****2024年度网络安全等保测评服务项目采购
****2024年度网络安全等保测评服务项目采购。
项目预算(人民币):12.5万元。
二、项目工期要求
本项目服务期限为自合同签订之日起至完成等保测评服务止,最长不得超过30天。
三、采购内容
(一)总体目标
根据《****小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》等文件要求,深入分析****(以下称采购人)信息化系统的管理制度、网络、安全状况,明晰所有安全管理需求;对系统的网络架构进行业务影响分析及网络安全管理工作进行梳理,全面完成信息系统等级保护定级备案及安全测评与评估工作,提高整体网络的安全保障与运维能力,减少信息安全风险,降低信息安全事件发生的概率,全面提高网络层面的安全性,构建整体信息安全架构,确保采购人信息系统高效稳定运行。
(二)测评范围与对象
本项目范围为对采购人三级等保系统按照等级保护要求进行评级备案与安全测评。具体系统名称与定级情况如下:
序号 | 系统 | 系统安全等级 |
1 | 监管改造信息系统 | 三级 |
2 | 监狱网站系统 | 二级 |
3 | 服刑人员诉求管理系统 | 二级 |
(三)主要内容
本项目主要分为两步开展实施。第一步,对采购人系统进行定级和备案。第二步,对采购人系统严格按照国家有关规定进行等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等)。本项目所指安全测评主要是进行差距测评,即针对采购人信息系统定级备案系统执行符合国家标准的安全测评,交付差距测评报告以及差距测评整改方案,差距整改完毕后协助完成系统配置方面的整改。
(四)测评流程与方法
1.测评流程
等级保护测评实施过程应该包话测评准备、方案编制、现场测评、分析与报告编制四个阶段。四个阶段应该严格按照信息安全等级保护规范展开,有合理、详尽的:项目计划、人员投入、阶段里程碑、交付物等。流程及相关内容,须由具备信息系统安全专业资格,相关项目管理资格与经验的人员,组织、制定、监管执行、落实到位。
2.测评的方法
在等级保护测评过程当中,需要采用工具测试、配置检查、实地查看等测评方法。测评方法的实施,应该严格按照信息系统等级保护的相关指引与规程进行。有严谨的测评方法计划与实施记录。并要求仅限于具备相应资格、项目经验的人员,予以操作。
(1)工具测试
利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。
(2)配置检查利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置 的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。
(3)实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方 面的安全情况,测评其是否达到了相应等级的安全要求。
(五)测评依据及参考标准
1. GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
2. GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
3. GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
4. GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
5. GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》
四、供应商服务要求
1.资格要求
(1)具有独立承担民事责任的能力:在中华人民**国境内注册的法人或其他组织或自然人,投标(响应)时提交有效的营业执照(或事业法人登记证或身份证等相关证明)副本复印件。分支机构投标的,****公司营业执照副本复印件,总公司出具给分支机构的授权书。
(2)参加采购活动前3年内,在经营活动中没有重大违法记录:在经营活动中没有重大违法记录。重大违法记录,是指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚(较大数额罚款按照发出行政处罚决****政府,或实行垂直领导的国务院有关行政主管部门制定的较大数额罚款标准,或罚款决定之前需要举行听证会的金额标准来认定)。
(3)供应商未被列入“信用中国”网站(www.****.cn)“记录失信被执行人或重大税收违法案件当事人名单”记录名单;****政府采购网(www.****.cn)“政府采购严重违法失信行为信息记录”****政府采购活动期间。(以采购代理机构于投标(响应)截止时间当天在“信用中国”网站(www.****.cn****政府采购网(http://www.****.cn/)查询结果为准,如相关失信记录已失效,供应商需提供相关证明资料)。
(4)单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目(或采购包)投标(响应)。供应商未参加本项目的除整体设计、规范编制或者项目管理、监理、检测等服务以外的其它采购活动。
2.供应商应需具有资质证书:
(1)中国****委员会(CNAS)颁发的检验机构认可证书
(2)省级以上(含省、自治区、直辖市)质量监督部门颁发的检验检测机构资质认定证书(CMA)
(3)中国网****认证中心CCRC信息安全风险评估资质一级
(4)中国网****认证中心CCRC信息安全应急处理服务资质二级
(5)国家信息安全漏洞库(CNNVD)技术支撑单位等级证书
(6)CNCERT省级网络安全应急服务支撑单位证书
(7****测评中心的信息安全服务安全工程类一级资质
(8)具有自主研发的等保测评评估服务工具,需提供著作权证明和产品登记证明原件。
(9)供应商需具****超市资格,******局网警办进行备案。
3.服务人员要求
(1)供应商必须保证从事本项目工作的相关人员具备完成合同规定的工作所需的资历和技能,并向采购人如实提供相关人员专业经验和水平的证明材料。
(2)供应商需要成立不少于5人的项目服务团队,供应商为本项目配备的项******部****评估中心颁发的信息安全等级保护高级测评师、**部****评估中心颁发的重要信息系统保护人员(CIIPT)证书、****中心颁发的注册信息安全专业人员(CISP)证书、ISACA认证中心颁发的国际信息系统审计师(CISA)证书。
本项目配******部****评估中心或中关村信息安全测评联盟颁发的信息安全等级测评师证书、****测评中心颁发的注册信息安全专业人员(CISP)证书、中国网****认证中心颁发的信息安全保障人员认证(CISAW)证书。均需提供资格证书证明材料及近半年内人员在本单位购买社保证明。
(3)投标人须承诺,投标人需对项目参与人员事先进行人员背景调查,签订安全保密协议等。
(4)投标人须承诺,如在项目实际执行过程中发生项目经理不能按采购文件要求胜任相关工作的,采购人有权要求更换项目经理,投标人须在两周内调整为符合采购文件要求且能胜任相关工作的项目经理并到位开展工作,否则采购人有权****管理部门进行处理。投标人承诺的项目经理和开发实施的主要人员未经用户同意不得调整;投标人如中途更换项目经理和主要开发技术人员,应征得用户同意,否则采购人有权终止合同。
(5)服务商应指派固定的团队为本项目提供专业服务。如须调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
4.文档管理要求
投标人应在项目完成时,将本项目所有文档、资料汇集成册交付给采购人,所有文件要求用中文书写或有完整的中文注释。验收后,投标人按国家、省以及采购人档案管理要求,向采购人提供装订成册的纸质文档至少1套,电子文档1套。
5.质量保证要求
为保证本项目能按时高质的顺利完成,规避项目风险或将风险降至最低程度,投标人应建立项目质量管理体系,包括但不限于质量目标、质量指标、岗位责任、问题处理计划、质量评价、整改完善等内容。
6.等保测评交付成果要求
针对监管改造信息系统(三级)、监狱网站系统(二级)和服刑人员诉求管理系统(二级)出具等保测评报告,以及项目实施计划、资产调研资料、测评方案、管理结果记录单、技术结果记录单、状态确认单等过程材料。根据测试结果和问题清单,提供详细的整改方案,提交的《网络安全等级保护等级测评报告》******局网警办的认可。包括但不限于如下:
(1)对系统现状进行等级保护差距测评,形成整改建议。
(2)对整改后的信息系统进行等保测评。
(3)本项目完成后交付成果应包括《网络安全等级保护等级测评报告》
五、递交材料要求
参与本次报名的单位必须提供以下资料:
1.法定代表人证明书及法人授权委托书原件(由法定代表人签名或盖私章);
2.法定代表人或被授权人身份证原件和复印件;
3.营业执照副本复印件;
4.资质证书复印件;
5.报价表
备注:复印件须加盖单位公章。
六、选定原则
报名单位在全面响应采购需求的情况下,由监狱组织相关人员结合报名单位提供的报价资料、相关资质和服务等内容综合选取。
七、付款方式
1.本项目经采购人验收通过后10个工作日内,拟支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动支付流程,支付合同总金额100%。
2.按实际实施项目单独结算,未予实施项目不予结算。
八、报名时间
(一)请各相关供应商于2024年6月26日上午17时00分前将以下材料密封递交至********办公室;
(二)联系人:钟先生 联系电话:0751-****483