全部加入收藏
招标文件
项目说明和采购需求
|
包号 |
序号 |
标的名称 |
品 目 分类编码 |
计量单位 |
数量 |
是否进口 |
|
|
1 |
宁夏回族自治区市场监 督管理厅综合业务管理 系统(三级)等保测评 |
C0205 |
套 |
1 |
否 |
|
|
2 |
宁夏回族自治区企业大数据监管与服务平台 (三级)等保测评 |
C0205 |
套 |
1 |
否 |
|
|
3 |
宁夏回族自治区食品经 营许可系统(三级)等保测评 |
C0205 |
套 |
1 |
否 |
|
|
4 |
国家企业信用信息公示 系统(宁夏)协同监管平台(三级)等保测评 |
C0205 |
套 |
1 |
否 |
|
|
5 |
企业信息填报(三级) 等保测评 |
C0205 |
套 |
1 |
否 |
|
|
6 |
宁夏 12315 受理平台 (三级)等保测评 |
C0205 |
套 |
1 |
否 |
|
|
7 |
宁夏“双随机、一公开” 综合监管平台(三级) 等保测评 |
C0205 |
套 |
1 |
否 |
|
|
8 |
宁夏进口冷链食品追溯 管理系统(三级)等保测评 |
C0205 |
套 |
1 |
否 |
|
|
9 |
宁夏回族自治区市场监 管厅财务内部控制管理系统(二级)等保测评 |
C0205 |
套 |
1 |
否 |
|
|
10 |
宁夏回族自治区食品生产监督管理信息系统 (二级)等保测评 |
C0205 |
套 |
1 |
否 |
二、技术商务要求
1.包 1
(1)技术要求
通过等级保护预测评,对宁夏回族自治区市场监督管理厅信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,协助进行整改,全面达到国家网络安全等级保护2.0相关要求;
对宁夏回族自治区市场监督管理厅信息系统的安全状态做出判断,验证其是否符合等级保护要求,提出安全防护相关合理化建议,提升安全保障水平。同时,将测评结论作为进一步完善系统安全防护措施的依据。
提升宁夏回族自治区市场监督管理厅网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解信息系统安全状况,提升人员安全威胁处置能力。
遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评,出具网络安全等级保护测评报告。
政策依据:
等级保护测评应当依照《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护实施指南》(GB/T25058-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)、《网络安全等级保护测评过程指南》(GB/T28449-2018)、《网络安全等级测评报告(2021 版)》等相关标准和文件。
测评内容:
测评的内容包括市场监督管理厅的10个已定级备案系统的各组成部 分,包括机房、主机操作系统、数据库管理系统、网络设备、安全设备、业务应用软件、安全管理制度等对象。测评指标包括但不限于以下内容:
1)协助采购人完成系统定级备案工作;
2)对采购人的信息系统进行测试评估、分析差距、输出差距测评报告和安全整改建议;
3)根据差距测评报告与安全整改建议,协助采购人,指导系统开发公司,完成 安全整改工作; 协助采购人按照等级保护相关标准完善安全管理制度;
4)根据安全整改结果,再次对采购人的信息系统进行测试评估、输出2.0等保测评报告,达到国家规定的信息安全要求,并协助采购人通过公安机关的备案与检查。
5)专业测评师需要通过规范的等级保护测试评估,对采购人信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。
6)提供完善的安全培训服务方案,针对采购单位信息安全管理人员开展相关安全培训工作。
测评范围:
测评服务商需针对制定的系统,根据《基本要求》中规定的五个安全技术(物理安全、网络安全、主机系统安全、应用安全和数据安全)和五个安全管理(安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理)方面的内容进行现场测评。主要包括以下部分:
1)主机房(包括其环境、设备和设施等)、办公场地;
2)存储被测系统重要数据的介质的存放环境;
3)整个系统的网络拓扑结构;
4)安全设备,包括防火墙、IPS等;
5)对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、路由器等;
6)承载业务处理系统主要业务或数据的服务器(包括其操作系统和数据库);
7)业务应用系统管理终端和主要文件传输系统终端;
8)终端计算机;
9)信息安全主管人员;
10)涉及到信息系统安全的所有管理制度和记录。测评标准及指标要求:
1.测评标准:《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)中二级、三级测评标准及相关扩展项测评标准。
2.指标要求:
等级保护测评一是安全技术测评,包括:安全物理环境、安全计算环境、安全通信网络、安全区域边界、安全管理中心五个方面的安全测评; 二是安全管理测评,包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全测评;其中每个方面涉及不同的测评指标项,具体指标汇总数量及测评内容概括如下:
(1)安全物理环境
安全物理环境现场测评包括“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(2)安全通信网络
安全通信网络现场测评包括信息系统的各类通信设备,针对“网络结构”、“通信传输”、“可信验证”等方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)安全区域边界
安全区域边界现场测评包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范”等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
(4)安全计算环境
安全计算环境现场测评包括“身份鉴别”、“访问控制”、“安全审计”、 “入侵防护”、“恶意代码防防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
(5)安全管理中心
安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控”等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
(6)安全管理制度
安全管理制度现场测评包括“安全策略”、“管理制度”、“制定和发布”、“评审和修订”等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
(7)安全管理机构
安全管理机构现场测评包括“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
(8)安全管理人员
安全管理人员现场测评包括“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理” 等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
(9)安全建设管理
安全建设管理现场测评包括“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”、“服务供应商选择” 等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
(10)安全运维管理
安全运维管理现场测评的内容包括“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”、“外包运维管理” 等方面所采取的的措施进行检查,判定出与其相对于的各项测评的测评结果。
另外,系统所涉及到的扩展要求按照扩展项的相关要求开展测评工作。
技术支撑服务内容:
1.安全运维服务
(1)渗透:在不影响应用系统正常访问及业务正常开展的前提条件下,在双方约定的时间段内,针对服务系统进行专项、全面的安全渗透测试,不得只拿漏洞扫描类工具进行简单地扫描作为渗透测试结果,必须派专业渗透测试工程师进行检查、并对漏洞进行验证(若测试无任何漏洞,则渗透测试报告必须写详细的渗透测试过程)。
(2)漏洞:及时提供漏洞预警服务,尽可能及早发现系统可能存在的脆弱性和行业安全漏洞,验证、评估Web应用安全防护措施的有效性,并根据发现的漏洞,提出解决建议。
(3)运维、应急:有专业的安全服务及应急能力,派专业的技术人员配合安全事件应急工作、协助进行安全加固工作,确保服务系统安全、稳定地运行。
2.安全管理评估服务
在用户已经完成的系统总体的安全架构基础上完善安全管理制度,建立安全规范与流程,保证安全管理制度既能符合用户信息系统建设发展需要,同时又能够满足等保测评机构在信息安全测评工作方面的要求,具体要求如下:在用户已构架的“总体方针、管理办法、实施规范、流程细则、表单记录”五个 层面基础上,进行安全管理制度制定和完善。
3.核心数据库运维审计服务
(1)数据库自身安全
通过对核心数据库定期进行扫描评估,检查数据库版本及补丁、系统默认帐号口令、访问控制等是否符合基线要求。对扫描检查出的漏洞进行整改和加固,保证核心 数据库自身的安全。
(2)数据库运维安全
为解决部分数据库运维人员的违规操作行为的问题,服务方需要协助完善数据库运维安全工作。主要包括,数据库类型、用户口令梳理工作, 运维人员用户口令等信息梳理工作,运维人员对访问资源的权限梳理工作, 运维审计系统策略细化工作账号更新管理工作等。
4.安全域访问关系梳理服务
用户IT资产的全面梳理用户业务系统的全面梳理防火墙访问控制策略细化新业务系统的访问控制策略配置。
5.安全扫描与运维加固服务
在安全体系的建设和维护过程中,通过漏洞扫描,及时发现信息系统和网络及安全设备存在的各种安全隐患和漏洞,通过补丁、增强安全配置、调整系统架构和安全策略等方式及时进行安全加固和优化,持续提高系统的安全性和抗攻击能力,将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性。
6.安全培训服务
(1)CISP培训:提供两个CISP培训名额;
(2)安全讲座:根据需求开展一次全员安全培训讲座。
7.风险评估服务
对该次项目中涉及的所有三级系统开展风险评估工作,并出具相应报告。
保密义务:
服务方对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:
1.服务方应按要求与委托方签署保密协议。
2.服务方应主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。
3.服务方不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的甲方关于该项目的商业秘密。
4.服务方不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。
5.服务方不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。
6.不论何种原因终止参与委托方关于该项目的工作后,服务方都不得利用该项目之商业秘密为其他与委托方有竞争关系的企业(包括自办企业)服务。
7.该项目的商业秘密所有权始终全部归属委托方,服务方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权。
8.如发现委托方关于该项目的商业秘密被泄露或者自己过失泄露秘密,服务方应当采取有效措施防止泄密进一步扩大,并及时向委托方相关部门报告。
项目管理要求:投标人应委派一名代表作为项目经理,代表投标人与采购人共同统筹及协调一切与本项目有关的事项,领导并监督项目组中投标人人员的工作情况。双方委派的项目经理及其他人员组成本项目协调委员会,定时审查及监督项目实施过程,处理项目实施中的各项变更事宜。
服务方人员素质要求:投标人必须是国家或省等级保护工作(领导)小组的推荐的成立测评机构,投标人测评人员必须具备等级测评师的相关证书及资质,熟悉检测流程,了解和掌握与被检单位有关的专业知识及相关的规范、规定,包括国家标准规范、行业规范、地方标准以及有关的安全程序、操作规程等。检测人员进入检测现场,必须遵守采购人的有关安全规章制度,听从采购方安全监督管理人员的安排。
项目实施经验要求:投标人必须委派一名高级测评师作为现场项目经理,负责项目协调和测评统筹工作。项目组委派一名中级测评师作为项目质量控制人员。
(2)商务要求
项目安排:
自项目合同签订之日起,60个工作日内按照等级保护2.0相关标准完成测评工作并出具测评相关报告。
1)项目实施期间,中标人须派驻一名具有丰富实施经验的高级测评师担任项目经理,负责项目协调和测评工作的全流程把控。
2)中标人须提供完善的测评实施方案和计划、测评方案,经采购人审核通过后实施。
3)测评方法及工具。在等级保护测评过程中,应采用询问、检查、测试、工具扫描等多种手段组合的方式。测评方法:工具测试、渗透测试、配置检查、人员访谈、文档审查、实地查看。测评工具:主机配置检查、系统漏洞检查、网络安全检查、网络及安全设备配置检查、数据库安全检查、弱口令安全检查等基于等级保护2.0通用安全要求检查功能的工具。
项目交付:
根据《宁夏信息安全等级保护测评活动管理规范》(宁公信安〔2017〕65号)要求,
成果交付物为:
1)本项目内所有登记备案的信息系统测评方案1套;
2)本项目内所有登记备案的信息系统出具由测评机构法人审签的正式纸质测评报告3套。
3)本项目内所有登记备案的信息系统出具纸质整改加固指导方案2套。
4)测评活动原始记录材料1份。
三级系统风险评估报告2套。
- 售后响应
在合同服务期内,中标方须提供应急事件处理及应急响应服务。一旦被测系统出现紧急重大安全事件,中标方应在收到单位服务请求30分钟内提供远程协助;确定需要现场服务的,2小时内到达现场提供服务。
付款条件及方式
合同款支付方式:本合同盖章生效 20 个工作日内,甲方向乙方支付合同总价 50 %;乙方完成现场测评出具正式版测评报告及整改建议报告,经甲方确认合格 20 个工作日内,甲方向乙方支付合同总价的 50 %。
收藏