招标文件
采购需求
一、项目概况:
项目属性:服务类
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,也是《中华人民共和国网络安全法》的要求。
为贯彻落实国家信息安全等级保护相关工作要求,根据《信息安全等级保护管理办法》的要求,广州市人力资源和社会保障数据服务中心拟委托具有相关测评资质的测评机构对广州市人力资源和社会保障数据服务中心的信息系统展开等级保护测评,找出与国家信息安全等级保护基本要求存在的差距,在此基础上,广州市人力资源和社会保障数据服务中心按照国家有关规定和标准规范要求对信息系统进行安全建设整改,并达到国家信息安全等级保护相关要求,并取得符合公安要求的网络安全等级保护测评报告。
三、项目内容
★本项目测评系统清单及采购预算与报市政数局的项目方案备案稿中的相关内容一致。请投标人按照“2、测评系统清单”的内容在《分项报价表》对应进行报价,且各系统测评服务单项的报价金额不得超出其批复金额。
1、服务清单
|
序号 |
项目名称 |
服务范围 |
备注 |
|
1 |
广州市人力资源和社会保障数据服务中心广州市人社数据中心2024年-2025年运维项目之安全等保测评服务子项目 |
对广州市人力资源和社会保障数据服务中心10个三级系统及2个二级(见测评系统清单)的网络安全等级保护测评服务。 |
|
2、测评系统清单
|
序号 |
系统名称 |
系统等级 |
批复金额(万元) |
备注 |
|
1. |
广州市就业培训信息系统 |
第三级 |
8 |
|
|
2. |
广州市劳动保障监察管理信息系统 |
第三级 |
8 |
|
|
3. |
省大集中社保系统上线差异化的广州本地社保业务系统 |
第三级 |
8 |
|
|
4. |
就业数据智能调度服务系统 |
第三级 |
8 |
|
|
5. |
公共服务平台之数据中心应用 |
第三级 |
8 |
|
|
6. |
广州市劳动保障网上办事系统 |
第三级 |
8 |
重新定级备案 |
|
7. |
人才引进管理系统 |
第三级 |
8 |
暂定,原二级系统升级为三级 |
|
8. |
资源共享平台 |
第三级 |
8 |
暂定,原二级系统升级为三级 |
|
9. |
人事人才基础管理系统 |
第三级 |
8 |
暂定,原二级系统升级为三级 |
|
10. |
高层次人才管理系统 |
第三级 |
8 |
暂定,原二级系统升级为三级 |
|
11. |
专业技术人员管理系统 |
第二级 |
6 |
系统更名重新定级备案 |
|
12. |
智能咨询平台 |
第二级 |
6 |
|
说明:在测评系统对应的数量和等级不变的情况下,具体测评系统将根据采购人实际情况进行调整,重新定级备案系统需协助采购人准备相关会议材料。
四、项目要求
1、项目参考规范
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》
《GB/T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
2、 测评要求
投标人必须按照等级保护测评相关标准和规范的要求,结合本项目实际建设内容和等级保护测评工作实际需要,制定本项目等级保护测评服务方案(包括测评内容、测评流程、保密措施、风险防范措施),开展网络安全等级保护测评服务,并出具相关的测评报告。
(1)差距评估服务
投标人根据网络安全等级保护标准对采购人的信息系统实施差距评估,实施差距评估后出具网络安全等级保护差距评估问题清单及整改建议。
网络安全等级保护测评应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全控制测评;安全管理测评包括;安全管理制度、安全管理机构、安全管理人员、安全建设管理和系统运维管理五个方面的安全控制测评。
系统整体测评主要包括安全控制点间、层面间两部分。
根据被测系统信息系统的具体情况,结合标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
(2)安全整改咨询服务
协助采购人制定并落实安全管理制度,落实安全责任,建设安全设施,落实安全技术措施,提供无偿的咨询服务,指导采购人完成信息系统的安全整改,达到国家规定的信息安全要求。
(3)复测确认服务
待采购人根据差距评估报告完成整改后,中标供应商再次对采购人的信息系统进行验收测评,并根据实际测评结论出具《网络安全等级保护等级测评报告》,并协助采购人通过公安机关的报告审核。
3、测评工具要求
测评过程须对应用系统进行代码、数据、网络安全及相关移动应用等相关层面进行安全性分析,投标人应具备等保测评过程中所使用到的专业服务工具,包括但不局限于1.web应用源代码扫描系统(用于进行代码漏洞检测)2.数据安全测评系统(对系统安全性进行分析)3.网络安全远程评估系统(互联网端漏洞分析)4.移动应用安全漏洞及合规检测系统(测评系统相关移动应用安全性分析)5.数据包分析系统(对网络数据流量包进行抓包分析)6.密码网络协议分析测评系统(对网络传输协议进行安全性分析)7.漏洞信息检测系统(对应用系统进行漏洞扫描)8.网络安全数据管理系统(对系统数据管理方式安全性进行分析),工具必须能高效、全方位的检测系统的各类脆弱性风险、充分分析业务应用系统存在的安全隐患。为避免产权和使用权纠纷,投标人所使用的所有工具和软件应具有自主知识产权或通过购买方式取得合法工具的使用权。
为测评过程能更好分析系统漏洞情况,挖掘系统存在的安全隐患,投标人须具备漏洞挖掘能力,具备近3年国家信息安全漏洞共享平台(CNVD)原创漏洞证明。
4、人员要求
投标人在服务期内必须为本项目成立不少于5人的服务团队,含不少于2名技术人员常驻于项目所在地提供系统整改答疑服务。项目组实行项目负责人负责制,项目负责人根据实际情况可以适当增加工作人员,接受采购人的统一管理。对于不合格的项目组成员,采购人有权要求更换,投标人须在收到采购人书面通知后一周内完成人员更换。投标人派驻本项目的人员必须固定,如有变更,必须经采购人书面确认同后才能进行。
项目的技术负责人应具有本科或以上学历,拥有10年或以上测评服务相关工作经验,主要负责测评项目过程中提供技术指导。
项目的管理负责人应具有信息系统项目管理师证书并拥有5年或以上项目管理相关工作经验,主要负责项目管理,跟踪项目全流程进度情况。
项目服务团队成员(技术负责人、管理负责人除外)不少于3人,其中包括2名技术人员和1名报告审查人员。技术人员应具有信息安全工程师或软考高级资格其中一个软考认证,主要负责对项目中服务内容进行系统调研、现场测评、漏洞测试、渗透测试及测评结果整理汇总工作;报告审查人员应具有信息系统监理师,主要负责审核项目成果物是否符合要求,协助采购人通过公安机关的报告审核。
★依据公安部发布的《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),等级测评人员需持有公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的等级测评师证书上岗。项目服务团队成员(管理负责人除外)必须持有等级测评师证书(提供证书扫描件)。
5、项目管理要求
为实现对等级保护测评过程中的实施、测评等具体服务过程的全程监管,解决采购人由于不了解等级保护测评相关标准和要求,导致无法监管在测评过程中出现的无规范、无指导、无流程等问题,保障测评过程的标准化、规范化,投标人提供一套网络安全等级保护管理系统以实现项目操作、管理、检查等功能给采购人进行监督管理使用,为采购人提供查看测评过程的方法,协助采购人按照等级保护标准要求推进网络系统安全等级保护工作,网络安全等级保护管理系统主要功能模块应包含:
(1)项目启动功能模块(用于登记测评系统信息,包括系统基本数据、项目成员、备案编号);
(2)测评准备功能模块(用于收集测评系统资产情况及管理情况,包括系统资产、安全管理制度);
(3)现场测评功能模块(用于记录现场测评系统所采集信息,包括测评记录、漏洞管理、漏洞和渗透记录);
(4)分析与报告编制功能模块(用于分析收集数据及报告编制,包括风险评估、整体测评、总体评价);
(5)系统补充收集功能模块(用于分析报告是否出现遗漏情况,包括风险采集、修正项、指导书审核);
(6)知识库管理功能模块(建立知识库,提供采购人整改指导,包括知识库列表、高风险指引库、过程数据、风险威胁)。
6、保密要求
投标人的项目参与人员必须与采购人签署保密协议,并且在项目实施方案里说明在项目实施过程和实施完成后,采取必要方式对采购人的信息进行保密。
7、风险防范
投标人根据被测系统情况,提供整个测评项目实施过程中各服务阶段的风险防范措施,在测评实施前制定应急预案,加强应急处置能力。
8、项目实施成果
(1)网络安全等级测评问题清单和整改建议内容(每个系统一份)
(2)网络安全等级保护等级测评报告(每个系统一份)
9、服务时间及要求
(1)服务时间:自合同签订之日起12个月内完成,如因客观原因无法按时完成测评任务,双方可协商时间顺延至测评任务全部完成为止。
(2)服务地点:广州市人力资源和社会保障数据服务中心内采购人指定地点。
(3)在服务期间,需严格遵守采购人的有关制度。
(4)由于测评系统清单中有5个三级系统需完成年测,2024年12月25日前须出具5个三级系统网络安全等级保护等级测评报告,如因整改原因无法按时完成测评任务,双方可协商时间顺延。
10、项目验收要求
投标人应按照要求进行测评,每个系统完成测评后出具网络安全等级测评问题清单和整改建议内容、网络安全等级保护等级测评报告。
11、售后要求
投标人应提供项目验收后一年内免费的售后服务,对本次测评范围内的问题提供上门技术咨询和漏洞的修补指导服务。
12、付款方式
1.本项目付款方式如下:
(1)第一笔款,合同签订之日起五个工作日内采购人凭中标供应商开具符合国家财务规定的相应数额的发票办理政府集中支付申请手续,支付合同金额的30%;
(2)第二笔款 中标供应商提交6个系统的项目成果内容,采购人收到中标供应商开具符合国家财务规定的相应数额的发票5个工作日内办理支付手续,支付合同金额的40%;
(3)第三笔款 中标供应商提交全部系统的项目成果内容通过三方合同验收,并出具合同验收报告,采购人收到中标供应商开具符合国家财务规定的相应数额的发票5个工作日内办理支付手续,支付合同金额的30%;
2.本服务项目为政府采购项目,合同款项的支付时间以财政下达资金为前提,如有达到支付条件但财政资金未到位的情形,则支付时间顺延;如下达财政资金不足以全额支付已达支付条件的合同进度款,可在财政资金额度内支付部分合同进度款,余下部分待资金到位后再支付,以上情况采购人并不因此承担违约责任,中标供应商不得以此为由迟延履行合同义务。
3.中标供应商应在满足支付条件后,向采购人提供等额有效的合格发票,如因中标供应商自身原因未能按时提供发票,则采购人付款期限相应顺延。
收藏