宁夏地方金融监管和服务智能化建设项目运维服务
发送至邮箱
宁夏地方金融监管和服务智能化建设项目运维服务
| 采购计划编号: | 2023NCZ* | 项目名称: | 宁夏地方金融监管和服务智能化建设项目运维服务 |
|---|---|---|---|
| 分包名称: | 宁夏地方金融监管和服务智能化建设项目运维服务 (二标段) | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 多年期错茬项目总概算 | *.00 |
| 多年期错茬性项目本年预算: | *.00 | ||
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
| 是否为执行国家统一定价标 和固定价格采购项目: | 否 | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| 1 | 无 |
三、商务要求
四、技术要求
| 标的清单(服务类) | |||||||
|---|---|---|---|---|---|---|---|
| 序号 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| 1 | 平台运营服务 | 等保测评及商用密码测评需求说明书 一、等级保护测评概况 按照《中华人民共和国网络安全法》和网络安全等级保护制度相关规定,对第三级(含) 以上的网络每年至少进行一次等级测评,二级网络每两年进行一次等级测评,新建第三级以上网络应当在通过等级保护测评后投入运行。为进一步加强网络安全防护能力,认真贯彻落实网络安全监管单位等级保护要求,切实做好信息系统安全等级保护测评、安全防护评估和测评整改等工作,依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等相关规定,结合我局实际,制定本方案。通过等级保护测评,对网络安全防护能力的分析与确认,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查安全隐患和薄弱环节、明确网络安全建设整改需求,有效地提高网络安全防护能力网络安全建设的整体水平;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力,对网络安全状态做出判断、提供合理化建议,并协助设计详细、合理的等级保护整改方案,通过安全建设整改工作能够使网络安全达到相应安全保护等级的能力要求,不断提升网络安全保护能力。三是提升网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解网络安全状况提升人员安全威胁处置能力。四是遵循国家等级保护有关规定的要求,对网络安全建设进行符合性测评,出具网络安全等级保护测评报告,将测评结论作为进一步完善系统安全防护措施的依据。 依据《国家网络安全等级保护测评机构管理办法》及《网络安全等级保护测评活动管理办法》相关要求,为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,网络安全等级保护测评活动必须遵循以下法律法规规定: 1.《中华人民共和国网络安全法》 2.《中华人民共和国计算机信息系统安全保护条例》( (略) 147 号令) 3.《计算机信息系统 安全保护等级划分准则》(GB 17859-1999) 4.《信息系统安全等级保护实施指南》 (GB/T25058-2010) 5.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 6.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 7.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020 ) 8.《信息安全等级保护备案实施细则》(公信安[2007]1360 号) 9.《信息安全技术 网络安全等级保护安全设计技术要求》(GBT25070-2019) 10.《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018) 11.《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T36627-2018) 12.《网络安全等级保护测评报告模板(2021 版)》 13.《关键信息基础设施安全保护条例》 二、等级保护测评指标要求 依据等保 2.0 版相关要求,对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统网络安全等级保护测评工作,并对差距项提出整改建议方案。 等级保护测评包括但不限于以下内容: (一)安全技术测评。 包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评; 1.安全物理环境。根据对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 2.安全通信网络。安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 3.安全区域边界。安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 4.安全计算环境。安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 5.安全管理中心。安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 (二)安全管理测评。 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 1.安全管理制度。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 2.安全管理机构。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 3.安全管理人员。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 4.安全建设管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 5.安全运维管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (三)扩展测评要求: 系统测评须严格按照等级保护 2.0 版安全通用要求指标进行测评,并结合应用系统使用移动互联网技术情况,增加测评扩展项指标。 三、商用密码应用安全性评估概况 随着信息技术的发展,一个国家拥有的数据规模,以及对数据的运用能力已成为衡量综合国力的重要组成部分,对数据的占有权和控制权将成为“海、*、空”之外的国家战略资源。我国高度重视“互联网+政务”建设,近几年各地方政府积极推进党政机关数据资源整合和开放共享,掀起了以云计算、大数据技术为主的“政务云”建设高潮。 随着等级保护工作贯彻落实,电子政务的迅速发展,网络安全已成为制约信息化发展的重要一环,大量存储或运行的数据缺乏必要的数据隔离措施和安全的应用程序接口控制,面临数据丢失、泄露及非法访问等风险。密码技术作为网络与信息安全保障的核心技术和基础支撑,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。2019年12月30日, (略) 办公厅发布《国家政务信息化项目建设管理办法》国办发[2019]57号文,指出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”安全可靠的密码技术已成为信息安全的最后一道防线,各级党政机关网络与信息系统迫切需要加强国产密码应用。 依据国家《密码法》、《网络安全法》和中央办公厅、 (略) 办公厅《金融和重要领域密码应用与创新发展工作规划(2018-2022 年)》(厅字[2018]36 号)相关要求,对以下系统开展商用密码应用测评、咨询服务工作,根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,开展密码应用安全性评估工作以及国产密码应用改造的咨询、论证等工作。 法律法规及政策依据: 1、《中华人民共和国密码法》 2、《国家政务信息化项目建设管理办法》 3、《贯彻落实网络安全等保制度和关保制度的指导意见》 商用密码应用安全性评估在实施过程中所依据的政策文件除上述文件外,还包含各地方政府或主管部门发布的相关管理办法及指导意见等。 商用密码测评实施依据: 1、《信息安全技术 信息系统密码应用基本要求》 2、《信息系统密码应用测评过程指南》 3、《信息系统密码应用测评要求》 4、《商用密码应用安全性评估量化评估规则》 5、《信息系统密码应用高风险判定指引》 商用密码应用安全性评估在实施过程中所依据的规范指南文件除上述文件外,还包含有国家密码管理局发布的其余有关密码技术、密码算法、密码产品和密码服务的规范标准文件。 四、商用密码应用安全性评估指标要求 对宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码应用的合规性,正确性,有效性进行安全性评估项目并提供《密码应用安全性评估报告》 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第二级别} 要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 7.1a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 71b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 可 网络和通信安全 身份鉴别 7.2a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 宜 通信数据完整性 7.2b)宜采用密码技术保证通信过程中数据的完整性; 可 通信过程中重要数据的机密性 7.2c)应采用密码技术保证通信过程中重要数据的机密性; 宜 网络边界访问控制信息的完整性 7.2d)宜采用密码技术保证网络边界访问控制信息的完整性; 可 设备和计算安全 身份鉴别 7.3a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 宜 系统资源访问控制信息完整性 7.3b)宜采用密码技术保证系统资源访问控制信息的完整性; 可 日志记录完整性 7.3c)宜采用密码技术保证日志记录的完整性; 可 应用和数据安全 身份鉴别 7.4a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 宜 访问控制信息完整性 7.4b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; 可 重要数据传输机密性 7.4c)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 宜 重要数据存储机密性 7.4d)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 宜 重要数据传输完整性 7.4e)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 7.4f)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 管理要求 管理制度 具备密码应用安全管理制度 7.5a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 7.5b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 7.5c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 7.6a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 7.6b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 7.6c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 建立关键岗位人员保密制度和调离制度 7.6d)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 7.7a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 7.7b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术信息系统密码应用基本要求》附录A; 应 制定实施方案 7.7c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 7.7d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 宜 应急处置 应急策略 7.8a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 测评指标合计 27项 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第三级别}要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 8.1 a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 8.1 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 宜 视频监控记录数据存储完整性 8.1 c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 宜 网络和通信安全 身份鉴别 8.2 a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 应 通信数据完整性 8.2 b) 宜采用密码技术保证通信过程中数据的完整性; 宜 通信过程中重要数据的机密性 8.2 c) 应采用密码技术保证通信过程中重要数据的机密性; 应 网络边界访问控制信息的完整性 8.2 d) 宜采用密码技术保证网络边界访问控制信息的完整性; 宜 安全接入认证 8.2 e) 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 可 设备和计算安全 身份鉴别 8.3 a) 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 应 远程管理通道安全 8.3 b) 远程管理设备时,应采用密码技术建立安全的信息传输通道; 应 系统资源访问控制信息完整性 8.3 c) 宜采用密码技术保证系统资源访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.3 d) 宜采用密码技术保证设备中的重要信息资源安全标记的完整性; 宜 日志记录完整性 8.3 e) 宜采用密码技术保证日志记录的完整性; 宜 重要可执行程序完整性、重要可执行程序来源真实性 8.3 f) 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 宜 应用和数据安全 身份鉴别 8.4 a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 应 访问控制信息完整性 8.4 b) 宜采用密码技术保证信息系统应用的访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.4 c) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; 宜 重要数据传输机密性 8.4 d) 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 应 重要数据存储机密性 8.4 e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 应 重要数据传输完整性 8.4 f) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 8.4 g) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 不可否认性 8.4 h) 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 宜 管理要求 管理制度 具备密码应用安全管理制度 8.5 a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 8.5 b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 8.5 c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 定期修订安全管理制度 8.5 d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; 应 明确管理制度发布流程 8.5 e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; 应 制度执行过程记录留存 8.5 f)应具有密码应用操作规程的相关执行记录并妥善保存。 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 8.6 a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 8.6 b) 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2) 对关键岗位建立多人共管机制; 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4) 相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 8.6 c) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 定期进行安全岗位人员考核 8.6 d) 应定期对密码应用安全岗位人员进行考核; 应 建立关键岗位人员保密制度和调离制度 8.6 e) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 8.7 a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 8.7 b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; 应 制定实施方案 8.7 c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 8.7 d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 应 定期开展密码应用安全性评估及攻防对抗演台系统密码测评服务密评实测评工作,确保测评数据真实可靠、测评过程记录完整、测评内容充分全面、保证不存在影响评测结果的疏忽或遗漏、测评结果公正,测评实施过程应严格遵守国家的相关法律、法规、规范、标准等相关要求建立完整科学的测评过程,在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。测评过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。从项目启动阶段、系统收集阶段、工具和表单准备、方案编制阶段、现场测评阶段、分析与报告编制阶段、整改方案编制阶段等方面进行项目实施规范管理。 项目实施应满足以下原则∶ ?符合性原则∶应符合国家密码管理局针对密码应用安全性评估的要求及相关法律法规。 ?标准性原则∶密评实施方案设计、项目实施应依据行业及国内相关标准进行。 ?规范性原则∶项目实施应由专业密评测评师依照规范得操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。 ?可控性原则∶项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排,保证项目实施得可控性。 ?整体性原则∶测评范围与内容应当整体全面,包括涉及评估的各个层面和指标。 ?最小景响原则∶项目实测评作应尽可能小得景响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。 保密原则:对项目实施过程获得得数据与结果严格保密,未经授权不得泄露给任何单位与个人,不得利用此数据与结果进行任何侵害测评委托单位利益得行为。 六、增值服务 针对宁夏回族自治区地方金融监督管理局网络安全工作实际需求提供以下安全增值服务。 序号 服务项目 服务内容 1 安全检查支撑 根据招标方实际工作需求,提供项目系统安全基线检查、漏洞扫描、策略加固等技术支持。 2 重保时期技术支持 *方实际工作需求,在项目系统应急演练及重点保障时期,提供技术支持。 3 系统安全渗透测试 根据*方实际工作需求,自合同签订之日起一年内,对系统提供两次渗透测试,分析问题并协助建设方完成整改。 4 安全风险评估服务 根据*方实际工作需求,自合同签订之日起一年内,每季度提供一次安全风险评估服务。 | 1 | *.00 | 标的1-平台运营服务:等保测评及商用密码测评需求说明书 一、等级保护测评概况 按照《中华人民共和国网络安全法》和网络安全等级保护制度相关规定,对第三级(含) 以上的网络每年至少进行一次等级测评,二级网络每两年进行一次等级测评,新建第三级以上网络应当在通过等级保护测评后投入运行。为进一步加强网络安全防护能力,认真贯彻落实网络安全监管单位等级保护要求,切实做好信息系统安全等级保护测评、安全防护评估和测评整改等工作,依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等相关规定,结合我局实际,制定本方案。通过等级保护测评,对网络安全防护能力的分析与确认,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查安全隐患和薄弱环节、明确网络安全建设整改需求,有效地提高网络安全防护能力网络安全建设的整体水平;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力,对网络安全状态做出判断、提供合理化建议,并协助设计详细、合理的等级保护整改方案,通过安全建设整改工作能够使网络安全达到相应安全保护等级的能力要求,不断提升网络安全保护能力。三是提升网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解网络安全状况提升人员安全威胁处置能力。四是遵循国家等级保护有关规定的要求,对网络安全建设进行符合性测评,出具网络安全等级保护测评报告,将测评结论作为进一步完善系统安全防护措施的依据。 依据《国家网络安全等级保护测评机构管理办法》及《网络安全等级保护测评活动管理办法》相关要求,为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,网络安全等级保护测评活动必须遵循以下法律法规规定: 1.《中华人民共和国网络安全法》 2.《中华人民共和国计算机信息系统安全保护条例》( (略) 147 号令) 3.《计算机信息系统 安全保护等级划分准则》(GB 17859-1999) 4.《信息系统安全等级保护实施指南》 (GB/T25058-2010) 5.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 6.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 7.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020 ) 8.《信息安全等级保护备案实施细则》(公信安[2007]1360 号) 9.《信息安全技术 网络安全等级保护安全设计技术要求》(GBT25070-2019) 10.《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018) 11.《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T36627-2018) 12.《网络安全等级保护测评报告模板(2021 版)》 13.《关键信息基础设施安全保护条例》 二、等级保护测评指标要求 依据等保 2.0 版相关要求,对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统网络安全等级保护测评工作,并对差距项提出整改建议方案。 等级保护测评包括但不限于以下内容: (一)安全技术测评。 包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评; 1.安全物理环境。根据对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 2.安全通信网络。安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 3.安全区域边界。安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 4.安全计算环境。安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 5.安全管理中心。安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 (二)安全管理测评。 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 1.安全管理制度。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 2.安全管理机构。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 3.安全管理人员。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 4.安全建设管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 5.安全运维管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (三)扩展测评要求: 系统测评须严格按照等级保护 2.0 版安全通用要求指标进行测评,并结合应用系统使用移动互联网技术情况,增加测评扩展项指标。 三、商用密码应用安全性评估概况 随着信息技术的发展,一个国家拥有的数据规模,以及对数据的运用能力已成为衡量综合国力的重要组成部分,对数据的占有权和控制权将成为“海、*、空”之外的国家战略资源。我国高度重视“互联网+政务”建设,近几年各地方政府积极推进党政机关数据资源整合和开放共享,掀起了以云计算、大数据技术为主的“政务云”建设高潮。 随着等级保护工作贯彻落实,电子政务的迅速发展,网络安全已成为制约信息化发展的重要一环,大量存储或运行的数据缺乏必要的数据隔离措施和安全的应用程序接口控制,面临数据丢失、泄露及非法访问等风险。密码技术作为网络与信息安全保障的核心技术和基础支撑,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。2019年12月30日, (略) 办公厅发布《国家政务信息化项目建设管理办法》国办发[2019]57号文,指出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”安全可靠的密码技术已成为信息安全的最后一道防线,各级党政机关网络与信息系统迫切需要加强国产密码应用。 依据国家《密码法》、《网络安全法》和中央办公厅、 (略) 办公厅《金融和重要领域密码应用与创新发展工作规划(2018-2022 年)》(厅字[2018]36 号)相关要求,对以下系统开展商用密码应用测评、咨询服务工作,根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,开展密码应用安全性评估工作以及国产密码应用改造的咨询、论证等工作。 法律法规及政策依据: 1、《中华人民共和国密码法》 2、《国家政务信息化项目建设管理办法》 3、《贯彻落实网络安全等保制度和关保制度的指导意见》 商用密码应用安全性评估在实施过程中所依据的政策文件除上述文件外,还包含各地方政府或主管部门发布的相关管理办法及指导意见等。 商用密码测评实施依据: 1、《信息安全技术 信息系统密码应用基本要求》 2、《信息系统密码应用测评过程指南》 3、《信息系统密码应用测评要求》 4、《商用密码应用安全性评估量化评估规则》 5、《信息系统密码应用高风险判定指引》 商用密码应用安全性评估在实施过程中所依据的规范指南文件除上述文件外,还包含有国家密码管理局发布的其余有关密码技术、密码算法、密码产品和密码服务的规范标准文件。 四、商用密码应用安全性评估指标要求 对宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码应用的合规性,正确性,有效性进行安全性评估项目并提供《密码应用安全性评估报告》 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第二级别} 要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 7.1a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 71b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 可 网络和通信安全 身份鉴别 7.2a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 宜 通信数据完整性 7.2b)宜采用密码技术保证通信过程中数据的完整性; 可 通信过程中重要数据的机密性 7.2c)应采用密码技术保证通信过程中重要数据的机密性; 宜 网络边界访问控制信息的完整性 7.2d)宜采用密码技术保证网络边界访问控制信息的完整性; 可 设备和计算安全 身份鉴别 7.3a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 宜 系统资源访问控制信息完整性 7.3b)宜采用密码技术保证系统资源访问控制信息的完整性; 可 日志记录完整性 7.3c)宜采用密码技术保证日志记录的完整性; 可 应用和数据安全 身份鉴别 7.4a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 宜 访问控制信息完整性 7.4b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; 可 重要数据传输机密性 7.4c)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 宜 重要数据存储机密性 7.4d)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 宜 重要数据传输完整性 7.4e)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 7.4f)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 管理要求 管理制度 具备密码应用安全管理制度 7.5a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 7.5b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 7.5c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 7.6a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 7.6b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 7.6c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 建立关键岗位人员保密制度和调离制度 7.6d)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 7.7a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 7.7b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术信息系统密码应用基本要求》附录A; 应 制定实施方案 7.7c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 7.7d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 宜 应急处置 应急策略 7.8a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 测评指标合计 27项 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第三级别}要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 8.1 a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 8.1 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 宜 视频监控记录数据存储完整性 8.1 c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 宜 网络和通信安全 身份鉴别 8.2 a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 应 通信数据完整性 8.2 b) 宜采用密码技术保证通信过程中数据的完整性; 宜 通信过程中重要数据的机密性 8.2 c) 应采用密码技术保证通信过程中重要数据的机密性; 应 网络边界访问控制信息的完整性 8.2 d) 宜采用密码技术保证网络边界访问控制信息的完整性; 宜 安全接入认证 8.2 e) 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 可 设备和计算安全 身份鉴别 8.3 a) 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 应 远程管理通道安全 8.3 b) 远程管理设备时,应采用密码技术建立安全的信息传输通道; 应 系统资源访问控制信息完整性 8.3 c) 宜采用密码技术保证系统资源访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.3 d) 宜采用密码技术保证设备中的重要信息资源安全标记的完整性; 宜 日志记录完整性 8.3 e) 宜采用密码技术保证日志记录的完整性; 宜 重要可执行程序完整性、重要可执行程序来源真实性 8.3 f) 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 宜 应用和数据安全 身份鉴别 8.4 a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 应 访问控制信息完整性 8.4 b) 宜采用密码技术保证信息系统应用的访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.4 c) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; 宜 重要数据传输机密性 8.4 d) 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 应 重要数据存储机密性 8.4 e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 应 重要数据传输完整性 8.4 f) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 8.4 g) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 不可否认性 8.4 h) 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 宜 管理要求 管理制度 具备密码应用安全管理制度 8.5 a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 8.5 b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 8.5 c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 定期修订安全管理制度 8.5 d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; 应 明确管理制度发布流程 8.5 e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; 应 制度执行过程记录留存 8.5 f)应具有密码应用操作规程的相关执行记录并妥善保存。 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 8.6 a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 8.6 b) 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2) 对关键岗位建立多人共管机制; 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4) 相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 8.6 c) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 定期进行安全岗位人员考核 8.6 d) 应定期对密码应用安全岗位人员进行考核; 应 建立关键岗位人员保密制度和调离制度 8.6 e) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 8.7 a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 8.7 b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; 应 制定实施方案 8.7 c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 8.7 d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 应 定期开展密码应用安全性评估及攻防对抗演台系统密码测评服务密评实测评工作,确保测评数据真实可靠、测评过程记录完整、测评内容充分全面、保证不存在影响评测结果的疏忽或遗漏、测评结果公正,测评实施过程应严格遵守国家的相关法律、法规、规范、标准等相关要求建立完整科学的测评过程,在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。测评过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。从项目启动阶段、系统收集阶段、工具和表单准备、方案编制阶段、现场测评阶段、分析与报告编制阶段、整改方案编制阶段等方面进行项目实施规范管理。 项目实施应满足以下原则∶ ?符合性原则∶应符合国家密码管理局针对密码应用安全性评估的要求及相关法律法规。 ?标准性原则∶密评实施方案设计、项目实施应依据行业及国内相关标准进行。 ?规范性原则∶项目实施应由专业密评测评师依照规范得操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。 ?可控性原则∶项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排,保证项目实施得可控性。 ?整体性原则∶测评范围与内容应当整体全面,包括涉及评估的各个层面和指标。 ?最小景响原则∶项目实测评作应尽可能小得景响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。 保密原则:对项目实施过程获得得数据与结果严格保密,未经授权不得泄露给任何单位与个人,不得利用此数据与结果进行任何侵害测评委托单位利益得行为。 六、增值服务 针对宁夏回族自治区地方金融监督管理局网络安全工作实际需求提供以下安全增值服务。 序号 服务项目 服务内容 1 安全检查支撑 根据招标方实际工作需求,提供项目系统安全基线检查、漏洞扫描、策略加固等技术支持。 2 重保时期技术支持 *方实际工作需求,在项目系统应急演练及重点保障时期,提供技术支持。 3 系统安全渗透测试 根据*方实际工作需求,自合同签订之日起一年内,对系统提供两次渗透测试,分析问题并协助建设方完成整改。 4 安全风险评估服务 根据*方实际工作需求,自合同签订之日起一年内,每季度提供一次安全风险评估服务。 | 自合同签订之日起至2024年12月31日 | |
五、合同管理安排
合同类型:
服务类
六、评审方法及评审细则
评标方法:
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| 1 | 投标报价 | 10 | 价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×100%×权重分值。(四舍五入后保留小数点后两位)对于高于项目采购预算金额的投标报价不予接受,视为无效投标。 |
| 2 | 企业实力 | 10 | 1、投标人提供信息技术管理体系认证ISO20000认证证书、且服务范围包含商用密码测评测评的得2分; 2、投标人提供信息安全管理体系认证ISO27001认证证书、且服务范围包含商用密码测评测评的得2分; 3、投标人提供中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质认证证书得3分; 投标人提供工业信息安全应急服务支撑单位证书得3分。 |
| 3 | 项目总体技术方案 | 55 | 1、项目需求理解方案:投标人提供的项目需求理解方案中,包括但不限于①项目背景、②项目目标、③测评总体要求、④项目服务需求分析,其中包含四项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的项目需求理解方案架构、内容不符合项目情况的得4分;未提供不得分。 2、项目实施方案:投标人提供的项目实施方案中,包括但不限于①测评依据、②测评指标、③测评方法、④测评工具、⑤测评技术案例,其中包含五项以上内容,内容细化完善的得15分,针对以上内容存在缺漏,不够细化完善的得10分;有最基本的项目实施方案架构、内容不符合项目情况的得5分;未提供不得分。 3、质量管理方案:投标人提供的质量管理方案中,包括但不限于①质量管理目的、②质量管理计划、③质量管理制度、④质量保证措施、⑤测评过程质量控制,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的质量管理方案架构、内容不符合项目情况的得4分;未提供不得分。 4、安全保密方案:投标人提供的安全保密方案中,包括但不限于①安全管理体系、②服务人员保密管理、③现场设备保密管理、④测评报告保密管理、⑤保密承诺,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的安全保密方案架构、内容不符合项目情况的得4分;未提供不得分。 5、售后服务方案:投标人提供的售后服务方案中,包括但不限于①售后服务承诺、②售后服务保障措施、③售后技术支持、④售后服务流程、⑤售后服务管理制度,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的售后服务方案架构、内容不符合项目情况的得4分;未提供不得分。 |
| 4 | 类似业绩 | 5 | 投标人提供截止开标之日前三年(2020年1月至今)的类似项目业绩,每提供一项得1分,最高得5分,不提供不得分; 备注:投标人需提供业绩的合同或中标通知书的原件的扫描件,并放置在投标文件相应位置,需保证所扫描的资料完整并清晰可辨。如出现模糊无法辨认的情况,评委有权视其为不合格资料,未提供不得分。 |
| 5 | 团队人员 | 20 | 1、项目经理须具备网络安全等级保护高级测评师证书,并通过商用密码应用安全性评估人员考核的得3分,在此基础上:具备CISSP注册信息系统安全专家证书、PMP项目管理师证书、CISP-F注册电子取证专业人员证书,每具备一项得3分,满分12分。 注:投标文件附相关人员资质证书和近三个月社保证明复印件加盖公章,提供不全或未提供的不得分。 2、项目团队配备的测评师须具备网络安全等级保护测评师证书,并通过商用密码应用安全性评估人员考核的得4分,在此基础上:项目团队人员具备CISP注册信息安全工程师证书、中国通信企业协会网络安全人员能力认证证书、渗透测试工程师(高级)证书、NSATP注册网络安全测评专业人员证书,每具备一项得1分,满分4分。 注:投标文件附相关人员资质证书和近三个月社保证明复印件加盖公章,提供不全或未提供的不得分。 |
| 合计: | 100 | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
| 采购计划编号: | 2023NCZ* | 项目名称: | 宁夏地方金融监管和服务智能化建设项目运维服务 |
|---|---|---|---|
| 分包名称: | 宁夏地方金融监管和服务智能化建设项目运维服务 (二标段) | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 多年期错茬项目总概算 | *.00 |
| 多年期错茬性项目本年预算: | *.00 | ||
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
| 是否为执行国家统一定价标 和固定价格采购项目: | 否 | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| 1 | 无 |
三、商务要求
四、技术要求
| 标的清单(服务类) | |||||||
|---|---|---|---|---|---|---|---|
| 序号 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| 1 | 平台运营服务 | 等保测评及商用密码测评需求说明书 一、等级保护测评概况 按照《中华人民共和国网络安全法》和网络安全等级保护制度相关规定,对第三级(含) 以上的网络每年至少进行一次等级测评,二级网络每两年进行一次等级测评,新建第三级以上网络应当在通过等级保护测评后投入运行。为进一步加强网络安全防护能力,认真贯彻落实网络安全监管单位等级保护要求,切实做好信息系统安全等级保护测评、安全防护评估和测评整改等工作,依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等相关规定,结合我局实际,制定本方案。通过等级保护测评,对网络安全防护能力的分析与确认,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查安全隐患和薄弱环节、明确网络安全建设整改需求,有效地提高网络安全防护能力网络安全建设的整体水平;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力,对网络安全状态做出判断、提供合理化建议,并协助设计详细、合理的等级保护整改方案,通过安全建设整改工作能够使网络安全达到相应安全保护等级的能力要求,不断提升网络安全保护能力。三是提升网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解网络安全状况提升人员安全威胁处置能力。四是遵循国家等级保护有关规定的要求,对网络安全建设进行符合性测评,出具网络安全等级保护测评报告,将测评结论作为进一步完善系统安全防护措施的依据。 依据《国家网络安全等级保护测评机构管理办法》及《网络安全等级保护测评活动管理办法》相关要求,为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,网络安全等级保护测评活动必须遵循以下法律法规规定: 1.《中华人民共和国网络安全法》 2.《中华人民共和国计算机信息系统安全保护条例》( (略) 147 号令) 3.《计算机信息系统 安全保护等级划分准则》(GB 17859-1999) 4.《信息系统安全等级保护实施指南》 (GB/T25058-2010) 5.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 6.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 7.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020 ) 8.《信息安全等级保护备案实施细则》(公信安[2007]1360 号) 9.《信息安全技术 网络安全等级保护安全设计技术要求》(GBT25070-2019) 10.《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018) 11.《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T36627-2018) 12.《网络安全等级保护测评报告模板(2021 版)》 13.《关键信息基础设施安全保护条例》 二、等级保护测评指标要求 依据等保 2.0 版相关要求,对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统网络安全等级保护测评工作,并对差距项提出整改建议方案。 等级保护测评包括但不限于以下内容: (一)安全技术测评。 包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评; 1.安全物理环境。根据对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 2.安全通信网络。安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 3.安全区域边界。安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 4.安全计算环境。安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 5.安全管理中心。安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 (二)安全管理测评。 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 1.安全管理制度。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 2.安全管理机构。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 3.安全管理人员。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 4.安全建设管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 5.安全运维管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (三)扩展测评要求: 系统测评须严格按照等级保护 2.0 版安全通用要求指标进行测评,并结合应用系统使用移动互联网技术情况,增加测评扩展项指标。 三、商用密码应用安全性评估概况 随着信息技术的发展,一个国家拥有的数据规模,以及对数据的运用能力已成为衡量综合国力的重要组成部分,对数据的占有权和控制权将成为“海、*、空”之外的国家战略资源。我国高度重视“互联网+政务”建设,近几年各地方政府积极推进党政机关数据资源整合和开放共享,掀起了以云计算、大数据技术为主的“政务云”建设高潮。 随着等级保护工作贯彻落实,电子政务的迅速发展,网络安全已成为制约信息化发展的重要一环,大量存储或运行的数据缺乏必要的数据隔离措施和安全的应用程序接口控制,面临数据丢失、泄露及非法访问等风险。密码技术作为网络与信息安全保障的核心技术和基础支撑,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。2019年12月30日, (略) 办公厅发布《国家政务信息化项目建设管理办法》国办发[2019]57号文,指出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”安全可靠的密码技术已成为信息安全的最后一道防线,各级党政机关网络与信息系统迫切需要加强国产密码应用。 依据国家《密码法》、《网络安全法》和中央办公厅、 (略) 办公厅《金融和重要领域密码应用与创新发展工作规划(2018-2022 年)》(厅字[2018]36 号)相关要求,对以下系统开展商用密码应用测评、咨询服务工作,根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,开展密码应用安全性评估工作以及国产密码应用改造的咨询、论证等工作。 法律法规及政策依据: 1、《中华人民共和国密码法》 2、《国家政务信息化项目建设管理办法》 3、《贯彻落实网络安全等保制度和关保制度的指导意见》 商用密码应用安全性评估在实施过程中所依据的政策文件除上述文件外,还包含各地方政府或主管部门发布的相关管理办法及指导意见等。 商用密码测评实施依据: 1、《信息安全技术 信息系统密码应用基本要求》 2、《信息系统密码应用测评过程指南》 3、《信息系统密码应用测评要求》 4、《商用密码应用安全性评估量化评估规则》 5、《信息系统密码应用高风险判定指引》 商用密码应用安全性评估在实施过程中所依据的规范指南文件除上述文件外,还包含有国家密码管理局发布的其余有关密码技术、密码算法、密码产品和密码服务的规范标准文件。 四、商用密码应用安全性评估指标要求 对宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码应用的合规性,正确性,有效性进行安全性评估项目并提供《密码应用安全性评估报告》 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第二级别} 要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 7.1a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 71b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 可 网络和通信安全 身份鉴别 7.2a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 宜 通信数据完整性 7.2b)宜采用密码技术保证通信过程中数据的完整性; 可 通信过程中重要数据的机密性 7.2c)应采用密码技术保证通信过程中重要数据的机密性; 宜 网络边界访问控制信息的完整性 7.2d)宜采用密码技术保证网络边界访问控制信息的完整性; 可 设备和计算安全 身份鉴别 7.3a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 宜 系统资源访问控制信息完整性 7.3b)宜采用密码技术保证系统资源访问控制信息的完整性; 可 日志记录完整性 7.3c)宜采用密码技术保证日志记录的完整性; 可 应用和数据安全 身份鉴别 7.4a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 宜 访问控制信息完整性 7.4b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; 可 重要数据传输机密性 7.4c)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 宜 重要数据存储机密性 7.4d)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 宜 重要数据传输完整性 7.4e)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 7.4f)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 管理要求 管理制度 具备密码应用安全管理制度 7.5a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 7.5b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 7.5c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 7.6a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 7.6b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 7.6c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 建立关键岗位人员保密制度和调离制度 7.6d)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 7.7a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 7.7b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术信息系统密码应用基本要求》附录A; 应 制定实施方案 7.7c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 7.7d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 宜 应急处置 应急策略 7.8a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 测评指标合计 27项 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第三级别}要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 8.1 a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 8.1 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 宜 视频监控记录数据存储完整性 8.1 c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 宜 网络和通信安全 身份鉴别 8.2 a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 应 通信数据完整性 8.2 b) 宜采用密码技术保证通信过程中数据的完整性; 宜 通信过程中重要数据的机密性 8.2 c) 应采用密码技术保证通信过程中重要数据的机密性; 应 网络边界访问控制信息的完整性 8.2 d) 宜采用密码技术保证网络边界访问控制信息的完整性; 宜 安全接入认证 8.2 e) 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 可 设备和计算安全 身份鉴别 8.3 a) 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 应 远程管理通道安全 8.3 b) 远程管理设备时,应采用密码技术建立安全的信息传输通道; 应 系统资源访问控制信息完整性 8.3 c) 宜采用密码技术保证系统资源访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.3 d) 宜采用密码技术保证设备中的重要信息资源安全标记的完整性; 宜 日志记录完整性 8.3 e) 宜采用密码技术保证日志记录的完整性; 宜 重要可执行程序完整性、重要可执行程序来源真实性 8.3 f) 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 宜 应用和数据安全 身份鉴别 8.4 a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 应 访问控制信息完整性 8.4 b) 宜采用密码技术保证信息系统应用的访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.4 c) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; 宜 重要数据传输机密性 8.4 d) 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 应 重要数据存储机密性 8.4 e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 应 重要数据传输完整性 8.4 f) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 8.4 g) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 不可否认性 8.4 h) 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 宜 管理要求 管理制度 具备密码应用安全管理制度 8.5 a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 8.5 b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 8.5 c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 定期修订安全管理制度 8.5 d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; 应 明确管理制度发布流程 8.5 e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; 应 制度执行过程记录留存 8.5 f)应具有密码应用操作规程的相关执行记录并妥善保存。 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 8.6 a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 8.6 b) 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2) 对关键岗位建立多人共管机制; 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4) 相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 8.6 c) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 定期进行安全岗位人员考核 8.6 d) 应定期对密码应用安全岗位人员进行考核; 应 建立关键岗位人员保密制度和调离制度 8.6 e) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 8.7 a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 8.7 b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; 应 制定实施方案 8.7 c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 8.7 d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 应 定期开展密码应用安全性评估及攻防对抗演台系统密码测评服务密评实测评工作,确保测评数据真实可靠、测评过程记录完整、测评内容充分全面、保证不存在影响评测结果的疏忽或遗漏、测评结果公正,测评实施过程应严格遵守国家的相关法律、法规、规范、标准等相关要求建立完整科学的测评过程,在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。测评过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。从项目启动阶段、系统收集阶段、工具和表单准备、方案编制阶段、现场测评阶段、分析与报告编制阶段、整改方案编制阶段等方面进行项目实施规范管理。 项目实施应满足以下原则∶ ?符合性原则∶应符合国家密码管理局针对密码应用安全性评估的要求及相关法律法规。 ?标准性原则∶密评实施方案设计、项目实施应依据行业及国内相关标准进行。 ?规范性原则∶项目实施应由专业密评测评师依照规范得操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。 ?可控性原则∶项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排,保证项目实施得可控性。 ?整体性原则∶测评范围与内容应当整体全面,包括涉及评估的各个层面和指标。 ?最小景响原则∶项目实测评作应尽可能小得景响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。 保密原则:对项目实施过程获得得数据与结果严格保密,未经授权不得泄露给任何单位与个人,不得利用此数据与结果进行任何侵害测评委托单位利益得行为。 六、增值服务 针对宁夏回族自治区地方金融监督管理局网络安全工作实际需求提供以下安全增值服务。 序号 服务项目 服务内容 1 安全检查支撑 根据招标方实际工作需求,提供项目系统安全基线检查、漏洞扫描、策略加固等技术支持。 2 重保时期技术支持 *方实际工作需求,在项目系统应急演练及重点保障时期,提供技术支持。 3 系统安全渗透测试 根据*方实际工作需求,自合同签订之日起一年内,对系统提供两次渗透测试,分析问题并协助建设方完成整改。 4 安全风险评估服务 根据*方实际工作需求,自合同签订之日起一年内,每季度提供一次安全风险评估服务。 | 1 | *.00 | 标的1-平台运营服务:等保测评及商用密码测评需求说明书 一、等级保护测评概况 按照《中华人民共和国网络安全法》和网络安全等级保护制度相关规定,对第三级(含) 以上的网络每年至少进行一次等级测评,二级网络每两年进行一次等级测评,新建第三级以上网络应当在通过等级保护测评后投入运行。为进一步加强网络安全防护能力,认真贯彻落实网络安全监管单位等级保护要求,切实做好信息系统安全等级保护测评、安全防护评估和测评整改等工作,依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等相关规定,结合我局实际,制定本方案。通过等级保护测评,对网络安全防护能力的分析与确认,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查安全隐患和薄弱环节、明确网络安全建设整改需求,有效地提高网络安全防护能力网络安全建设的整体水平;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力,对网络安全状态做出判断、提供合理化建议,并协助设计详细、合理的等级保护整改方案,通过安全建设整改工作能够使网络安全达到相应安全保护等级的能力要求,不断提升网络安全保护能力。三是提升网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解网络安全状况提升人员安全威胁处置能力。四是遵循国家等级保护有关规定的要求,对网络安全建设进行符合性测评,出具网络安全等级保护测评报告,将测评结论作为进一步完善系统安全防护措施的依据。 依据《国家网络安全等级保护测评机构管理办法》及《网络安全等级保护测评活动管理办法》相关要求,为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,网络安全等级保护测评活动必须遵循以下法律法规规定: 1.《中华人民共和国网络安全法》 2.《中华人民共和国计算机信息系统安全保护条例》( (略) 147 号令) 3.《计算机信息系统 安全保护等级划分准则》(GB 17859-1999) 4.《信息系统安全等级保护实施指南》 (GB/T25058-2010) 5.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 6.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 7.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020 ) 8.《信息安全等级保护备案实施细则》(公信安[2007]1360 号) 9.《信息安全技术 网络安全等级保护安全设计技术要求》(GBT25070-2019) 10.《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018) 11.《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T36627-2018) 12.《网络安全等级保护测评报告模板(2021 版)》 13.《关键信息基础设施安全保护条例》 二、等级保护测评指标要求 依据等保 2.0 版相关要求,对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统网络安全等级保护测评工作,并对差距项提出整改建议方案。 等级保护测评包括但不限于以下内容: (一)安全技术测评。 包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评; 1.安全物理环境。根据对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 2.安全通信网络。安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 3.安全区域边界。安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 4.安全计算环境。安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 5.安全管理中心。安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 (二)安全管理测评。 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 1.安全管理制度。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 2.安全管理机构。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 3.安全管理人员。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 4.安全建设管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 5.安全运维管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (三)扩展测评要求: 系统测评须严格按照等级保护 2.0 版安全通用要求指标进行测评,并结合应用系统使用移动互联网技术情况,增加测评扩展项指标。 三、商用密码应用安全性评估概况 随着信息技术的发展,一个国家拥有的数据规模,以及对数据的运用能力已成为衡量综合国力的重要组成部分,对数据的占有权和控制权将成为“海、*、空”之外的国家战略资源。我国高度重视“互联网+政务”建设,近几年各地方政府积极推进党政机关数据资源整合和开放共享,掀起了以云计算、大数据技术为主的“政务云”建设高潮。 随着等级保护工作贯彻落实,电子政务的迅速发展,网络安全已成为制约信息化发展的重要一环,大量存储或运行的数据缺乏必要的数据隔离措施和安全的应用程序接口控制,面临数据丢失、泄露及非法访问等风险。密码技术作为网络与信息安全保障的核心技术和基础支撑,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。2019年12月30日, (略) 办公厅发布《国家政务信息化项目建设管理办法》国办发[2019]57号文,指出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”安全可靠的密码技术已成为信息安全的最后一道防线,各级党政机关网络与信息系统迫切需要加强国产密码应用。 依据国家《密码法》、《网络安全法》和中央办公厅、 (略) 办公厅《金融和重要领域密码应用与创新发展工作规划(2018-2022 年)》(厅字[2018]36 号)相关要求,对以下系统开展商用密码应用测评、咨询服务工作,根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,开展密码应用安全性评估工作以及国产密码应用改造的咨询、论证等工作。 法律法规及政策依据: 1、《中华人民共和国密码法》 2、《国家政务信息化项目建设管理办法》 3、《贯彻落实网络安全等保制度和关保制度的指导意见》 商用密码应用安全性评估在实施过程中所依据的政策文件除上述文件外,还包含各地方政府或主管部门发布的相关管理办法及指导意见等。 商用密码测评实施依据: 1、《信息安全技术 信息系统密码应用基本要求》 2、《信息系统密码应用测评过程指南》 3、《信息系统密码应用测评要求》 4、《商用密码应用安全性评估量化评估规则》 5、《信息系统密码应用高风险判定指引》 商用密码应用安全性评估在实施过程中所依据的规范指南文件除上述文件外,还包含有国家密码管理局发布的其余有关密码技术、密码算法、密码产品和密码服务的规范标准文件。 四、商用密码应用安全性评估指标要求 对宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码应用的合规性,正确性,有效性进行安全性评估项目并提供《密码应用安全性评估报告》 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第二级别} 要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 7.1a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 71b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 可 网络和通信安全 身份鉴别 7.2a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 宜 通信数据完整性 7.2b)宜采用密码技术保证通信过程中数据的完整性; 可 通信过程中重要数据的机密性 7.2c)应采用密码技术保证通信过程中重要数据的机密性; 宜 网络边界访问控制信息的完整性 7.2d)宜采用密码技术保证网络边界访问控制信息的完整性; 可 设备和计算安全 身份鉴别 7.3a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 宜 系统资源访问控制信息完整性 7.3b)宜采用密码技术保证系统资源访问控制信息的完整性; 可 日志记录完整性 7.3c)宜采用密码技术保证日志记录的完整性; 可 应用和数据安全 身份鉴别 7.4a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 宜 访问控制信息完整性 7.4b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; 可 重要数据传输机密性 7.4c)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 宜 重要数据存储机密性 7.4d)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 宜 重要数据传输完整性 7.4e)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 7.4f)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 管理要求 管理制度 具备密码应用安全管理制度 7.5a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 7.5b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 7.5c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 7.6a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 7.6b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 7.6c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 建立关键岗位人员保密制度和调离制度 7.6d)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 7.7a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 7.7b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术信息系统密码应用基本要求》附录A; 应 制定实施方案 7.7c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 7.7d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 宜 应急处置 应急策略 7.8a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 测评指标合计 27项 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第三级别}要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 8.1 a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 8.1 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 宜 视频监控记录数据存储完整性 8.1 c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 宜 网络和通信安全 身份鉴别 8.2 a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 应 通信数据完整性 8.2 b) 宜采用密码技术保证通信过程中数据的完整性; 宜 通信过程中重要数据的机密性 8.2 c) 应采用密码技术保证通信过程中重要数据的机密性; 应 网络边界访问控制信息的完整性 8.2 d) 宜采用密码技术保证网络边界访问控制信息的完整性; 宜 安全接入认证 8.2 e) 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 可 设备和计算安全 身份鉴别 8.3 a) 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 应 远程管理通道安全 8.3 b) 远程管理设备时,应采用密码技术建立安全的信息传输通道; 应 系统资源访问控制信息完整性 8.3 c) 宜采用密码技术保证系统资源访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.3 d) 宜采用密码技术保证设备中的重要信息资源安全标记的完整性; 宜 日志记录完整性 8.3 e) 宜采用密码技术保证日志记录的完整性; 宜 重要可执行程序完整性、重要可执行程序来源真实性 8.3 f) 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 宜 应用和数据安全 身份鉴别 8.4 a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 应 访问控制信息完整性 8.4 b) 宜采用密码技术保证信息系统应用的访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.4 c) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; 宜 重要数据传输机密性 8.4 d) 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 应 重要数据存储机密性 8.4 e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 应 重要数据传输完整性 8.4 f) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 8.4 g) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 不可否认性 8.4 h) 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 宜 管理要求 管理制度 具备密码应用安全管理制度 8.5 a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 8.5 b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 8.5 c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 定期修订安全管理制度 8.5 d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; 应 明确管理制度发布流程 8.5 e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; 应 制度执行过程记录留存 8.5 f)应具有密码应用操作规程的相关执行记录并妥善保存。 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 8.6 a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 8.6 b) 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2) 对关键岗位建立多人共管机制; 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4) 相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 8.6 c) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 定期进行安全岗位人员考核 8.6 d) 应定期对密码应用安全岗位人员进行考核; 应 建立关键岗位人员保密制度和调离制度 8.6 e) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 8.7 a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 8.7 b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; 应 制定实施方案 8.7 c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 8.7 d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 应 定期开展密码应用安全性评估及攻防对抗演台系统密码测评服务密评实测评工作,确保测评数据真实可靠、测评过程记录完整、测评内容充分全面、保证不存在影响评测结果的疏忽或遗漏、测评结果公正,测评实施过程应严格遵守国家的相关法律、法规、规范、标准等相关要求建立完整科学的测评过程,在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。测评过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。从项目启动阶段、系统收集阶段、工具和表单准备、方案编制阶段、现场测评阶段、分析与报告编制阶段、整改方案编制阶段等方面进行项目实施规范管理。 项目实施应满足以下原则∶ ?符合性原则∶应符合国家密码管理局针对密码应用安全性评估的要求及相关法律法规。 ?标准性原则∶密评实施方案设计、项目实施应依据行业及国内相关标准进行。 ?规范性原则∶项目实施应由专业密评测评师依照规范得操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。 ?可控性原则∶项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排,保证项目实施得可控性。 ?整体性原则∶测评范围与内容应当整体全面,包括涉及评估的各个层面和指标。 ?最小景响原则∶项目实测评作应尽可能小得景响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。 保密原则:对项目实施过程获得得数据与结果严格保密,未经授权不得泄露给任何单位与个人,不得利用此数据与结果进行任何侵害测评委托单位利益得行为。 六、增值服务 针对宁夏回族自治区地方金融监督管理局网络安全工作实际需求提供以下安全增值服务。 序号 服务项目 服务内容 1 安全检查支撑 根据招标方实际工作需求,提供项目系统安全基线检查、漏洞扫描、策略加固等技术支持。 2 重保时期技术支持 *方实际工作需求,在项目系统应急演练及重点保障时期,提供技术支持。 3 系统安全渗透测试 根据*方实际工作需求,自合同签订之日起一年内,对系统提供两次渗透测试,分析问题并协助建设方完成整改。 4 安全风险评估服务 根据*方实际工作需求,自合同签订之日起一年内,每季度提供一次安全风险评估服务。 | 自合同签订之日起至2024年12月31日 | |
五、合同管理安排
合同类型:
服务类
六、评审方法及评审细则
评标方法:
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| 1 | 投标报价 | 10 | 价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×100%×权重分值。(四舍五入后保留小数点后两位)对于高于项目采购预算金额的投标报价不予接受,视为无效投标。 |
| 2 | 企业实力 | 10 | 1、投标人提供信息技术管理体系认证ISO20000认证证书、且服务范围包含商用密码测评测评的得2分; 2、投标人提供信息安全管理体系认证ISO27001认证证书、且服务范围包含商用密码测评测评的得2分; 3、投标人提供中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质认证证书得3分; 投标人提供工业信息安全应急服务支撑单位证书得3分。 |
| 3 | 项目总体技术方案 | 55 | 1、项目需求理解方案:投标人提供的项目需求理解方案中,包括但不限于①项目背景、②项目目标、③测评总体要求、④项目服务需求分析,其中包含四项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的项目需求理解方案架构、内容不符合项目情况的得4分;未提供不得分。 2、项目实施方案:投标人提供的项目实施方案中,包括但不限于①测评依据、②测评指标、③测评方法、④测评工具、⑤测评技术案例,其中包含五项以上内容,内容细化完善的得15分,针对以上内容存在缺漏,不够细化完善的得10分;有最基本的项目实施方案架构、内容不符合项目情况的得5分;未提供不得分。 3、质量管理方案:投标人提供的质量管理方案中,包括但不限于①质量管理目的、②质量管理计划、③质量管理制度、④质量保证措施、⑤测评过程质量控制,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的质量管理方案架构、内容不符合项目情况的得4分;未提供不得分。 4、安全保密方案:投标人提供的安全保密方案中,包括但不限于①安全管理体系、②服务人员保密管理、③现场设备保密管理、④测评报告保密管理、⑤保密承诺,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的安全保密方案架构、内容不符合项目情况的得4分;未提供不得分。 5、售后服务方案:投标人提供的售后服务方案中,包括但不限于①售后服务承诺、②售后服务保障措施、③售后技术支持、④售后服务流程、⑤售后服务管理制度,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的售后服务方案架构、内容不符合项目情况的得4分;未提供不得分。 |
| 4 | 类似业绩 | 5 | 投标人提供截止开标之日前三年(2020年1月至今)的类似项目业绩,每提供一项得1分,最高得5分,不提供不得分; 备注:投标人需提供业绩的合同或中标通知书的原件的扫描件,并放置在投标文件相应位置,需保证所扫描的资料完整并清晰可辨。如出现模糊无法辨认的情况,评委有权视其为不合格资料,未提供不得分。 |
| 5 | 团队人员 | 20 | 1、项目经理须具备网络安全等级保护高级测评师证书,并通过商用密码应用安全性评估人员考核的得3分,在此基础上:具备CISSP注册信息系统安全专家证书、PMP项目管理师证书、CISP-F注册电子取证专业人员证书,每具备一项得3分,满分12分。 注:投标文件附相关人员资质证书和近三个月社保证明复印件加盖公章,提供不全或未提供的不得分。 2、项目团队配备的测评师须具备网络安全等级保护测评师证书,并通过商用密码应用安全性评估人员考核的得4分,在此基础上:项目团队人员具备CISP注册信息安全工程师证书、中国通信企业协会网络安全人员能力认证证书、渗透测试工程师(高级)证书、NSATP注册网络安全测评专业人员证书,每具备一项得1分,满分4分。 注:投标文件附相关人员资质证书和近三个月社保证明复印件加盖公章,提供不全或未提供的不得分。 |
| 合计: | 100 | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
招投标大数据
最近搜索
无
热门搜索
无
