采购服务内容及相关要求
序号 | 系统名称 | 单位 | 数量 | 服务描述 |
1 | 等级保护测评服务(三级) | 年 | 1 | 按照GB/T 22239-2019 信息安全技术网络安全等级保护基本要求开展测评工作,根据测评结果出具分析报告并提供解决方案,测评完成后提交网络安全等级保护测评报告。 |
本项目等级保护测评目的和测评内容,必须与网络安全等级保护要求的基本安全控制要求相一致,测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。为顺利完成本次项目,应具有完善的项目和质量管理体系,按照计划推动项目工作,并确保项目过程规范以及项目过程文档完整。等级保护测评包括如下几个方面的内容:
1.技术测评:
(1)安全物理环境测评(物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护);
(2)安全通信网络测评(网络架构、通信传输、可信验证);
(3)安全区域边界测评(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证);
(4)安全计算环境测评(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护);
(5)安全管理中心测评(系统管理、审计管理、安全管理、集中管控)。
2.管理测评:
(1)安全管理制度测评(安全策略、管理制度、制定和发布、评审和修订);
(2)安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和合作、审核和检查);
(3)安全管理人员测评(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理);
(4)安全建设管理测评(定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务测评方选择);
(5)安全运维管理测评(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。
3.实施要求:
(1)在项目实施过程中,供应商应提供相关的安全咨询服务,提供的安全咨询建议、策略、规范和整改建议要切合单位实际情况,满足GB/T 22239-2019《网络安全等级保护基本要求》等标准、规范的相关要求。
(2)在测评工作开展过程中,派遣的测评人员应具有较强的安全服务能力,能够利用测评、评估、漏洞扫描等方法发现系统安全隐患并提出合理的整改建议,对系统漏洞能够及时定位,并对后续修复的情况进行验证,协助单位完成系统整改工作,确保被测系统达到安全保护相应能力的要求。
(3)供应 (略) 网络与信息安全信息通报机制成员 (略) 网络与信息安全信息通报中心支撑单位,依照渝网通[2016]11号文《 (略) 网络与信息安全信息通报工作规范》之要求,协助采购人进行网络安全事件应急处置机制建设工作和网络安全应急处置通报工作。
(4)供应商应在项目实施地成立不少于5人的等级保护测评小组,测评人员均具有公安部认证的测评师证书。当出现各类技术突发紧急事件时,需在1小时内派出技术团队协助处置突发事件(提供人员资质证书和承诺函)。
(5)项目服务周期内,应在重大信息安全检查工作或重大网络安全安保工作中提供远程或现场相关的技术支撑服务。
(6)协助采购人对相关网络安全制度进行修改调整和完善。
4.应急服务
在服务期间客户发生的网络安全事件时,应急响应实施人员在测评服务期间提供7*24小时应急响应服务,及时到达现场采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏服务基础上,实施人员协助客户检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。
本项目不接受联合体投标。
供应商资格:供应商资质要求 1.具有独立承担民事责任的能力; 2.具有良好的商业信誉和健全的财务会计制度; 3.具有履行合同所必需的设备和专业技术能力; 4.有依法缴纳税收和社会保障资金的良好记录; 5.参加政府采购活动前三年内,在经营活动中没有重大违法记录,单位未被县级以上行政主管部门通报批评和行政处罚; 6.供应商应具备有效的网络安全等级测评与检测评估机构服务认证证书(提供证书复印件和网络安全等级保护网http://**官方截图并加盖鲜章)。 7.供应商应具备中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS),认可的检验能力范围为“网络安全等级保护测评”。 8.属于异地测评项目的,测评机构应提交从项目管理系统中生成的测评项目基本情况表。 9.供应商经营范围不得涉及网络安全产品开发、销售或计算机信息系统集成等可能影响测评结果公正性的业务。
发送至邮箱
