招标文件
采购需求
Ⅰ、测评需求
第一包:市政府网站集约化平台等重要信息系统测评(最高限价:70万)
(一)项目简介
为深入贯彻落实习近平总书记关于网络安全工作的重要指示精神,根据《中华人民共和国网络安全法》、《信息系统安全等级保护管理办法》以及《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件要求,须对六安市政务云数据中心内市政府网站集约化平台等重要信息系统及网络开展等级保护测评工作。
(二)测评目的
进一步提高六安市政务云数据中心的整体安全防护水平,按照国家信息安全等级保护制度的要求,依托有资质的第三方等保测评技术服务单位对市政务数据中心内的重要信息系统及网络实施等级保护测评工作,找出各系统和网络存在的安全漏洞及隐患,为后续的市政务云数据中心建设和整改工作提供建议和决策依据。从而进一步完善重要信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,保障六安市电子政务的健康发展。
(三)测评内容
1、本次等级保护测评对象为运行在六安市政务云数据中心内的7个重要信息系统 (详见附件);
2、主要内容包括:
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)漏洞扫描:针对网络设备,服务器,应用等进行漏洞扫描出具漏洞扫描报告。
(4)渗透测试:模拟黑客可能使用的攻击技术和漏洞发现技术,对三级以上信息系统进行验证性渗透测试。
(5)形成差距分析报告。
(四)测评时间
1、本次测评时间为两年(为2019年度和2020年度)测评服务;
2、2019年度8月31日前完成7个三级系统现场等保测评,2020年度3月31日完成7个三级系统现场等保测评。
(五)付款方式
费用按年支付:
1、2019年度完成现场测评,出具《安全问题和整改建议书》以及符合公安要求的《等级保护测评报告》,验收通过后支付合同额的50%;
2、2020年度完成现场测评,出具《安全问题和整改建议书》以及符合公安要求的《等级保护测评报告》,验收通过后支付合同额的50%。
(六)其他事宜
1、在本项目进行期间,未经采购方同意,中途不得更换人员,也不得将检测任务分包或转包。
2、中标人必须为采购方承担保密义务,中标后签订合同前向采购方提交保密承诺函。
3、为有效地保证技术服务和相关技术支持,要求投标者在合同期限内提供长期信息安全方面培训和咨询服务。
(七)测评技术方案
1、方案设计
2019年5月13日,国家颁布了等级保护2.0技术标准,确定实施时间为2019年12月;等级保护测评内容具体要求依据国家等级保护相关标准《GB/T 22239-2008信息安全等级保护基本要求》,《GB/T 28448-2008 信息系统安全等级保护测评要求》、《GB/T 22239-2019 网络安全等级保护基本要求》、《GB/T 28448-2019 网络安全等级保护测评要求》,对各信息系统进行等级保护测评,内容包括:
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)漏洞扫描:针对网络设备,服务器,应用等进行漏洞扫描出具漏洞扫描报告。
(4)形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》,要求从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。全面的从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行安全现状分析,形成相应的差距分析报告。
(5)依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助招标方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
(6)完成上述测评工作和实施整改后,最后出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
2、测评实施原则
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究中标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:中标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
中标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
3、安全服务
(1)协助定级备案
协助招标单位对运行在六安市政务云数据中心上的信息系统进行系统备案,包括交付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备案证明。
(2)漏洞扫描检测
借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。
(3)验证性渗透测试
模拟黑客可能使用的攻击技术和漏洞发现技术,对三级以上信息系统进行验证性渗透测试。发现系统最脆弱的环节(可能会被黑客利用造成网络和系统瘫痪)。所有的渗透测试行为将在客户的书面明确授权和监督下进行。通过系统漏洞扫描利用、端口扫描、服务扫描利用、密码攻击、权限攻击、SQL注入攻击、XSS跨站脚本攻击、应用层框架漏洞、远程缓冲区溢出攻击和病毒木马攻击等,对目标网络和系统进行测试。测试完成后,形成渗透测试报告并提供加固建议,待加固后复查测试。使得网络系统能够提升安全质量,在一定程度上抵御黑客的攻击。
(4)差距分析
2019年5月13日,我国正式颁布了《GB /T22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB /T28448-2019 信息安全技术 网络安全等级保护测评要求》和《GB /T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》等三项标准,并确定了新标准的正式实施时间,标志着等级保护工作即将正式进入2.0时代。为切实提升我单位的网络安全防护水平,测评机构在测评完成后,需依据测评结果和《GB /T22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB /T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》等标准规范,从信息系统是否具备等保2.0标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评及安全需求提升分析工作;从信息系统实际业务流程出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足系统三级保护等级的安全管理要求。
(5)完善制度
制定和完善与信息系统的安全保护等保三级的配套管理制度,制度相关内容如下:
(1)安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
(2)安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
(3)人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
(4)系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
(5)系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
(6)报告编制
完成上述测评工作和建设方实施整改后,出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
(7)安全培训
中标单位需要为采购方提供不少于线上、线下各2次的信息安全技术培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度,信息安全管理制度和相关流程等;信息安全培训方式分为以下几种:
线下培训:线下培训,即为集中授课培训。由中标方安排资深信息安全人员,对采购方人员讲解信息安全意识、等级保护2.0技术标准、等级保护测评相关规范、流程等方面的知识;
线上培训:可通过及时通讯工具为采购方提供线上培训,包括QQ、电话、微信等方式,对相关人员进行在线培训。
培训资料:提供培训课件相关资料。
附件
重要信息系统清单表
|
序号 |
系统名称 |
等保级别 |
管理单位 |
|
1 |
六安市政府网站集约化平台 |
3级 |
市政府办 |
|
2 |
六安市委门户网站 |
3级 |
市委办 |
|
3 |
六安市人大门户网站 |
3级 |
市人大办 |
|
4 |
六安市政协门户网站 |
3级 |
市政协办 |
|
5 |
六安市委机构编制委员会办公室门户网站 |
3级 |
市编办 |
|
6 |
六安市先锋网 |
3级 |
市委组织部 |
|
7 |
六安长安网 |
3级 |
市政法委 |
第二包:政务云平台等重要信息系统测评(最高限价:70万)
(一)项目简介
为深入贯彻落实习近平总书记关于网络安全工作的重要指示精神,根据《中华人民共和国网络安全法》、《信息系统安全等级保护管理办法》以及《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件要求,须对六安市政务云数据中心内市政府网站集约化平台等重要信息系统及网络开展等级保护测评工作。
(二)测评目的
进一步提高六安市政务云数据中心的整体安全防护水平,按照国家信息安全等级保护制度的要求,依托有资质的第三方等保测评技术服务单位对市政务数据中心内的重要信息系统及网络实施等级保护测评工作,找出各系统和网络存在的安全漏洞及隐患,为后续的市政务云数据中心建设和整改工作提供建议和决策依据。从而进一步完善重要信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,保障六安市电子政务的健康发展。
(三)测评内容
1、本次等级保护测评对象为运行在六安市政务云数据中心内的7个重要信息系统 (详见附件);
2、主要内容包括:
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)漏洞扫描:针对网络设备,服务器,应用等进行漏洞扫描出具漏洞扫描报告。
(4)渗透测试:模拟黑客可能使用的攻击技术和漏洞发现技术,对三级以上信息系统进行验证性渗透测试。
(5)形成差距分析报告。
(四)测评时间
1、本次测评时间为两年(为2019年度和2020年度)测评服务;
2、2019年度8月31日前完成7个三级系统现场等保测评,2020年度3月31日完成7个三级系统现场等保测评。
(五)付款方式
费用按年支付:
1、2019年度完成现场测评,出具《安全问题和整改建议书》以及符合公安要求的《等级保护测评报告》,验收通过后支付合同额的50%;
2、2020年度完成现场测评,出具《安全问题和整改建议书》以及符合公安要求的《等级保护测评报告》,验收通过后支付合同额的50%。
(六)其他事宜
1、在本项目进行期间,未经采购方同意,中途不得更换人员,也不得将检测任务分包或转包。
2、中标人必须为采购方承担保密义务,中标后签订合同前向采购方提交保密承诺函。
3、为有效地保证技术服务和相关技术支持,要求投标者在合同期限内提供长期信息安全方面培训和咨询服务。
(七)测评技术方案
1、方案设计
2019年5月13日,国家颁布了等级保护2.0技术标准,确定实施时间为2019年12月;等级保护测评内容具体要求依据国家等级保护相关标准《GB/T 22239 -2008信息安全等级保护基本要求》,《GB/T 28448-2008 信息系统安全等级保护测评要求》、《GB/T 22239-2019 网络安全等级保护基本要求》、《GB/T 28448-2019 网络安全等级保护测评要求》,对各信息系统进行等级保护测评,内容包括:
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)漏洞扫描:针对网络设备,服务器,应用等进行漏洞扫描出具漏洞扫描报告。
(4)形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB /T 22239-2008),要求从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。全面的从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行安全现状分析,形成相应的差距分析报告。
(5)依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助招标方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
(6)完成上述测评工作和实施整改后,最后出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
2、测评实施原则
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究中标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:中标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
中标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
3、安全服务
(1)协助定级备案
协助业主单位对运行在六安市政务云数据中心上的信息系统进行系统备案,包括交付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备案证明。
(2)漏洞扫描检测
借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。
(3)验证性渗透测试
模拟黑客可能使用的攻击技术和漏洞发现技术,对三级以上信息系统进行验证性渗透测试。发现系统最脆弱的环节(可能会被黑客利用造成网络和系统瘫痪)。所有的渗透测试行为将在客户的书面明确授权和监督下进行。通过系统漏洞扫描利用、端口扫描、服务扫描利用、密码攻击、权限攻击、SQL注入攻击、XSS跨站脚本攻击、应用层框架漏洞、远程缓冲区溢出攻击和病毒木马攻击等,对目标网络和系统进行测试。测试完成后,形成渗透测试报告并提供加固建议,待加固后复查测试。使得网络系统能够提升安全质量,在一定程度上抵御黑客的攻击。
(4)差距分析
2019年5月13日,我国正式颁布了《GB /T22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB /T28448-2019 信息安全技术 网络安全等级保护测评要求》和《GB /T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》等三项标准,并确定了新标准的正式实施时间,标志着等级保护工作即将正式进入2.0时代。为切实提升我单位的网络安全防护水平,测评机构在测评完成后,需依据测评结果和《GB /T22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB /T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》等标准规范,从信息系统是否具备等保2.0标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评及安全需求提升分析工作;从信息系统实际业务流程出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足系统三级保护等级的安全管理要求。
(5)完善制度
制定和完善与信息系统的安全保护等保三级的配套管理制度,制度相关内容如下:
①安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
②安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
③人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
④系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
⑤系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
⑥报告编制
完成上述测评工作和建设方实施整改后,出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
⑦安全培训
中标单位需要为采购方提供不少于线上、线下各2次的信息安全技术培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度,信息安全管理制度和相关流程等;信息安全培训方式分为以下几种:
线下培训:线下培训,即为集中授课培训。由中标方安排资深信息安全人员,对采购方人员讲解信息安全意识、等级保护2.0技术标准、等级保护测评相关规范、流程等方面的知识;
线上培训:可通过及时通讯工具为采购方提供线上培训,包括QQ、电话、微信等方式,对相关人员进行在线培训。
培训资料:提供培训课件相关资料。
附件
重要信息系统清单表(第二包)
|
序号 |
系统名称 |
等保级别 |
管理单位 |
|
1 |
六安市网上政务服务平台 |
3级 |
市政务服务中心 |
|
2 |
六安市政务云平台 |
3级 |
市政府办 |
|
3 |
六安市协同办公系统 |
3级 |
市政府办 |
|
4 |
六安市电子政务外网 |
3级 |
市政府办 |
|
5 |
六安市政务云数据支撑平台 |
3级 |
市政府办 |
|
6 |
六安市教育云平台 |
3级 |
市教育局 |
|
7 |
六安市互联网云平台 |
3级 |
市政府办 |
收藏