招标文件
招标内容及要求
一、项目概况(采购标的)
1、项目背景
中国(厦门)国际贸易“单一窗口”(以下简称厦门“单一窗口”)平台是由厦门市政府主导建设,厦门自贸委组织实施,市口岸办、海关、边检、海事共建,发改、商务、工信、财政、交通、港口、税务、外管、金融等11个政府部门参与,银行、货站、堆场、码头、机场等20多个服务企业协同,为企业提供口岸通关、跨境贸易、物流、政务、金融等一站式公共服务,业务覆盖厦门口岸,并复制推广到泉州、漳州、龙岩等周边地区,口岸业务办理实现“一个窗口、一次申报、一次办结”。平台整体涵盖以下九大功能模块:“通关服务”“物流服务”“贸易政务”“金融服务”“互联协作”“特殊区域”“跨境电商”“数据服务”“第三方应用”。
2、项目规模
厦门“单一窗口”平台网络安全包括物理安全、基础网络安全和应用系统安全三部分。物理环境包含:环境监控、设备安全、人员出入管理、防火、防水、防盗等方面,完善物理安全保障措施,保障系统免受因上述物理环境破坏造成的服务停止或数据损失。基础网络包含承载“单一窗口”平台所需的所有网络设备、安全设备和服务器(硬件服务器、存储、云平台及虚拟化服务器系统),截至2024年7月平台设备包含:32台网络设备、25台安全设备,以及由46台服务器、15台存储设备构建云平台及其257台虚拟机。数据安全包含厦门“单一窗口”平台所产生、流转、存储、交换等数据生命周期涉及的业务数据,截至2024年7月平台存储业务数据已达64亿条。平台累计注册企业(机构)约20000家,累计注册用户约22.5万个,个人信息(包含身份证件信息,姓名,手机号)约60万条,存储量约9TB。
3、项目目标
本项目旨在通过等级保护复测服务取得专业的等级保护第三级的测评报告,同时取得商用密码应用安全性评估差距分析报告;在等保咨询与评估服务期间,通过持续运营来保证信息系统的安全水平始终保持在“三级等保”安全防护水平之上。同时,通过数据安全服务,开展厦门“单一窗口”平台端业务数据梳理摸清数据安全现状,理清数据资产,掌握敏感数据分布,把握数据安全合规总体状态,完成数据分类分级,建立健全数据安全制度体系和数据安全运营机制,解决厦门“单一窗口”平台端在数据统计、分析、挖掘过程中安全风险,做到“访问内容可定义、访问过程可监控、访问记录可审计”。
4、验收标准
1、完成厦门“单一窗口”网络安全等级保护咨询、测评与数据安全咨询服务,提供服务期间所产生的所有文档需提供纸质报告和电子文档,项目验收时需提供项目相关文档的纸质合订本。
2、完成厦门“单一窗口”平台第三级等保复测、并取得厦门“单一窗口”平台第三级等保测评报告。
3、完成厦门“单一窗口”平台数据安全咨询服务,提供服务期间所产生的所有文档需提供纸质报告和电子文档,项目验收时需提供项目相关文档的纸质合订本。
4、完成厦门“单一窗口”平台商用密码应用需求分析服务,并提供《商用密码应用安全性评估差距分析报告》。
二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)
1、服务内容
本项目服务内容主要包括:1、网络安全等级保护咨询、测评服务;2、数据安全咨询服务;3、商用密码应用安全性评估差距分析服务。具体内容如下:
|
服务类型 |
服务分项 |
服务内容 |
交付成果 |
|
网络安全等级保护咨询、测评服务 |
第三级等级保护安全评估服务 |
①服务人员根据厦门“单一窗口”现有情况进行梳理,完成复测备案资料更新;②服务人员针对厦门“单一窗口”平台所有业务系统进行渗透测试并输出渗透测试与评估报告;③服务人员根据现有法律法规及行业监管部门要求优化安全管理体系;④服务人员从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面对中国(厦门)国际贸易“单一窗口”平台进行风险分析和全面评估,编制等级化安全评估报告;⑤根据等级化评估报告提出加固建议报告和等级保护整改建议方案。⑥根据差距分析报告及未来发展规划提供安全咨询与安全规划建议;⑦现场配合第三方测评机构人员完成第三级等级保护测评工作,协助完成等级保护第三级复测取得中国(厦门)国际贸易“单一窗口”平台第三级等保测评备案证明;⑧在服务期内持续运营,落实各项管理制度及安全规范执行情况。 为了方便投标人测评工作及整改建设工作的开展,投标人需提供漏洞管理工具,漏洞管理工具需具备以下功能:能够对漏洞进行查看、过滤、搜索、导出、变更状态等操作。 为保障等级化安全评估服务有序进行,投标人需提供自动化渗透测试,测试工具需完成自动化渗透测试认定:“支持探测SQL注入、XXE、XSS、任意文件上传、任意文件下载、任意文件操作、信息泄露、弱口令、本地文件包含、目录遍历、命令执行、错误配置等漏洞;支持部分远程执行、文件上传类漏洞自动化利用,可以自动获取反弹shell或者上传webshell”。 投标人等级化安全评估服务需满足云计算扩展要求,为了不影响应用的正常运行,针对云平台上的东西向流量提供引流分析,引流设备需具备网元管理、网元服务链配置、网元引流功能。 为保障渗透测试与评估服务的全面性和深入性,投标人需提供自有众测平台进行渗透测试服务。 投标人持续运营服务需提供系统加固服务工具,工具支持系统加固,从系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维度对系统进行防护。 |
《第三级等级保护测评定级报告》《渗透测试与评估报告》《信息系统安全管理制度检查记录表》《信息系统安全管理制度修改记录表》《等级化安全评估报告》《等级保护安全整改与优化建议》《第三级等级保护建设加固建议》《测评高危项及扣分项记录表》《月度台账检查记录单》《月度互联网测渗透报告》《信息系统安全管理制度月度检查记录表》《信息系统安全管理制度新增/优化记录表》 |
|
第三级等级保护复测服务 |
★投标人承诺于2024年12月31日前完成测评并取得第三级等级保护测评报告,报告应由具备《网络安全等级测评与检测评估机构服务认证证书》资质的机构出具。 投标人应依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对中国(厦门)国际贸易“单一窗口”平台九大功能模块42个业务系统进行第三级等级保护测评,并出具等保测评报告。测评的范围主要包括系统的物理环境、主机、网络、业务应用系统、安全管理制度和人员等。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面,对中国(厦门)国际贸易“单一窗口”平台进行综合测评。 投标人在投标文件中必须响应可满足上述要求。 |
《等级保护第三级测评报告》 |
|
|
数据安全咨询服务 |
数据安全现状调研服务 |
①合规性解读,明确数据安全合规遵从采购人需求;②了解业务战略和IT战略;③调研业务和数据现状,识别关键业务场景及关键数据,数据流转情况等;④需求分析、调研报告编制阶段性汇报。 |
《数据安全现状调研报告》 |
|
数据安全分类分级咨询服务 |
①结合厦门“单一窗口”平台实际情况提供定制化的数据资产梳理表,梳理内容主要包含数据来源、数据类别、数据名称、数据级别、数据规模、数据存储载体、数据处理要素、数据管理要素、数据流动要素等内容;②结合前期业务调研及数据资产梳理情况,结合业务需求和数据安全管理需求,明确分类维度,制定数据安全分类框架;③依据《数据安全分类分级标准规范》及数据分类分级框架逐步进行数据分类分级验证工作,与数据安全部门及业务部门进行确认,验证数据类别、数据安全级别划分的合理性、恰当性,并通过内部评审,最终形成数据分类分级成果清单;④制定敏感数据资产目录、形成核心数据、重要数据、个人数据等目录或清单。 为了方便投标人分类分级的工作开展,投标人需提供数据分类分级管理系统,系统需具备以下功能:A、支持数据资产自动发现,根据指定的ip和端口主动嗅探网络中的数据资产(如MySQL数据库等);B、支持对发现的数据资产进行分类分级:支持对分类分级规则库的升级、添加、删除查询、导入和导出操作:支持对分级分类数据进行结果展示;支持生成数据分类分级报告并导出(excel格式);C、支持敏感数据特征自定义;支持敏感数据识别,通过数据识别特征自动匹配数据,识别结果可导出;D、支持根据数据源分类分级的结果梳理出当前数据源结构目录,展示数据源、数据表、字段总数、敏感数据数等相关信息。 |
《业务数据资产清单》《数据安全分类分级管理规范》《数据分类分级敏感数据目录》《数据分类分级成果清单》 |
|
|
数据安全风险评估服务 |
①从合规遵从需求出发、对现有数据安全管理组织、制度流程、技术防护措施现状进行安全评估;②结合业务场景和数据流转,识别数据安全关键风险,并对风险进行评估,并给出风险缓解措施和整改建议;③对于特定的应用场景评估基于场景的数据安全防护能力;④围绕敏感数据进行威胁分析,识别存在的安全风险。 为了方便投标人数据安全风险评估服务的工作开展需提供服务工具,工具支持对数据库漏洞攻击防护;支持对SQL注入高危行为的拦截;支持实时阻断已连接的数据库会话。 |
《数据安全风险评估报告》 |
|
|
数据安全管理制度建设服务 |
①结合现状调研工作梳理的管理现状,对标国家数据安全法律法规明确的数据安全制度、数据安全保护义务、客户的实际经营管理需要,梳理数据安全管理组织、制度流程相关需求;②建立数据安全管理组织框架及明确各级职责;③根据数据安全管理相关制度规范文档需求,进行数据安全管理制度体系的设计;④编制数据安全管理体系设计方案;⑤准备数据安全管理体系设计方案相关汇报材料并完成汇报;⑥根据意见优化数据安全管理体系设计方案,完成方案调整并输出交付;⑦结合国家法律法规要求、行业数据安全政策标准及管理要求,以及数据安全管理组织明确的职责边界,编制《数据安全管理办法》大纲;⑧编写数据安全管理办法初稿,根据客户要求进行内部评审,并根据评审结果进行修订;⑨专家评审,并根据评审结果进行修订,形成《数据安全管理办法》征求意见稿。 |
《数据安全管理制度体系建设方案》《数据安全管理办法》《数据全生命周期安全管理制度》《数据安全应急处置预案》 |
|
|
数据安全体系建设服务 |
①结合业务场景和数据流转,针对不同类别和级别的数据制定数据安全分级管控和防护的方案;②对于特定的应用场景设计基于场景的数据安全防护规划,设计包含应用访问防护场景、敏感数据应用场景、数据日常流动场景、数据运维使用访问场景、数据存储场景等保护规划等。③根据技术体系设计方案设计同类别和同级别的数据制定数据安全分级管控和防护的策略及基于特定应用场景的数据安全防护策略 |
《数据安全体系建设方案》《数据安全策略规划矩阵》 |
|
|
商用密码应用安全性评估差距分析服务 |
差距分析服务 |
对厦门“单一窗口”平台进行全面的商用密码应用安全性评估,编制商用密码应用安全性评估差距分析报告,为厦门“单一窗口”平台密评改造提供依据。投标人在投标文件中须响应可满足上述要求。 |
《商用密码应用安全性评估差距分析报告》 |
|
项目管理 |
服务方案 |
提供完整的项目服务方案,方案内容包含以上服务内容及具体措施与安排。 |
|
|
|
项目团队 |
本次项目需成立专门的项目组,项目组成员包含以下人员: 1、项目经理:本项目配备1名具备丰富等保项目经验人员作为项目经理,须有5年以上网络安全行业经验并同时取得CISP+计算机技术与软件专业资格高级职称证书。 2、安全渗透工程师:本项目配备3名专业的安全检测人员,安全检测工程师须有3年以上安全检测经验,并具备相关资质认证(如:CISP、CISP-PTE、CISP-PTS)。 3、等保测评工程师:本项目配置3名专业的等保测评工程师,其中至少1人为高级等级测评师,需取得网络安全等级测评师证书(高级),其余2人为中级等级测评师,需取得网络安全等级测评师证书(中级)。 4、安全服务工程师:本项目配置3名专业的安全服务工程师,须有3年以上安全行业从业经验,并具备相关资质认证(如:CISO、CISA、CISP、DJJS等)。 5、数据安全服务人员:本项目配置至少3名专业的数据安全服务人员,须有5年以上数据安全治理从业经验,并具备相关资质认证(如:CCRC-DSO、CDSP、CDGA、DSMM评估师、DSI数据安全专家、数据安全工程师(高级)等)。 |
|
★项目实施人员需与投标材料人员相一致,变更项目实施人员需提前与采购人申请并提供同等资质人员作为变更候选人,采购人审批通过后方可进行人员变更、同时人员变更需无缝对接。(投标人在投标文件中必须响应可满足上述要求)
三、商务要求(以“★”标示的内容为不允许负偏离的实质性要求)
采购包1:
|
序号 |
参数性质 |
类型 |
要求 |
|
1 |
|
交货时间 |
合同签订之日起1年(其中等保复测服务需在2024年12月31日前完成并取得第三级等级保护测评报告) |
|
2 |
|
交货地点 |
采购人指定地点 |
|
3 |
|
交货条件 |
顺利完成厦门“单一窗口”平台第三级等保复测、并取得厦门“单一窗口”平台第三级等保测评报告及完成厦门“单一窗口”平台商用密码应用需求分析服务,并提供《商用密码应用安全性评估差距分析报告》。 |
|
4 |
|
是否邀请投标人验收 |
不邀请投标人验收 |
|
5 |
|
履约验收方式 |
1、期次1,说明:中标人完成所有服务内容后向采购人提出验收申请,采购人在一个月内组织会议验收。 |
|
6 |
|
合同支付方式 |
1、合同签订生效后,采购人在收到中标人提交的付款申请及相应合同金额的发票后,达到付款条件起7日内,支付合同总金额的40.00% 2、取得厦门“单一窗口”平台第三级等保测评报告,采购人在收到中标人提交的付款申请及相应合同金额的发票后,达到付款条件起7日内,支付合同总金额的30.00% 3、通过采购人组织的验收评审后,采购人在收到中标人提交的付款申请及相应合同金额的发票后,达到付款条件起7日内,支付合同总金额的30.00% |
|
7 |
|
履约保证金 |
不缴纳 |
|
8 |
|
其他 |
交货时间(补充):自合同签订之日起1日到岗,合同签订之日起1年(其中等保复测服务需在2024年12月31日前完成并取得第三级等级保护测评报告)。合同支付方式(补充):7日为7个工作日。 |
收藏