招标文件
项目说明和采购需求
(一)项目概况
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)(以下简称 27 号文)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。《中华人民共和国网络安全法》明确要求实行网络安全等级保护制度,关键信息基础设施的运营者应当自行或委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
按照《宁夏回族自治区贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的实施意见》(宁公(网安)通[2021]42 号)文件要求, 自治区自然资源厅为加强网络安全保护力度,认真贯彻和执行自治区党委网信办、公安厅关于信息系统安全等级保护要求,现将对自治区自然资源厅现有 13 个信息系统开展网络安全等级保护 2.0 测评工作。
(二)技术商务要求
按照《中华人民共和国网络安全法》、《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)、《网络安全等级保护定级指南》(GB/T22240-2018)等标准的要求,通过等级保护测评工作发现信息系统在安全方面的不足之处,找出自治区自然资源厅各信息系统与国家和行业等级保护标准要求和之间的差距,通过安全建设整改工作能够使各信息系统达到相应安全保护等级的能力要求。具体如下:
1.通过等级保护预测评,对自治区自然资源厅信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,协助进行整改,全面达到国家网络安全等级保护相关要求;
2.对自治区自然资源厅信息系统的安全状态做出判断,验证其是否符合等级保护要求,提出安全防护相关合理化建议,提升安全运维水平。同时, 将测评结论作为进一步完善系统安全防护措施的依据;
3.提升自治区自然资源厅网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解信息系统安全状况,提升人员安全威胁处置能力;
4.遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评,出具网络安全等级保护测评报告。
对 8 个三级系统和 5 个二级系统按照等级保护 2.0 标准开展网络安全等级保护测评工作。三级系统分别为:宁夏不动产登记信息系统、宁夏自然资源行政审批系统、国土资源综合管理服务系统、宁夏不动产统一登记信息系统、宁夏土地征收管理信息系统、宁夏卫星导航定位基准服务系统、自然资源管理平台、宁夏土地二级市场统计监测系统。二级系统分别为:宁夏征地信息公开查询系统、耕地占补平衡指标网上交易系统、 宁夏地质灾害监测预警综合管理系统、宁夏地下水实时监测网运行维护工程、宁夏自然资源调查监测举证系统。
测评的内容包括但不限于以下内容:
1.安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;
2.安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
技术要求:
1.技术指标要求:
|
测评指标 |
|||
|
技术/管理 |
安全分类 |
二级系统要求项数量 |
三级系统要求项数量 |
|
技术 |
安全物理环境 |
15 |
22 |
|
安全通信网络 |
4 |
8 |
|
|
安全区域边界 |
11 |
20 |
|
|
安全计算环境 |
23 |
34 |
|
|
安全管理中心 |
4 |
12 |
|
|
管理 |
安全管理制度 |
6 |
7 |
|
安全管理机构 |
9 |
14 |
|
|
安全管理人员 |
7 |
12 |
|
|
安全建设管理 |
25 |
34 |
|
|
安全运维管理 |
31 |
48 |
|
|
合 计 |
135 |
211 |
|
(1)安全物理环境测评
根据自治区自然资源厅信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”“物理访问控制”“防盗窃和防破坏”“防雷击”“防火”“防水和防潮”“防静电”“温湿度控制”“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
(2)安全通信网络测评
安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”“通信传输”“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结 果。
(3)安全区域边界测评
安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”“访问控制”“入侵防范”“恶意代码防范和垃圾邮件防范”“安全审计”“可信验证”等。
(4)安全计算环境测评
安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”“访问控制”“安全审计”“入侵防范” “恶意代码防范”“可信验证”“数据完整性”“数据备份和恢复”“剩余信息保护”“个人信息保护”等方面。
(5)安全管理中心测评
安全管理中心现场测评包括“系统管理”“审计管理”“安全管理”“集中管控”等方面的测评。
(6)安全管理人员测评
根据现场安全测评记录,针对自治区自然资源厅信息系统在人员安全管理方面的“人员录用”“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(7)安全管理机构测评
根据现场安全测评记录,针对自治区自然资源厅信息系统在安全管理机构方面的“岗位设置”“人员配备”“授权和审批”“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
(8)安全管理制度测评
根据现场安全测评记录,针对自治区自然资源厅信息系统在安全管理制度方面的“安全策略”“管理制度”“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
(9)安全建设管理测评
根据现场安全测评记录,针对自治区自然资源厅信息系统在系统建设管理方面的“定级和备案”“安全方案设计”“产品采购和使用”“自行软件开发”“外包软件开发”“工程实施”“测试验收”“系统交付”“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
(10)安全运维管理测评
根据现场安全测评记录,针对自治区自然资源厅信息系统在系统运维管理方面的“环境管理”“资产管理”“介质管理”“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”“恶意代码防范管理”“配置管理”“密码管理”“变更管理”“备份和恢复管理”“安全事件处置” “应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
2.质量要求:
(1)为保证网络安全等级测评项目质量,要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。
(2)参与等级测评的每个人都应具有等级测评师安全服务资质。
(3)等级保护测评项目须通过自治区自然资源厅组织的评审和审批。
商务要求
1.采购地点:
宁夏回族自治区自然资源厅(银川市金凤区尹家渠北街 25 号)
2.交付期限:
自项目合同签订之日起,15 个工作日后开始初步测评,根据初步测评报告,协助自治区自然资源厅对信息系统进行加固。完成加固后对信息系统系统进行二次测评,要求自项目合同签订之日后 70 天内按照等级保护 2.0 相关标准完成测评工作并出具最终测评结论报告。
3.交付成果:
|
序号 |
成果内容 |
格式 |
数量 |
|
1 |
被测信息系统测评方案 |
*.doc 和 *.pdf |
3 份 |
|
2 |
被测信息系统出具由测评机构法人审签的正式纸质测评报告(13 个系统) |
|
3 套 |
|
3 |
被测信息系统出具纸质安全整改建议方案 |
*.doc 和 *.pdf |
3 套 |
|
4 |
测评活动原始记录材料 |
*.doc 和 *.pdf |
3 份 |
4.人员配备要求
项目实施人员至少由 7 人组成,至少配备 1 名高级测评师和 2 名中级测评师,项目经理由中级及以上测评师担任。中标人须与采购人签订项目合同、保密协议和现场测评授权书、风险预判告知书,核实驻场测评师资质与投标时承诺为本项目配备的测评师是否一致。确应工作调配需要更换测评师,需提前 10 个工作日向甲方书面报备,并提供更换测评师资质证明。
5.实施要求
(1)中标人须提供完善的测评实施方案,经甲方审核通过后实施。完成对安全管理制度的补充完善和整理工作,配合对信息系统进行整改咨询服务。根据受测系统安全保护情况提供安全加固咨询服务;
(2)中标人应具有满足项目实施要求的测评工具,包括安全问题发现、问题分析定位和问题验证的测评工具至少各 1 个;
(3)中标人在测评过程中,须严格遵守国家和宁夏的相关法律、法规 、规范、标准等相关要求,确保测评数据、过程记录的完整性和真实性;
(4)中标人需根据宁夏自然资源厅实际情况,协助甲方制定和完善重要安全设备和安全系统的应急响应预案,根据应急预案,按照应急响应流程, 组织相关人员进行应急演练,提升应急处置能力。
6.服务要求
(1)一旦收到甲方的服务请求,乙方项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,乙方工程师在 2 小时内到达用户现场,提供服务;
(2)提供技术服务热线,并安排专业人员为自治区自然资源厅解答本项目有关技术问题, 接收到用户要求服务的通知后,有关技术人员应立即做出响应;
(3)在合同服务期内,中标方须提供应急事件处理及应急响应服务。一旦被测系统出现紧急重大安全事件,中标方应在收到单位服务请求 20 分钟内提供远程协助;确定需要现场服务的,1 小时内到达现场提供服务。
7.验收要求
( 1 ) 严格按照《 信息安全技术网络安全等级保护基本要求》( GB/T22239-2019 )、《信息安全技术网络安全等级保护测评要求》( GB/T28448-2019 )、《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)等国家标准实施,测评结论及过程文档须符合等级保护测评 2.0 技术相关要求;
(2)文档资料要严格按照合同要求提交,各类报告编写要符合相关规范要求;
(3)项目完成后按照甲方验收程序完成项目验收。
收藏