招标文件
招标项目技术和商务要求
一、项目概述
四川省公安厅机关信息系统网络安全等级保护测评服务项目,测评对象为每年对厅机关不超过 70 个三级及以上信息系统开展等级保护测评工作,具体系统的信息和数量由采购人每年书面确认。
二、技术要求
★(一)测评总体要求
1. 安全技术测评。包括物理环境安全,网络通信安全、安全区域边界、安全计算环境、安全管理中心五个方面的安全测评。
2. 安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
3. 形成差距分析报告。依据前期测评数据,对等级测评结果进行汇总形成差距分析报告,报告至少包含:差距测评结论(结论为达标、基本达标、不达标),问题清单和整改建议等内容。
4. 配合开展整改工作。供应商协助采购人依据差距分析报告中的问题清单和整改建议开展整改技术咨询工作。
5. 测评并出具报告。供应商按照国家相关规范开展测评,出具真实有效的测评报告。
6. 结果填报。供应商将测评结论填报至网络安全等级保护测评项目等级管理系统。
★(二)测评技术要求
1.安全物理环境
安全物理环境检查主要是了解信息系统的物理安全保障情况,涉及对象为机房。在内容上,安全物理环境层面测评实施过程涉及的工作单元,具体如表 1:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
物理位置的选择 |
检查机房,测评机房物理场所在位置上是否具有防震防风和防雨等多方面的安全防范能力。 |
|
2 |
物理访问控制 |
检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
|
3 |
防盗窃和防破坏 |
检查机房内的主要设备、介质和防盗报警设施等过程测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
|
4 |
防雷击 |
检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
|
5 |
防火 |
检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
|
6 |
防水和防潮 |
检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
|
7 |
防静电 |
检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
|
8 |
温湿度控制 |
检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
|
9 |
电力供应 |
检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
|
10 |
电磁防护 |
检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
表 1 安全物理环境测评内容
2. 安全通信网络
安全通信网络检查主要是了解系统的网络架构和通信传输等,涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上,安全通信网络层面测评过程涉及的工作单元,具体如表 2:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
网络架构 |
检查核心设备的 CPU 和内存使用率,整个网络带宽是否满足现状,VLAN 划分是否合理,网络架构是否做到设备冗余、链路。 |
|
2 |
通信传输 |
检查数据在传输过程中的的完整性和保密性措施。 |
|
3 |
可信计算 |
检查设备是否进行可信验证。 |
表 2 安全通信网络测评内容
3. 安全区域边界
安全区域边界检查主要是了解系统在网络边界的防护措施,涉及对象为防火墙、入侵检测、安全审计等安全设备。在内容上,安全区域边界层面测评实施过程涉及的工作单元,具体如表 3:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
边界防护 |
检查网络边界是否有访问控制设备,访问控制策略是否合理,是否关闭了闲置端口等。 |
|
2 |
访问控制 |
检查网络中的访问控制策略是否合理、有效。 |
|
3 |
入侵防范 |
检查网络中是否采用了入侵防范措施,验证该措施是否有效。 |
|
4 |
恶意代码和垃圾邮件防范 |
检查网络中是否有恶意代码和垃圾邮件防范措施。 |
|
5 |
安全审计 |
检查网络中是否有综合安全审计措施。 |
|
6 |
可信验证 |
检查设备是否进行可信验证。 |
表 3 安全区域边界测评内容
4. 安全计算环境
安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施,涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上,安全计算环境层面测评实施过程涉及的工作单元,具体如表 4:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
身份鉴别 |
检查所有设备的登录用户是否有身份鉴别措施,是否有复杂度、唯一性等检查。 |
|
2 |
访问控制 |
检查用户的权限分配情况,默认用户和默认口令使用情况等。 |
|
3 |
安全审计 |
检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。 |
|
4 |
入侵防范 |
检查设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
|
5 |
恶意代码防范 |
检查设备的恶意代码防范情况。 |
|
6 |
可信验证 |
检查设备是否进行可信验证。 |
|
7 |
数据完整性 |
检查系统数据的传输完整性和存储完整性措施。 |
|
8 |
数据保密性 |
检查系统数据的传输保密性和存储保密性措施。 |
|
9 |
数据备份恢复 |
检查系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
|
10 |
剩余信息保护 |
检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
|
11 |
个人信息保护 |
检查系统对个人信息的采集和使用情况。 |
表 4 应用系统安全测评内容
5. 安全管理中心
安全管理中心检查主要是了解系统在管理、审计等集中管理的情况,涉及对象为综合管理类设备、综合审计类设备等。在内容上,安全管理中心实施过程涉及的工作单元, 具体如表 5:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
系统管理 |
检查是否对系统管理员进行统一的身份鉴别,操作审计等。 |
|
2 |
审计管理 |
检查是否对审计管理员进行统一的身份鉴别,操作审计等。 |
|
3 |
安全管理 |
检查是否对安全管理员进行统一的身份鉴别,操作审计等。 |
|
4 |
集中管控 |
检查是否划分独立的安全管理区域,是否对网络中运行的设备进行状态监测、日志审计、安全审计等,是否对补丁、恶意代码进行统一管理。 |
表 5 安全管理中心测评内容
6. 安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况, 主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元,具体如表 6:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
安全策略 |
核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略 |
|
2 |
管理制度 |
检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
|
3 |
制定和发布 |
检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
|
4 |
评审和修订 |
检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
表 6 安全管理制度测评内容
7. 安全管理机构
安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况, 主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上, 安全管理机构测评实施过程涉及的工作单元,具体如表 7:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
岗位设置 |
检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
|
2 |
人员配备 |
检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
|
3 |
授权和审批 |
检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
|
4 |
沟通和合作 |
检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
|
5 |
审核和检查 |
检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
表 7 安全管理机构测评内容
8. 人员安全管理
安全管理人员测评是为了了解单位人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程涉及的工作单元,具体如表 8:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
人员录用 |
检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
|
2 |
人员离岗 |
检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
|
3 |
安全意识教育和培训 |
检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
|
4 |
外部人员访问 管理 |
检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
表 8 安全管理人员测评内容
9. 安全建设管理
安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全建设管理测评实施过程涉及的工作单元,具体如表 9:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
定级和备案 |
检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
|
2 |
安全方案设计 |
检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
|
3 |
产品采购和使用 |
测评是否按照一定的要求进行系统的产品采购。 |
|
4 |
自行软件开发 |
检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
|
5 |
外包软件开发 |
检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
|
6 |
工程实施 |
检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
|
7 |
测试验收 |
检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
|
8 |
系统交付 |
检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
|
9 |
等级测评 |
检查系统之前等级测评的情况,以及之前测评机构的资质等。 |
|
10 |
服务供应商选择 |
测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
表 9 安全建设管理测评内容
10. 安全运维管理
安全运维管理测评是为了了解系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程涉及的工作单元,具体如表 10:
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
环境管理 |
检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
|
2 |
资产管理 |
检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
|
3 |
介质管理 |
检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
|
4 |
设备维护管理 |
检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
|
5 |
漏洞和风险管 理 |
检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 |
|
6 |
网络和系统安全管理 |
检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容;检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容;核查是否具有对日志、监测和报警数据等进行分析统计的报告;核查开通远程运维的审批记录,核查针对远程运维的审计日志是否不可以更改等。 |
|
7 |
恶意代码防范管理 |
检查恶意代码防范管理文档和恶意代码检测记录等过程, 测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
|
8 |
配置管理 |
检查是否对基本配置信息进行记录和保存,基本配置信息改变后是否及时更新基本配置信息库等。 |
|
9 |
密码管理 |
测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
|
10 |
变更管理 |
检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
|
11 |
备份与恢复管理 |
检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份, 并确保必要时能够对这些数据有效地恢复。 |
|
12 |
安全事件处置 |
核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档;核查安全事件报告和处置管理制度是否明确了与安全事件有关的工作职责、不同 安全事件的报告、处置和响应流程等;核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过 程、经验教训、补救措施等内容。 |
|
13 |
应急预案管理 |
检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
|
14 |
外包运维管理 |
检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 |
表 10 安全运维管理测评内容
三、测评依据
本项目测评依据包含不限于以下内容:
(1)《信息安全等级保护管理办法》(公通字[2007]43 号)
(2)《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
(3)《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
(4)《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019
(5)《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019
(6) 《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018
(7) 《中华人民共和国网络安全法》
四、其他履约要求
★(一)人员要求
1. 供应商应根据本项目实际情况配置不少于 15 名人员的专业团队,具体为:
(1) 项目经理 1 名(具有信息安全等级测评师(高级)或网络安全等级测评师( 高级)证书);
(2) 技术负责人 1 名(具有信息安全等级测评师(高级)或网络安全等级测评师(高级)证书);
(3) 测评团队其他成员≥13 名(其中 8 名中级或以上测评人员具有信息安全等级测评师(中级)或网络安全等级测评师(中级)证书,负责现场测评的实施组织和报告编制等工作;5 名初级或以上测评人员具有信息安全等级测评师(初级)或网络安全等级测评师(初级)证书,负责现场测评实施工作。)。
注:1.投标人需提供以上人员证书复印件并加盖投标人单位公章。2.签订合同前, 供应商及实施人员须按照《四川省公安机关信息化合作企业和人员安全管理办法》签订相关协议,严格遵守法律法规,对相关敏感、系统风险信息、项目实施内容及成果信息进行严格保密。未经同意,严禁将上述内容与任何第三方透露或用于其他商业用途,并承担由此产生的一切损失。
(二)履约能力
(1) 投标人应具有信息技术服务管理体系证书(认证范围包括类似“评估测试服务”);
(2) 投标人应具有信息安全管理体系证书(认证范围包括类似“评估测试服务”);
(3) 投标人具有 8 份及以上 CNVD 颁发的“原创漏洞证明”证书;
(4) 投标人具有中国合格评定国家认可委员会(CNAS)颁发的认可证书(能力范围至少包含:软件产品和网络安全等级保护测评等相关内容)。
注:1.投标人须提供以上(1)-(2)要求中的体系证书复印件或在国家认证认可监督管理委员会官网的查询结果截图或打印件并加盖投标人单位公章。
2. 投标人须提供以上(3)-(4)要求中的证书复印件并加盖投标人单位公章。
(三)其他要求
投标人提供的测评服务方案中包含:①测评流程、②测评方法、③测评指标。
★五、商务要求
1. 服务期限:三年,合同一年一签。每正常履行一年服务并通过验收后,支付当年服务费用,续签下一年度服务合同。
2. 服务地点:四川省公安厅。
3. 付款方式:采购人根据系统测评单价和年度测评系统数计算合同年度费用,采购人在收到供应商出具的有效等额发票后,10 个工作日内支付合同年度费用的 100%。
4. 验收方案:
(1) 履约验收的主体:四川省公安厅
(2) 邀请验收对象:专家
(3) 验收时间:供应商提出验收申请之日起 20 日内组织验收
(4) 验收方式:自行验收
(5) 验收程序:一次性验收
(6) 验收内容:审核每年被测系统的测评结论备案证,必要时抽查系统的测评报告及过程文档。
(7) 验收标准:
①验收依据:按照本项目招标文件、中标人的投标文件、双方签订的合同、技术协议以及经双方同意增加的文件(如补充协议、变更协议)等;
②验收文件的签署:服务期满后,由供应商撰写服务完成报告,由采购人组织验收。验收通过后签署验收报告,作为本项目通过验收的标志。采购人在规定时间内无故不进行验收工作并已使用项目履约成果的,视同验收合格;
③项目验收结果合格的,采购人将按合同约定支付服务费;验收结果不合格的,采购人有权上报本项目同级财政部门按照政府采购法律法规等有关规定给予行政处罚或者以失信行为记入诚信档案。其他未尽事宜应严格按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205 号)等国家及行业有关标准的要求进行验收。
注:带★项条款为实质性要求和条件,不允许负偏离。
收藏