招标文件
- 项目需求书
本项目采购标的所属行业为“软件和信息技术服务业”
一、项目背景
由于检察院的检察业务都依托于信息系统来进行工作,这就对检察院信息系统的稳定、安全和高效提出了更高的要求。随着案件受理的数量不断攀升,复杂程度不断提高,检察活动对信息系统的依赖已成不争的事实,对系统的不可间断的要求非常明确,同时由于计算机信息网络、音视频采集传输为主要技术手段,构成了集群化联动式的综合信息管理系统运行规则,其系统技术难度和各业务模块之间的复杂关联程度异常突出,系统维护工作量大,运行维护成本相应上升。
以更好服务检察业务工作为出发点,为提供更好检察科技产品,满足外部信息资源共享和业务协同要求,加快推进我市检察系统以及我院信息化建设的步伐,提升我院信息化建设和使用的水平,为有效提高信息网络的稳定性和安全性,更好地发挥信息化的优势作用,为检察院的各项工作提供高效、优质的信息技术支持与服务,亟需开展信息系统的运维外包工作。
2017年6月1日,国家已正式颁布《中华人民共和国网络安全法》。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。同时还对违反要求的行为制定了相应的罚则。为了提高我院的网络安全保护能力,深入贯彻《网络安全法》关于网络安全等级保护制度,落实国家四部委关于《信息安全等级保护管理办法》(公通字[2007]43号)文件要求,按照国家《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019标准,须对我院所使用的检察工作网进行网络安全等级保护测评服务工作。
按照天津市国家密码管理局下发的《关于切实做好政务信息化项目密码应用工作的通知》(津国密局〔2020〕15号)要求,我院检察工作网及云桌面系统,须按照《中华人民共和国密码法》及相关规定、标准,合规使用密码技术进行安全防护,定期组织密码应用安全性评估。通过密码应用安全性评估服务,深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为信息资产安全和业务持续稳定运行提供保障,为提升我院信息系统安全奠定基础。
二、服务范围及内容
本项目内容包含三部分:
(一)信息网络运行维护保障服务
需要两名运维工程师,按照院保密工作要求,其中一名为涉密人员。在服务期间提供5*8小时驻场服务,7*24小时电话支持服务,故障响应时间为不超过2小时。主要运维服务内容包括:我院信息化基础环境的日常巡检维护,办公终端、网络设备、安防监控等信息化设备的保养维护及故障排除,会议保障的联调服务,各类信息系统的支撑配合,调整优化网络配置和网络结构,诊断和解决网络链路及设备故障,及时升级系统软件,及时总结和动态管理技术维护文档,做好系统数据和配置信息备份,提供软硬件技术支持,定期提交服务报告,包括工作周报、工作月报、季度总结和年度总结,配合完成其它交办的信息化运维服务工作。
(二)检察工作网网络安全等级保护测评服务
根据《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护实施指南》、《信息安全等级保护管理办法》,为天津市人民检察院第二分院提供等级保护测评技术服务。在完成安全控制点测评的基础上,实现对信息系统的整体测评。
系统列表如下:
|
序号 |
系统名称 |
系统等级 |
|
1 |
天津市人民检察院第二分院检察工作网 |
三级 |
1.测评时间要求:测评工作在合同签订并进场测评之后起三个月内完成。
2.在不影响系统正常运行的前提下,根据国家标准对各系统进行等级保护测评。由测评公司根据《网络安全等级保护测评过程指南》编写项目计划书,系统等级保护测评实施方案、测评方法,测评指导书,编写各种测评表单、测评报告、系统整改建议书等。
3.等级保护测评的实施方案、工作计划等文档内容应与我单位被测评系统结构相符合,编写测评实施保障措施,应急处理预案等,应体现对我单位系统运行的理解能力,测评组人员要有三级系统的等保测评项目经验,可有效保障测评安全,及时有效处理测评中出现的问题。
4.测评服务提供方应具备后续服务支持能力,要对测评结论提出整改建议并提供整改设计方案。在测评实施期间要提供7*24小时技术支持,要指定专业工程师提供5*8现场运行技术保障,提供不少于20人日的现场测评服务。全部测评文档装订成册,建立测评档案。
5.测评项目组至少由一名高级测评师、一名中级测评师、三名初级测评师组成,测评组长具有高级测评师证书,并提供项目组成员资质证明材料以及社保缴费证明材料。提供测评工具清单及技术资料。
(三)密码应用安全性评估服务
依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码应用安全性评估管理办法(试行)》、《网络安全等级保护条例》、《国家政务信息化项目建设管理办法》等相关要求,参照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和系统自身的安全需求分析,对被评估系统进行商用密码应用安全性评估,编制测评方案,在不影响系统正常运行的前提下,使用测评工具现场测评,判定测评结果并进行风险分析,提出可行性完善建议,出具测评结论和报告。针对信息系统密码应用要求和密码评估提供相关咨询、培训,对系统密码应用与方案提供咨询服务。
1.密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
2.密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
3.密码产品合规性测评:信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。
4.密码服务合规性测评:信息系统中使用的密码服务是否通过国家密码管理部门许可。
5.密码技术应用测评:从物理和环境、网络和通信、设备和计算、应用和数据等层面对信息系统中应用的密码技术进行分析与评估。
6.密钥管理测评:对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。
7安全管理测评:对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。
三、项目预算及服务年限
项目总预算人民币56万元,其中信息网络运行维护保障服务32万元,检察工作网网络安全等级保护测评服务12万元,密码应用安全性评估服务12万元。
投标供应商中标,签订合同之日起一年。
四、技术要求
(一)信息网络运行维护保障服务
1.服务地点:天津市人民检察院第二分院。
2.驻场运维人员须与我院签订《信息安全保密协议书》。认真遵守国家保密法律、法规和规章制度,履行保密义务。
3.制定运维服务相关工作制度、工作流程和工作规范;
4.定期交付服务报告,包括工作周报、工作月报、季度总结、年度总结、专项报告、建议报告等。
5.为信息系统后台基础设施、机房环境、办公终端等提供运维保障服务。
6.对各类应用系统数据、业务数据进行管理与维护,包括数据备份、数据恢复、远程备份管理和一致性、完整性、可用性等方面的维护工作。通过数据管理服务,实现信息系统“数据不丢”的工作目标。
(二)检察工作网网络安全等级保护测评服务
1.测评公司能够把握和理解国家对该类项目的具体要求,对等级保护政策标准本身有较深的认识。测评公司应具有完善的工作流程,有计划、按步骤地开展测评工作,保证测评活动的每个环节都得到有效的控制。
2.投标人须具有公安部第三研究所(国家认证认可委员会批准的认证机构)认证发放的《网络安全等级测评与检测评估机构服务认证证书》
3.为维护我单位的利益,测评公司在我单位实际测评工作中对我单位的系统、信息、数据有安全保密的义务,进场时必须签订保密协议。
4.测评公司在现场测评工作中必须在不影响我单位各业务系统对外服务的前提下进行。
5.测评公司在等级保护项目中必须提交国家规定格式的等级保护测评报告,并以此作为验收标准。
6.对于等级保护2.0所要求的安全通信网络、安全区域边界、安全管理中心、安全运维管理等内容,测评公司应具有完善的测评方案。
7.测评公司应具有完善的项目管理经验,包括制定项目汇报的体系、项目问题管理体系等。
8.测评公司应具备国家互联网应急中心颁发的CNCERT网络安全应急服务支撑单位资质和完善的应急体系,具有本地化的快速应急响应服务,以保证在整个项目过程中不影响我单位信息系统的正常运行。
9.测评公司必须为本项目成立至少5人的等级保护测评小组。由测评组长统一负责,测评组长具有高级测评师证书,项目组成员须包括至少一名高级测评师、一名中级测评师和三名初级测评师,提供测评小组所有成员测评师证书复印件及社保缴费证明材料。
10.测评公司需协助我单位对该系统进行定级备案工作。
11.测评公司应具有重要信息系统安全等级保护CIIP-T培训人员资质。
(三)密码应用安全性评估服务
1.服务地点:天津市人民检察院第二分院。
2.测评时间要求:测评工作在合同签订并进场测评之后起三个月内完成。
3.测评相关人员须与我院签订《信息安全保密协议书》。认真遵守国家保密法律、法规和规章制度,履行保密义务。
4.评估机构须在国家密码管理局发布的《商用密码应用安全性评估试点机构目录》中。
5.评估机构投入服务团队不少于3人,均须通过密码应用安全性评估人员测评能力考核,且项目经理考核成绩须为优秀(85分以上),具有丰富的系统密评测评经验。须提供证书复印件及社保缴费证明材料。
6.签订保密协议,在未经我单位认可的情况下,不得将任何我单位涉及数据安全的观点、数据、系统结构信息、测试结论以及测试记录传播、披露和使用,严格遵守保密要求。保密期限不受本项目期限的限制,在本项目履行完毕后,须继续承担保密义务。
7.协助我单位对网络与信息系统密评备案工作。
收藏