业务系统等保测评项目结果公告采购包1
发送至邮箱
业务系统等保测评项目结果公告采购包1
采购包1:
| 供应商名称 | 供应商地址 | 中标(成交)金额 | 评审总得分 |
|---|---|---|---|
| 福州 (略) | (略) (略) (略) 130号申发大厦11层1107-1108室 | (略) | 92.38 |
采购包1(福建省公安厅业务系统等保测评项目):
服务类(福州 (略) )
| 品目号 | 品目编号及品目名称 | 采购标的 | 服务范围 | 服务要求 | 服务时间 | 单位 | 服务标准 | 金额(元) |
|---|---|---|---|---|---|---|---|---|
| 1-1 | 安全运维服务 | 福建省公安厅业务系统等保测评项目 | 采购人全厅等级保护三级以上的信息系统37个 | 一、项目概况(采购标的)1.1现状与需求分析依照国家信息系统安全等级保护相关要求,采购人共有等级保护三级以上的信息系统37个,应当每年至少进行一次等级测评。因此需通过本服务实现全厅三级以上信息系统每年等保测评工作的统一开展与管理工作,确保公安厅重要信息系统安全稳定运行,为公安信息化应用保驾护航。1.2 服务目标实现对福建省公安厅37个等保三级信息系统每年测评及测评前的准备及测评发现问题的整改工作,通过等保测评及整改实现以下目标:1.掌握福建省公安厅重要信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求,消除风险隐患。2.衡量福建省公安厅重要信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。3.等级测评结果将作为福建 (略) 信办按照 (略) 络安全责任制的要求对厅属各业务单位信息系统开展监督、检查、指导等工作的参照依据。二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)★2.1 服务要求服务期限内,投标人需根据采购人要求,在规定时间内(根据实际需求分批次)对等保三级应用系统(具体测评系统清单以采购人实际提供为准) (略) 络安全等级保护测评服务及协助测评服务,出具具有法律效力的等保测评报告。2.2服务依据(评分项1)依据信息系统安全等级保护相关技术标准,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定,由等级保护测评机构给予相应的系统安全等级评审意见。主要参考标准如下《信息安全等级保护管理办法》《信息 (略) 络安全等级保护基本要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护测评要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护定级指南》(GB/T (略)-2020)《信息 (略) 络安全等级保护测评过程指南》(GB/T(略)-2019)2.3服务原则规范性原则(评分项2)投标人工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。标准性原则(评分项3)测评方案的设计与实施应依据国家等级保护的相关标准进行。可控性原则(评分项4)测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性。整体性原则(评分项5)测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。最小影响原则(评分项6)测评工作应尽可能小的影 (略) 络的正常运行, (略) 的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述)。保密原则(评分项7)对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵 (略) 络的行为,否则业主单位有权追究责任。2.4服务内容2.4.1等保测评评估认证按GB/T (略)-2019《信息 (略) 络安全等级保护基本要求》第三级要求,完成等级测评将覆盖安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心、云平台、安全管理制度等方面的内容测评,内容包括但不限于以下内容:(1)总体要求测评(评分项8)包括总体技术要求、总体管理要求;(2)安全技术测评:安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心等五个方面的安全测评;安全物理环境(评分项9)包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面。 (略) 络(评分项10) (略) 络架构、通信传输、可信验证方面。 (略) 域边界(评分项11)包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。安全计算环境(评分项12)包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。安全管理中心(评分项13)包括系统管理、审计管理、安全管理、集中管控方面。(3)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评;安全管理制度(评分项14)包括安全策略、管理制度、制定和发布、评审和修订方面。安全管理机构(评分项15)包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面。安全管理人员(评分项16)包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。安全建设管理(评分项17)包括级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。安全运维管理(评分项18)包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安 (略) 置、应急预案管理、外包运维管理方面。2.4.2测评服务要求★2.4.2.1测评驻场服务在项目现场实施周期内,中标人为本项目成立等级保护测评小组,并至少安排1名核心技术人员驻场服务,在服务期间内协助采购人开展等保测评的组织工作,并对接被测评系统责任部门开展等保差距评估,指导其完成整改,确保通过等保测评。负责配合采购人,按采购人有关规定完成项目相关其他工作,包含但不限于完成合作企业和人员背景审查备案、验收材料制作、归档及为采购人提供等保知识基础培训等。在项目实施途中,驻场人员未经采购人同意不得随意更换。具体要求如下:2.4.2.2 测评环境确认及准备(评分项19)根据等级保护要求,协助厅属各业务部门完成测评前准备工作,如定级备案情况确认、安全管理情况等。等级保护测评实施过程中所使用到的各种工具软件均由中标人推荐,经采购人确认后由中标人提供并在测评中使用。2.4.2.3 等保资产分析服务(评分项20)中标人根据等级保护范围内的资产组成,对服务范围内各个测评对 (略) 络结构拓扑以及相关联的资产,基于等级保护综合管理系统开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制《信息系统等级保护基本情况调研表》,并通过系统实现资产管理, (略) 络拓扑、机房管理、设备管理、应用管理、数据管理等。2.4.2.4 等保风险分析服务(评分项21)中标人根据等级保护基本要求,开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制《等级保护安全评估与整改建议报告》。2.4.2.5等保差距评估服务中标人在安全评估和信息系统定级的基础上,根据《GB/T(略)-2019信息 (略) 络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析,并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、10大层面指标符合情况、自评得分变化趋势。差距评估从管理和技术两个层面找出存在的问题并进行差距分析,包含以下内容:安全通用要求差距1)技术层面的差距评估(三级)内容:(评分项22)安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 (略) 络:网络架构、通信传输、可信验证。 (略) 域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心:系统管理、审计管理、安全管理、集中管控。2)管理层面的差距评估(三级)内容:(评分项23)安全管理制度:安全策略、管理制度、制定与发布、评审与修订。安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安 (略) 置、应急预案管理、外包运维管理。2.4.2.6等保加固辅导服务(评分项24)中标人根据等级保护基本要求以及风险和差距分析结果,对服务范围内信息系统的关键资产编制《等保安全整改意见书》,《意见书》中应包括加固风险分析及风险规避说明。中标人应当负责指导被测系统责任部门开展相关整改工作,并对整改情况进行复核。待整改完成后,根据整改实施情况提交《等级保护安全加固报告》。2.4.2.7等保制度建设服务(评分项25)中标人协助采购人建设完善安全管理制度,为测评对象建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5大类安全管理要求的方针、制度、各类记录表格模板,达到等级保护测评要求。提交《等级保护安全管理制度》。2.4.2.7 测评组织沟通(评分项26)中标人应当负责做好测评机构与采购人各三级系统责任部门的组织协调沟通工作,明确测评工作的时间安排、人员组织、所需环境、材料清单等需求,对相关各方提供的等保测评相关材料进行确认和指导完善。2.4.2.8 现场测评辅助(评分项27)在测评机构进行测评过程中,中标人应当协助采购人被测系统责任部门进行现场测评,确保测评环节的顺利进行。2.4.2.9 测评整改追踪(评分项28)中标人应当协助采购人被测系统责任部门对测评中发现的整改项进行整改, (略) 将测评整改结果发起内 (略) 置流程,并形成追踪,反馈事件流,确保测评整改的事件追踪闭环。2.4.3 等保台账管理服务(评分项29)中标人在安全评估、信息系统定级和等保测评的基础上,提供等保信息管理工具,服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档,配合被测评系统责任部门根据省公安厅项目档案验收规定对37个三级对象的定级、备案、自评、测评、管理制度五大维度的文件归档管理,并且维护更新至省厅现有安全管理中心 (略) 。 | 2年 | 批 | 定制服务一、项目概况1.1现状与需求分析依照国家信息系统安全等级保护相关要求,采购人共有等级保护三级以上的信息系统37个,应当每年至少进行一次等级测评。因此需通过本服务实现全厅三级以上信息系统每年等保测评工作的统一开展与管理工作,确保公安厅重要信息系统安全稳定运行,为公安信息化应用保驾护航。1.2 服务目标实现对福建省公安厅37个等保三级信息系统每年测评及测评前的准备及测评发现问题的整改工作,通过等保测评及整改实现以下目标:1.掌握福建省公安厅重要信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求,消除风险隐患。2.衡量福建省公安厅重要信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。3.等级测评结果将作为福建 (略) 信办按照 (略) 络安全责任制的要求对厅属各业务单位信息系统开展监督、检查、指导等工作的参照依据。二、技术和服务要求2.1 服务要求服务期限内,投标人需根据采购人要求,在规定时间内(根据实际需求分批次)对等保三级应用系统(具体测评系统清单以采购人实际提供为准) (略) 络安全等级保护测评服务及协助测评服务,出具具有法律效力的等保测评报告。2.2服务依据依据信息系统安全等级保护相关技术标准,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定,由等级保护测评机构给予相应的系统安全等级评审意见。主要参考标准如下《信息安全等级保护管理办法》《信息 (略) 络安全等级保护基本要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护测评要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护定级指南》(GB/T (略)-2020)《信息 (略) 络安全等级保护测评过程指南》(GB/T(略)-2019)2.3服务原则规范性原则投标人工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。标准性原则测评方案的设计与实施应依据国家等级保护的相关标准进行。可控性原则测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性。整体性原则测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。最小影响原则测评工作应尽可能小的影 (略) 络的正常运行, (略) 的运行和业务的正常提供产生显著影响。保密原则对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵 (略) 络的行为,否则业主单位有权追究责任。2.4服务内容2.4.1等保测评评估认证按GB/T (略)-2019《信息 (略) 络安全等级保护基本要求》第三级要求,完成等级测评将覆盖安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心、云平台、安全管理制度等方面的内容测评,内容包括但不限于以下内容:(1)总体要求测评包括总体技术要求、总体管理要求;(2)安全技术测评:安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心等五个方面的安全测评;安全物理环境包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面。 (略) (略) 络架构、通信传输、可信验证方面。 (略) 域边界包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。安全计算环境包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。安全管理中心包括系统管理、审计管理、安全管理、集中管控方面。(3)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评;安全管理制度包括安全策略、管理制度、制定和发布、评审和修订方面。安全管理机构包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面。安全管理人员包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。安全建设管理包括级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。安全运维管理包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安 (略) 置、应急预案管理、外包运维管理方面。2.4.2测评服务要求2.4.2.1测评驻场服务在项目现场实施周期内,中标人为本项目成立等级保护测评小组,并至少安排1名核心技术人员驻场服务,在服务期间内协助采购人开展等保测评的组织工作,并对接被测评系统责任部门开展等保差距评估,指导其完成整改,确保通过等保测评。负责配合采购人,按采购人有关规定完成项目相关其他工作,包含但不限于完成合作企业和人员背景审查备案、验收材料制作、归档及为采购人提供等保知识基础培训等。在项目实施途中,驻场人员未经采购人同意不得随意更换。具体要求如下:2.4.2.2 测评环境确认及准备根据等级保护要求,协助厅属各业务部门完成测评前准备工作,如定级备案情况确认、安全管理情况等。等级保护测评实施过程中所使用到的各种工具软件均由中标人推荐,经采购人确认后由中标人提供并在测评中使用。2.4.2.3 等保资产分析服务中标人根据等级保护范围内的资产组成,对服务范围内各个测评对 (略) 络结构拓扑以及相关联的资产,基于等级保护综合管理系统开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制《信息系统等级保护基本情况调研表》,并通过系统实现资产管理, (略) 络拓扑、机房管理、设备管理、应用管理、数据管理等。2.4.2.4 等保风险分析服务中标人根据等级保护基本要求,开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制《等级保护安全评估与整改建议报告》。2.4.2.5等保差距评估服务中标人在安全评估和信息系统定级的基础上,根据《GB/T(略)-2019信息 (略) 络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析,并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、10大层面指标符合情况、自评得分变化趋势。差距评估从管理和技术两个层面找出存在的问题并进行差距分析,包含以下内容:安全通用要求差距1)技术层面的差距评估(三级)内容:安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 (略) 络:网络架构、通信传输、可信验证。 (略) 域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心:系统管理、审计管理、安全管理、集中管控。2)管理层面的差距评估(三级)内容:安全管理制度:安全策略、管理制度、制定与发布、评审与修订。安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安 (略) 置、应急预案管理、外包运维管理。2.4.2.6等保加固辅导服务中标人根据等级保护基本要求以及风险和差距分析结果,对服务范围内信息系统的关键资产编制《等保安全整改意见书》,《意见书》中应包括加固风险分析及风险规避说明。中标人应当负责指导被测系统责任部门开展相关整改工作,并对整改情况进行复核。待整改完成后,根据整改实施情况提交《等级保护安全加固报告》。2.4.2.7等保制度建设服务中标人协助采购人建设完善安全管理制度,为测评对象建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5大类安全管理要求的方针、制度、各类记录表格模板,达到等级保护测评要求。提交《等级保护安全管理制度》。2.4.2.7 测评组织沟通中标人应当负责做好测评机构与采购人各三级系统责任部门的组织协调沟通工作,明确测评工作的时间安排、人员组织、所需环境、材料清单等需求,对相关各方提供的等保测评相关材料进行确认和指导完善。2.4.2.8 现场测评辅助在测评机构进行测评过程中,中标人应当协助采购人被测系统责任部门进行现场测评,确保测评环节的顺利进行。2.4.2.9 测评整改追踪中标人应当协助采购人被测系统责任部门对测评中发现的整改项进行整改, (略) 将测评整改结果发起内 (略) 置流程,并形成追踪,反馈事件流,确保测评整改的事件追踪闭环。2.4.3 等保台账管理服务中标人在安全评估、信息系统定级和等保测评的基础上,提供等保信息管理工具,服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档,配合被测评系统责任部门根据省公安厅项目档案验收规定对37个三级对象的定级、备案、自评、测评、管理制度五大维度的文件归档管理,并且维护更新至省厅现有安全管理中心 (略) 。 | (略) |
| 采购人代表: | 陈世辉 |
| 评审专家: | 张乃熀 、 李燕婷 、 饶炫 、 张建 |
代理服务费收费标准:
(略)元<项目预算金额≤(略)元的项目代理服务费,按一次性7000元固定费用向中标/成交供应商收取。招标代理服务费缴交银行帐号 开户名称:福 (略) 账 号:(略)(略) 开户银行:中国建设银行福州上江城支行。
代理服务费收费金额:
合同包1福建省公安厅业务系统等保测评项目:0.(略)元
收取对象:中标(成交)供应商
自本公告发布之日起1个工作日。
福 (略) (略) 、广东 (略) 2家投标供应商投标文件未按招标文件要求在技术商务部分提供《廉政承诺书》,其2家供应商符合性审查结果为不通过。其余投标供应商资格性、符合性审查均通过。
名称:福建省公安厅
地址: (略) (略) (略) 12号
联系方式:(略)
名称:福 (略)
地址: (略) (略) (略) 天泽江鼎金爵苑48座2701号
联系方式:(略) 0591-(略)
项目联系人:胡小芳、方建莲
电话:(略) 0591-(略)
福 (略)
2024年11月27日
采购包1:
| 供应商名称 | 供应商地址 | 中标(成交)金额 | 评审总得分 |
|---|---|---|---|
| 福州 (略) | (略) (略) (略) 130号申发大厦11层1107-1108室 | (略) | 92.38 |
采购包1(福建省公安厅业务系统等保测评项目):
服务类(福州 (略) )
| 品目号 | 品目编号及品目名称 | 采购标的 | 服务范围 | 服务要求 | 服务时间 | 单位 | 服务标准 | 金额(元) |
|---|---|---|---|---|---|---|---|---|
| 1-1 | 安全运维服务 | 福建省公安厅业务系统等保测评项目 | 采购人全厅等级保护三级以上的信息系统37个 | 一、项目概况(采购标的)1.1现状与需求分析依照国家信息系统安全等级保护相关要求,采购人共有等级保护三级以上的信息系统37个,应当每年至少进行一次等级测评。因此需通过本服务实现全厅三级以上信息系统每年等保测评工作的统一开展与管理工作,确保公安厅重要信息系统安全稳定运行,为公安信息化应用保驾护航。1.2 服务目标实现对福建省公安厅37个等保三级信息系统每年测评及测评前的准备及测评发现问题的整改工作,通过等保测评及整改实现以下目标:1.掌握福建省公安厅重要信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求,消除风险隐患。2.衡量福建省公安厅重要信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。3.等级测评结果将作为福建 (略) 信办按照 (略) 络安全责任制的要求对厅属各业务单位信息系统开展监督、检查、指导等工作的参照依据。二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)★2.1 服务要求服务期限内,投标人需根据采购人要求,在规定时间内(根据实际需求分批次)对等保三级应用系统(具体测评系统清单以采购人实际提供为准) (略) 络安全等级保护测评服务及协助测评服务,出具具有法律效力的等保测评报告。2.2服务依据(评分项1)依据信息系统安全等级保护相关技术标准,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定,由等级保护测评机构给予相应的系统安全等级评审意见。主要参考标准如下《信息安全等级保护管理办法》《信息 (略) 络安全等级保护基本要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护测评要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护定级指南》(GB/T (略)-2020)《信息 (略) 络安全等级保护测评过程指南》(GB/T(略)-2019)2.3服务原则规范性原则(评分项2)投标人工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。标准性原则(评分项3)测评方案的设计与实施应依据国家等级保护的相关标准进行。可控性原则(评分项4)测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性。整体性原则(评分项5)测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。最小影响原则(评分项6)测评工作应尽可能小的影 (略) 络的正常运行, (略) 的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述)。保密原则(评分项7)对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵 (略) 络的行为,否则业主单位有权追究责任。2.4服务内容2.4.1等保测评评估认证按GB/T (略)-2019《信息 (略) 络安全等级保护基本要求》第三级要求,完成等级测评将覆盖安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心、云平台、安全管理制度等方面的内容测评,内容包括但不限于以下内容:(1)总体要求测评(评分项8)包括总体技术要求、总体管理要求;(2)安全技术测评:安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心等五个方面的安全测评;安全物理环境(评分项9)包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面。 (略) 络(评分项10) (略) 络架构、通信传输、可信验证方面。 (略) 域边界(评分项11)包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。安全计算环境(评分项12)包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。安全管理中心(评分项13)包括系统管理、审计管理、安全管理、集中管控方面。(3)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评;安全管理制度(评分项14)包括安全策略、管理制度、制定和发布、评审和修订方面。安全管理机构(评分项15)包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面。安全管理人员(评分项16)包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。安全建设管理(评分项17)包括级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。安全运维管理(评分项18)包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安 (略) 置、应急预案管理、外包运维管理方面。2.4.2测评服务要求★2.4.2.1测评驻场服务在项目现场实施周期内,中标人为本项目成立等级保护测评小组,并至少安排1名核心技术人员驻场服务,在服务期间内协助采购人开展等保测评的组织工作,并对接被测评系统责任部门开展等保差距评估,指导其完成整改,确保通过等保测评。负责配合采购人,按采购人有关规定完成项目相关其他工作,包含但不限于完成合作企业和人员背景审查备案、验收材料制作、归档及为采购人提供等保知识基础培训等。在项目实施途中,驻场人员未经采购人同意不得随意更换。具体要求如下:2.4.2.2 测评环境确认及准备(评分项19)根据等级保护要求,协助厅属各业务部门完成测评前准备工作,如定级备案情况确认、安全管理情况等。等级保护测评实施过程中所使用到的各种工具软件均由中标人推荐,经采购人确认后由中标人提供并在测评中使用。2.4.2.3 等保资产分析服务(评分项20)中标人根据等级保护范围内的资产组成,对服务范围内各个测评对 (略) 络结构拓扑以及相关联的资产,基于等级保护综合管理系统开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制《信息系统等级保护基本情况调研表》,并通过系统实现资产管理, (略) 络拓扑、机房管理、设备管理、应用管理、数据管理等。2.4.2.4 等保风险分析服务(评分项21)中标人根据等级保护基本要求,开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制《等级保护安全评估与整改建议报告》。2.4.2.5等保差距评估服务中标人在安全评估和信息系统定级的基础上,根据《GB/T(略)-2019信息 (略) 络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析,并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、10大层面指标符合情况、自评得分变化趋势。差距评估从管理和技术两个层面找出存在的问题并进行差距分析,包含以下内容:安全通用要求差距1)技术层面的差距评估(三级)内容:(评分项22)安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 (略) 络:网络架构、通信传输、可信验证。 (略) 域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心:系统管理、审计管理、安全管理、集中管控。2)管理层面的差距评估(三级)内容:(评分项23)安全管理制度:安全策略、管理制度、制定与发布、评审与修订。安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安 (略) 置、应急预案管理、外包运维管理。2.4.2.6等保加固辅导服务(评分项24)中标人根据等级保护基本要求以及风险和差距分析结果,对服务范围内信息系统的关键资产编制《等保安全整改意见书》,《意见书》中应包括加固风险分析及风险规避说明。中标人应当负责指导被测系统责任部门开展相关整改工作,并对整改情况进行复核。待整改完成后,根据整改实施情况提交《等级保护安全加固报告》。2.4.2.7等保制度建设服务(评分项25)中标人协助采购人建设完善安全管理制度,为测评对象建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5大类安全管理要求的方针、制度、各类记录表格模板,达到等级保护测评要求。提交《等级保护安全管理制度》。2.4.2.7 测评组织沟通(评分项26)中标人应当负责做好测评机构与采购人各三级系统责任部门的组织协调沟通工作,明确测评工作的时间安排、人员组织、所需环境、材料清单等需求,对相关各方提供的等保测评相关材料进行确认和指导完善。2.4.2.8 现场测评辅助(评分项27)在测评机构进行测评过程中,中标人应当协助采购人被测系统责任部门进行现场测评,确保测评环节的顺利进行。2.4.2.9 测评整改追踪(评分项28)中标人应当协助采购人被测系统责任部门对测评中发现的整改项进行整改, (略) 将测评整改结果发起内 (略) 置流程,并形成追踪,反馈事件流,确保测评整改的事件追踪闭环。2.4.3 等保台账管理服务(评分项29)中标人在安全评估、信息系统定级和等保测评的基础上,提供等保信息管理工具,服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档,配合被测评系统责任部门根据省公安厅项目档案验收规定对37个三级对象的定级、备案、自评、测评、管理制度五大维度的文件归档管理,并且维护更新至省厅现有安全管理中心 (略) 。 | 2年 | 批 | 定制服务一、项目概况1.1现状与需求分析依照国家信息系统安全等级保护相关要求,采购人共有等级保护三级以上的信息系统37个,应当每年至少进行一次等级测评。因此需通过本服务实现全厅三级以上信息系统每年等保测评工作的统一开展与管理工作,确保公安厅重要信息系统安全稳定运行,为公安信息化应用保驾护航。1.2 服务目标实现对福建省公安厅37个等保三级信息系统每年测评及测评前的准备及测评发现问题的整改工作,通过等保测评及整改实现以下目标:1.掌握福建省公安厅重要信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求,消除风险隐患。2.衡量福建省公安厅重要信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。3.等级测评结果将作为福建 (略) 信办按照 (略) 络安全责任制的要求对厅属各业务单位信息系统开展监督、检查、指导等工作的参照依据。二、技术和服务要求2.1 服务要求服务期限内,投标人需根据采购人要求,在规定时间内(根据实际需求分批次)对等保三级应用系统(具体测评系统清单以采购人实际提供为准) (略) 络安全等级保护测评服务及协助测评服务,出具具有法律效力的等保测评报告。2.2服务依据依据信息系统安全等级保护相关技术标准,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定,由等级保护测评机构给予相应的系统安全等级评审意见。主要参考标准如下《信息安全等级保护管理办法》《信息 (略) 络安全等级保护基本要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护测评要求》(GB/T (略)-2019)《信息 (略) 络安全等级保护定级指南》(GB/T (略)-2020)《信息 (略) 络安全等级保护测评过程指南》(GB/T(略)-2019)2.3服务原则规范性原则投标人工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。标准性原则测评方案的设计与实施应依据国家等级保护的相关标准进行。可控性原则测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性。整体性原则测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。最小影响原则测评工作应尽可能小的影 (略) 络的正常运行, (略) 的运行和业务的正常提供产生显著影响。保密原则对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵 (略) 络的行为,否则业主单位有权追究责任。2.4服务内容2.4.1等保测评评估认证按GB/T (略)-2019《信息 (略) 络安全等级保护基本要求》第三级要求,完成等级测评将覆盖安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心、云平台、安全管理制度等方面的内容测评,内容包括但不限于以下内容:(1)总体要求测评包括总体技术要求、总体管理要求;(2)安全技术测评:安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心等五个方面的安全测评;安全物理环境包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面。 (略) (略) 络架构、通信传输、可信验证方面。 (略) 域边界包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。安全计算环境包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。安全管理中心包括系统管理、审计管理、安全管理、集中管控方面。(3)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评;安全管理制度包括安全策略、管理制度、制定和发布、评审和修订方面。安全管理机构包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面。安全管理人员包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。安全建设管理包括级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。安全运维管理包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安 (略) 置、应急预案管理、外包运维管理方面。2.4.2测评服务要求2.4.2.1测评驻场服务在项目现场实施周期内,中标人为本项目成立等级保护测评小组,并至少安排1名核心技术人员驻场服务,在服务期间内协助采购人开展等保测评的组织工作,并对接被测评系统责任部门开展等保差距评估,指导其完成整改,确保通过等保测评。负责配合采购人,按采购人有关规定完成项目相关其他工作,包含但不限于完成合作企业和人员背景审查备案、验收材料制作、归档及为采购人提供等保知识基础培训等。在项目实施途中,驻场人员未经采购人同意不得随意更换。具体要求如下:2.4.2.2 测评环境确认及准备根据等级保护要求,协助厅属各业务部门完成测评前准备工作,如定级备案情况确认、安全管理情况等。等级保护测评实施过程中所使用到的各种工具软件均由中标人推荐,经采购人确认后由中标人提供并在测评中使用。2.4.2.3 等保资产分析服务中标人根据等级保护范围内的资产组成,对服务范围内各个测评对 (略) 络结构拓扑以及相关联的资产,基于等级保护综合管理系统开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制《信息系统等级保护基本情况调研表》,并通过系统实现资产管理, (略) 络拓扑、机房管理、设备管理、应用管理、数据管理等。2.4.2.4 等保风险分析服务中标人根据等级保护基本要求,开展安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制《等级保护安全评估与整改建议报告》。2.4.2.5等保差距评估服务中标人在安全评估和信息系统定级的基础上,根据《GB/T(略)-2019信息 (略) 络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析,并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、10大层面指标符合情况、自评得分变化趋势。差距评估从管理和技术两个层面找出存在的问题并进行差距分析,包含以下内容:安全通用要求差距1)技术层面的差距评估(三级)内容:安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 (略) 络:网络架构、通信传输、可信验证。 (略) 域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心:系统管理、审计管理、安全管理、集中管控。2)管理层面的差距评估(三级)内容:安全管理制度:安全策略、管理制度、制定与发布、评审与修订。安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安 (略) 置、应急预案管理、外包运维管理。2.4.2.6等保加固辅导服务中标人根据等级保护基本要求以及风险和差距分析结果,对服务范围内信息系统的关键资产编制《等保安全整改意见书》,《意见书》中应包括加固风险分析及风险规避说明。中标人应当负责指导被测系统责任部门开展相关整改工作,并对整改情况进行复核。待整改完成后,根据整改实施情况提交《等级保护安全加固报告》。2.4.2.7等保制度建设服务中标人协助采购人建设完善安全管理制度,为测评对象建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5大类安全管理要求的方针、制度、各类记录表格模板,达到等级保护测评要求。提交《等级保护安全管理制度》。2.4.2.7 测评组织沟通中标人应当负责做好测评机构与采购人各三级系统责任部门的组织协调沟通工作,明确测评工作的时间安排、人员组织、所需环境、材料清单等需求,对相关各方提供的等保测评相关材料进行确认和指导完善。2.4.2.8 现场测评辅助在测评机构进行测评过程中,中标人应当协助采购人被测系统责任部门进行现场测评,确保测评环节的顺利进行。2.4.2.9 测评整改追踪中标人应当协助采购人被测系统责任部门对测评中发现的整改项进行整改, (略) 将测评整改结果发起内 (略) 置流程,并形成追踪,反馈事件流,确保测评整改的事件追踪闭环。2.4.3 等保台账管理服务中标人在安全评估、信息系统定级和等保测评的基础上,提供等保信息管理工具,服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档,配合被测评系统责任部门根据省公安厅项目档案验收规定对37个三级对象的定级、备案、自评、测评、管理制度五大维度的文件归档管理,并且维护更新至省厅现有安全管理中心 (略) 。 | (略) |
| 采购人代表: | 陈世辉 |
| 评审专家: | 张乃熀 、 李燕婷 、 饶炫 、 张建 |
代理服务费收费标准:
(略)元<项目预算金额≤(略)元的项目代理服务费,按一次性7000元固定费用向中标/成交供应商收取。招标代理服务费缴交银行帐号 开户名称:福 (略) 账 号:(略)(略) 开户银行:中国建设银行福州上江城支行。
代理服务费收费金额:
合同包1福建省公安厅业务系统等保测评项目:0.(略)元
收取对象:中标(成交)供应商
自本公告发布之日起1个工作日。
福 (略) (略) 、广东 (略) 2家投标供应商投标文件未按招标文件要求在技术商务部分提供《廉政承诺书》,其2家供应商符合性审查结果为不通过。其余投标供应商资格性、符合性审查均通过。
名称:福建省公安厅
地址: (略) (略) (略) 12号
联系方式:(略)
名称:福 (略)
地址: (略) (略) (略) 天泽江鼎金爵苑48座2701号
联系方式:(略) 0591-(略)
项目联系人:胡小芳、方建莲
电话:(略) 0591-(略)
福 (略)
2024年11月27日
|
招标
|
- 关注我们可获得更多采购需求 |
已关注 |
招投标大数据
最近搜索
无
热门搜索
无
