招标文件
竞争性磋商项目需求
一、项目概况
(一)项目背景
随着信息技术的高速发展和网络应用的迅速普及,信息系统的基础性、全局性作用日益增 强,信息资源更成为国家经济建设和社会发展的重要战略资源之一。南京智慧金融(服务与监管) 系统结构复杂、技术密集、数据重要、用户众多的。因此,系统本身存在较多的脆弱性(如软 件漏洞、硬件故障、人员安全意识不足等),同时也面临来自内部和外部的众多威胁(如内部 人员恶意破坏、外部网络黑客、病毒等恶意程序、各种自然灾害等),使得信息安全面临严峻 的挑战。
为进一步加强信息安全建设,提高信息系统安全水平,根据公安部有关开展等级保护工作的相关要求,开展信息系统信息安全等级保护测评工作,从而让投标单位协助采购人提前发现信息系统中存在的安全风险和漏洞,形成安全测评与分析方案及相关报告,据此提出信息系统安全等级保护整改和解决方案,避免安全事件对信息管理带来损失;完善信息系统安全管理制度,提升信息系统安全管理水平,做好今后信息系统安全建设的指导和规范;并根据采购人的要求开展网络安全等级保护测评、渗透测试、漏洞扫描等工作。
(二)运行维护遵循的标准
测评过程中,测评机构需严格遵守以下标准规范:
《中华人民共和国网络安全法》(全国人民代表大会常务委员会[2017])
《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2015〕14号)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《国务院办公厅关于印发突发事件应急预案管理办法的通知》(国办发〔2013〕101号)
《江苏省政府信息系统安全检查实施办法》(苏政办发〔2009〕51号)
《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2015〕14号)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)
《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)
《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008)
《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)
《信息安全技术 信息安全应急响应计划规范》(GB/T 24363-2009)
《信息安全技术 信息系统物理安全技术要求》(GB/T 21052-2007)
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)
《信息安全技术 信息系统安全通用技术要求》(GB/T 20271-2006)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006)
《信息安全技术 数据库管理系统安全技术》(GB/T 20273-2006)
《信息安全技术 信息安全管理实用规则》(GB/T 22081-2008)
《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006)
《信息安全技术 服务器安全技术要求》(GB/T 21028-2007)
《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)
《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)
《信息安全技术 信息系统安全管理评估》(GA/T 713-2007)
《信息安全技术 应用软件系统安全等级保护通用技术指南》(GA/T 711-2007)
《信息安全管理体系规范》(ISO/IEC 27001:2005)
《信息安全管理实施指南》(ISO/IEC 27002:2007)
(三)运行维护的目标
供应商应详细描述等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交等。供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置经验丰富的技术人员进行等级保护测评工作,将测评报告递交至公安局监管部门并通过审核。
主要任务:
1、信息安全等级保护测评准备;
2、测评方案编制;
3、现场测评;
4、完成测评,出具测评报告及整改建议书;
二、项目需求清单
|
序号 |
标的名称 |
数量 |
单位 |
采购标的所属行业 |
属性 |
|
1 |
南京智慧金融(服务与监管)系统等级保护测评 |
1 |
项 |
软件和信息技术服务业 |
服务 |
三、技术部分要求
|
产品/服务: 等级保护测评服务 |
||
|
序号 |
名称 |
功能、性能、配置或服务要求 |
|
1 |
★实质性条款 |
(一)定级梳理与备案 对现有的各类信息系统开展调研,依据《信息系统安全等级保护定级指南》的要求,遵循规范的流程确定定级对象并确定受侵害的客体和侵害程度,形成定级建议书,为招标单位的系统定级和备案工作提供参考。协助梳理信息系统现状,编写《信息系统定级报告》,在信息系统安全保护等级确定后2周内,协助采购单位到所在地设区的市级以上公安机关办理备案手续。填写《信息系统安全等级保护备案表》完成信息系统的定级备案工作。 (二)系统等级保护测评 本次测评对象为南京智慧金融(服务与监管)系统。等级测评主要分为单元测评和整体测 评,其中单元测评应从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等层面,测评《网络安全等级保护基本要求》(GB/T 22239-2019)所要求的基本安全控制在信息系统中的实施配置情况;整体测评应主要测评分析信息系统的整体安全性,内容上应包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。 1.安全技术测评主要包括:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评等四个方面。 2.物理和环境安全测评:测评信息系统的物理安全保障情况。包括机房位置选址、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。 3.网络和通信安全测评:测评信息系统的网络和通信安全保障情况。包括网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、集中管控等方面的安全状况。 4.设备和计算安全测评:测评信息系统的服务器、数据库和终端主机系统的安全保障情 况。包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面的安全状况。 5.应用和数据安全测评:测评信息系统的业务安全和数据安全保障情况。包括身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。 6.安全管理测评主要包括安全策略和管理制度测评、安全管理机构和人员测评、安全建设管理测评、安全运维管理测评等四个方面。 7.安全策略和管理制度测评:测评信息系统运营使用单位是否建立一套完整的信息安全管理体系。包括安全策略、管理制度、制定和发布、评审和修订等方面的安全状况。 8.安全管理机构和人员测评:测评信息系统运营使用单位是否建立起健全、务实、有效、统一指挥、统一步调的安全管理机构,明确安全职责。包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查、人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的安全状况。 9.安全建设管理测评:对信息系统的分析论证、方案设计、采购实施三个阶段的安全管理活动进行测评。包括定级和备案、安全方案设计、产品采购和使用、自行建开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等方面的安全状况。 10.安全运维管理测评:对信息系统建设完成并投入运行后的管理活动进行测评。包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等方面的安全状况。 供应商按照《网络安全等级保护基本要求》(GB/T 22239-2019)的要求,结合被测单位被测信息系统的状况和各信息系统安全保护等级的相应等级指标,进行等级保护安全现状分析,并出具详细的《信息系统等级保护测评报告》。 (三)安全漏洞扫描(4次/年) 本项目应当采用专业工具扫描(漏洞扫描、数据库扫描采用产品必须为商业化产品)、人工评估方式相结合。使用漏洞扫描工具、渗透性测试工具等查找服务器、网络设备、应用软件存在的安全漏洞,重点分析高风险漏洞产生原因和修复策略,通过调整安全策略、安装补丁程序、修改代码等方式修复安全漏洞,汇总未修复的安全漏洞。 根据安全漏洞的扫描结果出具信息系统安全漏洞扫描报告。 (四)渗透测试 选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。 1)渗透测试的内容 工作内容包括渗透测试及提供漏洞修复方案。本次渗透测试工作为黑盒测试。 2)需要包含如下阶段 前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。信息搜集阶段:采用各种方法搜集用户方的所有相关信息。 威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。 漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。 渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。 后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。 报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。 3)渗透测试工作要求 本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危害用户应用系统的工作行为,遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自修 改、拷贝用户数据,不得泄露、传播用户的敏感信息,如有违反将负法律责任。 (五)成果交付 该项目提交的文档至少包括如下文件: 《信息系统定级报告》 《信息系统安全等级保护备案表》 《信息系统等保测评报告》 《信息系统安全漏洞扫描报告》 《信息系统渗透测试报告》 (六)安全服务实施要求 1、为确保本项目可以顺利实施,参与技术检测的人员均为中华人民共和国公民,无违法犯罪记录并与招标人签订安全保密协议。 2、投标方与招标方签订信息保密协议,采取必要的控制措施避免用户信息的泄漏。 3、在项目实施过程中按照国家标准规定的标准和流程进行测评,保证测评结果的有效、可靠。 4、信息系统安全测评过程需要对在线的主机、网络设备、数据库、信息系统等进行审 计、扫描和调研,需要对有关员工进行抽样访谈,因此难免会影响到相关人员和系统的正常工作。将采取必要措施减少实际影响,尽可能地保障评估工作不会影响到用户的日常工作和系统运行。 5、从信息系统整体性考虑,避免对设备的孤立评估,避免出现偏颇的测评效果。 6、在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。 7、测评方案:按照国家相关标准进行信息安全等级保护测评和系统性能测试,需从理 论、方法、技术、工具等方面描述测评方案和项目实施方案,其中等级保护测评过程至少包含四个基本阶段:测评准备阶段、方案编制阶段、现场测评阶段、分析及报告编制阶 段。测评方案方法、技术层次结构清晰,内容充实,测评过程描述正确、详实的。 8、测评所产生的结果是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。 9、建设整改方案:提供建设整改方法、技术、工具等详细内容等。 10、有详细的后续服务支持方案,提供相关技术支持,建立安全管理体系、应急体系、系统运维管理体系等。 (七)实施团队要求 本项目要求供应商组织有经验的专业实施团队,团队成员至少包括:1名现场测评组长,3 名现场测评人员,1名渗透测试工程师(可以非现场))。 供应商应保证项目团队人员的固定,如发生人员调整需征得采购人同意且不得影响工作进度。项目实施过程中,对于不能胜任的团队成员,采购人有权要求更换。 |
|
2 |
非实质性条款 |
|
四、商务部分要求
1、交付时间:要求本项目自合同正式签署生效起 40 个自然日内完成。
2、服务保障和自罚承诺
2.1供应商应对照磋商文件要求,书面说明已对采购人的需求做出了实质性的响应,或申明与需求的偏差和例外。
2.2如果发生因供应商安全措施不力造成的事故责任、或者其他工作失误,由此所产生的一切责任由供应商承担。
2.3如因供应商投入人员过少原因,造成无法在承诺工期内完成服务,由此产生的一切责任由供应商承担。
3、报价说明
3.1报价应包含与本次采购项目有关的所有费用。包含但不限于人员、设备、安装调试、验收、售后服务、伴随配套服务等所有含税费用。同时,还应包含支付给员工的工资和国家强制缴纳的各种社会保障资金,以及供应商认为需要的其他费用等。
3.2供应商的任何错漏、优惠、竞争性报价不得作为减轻责任、减少服务、增加收费、降低服务质量的理由。
3.3供应商报价除包含采购文件中列明的项目外还应包括保障服务正常运行应当具有的物资和服务,对服务正常运行应当具有的物资和服务理解不一致的以采购人理解为准。
4、付款条件:
付款方式:合同签订后支付合同价款的50%,完成测评任务并出具测评报告后付清余款
备注:
1、本章有带星号(“★”)的内容及商务部分要求均为实质性要求,不允许负偏离,否则作为无效报价。采购文
件中要求的产品品牌或型号,是采购人根据项目所要实现的功能及考量后推荐的品牌或型号,供应商可以采用其他品牌的产品进行投标,但是,所有功能必须能满足采购项目整体性能的实现。
收藏