招标文件
采购需求
一、项目概况:
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护国家网络安全的根本保障,也是《中华人民共和国网络安全法》的要求。
为贯彻落实国家网络安全等级保护相关要求,采购人拟委托具有国家承认测评资质的测评机构对采购人所属信息系统展开等级测评,找出与国家网络安全等级保护基本要求存在的差距,在此基础上,采购人按照国家有关规定和标准规范要求对信息系统进行安全建设整改,并达到国家网络安全等级保护相关要求,通过公安等级保护主管部门的备案审核。切实提高采购人的信息安全防护水平,增强信息安全防护能力。
二、服务内容
(一)等保测评服务
本项目等级保护2.0相关要求:
第一步:供应商须协助采购人完成系统定级备案工作;
第二步:供应商对采购人的信息系统进行测试评估、分析差距、输出差距测评报告和安全整改建议;
第三步:采购人根据差距测评报告与安全整改建议实施安全整改;供应商须协助采购人按照等级保护相关标准完善安全管理制度;
第四步:供应商再次对采购人的信息系统进行测试评估、输出2.0验收测评报告,并协助采购人通过公安机关的备案与检查。
为此,供应商拟投入测评师(信息安全等级测评师或网络安全等级测评师)需要通过规范的等级保护测试评估,对采购人信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。
(二)安全服务
1.漏洞扫描服务
供应商通过采用专业的漏洞发现技术,对采购人授权的目标系统进行深入的探测与信息发掘,以发现系统中最脆弱的环节和可能被利用的入侵点,并明确当前系统中可能存在的严重问题,发现其可能存在的安全漏洞,提出整改建议。
服务频率:每个系统只进行1次。
2.渗透测试服务
服务团队通过模拟黑客可能使用的漏洞发现技术与攻击模式,对采购人授权的系统进行深入的探测与信息发掘,以发现系统中最脆弱的环节和可能被利用的入侵点,并明确当前系统中可能存在的严重问题,必要情况下可能获得目标系统最高权限并进行相关说明,同时避免导致目标系统的不正常行为及影响正常的应用,提出整改建议。
服务频率:每个系统只进行1次。
3.安全培训
为落实提升单位/企业网络安全人才支撑和保障能力培训工作,开展网络安全专题研讨和技术人员专题网络培训,全面提高领导干部的安全意识和技术人员的防护水平,掌握最前沿网络安全知识,掌握网络安全基础知识及提高应急处理能力,举办网络安全专题讲座培训。
服务频率:共计2次(包含安全意识与法律法规培训与网络安全技术能力培训)。
4.驻场运维服务
服务期间提供3人进行7*8小时专人驻场服务,协助采购人对日常的网络和网络安全设备服务过程中的问题进行跟进排查并解决,并协助采购人完成其他工作安排。
三、服务原则
项目的方案设计与实施应满足以下原则:
符合性原则:应符合国家网络安全等级保护制度及相关法律法规。
标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
规范性原则:项目实施应由专业的等级保护测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则:等级保护测评与安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害客户利益的行为。
客观性和公正性原则:虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
经济性和可重用性原则:基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
可重复性和可再现性原则:不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
结果完善性原则:测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
四、服务依据
网络安全等级保护测评依据《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级信息系统遵循的标准进行综合性测评,提出相应的安全评审意见。
主要参考标准如下:
1.法律依据
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
2.法规要求
《信息安全等级保护管理办法》(公通字[2007]43号)
《网络安全等级保护条例》(征求意见稿)
3.标准规范要求
《信息安全技术网络安全等级保护定级指南》
《信息安全技术网络安全等级保护基本要求》
《信息安全技术网络安全等级保护测评要求》
《信息安全技术网络安全等级保护安全设计技术要求》
《信息安全技术网络安全等级保护测评过程指南》
五、服务要求
1.供应商须保证从事本项目工作的相关人员具备完成合同规定的工作所需的资历和技能,并向采购人如实提供相关人员专业经验和水平的证明材料,以及其他的供应商认为有必要提供的资料。
2.供应商需要成立项目服务团队。
3.项目经理须具备3年或以上网络安全等级保护测评项目管理经验。
4.项目经理与技术服务人员必须为本公司工作人员。
5.供应商拟投入本项目全部实施人员须在项目投标提交的人员名单之内。
6.其他:
(1)如果供应商的人员未能满足采购人要求,采购人有权在供应商工作期间,根据服务质量随时要求更换人员,由此产生的费用和相关责任由供应商承担。
(2)若供应商需要更换核心服务人员,应提前以书面方式通知采购人项目总负责人,并附上相应人员的详细简历供采购人进行审核,只有获得采购人项目总负责人的正式批准后方能进行更换。
六、质量保证
(一)供应商应制定质量计划作为项目策划的一部分,质量计划应包括下列内容:
1.质量目标,以定量形式给出。
2.对质量活动的具体职责,诸如:评审和测试、配置管理和更改控制、对缺陷的控制及纠正措施。
3.质量计划应顺次列出从整体规划到成果提交全过程中的每一个工序(阶段)及其相应的控制规程和控制措施。
4.质量计划应在工作开始前提交采购人项目总负责人审核认可,并设置采购人参加的控制点。
5.采购人代表有权在工作时间内进入供应商与合同执行有关的工作场所进行质量控制与评价活动,供应商应为采购人的活动提供必要的条件,并给予必要的支持。
6.采购人对供应商进行的一切质量控制与评价活动,不能减免供应商的合同责任。
7.文件控制,供应商须对工作的执行和验证所需要的文件(例如规程、细则等)的编制、审核、批准和发放进行控制,以保证参与活动的人员能使用完成该项活动所需的正确文件(规程、细则等),应建立并保存足够的质量保证记录(包括检查、确认及评审等记录),记录应能体现质量的客观证据。
8.供应商须按照合同规定向采购人提交各种有关文件记录,并对文件记录的内容及其有效性负全部责任。
七、安全保密要求
1.供应商及其服务人员均须与采购人签署相关保密协议,同时供应商须与其服务人员就本次服务签署保密协议。
2.针对本服务项目,要求服务人员在项目投标提交人员名单中的变动率不得超过20%,确需变更(减少人员、增加人员、替换人员)应提前一周通知采购人并获得批准后方可进行。
3.服务过程中所有原始资料和数据均须妥善保管,仅限在项目组内为本服务项目所用,不得以任何方式外泄或用于其它用途,服务人员须及时删除存储在电脑中或纸质的数据和文件材料。
八、项目成果及形式
本项目完成后预期取得的成果应包括以下部分:
1.测评报告
提供等保2.0测评标准的最终等级保护安全测评报告。
2.公安机关回执证明
提供公安机关对等保测评结果的备案与检查后的回执证明。
3.漏洞扫描报告
提供系统的漏洞扫描报告与整改建议。
4.渗透测试报告
提供系统的渗透测试报告与整改建议。
5.培训计划与课件
提供网络安全培训的计划与培训课件。
6.驻场总结报告
提供每月、季度、年度总结报告。
采购包1(阳江市海陵岛经济开发试验区智慧海陵岛建设项目安全等级保护测评服务)1.主要商务要求
|
标的提供的时间 |
自合同签订之日起两年内完成且验收合格结束。 |
|
标的提供的地点 |
采购人指定地点(如有变化另行确定)。 |
|
付款方式 |
1期:支付比例30%,项目合同签订后5个工作日内支付合同总额的30%作为预付款。
2期:支付比例60%,合同签订一年后支付合同总额的60%。
3期:支付比例10%,项目经甲方验收通过后 15 个日历日内支付合同总额的10%。 |
|
验收要求 |
1期:项目初验后,完成测试评估,并出具差距测评报告和安全整改建议。 项目最终验收前,需完成对信息系统整改后的测试评估、出具2.0验收测评报告与其他交付物,并协助采购人通过公安机关的备案与检查。本项目完成后取得的成果应包括以下部分: (1)测评报告 提供等保2.0测评标准的最终等级保护安全测评报告。 (2)公安机关回执证明 提供公安机关对等保测评结果的备案与检查后的回执证明。 (3)漏洞扫描报告 提供系统的漏洞扫描报告与整改建议。 (4)渗透测试报告 提供系统的渗透测试报告与整改建议。 (5)培训计划与课件 提供网络安全培训的计划与培训课件。 (6)驻场总结报告 提供每月、季度、年度总结报告。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
测试评估认证服务 |
阳江市海陵岛经济开发试验区智慧海陵岛建设项目安全等级保护测评服务 |
项 |
1.00 |
1,400,000.00 |
1,400,000.00 |
软件和信息技术服务业 |
详见附表一 |
附表一:阳江市海陵岛经济开发试验区智慧海陵岛建设项目安全等级保护测评服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
|
1 |
详见采购需求。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
收藏