根据采购需求,对下述内容进行采购,现邀请合格的供应商前来响应,递交采购响应文件。
一、项目名称:信息系统网络安全等级保护测评项目
二、项目编号:240909yjy01
三、采购预算:150000元
四、项目用途:用于研究院信息系统网络安全等级保护测评
五、采购方式:综合比价
六、项目基本概述先容
3499.com创新研究院根据《网络安全法》及《信息安全技术网络安全等级保护基本要求》,针对本单位3个二级信息系统开展网络安全等级保护测评工作,本采购需求中提出的服务方案仅为参考,如无明确限制,投标人可以进行优化,提供满足采购人实际需要的更优(或者性能实质上不低于的)服务方案,且此方案须经评标委员会评审认可。
序号 |
条款名称 |
内容、说明与要求 |
1 |
付款方式 |
项目验收后10个工作日内全额一次性支付合同全款 |
2 |
服务地点 |
安徽省合肥市,采购人指定地点 |
3 |
服务期限 |
合同签订后60个日历日(整改期外)内完成等保测评服务项目,合同签订之日起一年提供安全服务 |
4 |
本项目所属行业 |
App和信息技术服务业 |
表一 采购需求前附表
为贯彻落实国家信息安全等级保护制度,进一步提高我单位信息系统的整体网络安全防护水平,根据《中华人民共和国网络安全法》等法律、文件的要求,依照等级保护2.0标准要求,依托有资质的第三方网络安全等级测评与检测评估机构对我单位信息系统开展网络安全等级保护二级测评工作(测评内容涵盖物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、数据安全与备份恢复、安全策略和管理制度、安全管理机构和人员、系统建设管理、系统运维管理等信息安全的各个层面),出具等级测评报告,并协助系统整改、完成系统定级报告。另根据采购人需要,提供网络安全技术培训、漏洞扫描、安全巡检、应急响应等网络安全服务。
序号 |
信息系统名称 |
保护等级 |
1 |
办公系统 |
二级 |
2 |
财务系统 |
二级 |
3 |
公共服务平台网站系统 |
二级 |
表二 信息系统清单
(一)服务需求:
本项目主要包括等级保护测评服务和等级保护支撑服务两部分。等级保护测评服务共包括定级备案咨询引导、等级保护测评、工具测试服务、风险分析服务、提出安全整改建议、整改咨询服务、出具报告及测评交付物等。等级保护支撑服务包括网络安全意识培训服务、安全巡检服务、其他专项安全支撑服务等。
1.服务内容:
(1)等级保护测评服务:
等级保护测评服务依据包含但不局限于以下内容。
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字[2007]43号);《信息安全技术计算机信息系统安全保护等级划分准则》GB/T17859-1999;《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019;《信息安全技术网络安全等级保护测评要求》GB/T 28448-2019;《信息安全技术网络安全等级保护测评过程指南》GB/T 28449-2018;《网络安全等级保护测评高风险判定指引》T/ISEAA 001-2020。
①定级备案咨询引导:
响应人需参照等级保护相关标准要求为采购人提供信息系统的定级备案咨询引导服务,主要内容包括针对采购人信息系统需要进行等级保护建设的要求,协助采购人完成已有和新建信息系统的定级备案工作,协助撰写定级报告、备案表等内容,并提供培训、咨询和引导,协助采购人取得相应系统的备案证明。
②等级保护测评:
响应人需参照等级保护相关标准要求为采购人提供信息系统安全等级保护测评服务,测评范围包括安全技术测评、安全管理测评,云计算安全测评扩展测评,移动互联安全测评扩展测评。主要内容包括:安全技术测评主要涉及该项目的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心层面。安全管理测评主要涉及该项目的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理层面。云计算安全测评扩展测评主要涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理。移动互联安全测评扩展要求主要涉及安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理。
③工具测试服务:
响应人提供测评服务期间,根据采购人安排,开展漏洞扫描、风险分析服务等工作,并提供漏洞扫描报告及修复建议方案,主要内容包括:
④漏洞扫描服务:
按照采购人要求,对采购人指定的信息系统进行一次全面的漏洞扫描,分析并指出安全漏洞及被测系统的薄弱环节,编制并提交漏洞扫描报告及修复建议。
⑤风险分析服务:
响应人应结合关联资产和关联威胁分别分析安全问题可能产生的危害结果,找出可能对系统的最大安全危害或损失。风险分析结果判断综合相关系统组件的重要程度、安全问题的严重程度、安全问题被关联威胁利用的可能性、所影响的相关业务应用以及发生安全事件可能的影响范围等因素。对等级测评结果中存在的所有安全问题,采用风险分析的方法进行危害分析和风险等级判定,形成相应的被测对象安全问题风险分析表。
⑥安全整改建议、整改咨询服务:
依据测评结果,参照《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》等标准要求,从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。全面的从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行网络安全等级保护现状分析,形成相应的安全问题列表和差距分析报告。
⑦配合安全整改服务:
若经过现场测评存在安全风险,响应人需配合采购人进行安全整改。针对等保对象,提供与等级保护标准存在差异的相关网络安全配置加固、高危风险修复、安全策略制定等技术整改引导服务;提供针对网络安全制度 的整改,包括但不局限于:各项信息安全管理度的制定、修订、落实,及相关记录完善等,规范信息安全日常管理工作,提高信息安全基础管理水平。
⑧出具报告及测评交付物:
完成上述等保测评工作和整改后,由响应人出具符合公安机关要求的《网络安全等级保护测评报告》并报合肥市公安局网安支队备案,并提交以下文档(包括但不限于):
时间段 |
提交文档 |
签订合同后 |
《测评服务技术方案》 |
差距测评阶段 |
《整改建议书》 |
等保测评验收 |
《网络安全等级保护测评报告》 |
(2)等级保护支撑服务:
①网络安全意识培训:
响应人须为采购人提供不少于1次的网络与信息安全培训服务,培训内容包括国家等级保护制度、系统定级原则方法、等级保护测评工作流程、信息安 全策略、信息保密制度、信息安全管理制度等。培训所涉及费用包含在本次报价中,并由响应人承担。响应人须提供培训计划,包括培训内容、课时安排等。
②安全巡检:
巡检服务内容包括设备巡检和整体运行状态巡检。设备巡检主要内容是查看设备的相关状态、结合智能化监测平台监测的历史数据分析判断其运行是否正常,提前发现潜在的异常问题。整体运行情况巡检主要侧重于用户方整体信息系统的运行状态,主要利用数据包分析技术,针对用户方核心链路、核心区域、核心业务的网络流量进行深入的分析,将分析的相关内容与分析评估服务过程中形成的记录数据进行对比分析,以发现当前用户方整体信息系统运行状态是否正常。
③安全加固:
响应人结合采购人实际情况,针对现有网络架构、网络安全设备、网络安全策略和设备安全基线情况出具安全加固方案,并配合采购人进行安全加固、设备运行情况策略调优等工作;梳理资产维保清单,对在维保期内的安全设备,协助采购人进行特征库、App版本、病毒库等升级更新。
④等保推进:
响应人应根据采购人安排,协助梳理采购人其他系统等保定级备案情况,按照采购人需要提供系统定级备案服务,包括组织开展专家评审会,安排专业技术人员到现场进行安全检查、评估等,相关费用包含在本项目中。
⑤其它安全服务:
协助采购人以安全提升需求规划阶段中安全管理制度分析的差距为基础,按照满足等级保护相关要求,参考等级保护和ISO/IEC27001、ISO/IEC20000、ITSS、ITIL等行业最佳实践及采购人的实际情况优化完善前期的网络安全管理制度。协助采购人在合同签订日1年内完成公安机关网络安全执法检查自查表中所有工作内容。
(三)服务要求
1.项目保密要求:
响应人应承诺遵守各项法律法规,响应人及参与人员要遵守采购人的安全管理要求,须与采购人签定安全保密协议,严禁发生危害网络安全和数据安全的行为,承诺严守工作中涉及的工作内容,严禁未征得采购人授权私自查询、复制、泄露、修改任何系统的配置参数、业务数据(违规行为包括但不限于以上行为)。违法相关规定的,响应人及参与人员承担一切法律责任。
(1)响应人必须和采购人签订保密协议,响应人必须要与参加此次测评项目的所有项目组成员签订保密协议,在合同签订时一并提供给采购人。
(2)响应人具体测评工作和等级保护测评报告的编写,必须在采购人指定的地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,响应人不得带离该地点。
(3)响应人要对参与的项目全部内容进行保密,如果发生泄密情况和影响项目验收等问题,采购人有权追究响应人相关责任,并不予支付相关费用。
2.最小影响要求:
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经采购人同意后实施,在项目实施过程中,需有可行性的风险规避处置措施。
3.规范性要求
网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的测评结果记录。
4.工作质量要求
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组进行监督,控制项目的进度和质量。
响应人应在对采购人系统详细了解的基础上,编制针对性的等级保护测评整体实施方案,包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
响应人应详细描述测评人员的组成、资质及各自职责的划分,配置有经验的测评人员进行本次等级保护测评工作。
对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合公安机关的要求,包括但不仅仅包括等级保护测评App工具、漏洞扫描工具等。
如因响应人出具虚假测评报告,出现影响被测评信息系统正常运行或因测评不到位未发现信息系统中存在相关漏洞隐患,导致被测评信息系统发生重大网络安全事件或测评实施期间导致被测评信息系统发生宕机等严重网络安全事件等情况的,采购人有权追究响应人相关责任。
5.实施人员要求
响应人需根据被测评业务系统的数量自行评估并配置不少于3人的测评实施团队,团队人员需至少具备初级测评师以上证书;响应人需保证在实施阶段主要技术人员必须是全职。响应人为本项目成立等级保护测评项目组,由项目经理统一负责,质量经理全程监督。项目经理须具有一定的技术管理常识和经验,能够有效的与采购人沟通,能按照采购人要求独立完成与业务管理相关人员的沟通协调,能够很好地实行并完成测评服务工作,并能根据一些特殊的情况可以适当增加测评服务人员,接受采购人的统一管理。
注:除评分标准中要求提供的相关人员证明材料作为评分条件外,投标人在投标文件中无须提供人员其他相关证明材料,由采购人在合同签订后响应人进场服务前核查人员配备情况,人员须按照要求配备到位,否则采购人有权追究响应人的违约责任。具体详见综合比价文件。
七、供应商资格要求
响应供应商参加本次采购活动应具备下列条件:
(一)响应供应商必须是具有独立承担民事责任能力的中华人民共和国境内注册的法人;
(二)响应供应商参加本次采购活动应具备下列条件:
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的专业技术能力;
4.具有依法缴纳税收和社会保障资金的良好记录;
5.参加本次遴选活动前三年内,在经营活动中没有重大违法记录;
6.本项目不接受联合体响应;
7.法律、行政法规规定的其他条件。
一旦发现供应商资质不符合要求,将取消竞选资格。
(三)供应商需具备国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书。
注:提供测评推荐证书复印件/扫描件及入围中国网络安全等级保护网(www.djbh.net)全国等级保护测评机构推荐目录截图(截图需完整显示供应商名称)。
八、响应文件及须提交的材料:见附件2。
九、响应文件递交事项:
1.响应文件正本一份,副本五份,装订成册,版面为A4大小,编制目录,所有材料必须加盖单位公章;统一密封,并在包装袋封面注明项目名称、项目编号、供应商名称、联系人及电话,加盖公章。响应供应商必须保证提供的所有响应文件内容属实,一旦发现造假行为,将取消竞选资格。
2.报名方式:采取电话报名和发送电子版响应函(见附件1)相结合的方式(即响应供应商在电话报名的同时,将响应函发送至邮箱bhhfcg@buaa.edu.cn),响应函文件命名方式为“采购项目名称+单位名称+联系人+联系方式”,邮件命名方式为“项目编号+单位名称”。
3.报名截止时间:2024年9月13日17:00(北京时间),超过此时间报名的,视为放弃本次竞选。
4.响应文件提交地址:报名供应商请于2024年9月16日12:00前寄至安徽省合肥市新站高新区魏武路与文忠路交口3499.com创新研究院主楼D栋。
5.综合比价时间:另行通知。
6.本采购公告期限:自本公告发布之日起3个日历日。
报名电话:15056036592 唐老师(响应文件寄件联系人)
采购项目咨询:17318597428 张老师
北京航空航天大学合肥创新研究院
2024年9月9日