**********拟对公司重要信息系统进行网络安全等级保护测评,包括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编制测评报告等。现面向国内公开招标,欢迎符合条件的投标人参加投标。
*、招标条件
1、项目名称:**********网络安全等级保护测试项目
2、招标人:**********
3、资金来源:自筹
*、项目概况与招标范围
1、项目地点:安徽省淮北市。
2、标段划分:共 1 个标段。
3、计划工期:***天。
4、招标范围:详见招标采购需求说明。
*、投标人资质要求
1、具有独立法人资格,具备有效的营业执照;
2、具有履行本项目的能力;
3、须具备公安部第*所颁发的网络安全等级测评与检测评估机构服务认证证书;
4、自****年1月1日以来,获得国家网络安全等级保护工作协调小组办公室颁发的全国网络安全等级保护测评机构“先进单位”称号(需提供证书扫描件/复印件)
5、投标人没有被招标人在履约等经济活动中认定为存在其他不良行为的;
6、单位负责人为同*人或者存在控股、管理关系的不同单位,不得同时参加投标;
7、本次招标不接受联合体投标;
8、本项目采用资格后审。
*、招标文件获取时间及方式
****年3月**日起至****年3月**日,每天上午**:**至**:**,下午**:**至**:**,投标人应在招标文件获取截止时间前在**********生产调度中心(信息中心)报名,未报名的投标人不得参加投标。
*、投标文件的递交及开标
1.投标文件递交截止时间(开标时间同投标截止时间,下同):所有投标文件应于****年3月**日北京时间上午**:**之前交到**********生产调度中心(信息中心),迟到的投标文件将被拒绝。
2.递交地点为:安徽省淮北市濉溪县韩村镇**********生产调度中心(信息中心)。
3.逾期送达的或者未送达指定地点的投标文件,招标人不予受理。
*、其它事项
投标者需携带**元投标保证金(现金),不中标者当场退回,中标者将投标保证金上交财务转化为履约保证金,在项目结束经公司考核合格后无息退还。
*、中标方式
报价最低且低于公司所设最高限价者中标,如达不到要求则进行多轮报价,直至达到公司所设最高限价,否则流标。
*、招标公告发布媒介
本次招标公告在信e采招标采购电子交易平台(*****://***.*******.***/)公开发布。
*、联系方式
招标人:**********
详细地址:安徽(淮北)新型煤化工合成材料基地
联 系 人:***
联系电话:***********
附采购需求说明
依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求,对**********重要信息系统进行网络安全等级保护测评,包括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编制测评报告等。
本次参于网络安全等级保护测评的系统如下:
序号 | 待测系统名称 | 安全保护等级 | 备注 |
1 | 生产调度综合管理系统 | *级 |
根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》(公通字〔****〕**号)、《关于信息系统安全等级保护工作的实施意见》(公通字〔****〕**号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔****〕*** 号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[****]****号)等文件精神,结合**********工作实际,现拟对**********生产调度综合管理系统实施网络安全等级保护测评,以进*步完善信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力。
1) 等保测评:完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作;
2) 工具测试:针对生产调度综合管理系统进行漏洞扫描、渗透测试等安全服务工作;
3) 整改建议:投标人应根据现场测评中发现的问题,分析与**/T *****-****、***/*** *****、***/*** *****、*** *****、****和****等行业最佳实践之间的差距,按照网络安全等级保护标准要求提出安全整改建议;
4) 编制测评报告:完成上述测评工作和整改加固实施后,投标人最后出具符合标准要求的信息系统网络安全等级保护测评报告。
a) 规范性原则:成交供应商工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
b) 标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
c) 可控性原则:测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性;
d) 整体性原则:测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
e) 最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
f) 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购人有权追究责任。
《信息安全技术 网络安全等级保护基本要求》(**/T *****-****)
《信息安全技术 网络安全等级保护定级指南》(**/T *****-****)
《信息安全技术 网络安全等级保护测评要求》(**/T *****-****)
《信息安全技术 网络安全等级保护测评过程指南》(**∕T *****-****)
(3)等级保护测评内容
根据国家等级保护相关标准,本次项目的网络安全等级保护测评应包括以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等*个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等*个方面的安全测评。
安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
安全通信网络测评是对网络系统安全防护情况进行测评,包括网络架构、通信传输、可信验证等方面的安全状况。
d) 安全区域边界
安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。
安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。
f) 安全管理中心
安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测评。
安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。
安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。
安全建设管理测评是对建设过程中安全方案设计、产品采购和使用、自行软件开发、外包软件开发、 工程实施、测试验收、系统交付、 等级测评、服务供应商选择等情况进行测评。
安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、 应急预案管理、外包运维管理等情况进行测评。
(4)测评相关文档要求
为了保证本单位后续可对业务系统的测评工作有相应资料查询,测评工作完成后需要提供包括并不限于以下文档(以下文档的编写应符合有关项目管理、质量管理、文档管理的规范和要求):
项目阶段 | 项目成果 |
项目启动阶段 | 项目启动会*** 项目实施计划书 |
现状调研阶段 | 《信息系统安全等级保护备案表及定级报告》 《信息系统基本情况调查表》 |
等级测评实施阶段 | 《整改建议》 |
交付阶段 | 《测评报告》 《备案证明》 |
本项目报含税总价,报价包含完成本项目服务期间所产生的*切费用,采购人后期不再另行追加费用。
供应商拟派的安全服务团队不得少于4人(至少包括1名高级测评师、1名中级测评师)。成交供应商需保证在实施阶段主要技术人员必须是全职。
本项目服务的验收将以乙方提交《测评报告》为准。
