招标文件
项目需求
Ⅰ.说明:
一、本项目所要执行的政府采购政策:
1.根据《政府采购促进中小企业发展管理办法》(财库[2020]46号),项目服务全部由符合政策要求的小型、微型企业承接,投标文件中提供《中小企业声明函》。本项目专门面向中小微企业采购。
2.根据财政部、司法部关于政府采购支持监狱企业发展有关问题的通知(财库[2014]68号),监狱企业视同小型、微型企业,享受预留份额、评审中价格扣除等政府采购政策。
3.按照《关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141号)的规定,残疾人福利性单位视同小型、微型企业,享受预留份额、评审中价格扣除等促进中小企业发展的政府采购政策。残疾人福利性单位属于小型、微型企业的,不重复享受政策。
4.优先采购节能产品、环境标志产品。
5.本项目为服务项目,不涉及强制采购节能产品。
6.政府采购支持采用本国产品的政策。
二、本项目采购标的所属行业:软件和信息技术服务业。
Ⅱ、服务内容及要求
一、服务内容及范围:本项目包含桂林市住房公积金综合业务管理系统三级等保测评服务1项、住房公积金综合业务管理系统差距整改咨询服务1项、桂林市住房公积金综合业务管理系统等保安全整改督查服务1项。
(一)桂林市住房公积金综合业务管理系统三级等保测评服务
1.服务要求
依照《信息安全技术--信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》要求,对桂林市住房公积金综合业务管理系统进行等级保护测评,指导采购人制定整改方案和开展整改,使桂林市住房公积金综合业务管理系统网络安全保护状况达到(三级)等级保护要求,逐一出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。
2.依据标准
(1)《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
(2)《信息安全等级保护管理办法》(公通字[2007]43号);
(3)《网络安全等级保护定级指南》(GB/22240-2020);
(4)《网络安全等级保护基本要求》(GB/T 22239-2019);
(5)《网络安全等级保护测评要求》(GB/T 28448-2019);
(6)《网络安全等级保护测评过程指南》(GB/T 28449-2018);
(7)《网络安全等级保护设计技术要求》(GB/T 25070-2019);
(8)《网络安全等级保护测试评估技术指南》(GB/T 36627-2018)。
3.基本要求
上述信息系统的安全等级测评内容应包括技术和管理两大类,必要时需提供扩展方面的测评。
(1)技术类测评应包括对以下方面:
①安全物理环境(物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护);
②安全通信网络(网络架构、通信传输、可信验证);
③安全区域边界(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证);
④安全计算环境(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护);
⑤安全管理中心(系统管理、审计管理、安全管理、集中管控)。
(2)管理类测评应包括对以下方面:
①安全管理制度(安全策略、管理制度、制度和发布、评审和修订);
②安全管理机构(岗位设置、人员配备、授权和审批、沟通和合作、审核和检查);
③安全管理人员(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理);
④安全建设管理(定级和备份、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择);
⑤安全运维管理(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。
4.测评方法
在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。
(1)访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;
(2)检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程;
(3)测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;
(4)渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。
(二)住房公积金综合业务管理系统差距整改咨询服务
1.安全评估服务
依照《信息安全技术--信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》要求,对桂林市住房公积金综合业务管理系统进行测评,就测评结果进行评估,向采购方提出安全评估报告。
2.差距分析服务
包含依照系统准备差距分析表、安全管理差距分析(通过文档、访谈和测试等方式)、安全技术差距分析(通过文档、访谈等方式)、生成等级保护差距分析报告。
3.安全规划服务
包含安全需求分析、测评不符合及部分符合项整改建议、制作安全需求分析报告、编制并确认整体信息系统整改方案等。
4.整改咨询服务
依据等级保护相关技术标准,协助采购方完成需测评信息系统的安全整改咨询服务,完善信息系统安全防护措施,以期使各信息系统达到等级保护基本符合的要求。
(三)桂林市住房公积金综合业务管理系统等保安全整改督查服务
1.服务要求
根据测评指导手册,通过现场评估、脆弱性评估等技术手段分析被测评系统涉及的资产安全风险,从管理和技术两个层面找出存在的问题。安全管理包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;安全技术包含物理安全、网络安全、主机安全、应用安全、数据安全;加固的对象包括应用系统服务器、业务终端、安全设备、网络设备、审计管理等设备,加固的风险项包含并不限于:账户口令策略、三权分立、登录失败处理、访问控制、空闲会话超时处理、剩余信息保护、数据加密存储、日志审计、日志策略备份等。
2.基本要求
(1)对目标系统涉及的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等内容需指导、监督运维单位予以整改,并在处理后确认修改是否完成,对制度缺失项进行补充,协助补充记录和证据类文档。
(2)对目标系统需要修改代码等复杂操作需指导、监督运维单位予以修改,并在处理后确认修改是否完成,对制度缺失项进行补充,协助补充记录和证据类文档。
3.其他要求
中标供应商需协助采购人督促现有系统的运维单位完成测评整改工作;如需对采购人相关业务系统进行改造的,涉及到第三方费用问题由中标供应商与现有运维服务供应商自行协商相关事宜(要求投标人于投标文件中必须提供对此事项的承诺函,否则投标无效)。
二、其它要求:
1.要求出具的测评报告具备法律效力。
2.对于测试的工作要承担法律责任。
3.要求第三方测试属于通过技能及规范为用户提供服务。
4.要求所提供的全部服务符合服务行业的特性。
5.要求与采购人签署相关保密协议(要求投标人于投标文件中提供自行拟定的保密协议模板样式,否则投标无效),严格遵守协议要求执行。
6.在测评完成后,出具一式三份符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的网络安全等级保护测评报告。
三、商务要求
(一)完成时间及服务地点
1.完成时间:自合同签订后的90个日历日内完成。
2.服务地点:广西桂林市采购人指定地点。
(二)付款方式:合同签订后的10个工作日内支付总合同价款的30%;在服务、验收完成并收到开具的全额发票后的10个工作日内支付总合同价款的70%(无息)。
(三)服务标准及验收要求:本项目采购标的执行国家相关标准、行业标准、项目所在地地方标准等标准、规范;如具体项目需求与标准、规范不一致的,高于标准、规范的按具体项目需求执行。
四、投标人可于投标文件中提供以下方案,以供评审,具体详见第四章“评审办法”:
1.投标人的“技术和服务方案”(由投标人根据项目实际情况和“项目需求”及本项目评分办法自行编制)。
2.投标人的“项目实施人员配置方案”和“项目实施人员一览表” (由投标人根据项目实际情况和“项目需求”及本项目评分办法自行编制)。
五、本项目政府采购预算金额为(人民币):叁拾万元整(¥300000.00),超出政府采购预算金额的报价,投标文件将被视为无效处理。
注:本“项目需求”中的所有要求(除技术和服务方案、项目实施人员配备方案及项目实施人员一览表外)均为实质性要求,若有任意一项负偏离,投标文件作无效处理。
收藏