护、访问控制、入侵范围、恶意代码防范、安全审计、可信验证等做必要的配置。 □测试方法:访谈、检查。 安全计算环境 □测评内容:被测信息系统安全计算环境进行安全配置,如身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等做必要的配置。 □测试方法:访谈、检查。 ****中心 □测评内容:被****管理中心进行安全配置和管理,如系统管理、审计管理等做必要的配置 □测试方法:访谈、检查。 安全管理制度 □测评内容:被测系统运营单位的管理制度、制定和发布、修订和评审进行管理和落实情况。 □测评方法:访谈、检查。 安全管理机构 □测评内容:被测系统运营单位的岗位设置、人员配备、授权和审批、沟通与**、审核和检查的管理和落实情况。 □测评方法:访谈、检查。 安全管理人员 □测评内容:被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的管理和落实情况。 □测评方法:访谈、检查。 安全建设管理 □测评内容:被测系统运营单位的系统定级和备案情况、安全方案设计、产品采购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择管理和落实情况 □测评方法:访谈、检查。 系统运维管理 □测评内容:被测系统运营单位在环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理、外包运维管理方面的管理和落实情况。 □测评方法:访谈、检查。 2、云计算拓展要求 安全物理环境 □测评内容:被测系统的基础设施位置选择。 □测评方法:访谈、检查。 安全边界区域 □测评内容:对云计算环境访问控制、入侵防范、安全审计进行安全配置。 □测评方法:访谈、检查。 安全计算环境 □测评内容:对安全计算环境的访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护进行安全配置。 □测评方法:访谈、检查。 安全建设管理 □测评内容:对云计算环境的云服务商选择、供应链管理方面的落实情况。 □测评方法:访谈、检查。 安全运维管理 □测评内容:云计算环境管理是否符合国家相关规定 □测评方法:访谈、检查。 3、移动互联网拓展要求 安全物理环境 □测评内容:被测系统的无线接入点的位置选择。 □测评方法:访谈、检查。 安全区域边界 □测评内容:对移动互联网的边界防护、访问控制、入侵防范进行安全配置。 □测评方法:访谈、检查。 安全计算环境 □测评内容:对移动互联网的移动应用管控进行安全配置。 □测评方法:访谈、检查。 安全建设管理 □测评内容:对移动互联网的移动应用软件采购、移动应用开发和安全合理管理 □测评方法:访谈、检查。 4、物联网安全拓展要求 安全物理环境 □测评内容:被测系统的感知节点设备物理防护合理。 □测评方法:访谈、检查。 安全区域边界 □测评内容:对物联网系统的接入控制、入侵防范进行安全配置。 □测评方法:访谈、检查。 安全运维管理 □测评内容:对物联网的感知节点进行安全合理管理。 □测评方法:访谈、检查。 5、工业控制系统安全拓展要求 安全物理环境 □测评内容:被测工业控制系统的室外控制设备物理防护措施合理。 □测评方法:访谈、检查。 安全通信网络 □测评内容:被测工业控制系统的网络架构、通信传输进行安全配置。 □测评方法:访谈、检查。 安全区域边界 □测评内容:对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安全配置。 □测评方法:访谈、检查。 安全计算环境 □测评内容:对工业控制系统的控制设备进行安全控制。 □测评方法:访谈、检查。 安全建设管理 □测评内容:对工业控制系统的产品采购和使用、外包软件开发进行安全合理管理。 □测评方法:访谈、检查。 (八)测评方法与工具要求 1、测评方法 (1)人员访谈 与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。 (2)配置检查 利用上机验证的方式检查主机操作系统、数据库、网络设备、安全设备、应用系统等配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。 (3)文档审查 检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。 (4)实地查看 通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。 2、工具和测试 (1)测评工具 在网络安全等级保护测评过程中使用的测评工具严格遵循可控性原则,即所有使用到的测评工具将事先提交给系统管理员检查和确认没问题,并在认可的范围之内进行使用。 投标人所用的评测工具应达到以下要求: 1.有原厂出具的针对该项目等级保护工具箱的使用授权; 2.等级保护工具箱支持一键导入功能,将检查工具集检测结果自动导入到工具平台; 3.等级保护工具箱配备U盘安全检查工具集(支持Windows、Linux安全配置检查、主机病毒/木马、网站恶意代码检查、弱口令、系统漏洞检查); 4.等级保护工具箱支持等级保护2.0/云计算/大数据/物联网/移动互联风/工业控制安全检查任务。 (2)工具测试 利用技术工具(漏洞扫描工具、渗透测试工具)对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透测试、性能测试等。 (九)项目实施要求 1. 实施要求 (1)投标人必须具备独立完成本项目的能力; (2)投标人提供的资格、资质等证明文件应真实有效; (3)投标人应对了解到的信息保密,并提供保密承诺; (4)投标人应在项目现场实施周期内,中标方必须为本项目****小组,安排包括项目经理和核心技术人员的现场驻场服务,所需电脑等设备自行提供; (5)在****进行整改过程中提供必要的技术支持; (6)能按照****规定的工作内容及进度安排协助完成等级保护工作; (7)项目必须按照国家网络安全等级保护的标准要求开展。 (8)优先选择项目经理具有以下资质的团队: a)具****保障部门颁发的高级信息系统项目管理师证书; b******部****评估中心颁发的中级或以上信息安全等级测评师证书; c)具有中国网****认证中心颁发的CISAW风险管理专业人士证书; d)具有中国网****认证中心颁发的CISAW应急处理专业人士证书; e)具有PMP 项目管理专业人员资格认证证书; f)****测评中心颁发的注册信息安全专业人员证书(即 CISP 证书)资格证书; g)****测评中心颁发的注册渗透测试工程师证书(即 CISP-PTE证书)资格证书; h)具有GooAnn网络渗透与深度防御实战培训GooAnn黑客攻防培训结业证书; i)具有**省网络安全等级保护专家聘书; j)具有中国网****认证中心颁发的CCRC-DSO数据安全官证书; k)具有中国网****认证中心颁发的CCRC-DSA数据安全评估师证书; l)具有中国网****认证中心颁发的CCRC-PIPP个人信息保护专业人员证书。 (十)其它要求 1、安全调查和测评的过程中,投标方如需招标方人员配合,投标方需要详细描述需要配合的内容。如需要招标方人员协助完成各种表单,需要详细描述表单的名称、功能及主要表项等等,并由投标方给出具体示例。招标方有权利拒绝提供任何未事先提出的配合要求,由此产生的损失由投标方负全责; 2、本项目中可能需要的硬件平台(如笔记本电脑、PC、工作站等)均由中标方提供,招标方将按照相关要求对设备进行必要的处理。投标方在服务期间未经招标方许可不得将设备带离招标方指定场所,也不得使用任何未经招标方确认的存储设备对测评数据进行复制; 3、投标方需要给出招标方在进行调查和测评时所需要提供的信息列表。经招标方确认后提供给投标方。招标方有权利拒绝提供任何信息列表以外的招标方资产信息; 4、安全测评应按照分层的原则,包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等; 5、投标方应提供本项目的测评方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法; 6、实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中,如需使用安全工具,请在实施方案中详细描述所使用的安全工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境**台的要求等; 7、投标方应详细描述安全调查和测评的组织方式,包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。 (十一)付款方式 1、合同签订后,在10个工作日内甲方支付合同总金额的50%; 2、中标人完成2024、2025年两年度信息系统定级、备案、测评工作,提交定级备案材料、系统测评存在问题清单后,并且备案通过取得备案回执后,在10个工作日内甲方支付合同总金额的50%; 3、每笔款项支付时,乙方同时向甲方提供相应金额的正式发票; 4、本合同以人民币进行结算。 (十二)验收要求 1、乙方完成信息系统测评工作后,提交差距测评存在问题清单,本项目表示初步验收; 2、乙方完成信息系统2024、2025两年度验收性测评工作后,提交验收性测评报告,递交**部门进行备案,并且备案通过,取得备案回执后,本项目表示最终验收。 | 1 | 80,000 | 项 |
1 | 1、乙方完成信息系统测评工作后,提交差距测评存在问题清单,本项目表示初步验收; 2、乙方完成信息系统2024、2025两年度验收性测评工作后,提交验收性测评报告,递交**部门进行备案,并且备案通过,取得备案回执后,本项目表示最终验收。 |
(五)议价发起时间:2024年07月30日
(六) 本项目采用的是按项目的报价方式。
合同份数:4
争议处理方式:向采购****委员会申请仲裁解决
发票类型:增值税普通发票
(一)供应商应具备《****政府采购法》第二十二条规定的条件,并对如下条件的真实性负责:1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5****政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。
(二)被邀请的供应商应根据议价信息的要求,在满足采购需求的前提下,于规定时间内对项目做出报价。
(三)供应商应在报价时,可通过系统提供采购需求中所要求的全部资料与数据的,应当通过系统提交。供应商不得在所上传的附件中填写项目报价信息,如系统报价与附件材料不一致,则附件报价无效,以系统报价为准。
(四)供应商应认真核对报价信息,确保符合采购需求,并对其真实性负责。若与实际不符,一经查实,将视为弄虚作假,当次报价无效,并按政府采购相关规定给予处理。
(一)报价规则。
(1)供应商的报价应是总价。
(2)供应商的报价不得高于最高限价。
(二)成交规则、终止规则。
(1)成交规则:采购人接受供应商报价的,议价成交。
(2)终止规则:在定点议价公告期间,采购人因故取消采购任务;或者采购人不接受供应商报价的,议价终止。
联系方式:张红 ****6730
采购单位:****
2024年07月30日