招标文件
采购需求
前注:
本说明中提出的技术方案仅为参考,如无明确限制,供应商可以进行优化,提供满足用户实际需要的更优(或者性能实质上不低于的)服务方案,且此方案须经磋商小组评审认可。
|
序号 |
条款名称 |
内容、说明与要求 |
|
1 |
付款方式 |
出具测评报告并报公安部门备案后,一次性支付全款。 |
|
2 |
服务地点 |
合肥高新区 |
|
3 |
服务期限 |
合同签订至2020年11月,后续提供一年日常安全运维服务。 |
二、项目概况
依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求,对区财政局10个信息系统进行等级测评,包括安全技术测评、安全管理测评等,形成差距分析报告,编制系统安全整改方案,编制和完善安全管理制度等。
|
序号 |
等级保护待测系统名称 |
系统等级 |
|
1 |
合肥高新区财政局内部信息管理系统(OA系统) |
2级 |
|
2 |
合肥市高新区财政涉企项目申报审批管理信息系统 |
2级 |
|
3 |
高新区“阳光村务”网络监督平台(新中大农村经营管理软件) |
2级 |
|
4 |
合肥高新区民生工程信息管理平台 |
2级 |
|
5 |
预算绩效管理信息系统(高新区本级) |
2级 |
|
6 |
高新区工程项目管理系统 |
2级 |
|
7 |
行政事业单位资产管理信息系统(高新区本级) |
2级 |
|
8 |
高新区部门决算网络版系统 |
2级 |
|
9 |
行政事业单位集中财务核算系统(高新区本级) |
2级 |
|
10 |
安徽财政惠农补贴资金管理发放系统(高新区本级) |
2级 |
三、服务需求
(一)等级保护测评任务
1.安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
2.安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
3.形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB/T22239),对各信息系统进行安全现状分析,形成相应的差距分析报告。
4.编制系统安全整改方案:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,结合差距分析结果,编制针对各信息系统的安全整改建设方案。
5.编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
完成上述测评工作和实施整改后,最后中标供应商出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
(二)实施原则
规范性原则:中标供应商工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
可控性原则:测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性;
整体性原则:测评和分析的内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则: 投标供应商应在响应文件中承诺(承诺函格式自拟):测评工作不会对系统运行和业务产生影响(包括但不限于系统性能显著下降、网络拥塞、服务中断、数据遗失或损毁等),未承诺的响应文件无效。
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购人有权追究责任。
(三)检测要求
1、访谈
访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中,访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。
在安全管理类测评任务中,测评人员依据定制的测评指导书(访谈问题列表)对相关人员进行访谈,获取与安全管理有关的测评证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。
在安全功能检查任务中,测评人员依据定制的测评指导书(访谈问题列表)对相关人员进行访谈,为后续的检查和测试收集必要的系统基本信息并提供参考数据。
2、检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中,检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类 测评任务,以及安全管理类测评任务。
在物理安全测评任务中,测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据(如机房的温湿度情况),用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及采购人的实际需求。
在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中,测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据(如相关措施的部署和配置情况,特定设备的端口开放情况等),用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及采购人的实际需求。
在安全管理类测评任务中,测评人员主要采用文档查阅与分析的检查方法来获取测评证据(如制度文件的编制情况),用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。
3、测试
测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中,测试方法主要应用在手工验证、漏洞扫描等测评任务中。在网络安全、主机安全和应用安全等测评任务中,测评人员将综合采用手工验证和工具测试方法对特定安全技术措施的有效性进行测试,测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求,并进一步应用于对目标系统进行安全性整体分析。
(四)服务质量标准
本项目所适用的法律、标准、规范为国家、地方及行业现行的法律、标准、规范,以及在合同实施期间国家、地方及行业对相应法律、标准或规范的修改,以及新颁布的法律、标准和规范。具体法律、标准和规范见专用部分,如专用部分未单独列出法律、规范和标准,则按国家、地方及行业相应最高要求实施。
本项目在执行法律要求外,还须执行采购人的相关管理文件要求。
本项目所适用法律、标准和规范(包括但不限于),以最新版为准:
《信息安全技术 网络安全等级保护基本要求》GB/T 22239;
《信息安全技术 网络安全等级保护测评要求》GB/T 28448;
《信息安全技术 计算机信息系统安全保护等级划分准则》GB 17859;
《信息安全技术 网络安全等级保护测评过程指南》GB∕T 28449;
《信息安全技术 信息安全风险评估规范》GB/T 20984。
(五)项目工期要求
1、合同签订后50个日历天内,交付所有信息系统测评报告。
2、2020年11月完成公安部门备案。
3、测评通过后提供一年日常安全运维服务。
(六)项目验收要求
中标供应商按等保要求完成规定工作内容,提供相关过程文档和系统测评报告。
在新增软硬件设备的情况下,对信息系统(高风险、中风险)安全问题协助指导整改,整改内容科学、合理、有效,整改后等保测评报告中无相关高风险及中风险判定。
四、人员要求
人员配备表
|
岗位 |
要求 |
备注 |
人数 |
|
项目经理 |
同类服务测评项目管理经验 |
现场测评结束后,提供一年的售后服务,售后服务期内根据采购人需求能及时安排参与现场测评的测评师到达现场协助整改工作和驻场指导。 |
1 |
|
质量经理 |
无 |
无 |
1 |
|
团队人员 |
无 |
其中1人兼任安全员,负责现场安全监督。 |
3 |
|
小 计 |
5 |
||
注:人员作为初审项,响应文件中须提供上述人员名单以及工作经验的证明材料。须同时提供投标供应商为上述所有人员缴纳的近三个月的社保证明材料,社保证明材料详见供应商须知前附表第35.2。
五、报价要求
本项目采用总价报价,为完成本项目的全部费用,其组成包括但不限于人员工资、管理费、办公费、交通费、耗材、税金、利润、劳动保险费、合同工期内的风险费用等为完成本项目所发生的一切费用。
六、其他要求
投标供应商应当诚信守法、公平竞争。如有以提供虚假材料(包括但不限于虚假技术参数响应、虚假业绩、虚假证书、虚假检测报告等)谋取中标的行为,一经查实,终止合同。
收藏