各网络安全等级保护测评机构:
为了提高我单位安全防护水平,依据《中华人民**国网络安全法》、《******厅关于进一步加强信息安全等级保护工作的通知》(琼等保办[2013]2号文)等文件的要求,我单位拟依据“等保2.0”标准,****政法委****中心系统等7个系统开展网络安全等级保护测评,现拟采用自行公开询价比选方式确定一家等级保护测评机构,欢迎合格的等级保护测评机构报名参与。
一、项目概况
项目名称:网络安全等级保护测评服务项目
被测评系统名称:
1.****政法委****中心系统
2.综治专项业务应用系统(整合)
3.综治视频共享系统
4.视频大数据分析系统
5.**政法网站
6.**社戒社康人员精准服务管控平台
7.智慧政法专网
服务内容:依据《网络安全等级保护基本要求》,对被测系统按等保三级要求进行安全防护措施合规性检查,并出具《网络安全等级保护测评报告》及提出具有针对性的整改建议,配合我单位进行安全整改,并协助我单位完成信息系统安全保护的备案工作;
服务地点:**市;
服务工期:60工作日;
项目预算:52.5万元,高于价无效。
二、投标供应商资格要求
(一)在中华人民**国注册的、具有独立承担民事责任能力的法人;具有良好的商业信誉和健全的财务会计制度;有依法缴纳税收和社会保障资金的良好记录;
****政府采购活动前三年内,在经营活动中没有重大违法记录;未被列入信用中国网站(www.****.cn)的“失信被执行人”、“重大税收违法案件当事人名单”、“政府采购严重违法失信名单”****政府采购网(www.****.cn)的“政府采购严重违法失信行为记录名单”的供应商;
(三)具有国家网络安全****小组办公室颁发的网络安全等级保护测评机构推荐证书;
(四)本项目不接受联合体投标。
三、报价文件组成
(一)社会统一信用代码证复印件;
(二)报价单位法人代表授权委托书及法人代表身份证复印件;
(三)单位简介;
(四)相关资质证书复印件;
(五)近三年内无重大违法经营活动承诺书;
(六)信用中国网站、中国政府采购网等信用查询结果;
(七)2023年连续三个月的纳税及社保缴纳证明;
(八)近三年完成的与本项目建设内容类似的项目清单;
(九)等保测评服务方案;
以上材料均需加盖本单位公章,装订成册。报价函需用信封单独密封。报价材料不符合上述要求或报价总金额超过预算数,视为无效报价。
四、公示、递交材料及公示
公示时间:2023年9月14日-9月20日
报送时间:2023年9月14日-9月20日工作时间
报送地点:**市国兴大道69****广场6号楼408室
联系电话:191****7034 王干事
附件:采购需求说明
****委员会
2023年9月14日
附件
采购需求说明
一、项目名称
信息系统安全等级保护测评服务
二、项目背景
依据《信息安全等级保护管理办法》(公通字[2007]43号)、《**省深化信息安全等级保护工作方案》(琼等保办[2010]3号)和《**省信息化条例》文件的要求规定和建议,需委托具备资质的等保测评机构,对信息系统进行等级测评,以确保信息系统是否在符合相对应的信息安全等级下运行。招标****省委政法委员会信息系统开展信息安全等级保护测评工作,通过本次招标聘请具备相关资质的单位提供测评及相关支持服务。
三、项目内容
通过委托专业信息安全等级测评服务机构,根据《信息系统安全等级保护实施指南》、“网络安全等级保护2.0”标准等相关文件及标准要求,针对正在运行的信息系统实施信息安全等级保护测评,明细如下:
四、服务实施
(一)服务目标
通过信息安全等级保护测评服务,对本单位运行的信息系统开展符合性测评,衡量信息系统的安全保护管理措施和技术防护措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。找出问题,针对性的制定整改措施,推进信息安全防护体系不断完善。
(二)测评依据
项目主要依据但不限于以下相关的法规政策、标准及规范:
1. 《中华人民**国网络安全法》****人大常委会2016年11月7日通过,自2017年6月1日起施行。)
2. 《**省信息化管理条例》****人大常委会2013年9月25日通过,自2013年11月1日起施行。)
3. 《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
4. 《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
5. 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
6. 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
7. 《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
8. 《信息技术 安全技术 信息技术安全评估准则》(GB/T 18336.2-2015)
9. 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
10. 《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)
11. 《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)
12. ……
(三)实施团队要求
投标人在投标文件中应提供完整的测评实施团队名单及职责分工,所有人员必须属于投标单位在册员工(以社保缴纳证明为认定依据)。实施测评工作的******部****评估中心颁发的《信息安全等级测评师证书》。测评实施团队名单中所列人员的社保缴纳证明和《信息安全等级测评师证书》复印件须在投标文件中提供,并加盖公章。
(四)服务内容
服务期内,投标人须向招标人提供以下服务。
1.等级保护咨询服务
1)等级保护政策/标准咨询
随着国家信息安全等级保护的推进工作,信息安全等级保护政策、法律法规和标准体系也会相应的发布和更新,投标人应针对本项目设立信息安全等级保护咨询平台,明确较为固定的咨询服务人员,并根据咨询要求提供正式的答复资料和文档。咨询内容包括但不限于信息安全等级保护国内外发展动态、等级保护政策、法律法规和标准体系咨询服务。
2)信息系统等级变更咨询
在信息系统出现等级变更时,投标人须协助招标人对信息系统进行分析,明确信息系统边界和定级对象,对信息系统的子系统进行划分,确定信息系统以及子系统的安全等级。
3)等级保护建设整改咨询
按照信息系统安全总体方案要求,投标人须结合信息系统安全建设项目计划,根据信息安全等级保护相关标准和规定,对招标人等级保护建设整改工作提供全面的安全方案的详细设计咨询,结合招标人的实际情况,协助招标人进行分布或分期地落实安全技术与管理措施,并根据预期实现的安全目标,全程提供在**全设备和系统的测试、验收工作等咨询服务。
4)信息系统安全检查咨询
在招标人开展信息系统安全检查时,全程提供咨询服务,包括检查范围、检查方法、检查结果分析以及整改措施制定等。
5)等级保护测评咨询
测评过程中,投标人应协助用户单位参照《信息系统安全等级保护测评要求》中评估内容和方法,对测评过程中所涉及到的评估项及测评过程中所编制相关表格、填写项提供全程咨询服务,确保测评工作的顺利开展。
2.等级保护测评服务
依据《信息系统安全等级保护基本要求》,对招标人各信息系统的安全技术体系和安全管理体系等进行合规性检查,出具《信息系统安全等级保护测评报告》,并提出具有针对性的整改建议。
1)测评内容
(1)对本单位已备案信息系统进行摸底、分析和梳理,提出详细的等保测评方案。
(2)逐一对信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
① 安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据备份及恢复等五个方面的安全测评;
② 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)完成测评工作后,提出整改建议;******部门要求的信息系统安全保护等级测评报告,并在后期整改实施过程中提供全程咨询服务。
2)测评实施
信息安全测评项目过程需按照《信息系统安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
(1)测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。详细要求见下表:
(2)方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。详细要求见下表:
(3)现场测评活动
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。详细要求见下表:
(4)报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。详细要求见下表:
(五)服务要求
1.等级保护测评服务。按照**部制订的信息系统安全等级测评报告格式编制等级测评报告,报告中必须明确相应信息系统是否满足等级保护要求。
2.整改方案编制
投标人需根据测评结果,应针对性的提出整改建议方案。整改建议方案应具有可操作性,符合招标人实际情况,且能够切实解决问题。
整改建议方案应明确设计依据、整改内容、整改方案、能够解决的问题、投资概算以及风险评估。
在整改实施过程中,投标人应全力支持,负责技术把关、整改验收以及其他咨询工作。
3.交付成果和报告
中标方需在60工作日内交付成果和报告,包括(但不限于以下内容):
**政法网站、**社戒社康人员精准服务管控平台、****政法委****中心系统、综治专项业务应用系统、综治视频共享系统、视频大数据分析系统、智慧政法专网的《等级测评报告》和《等级保护安全整改建议方案》。
提供测评过程相关文件,包括调研表、技术测评记录、会议纪要等
4.服务验收标准
服务通过验收须满足以下所有条件:
1)完成信息系统测评,并出具《测评报告》;
2)针对性的制定整改方案,并出具《整改建议方案》;
3)针对性的制**全制度,并出具《安全管理制度》;
4)提交调研表、技术测评记录、会议纪要等服务过程材料;
5******部门提出的信息安全等级保护测评相关要求。
五、售后服务及其它要求
投标人必须提供详细的技术支持和服务方案,技术支持和服务方案包括(但不限于):
(1)如在测评中出现不符合项,中标人需要提供相应的整改建议及相关方案。对于测评中发现的主机和网络设备漏洞,投标方应提供项目验收后一年的跟踪服务,对本次评估范围内的问题提供远程技术咨询,对于漏洞的修补、问题的排除给出建议和指导,自项目验收通过之日起计算。
(2)提供及时有效的售后服务,中标人在本地有服务机构或承诺如果中标则在**省设置有不少2名技术人员的售后服务技术支持团队,并承诺提供的售后保障计划应包含7*24小时的技术支持服务,重大活动期间提供现场的技术支持服务,针对突发应急事件提供2小时内到现场处置的服务响应保障,问题解决后24小时内,提交问题处理报告,说明问题种类、问题原因、问题解决中使用的方法及造成的损失等情况。提供承诺函。