招标文件
招标需求
一、总体要求
依据国家信息安全等级保护相关标准及技术规范要求,结合采购单位信息安全整体需求及各系统具体应用特点,对采购单位指定相关信息系统开展安全测评,测评机构出具行之有效的整改方案,出具信息安全等保测评报告,直至取得当地公安机关核发的信息系统安全等级保护备案证书。
二、服务范围
对以下系统开展等保测评工作。
|
序号 |
系统名称 |
建设部门 |
|
1 |
嘉兴经济技术开发区协同办公系统 |
经开区办公室 |
|
2 |
嘉兴经济技术开发区后勤通系统 |
经开区办公室 |
|
3 |
嘉兴经济技术开发区智安经开驾驶舱 |
经开区公安分局 |
|
4 |
嘉兴经开刑侦合成作战平台 |
经开区公安分局 |
|
5 |
嘉兴经济技术开发区警管家系统 |
经开区公安分局 |
|
6 |
嘉兴经济技术开发区(国际商务区)生活垃圾分类信息化监管系统 |
经开区建设交通局 |
|
7 |
嘉兴经济技术开发区无疫校园管理系统 |
经开区教文体局 |
|
8 |
嘉兴市生态环境局经济技术开发区(国际商务区)分局“智慧环保”数字化平台系统 |
经开区生态环境分局 |
|
9 |
嘉兴经济技术开发区政务服务系统 |
经开区政务数据办 |
|
10 |
嘉兴经济技术开发区招投标交易系统 |
经开区政务数据办 |
|
11 |
嘉兴经济技术开发区机关内部“最多跑一次”系统 |
经开区政务数据办 |
|
12 |
嘉兴经济技术开发区犬只管理信息系统 |
经开区综合执法分局 |
|
13 |
嘉兴经开区智慧城管综合管理服务平台 |
经开区综合执法分局 |
|
14 |
嘉兴经济技术开发区塘汇街道全科社工走访系统 |
塘汇街道 |
|
15 |
嘉兴经济技术开发区长水街道高铁南站回嘉码应用 |
长水街道 |
|
16 |
财政专网 |
经开区财政局 |
三、服务内容
(一)测评依据标准
安全等保测评应依据以下国家信息安全标准:
1.《关于开展国家级重要信息系统和重点网站安全执法检查工作的通知》(公传发[2009]253号)
2.《关于印发全省党政机关、事业单位和国有企业互联网网站安全专项整治行动工作方案的通知》(浙公通字[2015]92号)
3.《浙江省信息安全等级保护管理办法》(省政府223号令)
4.GB/T22239-2019:《信息安全技术 信息系统安全等级保护基本要求》
5.GB/T22240-2020:《信息安全技术 信息系统安全等级保护定级指南》
6.GB/T25058-2010:《信息安全技术 信息系统安全等级保护实施指南》
7.GB/T 28448-2019:《信息安全技术 信息系统安全等级保护测评要求》
8.GB/T28449-2018:《信息安全技术 信息系统安全等级保护测评过程指南》
(二)测评内容
根据采购单位信息系统的安全保护等级,并依据《GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求》、GB/T28448-2019:《信息安全技术信息系统安全等级保护测评要求》的条款要求及各个信息系统等级保护需求,协助采购方对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向当地公安局提交定级备案材料,取得信息系统定级备案证明。测评的内容包括但不限于以下内容:
1、安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
2、安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
(三)测评原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
1、标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
2、规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
3、可控性原则:测评服务的进度要跟上进度表的安排,保证采购方对于测评工作的可控性。
4、整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
5、最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
(四)测评要求
1、投标人应在对采购方系统详细了解的基础上,编制针对性的等级保护测评整体实施方案,包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2、投标人应详细描述测评人员的组成、资质及各自职责的划分。配置有经验的测评人员进行本次等级保护测评工作。
3、本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经采购方确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
4、对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
5、投标人应详细描述需要的运行环境的具体要求。
6、项目完成后必须提交完整的技术文档、测评报告、整改建议等。
(五)项目实施要求
1、实施方应保证投标项目在采购方条件成熟时应立即开展实施;
2、实施方在项目实施过程中应服从采购方的统一领导和协调,采购方有权裁决实施方的责任范围,实施方必须执行,在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容,采购方有权中止项目、索赔或拒付款项;
3、实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件;
4、实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成;
5、投标供应商为实施方且须具有网络安全等级保护测评与检验评估机构服务认证证书,不能转包、分包。
6、本次项目实施骨干人员至少包含1名高级测评师(提供证书复印件),本项目负责人必须具有5年以上的测评工作经验。
7、项目验收完成后,要求提供为期一年的安全咨询服务,以保证项目正常运行。
(六)项目验收
1、本项目的目标是输出等级保护测评报告,配合采购方办理信息系统安全保护测评备案手续,协助向公安局提交定级备案材料,取得信息系统定级备案证明,该项目将产生一定数量的文档。
2、投标供应商应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
3、投标供应商应提交验收方案,供采购人参考。
4、采购人将依据本项目的要求,组织相关部门或单位的技术专家对投标供应商提交的项目成果进行验收。
(七)项目承诺
1、投标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
2、保密性要求:投标供应商必须和采购人签订保密协议和非侵害性协议,投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签定时一并提供给采购人。
3、投标供应商具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,投标供应商不得带离该地点。
4、投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标供应商中标与否,其对上述内容的保密责任将长期存在。
5、等级保护测评的品质保证:投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。
(八)其他要求
1、投标供应商在测评方案书中,对能提供的信息系统安全等级保护测评进行详细说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
2、投标供应商应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人以上问题不承担任何法律责任。
3、若投标供应商的设备和系统包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料。
四、时间要求:合同签订后45日历天内完成。
五、付款方式:
按浙财采监〔2022〕3号执行。
收藏