信息安全等保测评服务
信息安全等保测评服务
重庆市退役军人事务局信息安全等保测评服务竞采公告(服务类)
(竞采编号:#90)
发布时间:2024-11-04 15:09
浏览次数: 376
采购目录/需求描述 | 采购预算(元) | 数量 | 小计(元) |
---|---|---|---|
采购目录: 信息技术服务-信息安全服务-安全检测 需求描述: 招标模板需求维度仅供参考,请采购人根据项目实际情况修改。 一、项目概况: (一)服务内容: 全国退役军 (略) (略) 络安全等级保护测评。 (二)资质条件: 1. 一般资质条件 (1)具有独立承担民事责任的能力; (2)具有良好的商业信誉和健全的财务会计制度; (3)具有履行合同所必需的设备和专业技术能力; (4)有依法缴纳税收和社会保障资金的良好记录; (5)参加政府采购活动前三年内,在经营活动中没有重大违法记录; (6)法律、行政法规规定的其他条件。 2. 特定资格条件 (1)供 (略) 络安全等级测评资质《网络安全等级测评与检测评估机构服务认证证书》, (略) 络安全 (略) (http://**)的网络安全等级保护测评机构服务认证获证机构名录中查询到(提供查询截图盖鲜章); (2)供应商具备中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS),认可的检验能力范围为“网络安全等级保护测评”。 (三)测评要求 1. 项目依据 本项目信息安全等级保护测评目的和测评内容,必须与信息安全等级保护要求相一致。测评指标和对象选择须符合《GB/T #-2019 信息安全技术 网络安全等级保护测评要求》标准的相关要求。测评中应严格按照《GB/T #-2018 信息安全技术 网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,确保测评工作质量。 本项目测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。除按照现行国家和行业信息安全相关规定进行外,主要规范性文件依据有: 《中华人 (略) 络安全法》 《中华人民共和国计算机信息系统安全保护条例》( (略) 147号令) 《信息安全等级保护管理办法》(公通字〔2007〕43号) 《GB/T #-1999 计算机信息系统安全保护等级划分准则》 《GB/T #-2019 信息安全技术 网络安全等级保护基本要求》 《GB/T #-2019 信息安全技术 网络安全等级保护测评要求》 《GB/T #-2018 信息安全技术 网络安全等级保护测评过程指南》 《GB/T #-2007信息安全技术 信息安全风险评估规范》 2.具体测评内容 (1)安全技术测评 主机安全测评:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等; 应用安全测评:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等; 数据备份与恢复测评:数据完整性、数据保密性、备份和恢复等; 物理安全测评:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等; 网络安全测评:结构安全、访问控制、安全审计、边界完整性检测、入侵防范、网络恶意代码防范、网络设备防护等; (2)安全管理测评 安全管理制度评估:管理制度、制定和发布、评审和修订等; 安全管理机构评估:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等; 人员安全管理评估:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等; 系统建设管理评估:系统定级、备案、安全方案设计、产品询价和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统交付、安全服务商选择等; 系统运维管理评估:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安 (略) 置、应急预案管理等。 3.工具扫描 使用web安全扫描工具、主机系统漏洞扫描工具对待测系统进行安全检测和分析。其中验证测试工具应具备以下要求,并提供由工具原厂商盖章确认的产品界面截图证明。 (1)具备渗透测试台账功能 支持以excel报表格式导入渗透测试报告,形成渗透测试台账。可在系统查看渗透测试结果,以图表形式可视化展现漏洞风险级别比例、风险应用比例,可对渗透报告中的漏洞进行跟踪确认,处置漏洞状态:未整改、已整改、忽略、未整改。 (2)具备敏感内容审查工具 可上传文件(pdf\word\excel)、或者粘贴内容进行敏感词审查,内置敏感词库#+,支持人工再确认审查结果。 4.技术支持及售后服务 (1)供应商必须为本项目成立等级保护测评小组,测评人员均具有公安部认证的测评师证书,持证上岗。测评小组至少3-4人构成,为保证项目实施质量,测评服务提供方应为本项目指定一名中级及以上测评师为该项目负责人主持测评工作。供应商需具有应急服务团队(团队成员必须为供应商单位正式员工并具备信息安全相关专业资质和测评师资质),当 (略) 络安全公共事件时,能在2小时内派出技术团队到达现 (略) 置突发事件。 (2)在项目实施过程中,投标方应做好计划与安排,确保项目实施不影响系统的正常运行。应将测评工作对被测信息系统及相关业务的影响告知询价方,双方协商确定测评工作时间安排以减小对询价方正常业务和工作的影响。 (3)测评过程中应结合国家法律法规和政策方针为采 (略) 络安全规划和管理制度体系咨询服务,同时对被测系统涉及的配置调整、漏洞修复、安全加固等工作提供技术指导。 (4)签署保密协议,对测评工作相关的业务数据、商业信息、客户信息和被测信息系统不可分割的组成部分的相关信息等进行保护。 5. 项目成果 项目成果应包含:系统测评记录、技术测评和管理测评的其他文档、系统等级测评报告。 展开 | ¥# | 1(次) | ¥# |
重庆市退役军人事务局信息安全等保测评服务竞采公告(服务类)
(竞采编号:#90)
发布时间:2024-11-04 15:09
浏览次数: 376
采购目录/需求描述 | 采购预算(元) | 数量 | 小计(元) |
---|---|---|---|
采购目录: 信息技术服务-信息安全服务-安全检测 需求描述: 招标模板需求维度仅供参考,请采购人根据项目实际情况修改。 一、项目概况: (一)服务内容: 全国退役军 (略) (略) 络安全等级保护测评。 (二)资质条件: 1. 一般资质条件 (1)具有独立承担民事责任的能力; (2)具有良好的商业信誉和健全的财务会计制度; (3)具有履行合同所必需的设备和专业技术能力; (4)有依法缴纳税收和社会保障资金的良好记录; (5)参加政府采购活动前三年内,在经营活动中没有重大违法记录; (6)法律、行政法规规定的其他条件。 2. 特定资格条件 (1)供 (略) 络安全等级测评资质《网络安全等级测评与检测评估机构服务认证证书》, (略) 络安全 (略) (http://**)的网络安全等级保护测评机构服务认证获证机构名录中查询到(提供查询截图盖鲜章); (2)供应商具备中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS),认可的检验能力范围为“网络安全等级保护测评”。 (三)测评要求 1. 项目依据 本项目信息安全等级保护测评目的和测评内容,必须与信息安全等级保护要求相一致。测评指标和对象选择须符合《GB/T #-2019 信息安全技术 网络安全等级保护测评要求》标准的相关要求。测评中应严格按照《GB/T #-2018 信息安全技术 网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,确保测评工作质量。 本项目测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。除按照现行国家和行业信息安全相关规定进行外,主要规范性文件依据有: 《中华人 (略) 络安全法》 《中华人民共和国计算机信息系统安全保护条例》( (略) 147号令) 《信息安全等级保护管理办法》(公通字〔2007〕43号) 《GB/T #-1999 计算机信息系统安全保护等级划分准则》 《GB/T #-2019 信息安全技术 网络安全等级保护基本要求》 《GB/T #-2019 信息安全技术 网络安全等级保护测评要求》 《GB/T #-2018 信息安全技术 网络安全等级保护测评过程指南》 《GB/T #-2007信息安全技术 信息安全风险评估规范》 2.具体测评内容 (1)安全技术测评 主机安全测评:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等; 应用安全测评:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等; 数据备份与恢复测评:数据完整性、数据保密性、备份和恢复等; 物理安全测评:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等; 网络安全测评:结构安全、访问控制、安全审计、边界完整性检测、入侵防范、网络恶意代码防范、网络设备防护等; (2)安全管理测评 安全管理制度评估:管理制度、制定和发布、评审和修订等; 安全管理机构评估:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等; 人员安全管理评估:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等; 系统建设管理评估:系统定级、备案、安全方案设计、产品询价和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统交付、安全服务商选择等; 系统运维管理评估:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安 (略) 置、应急预案管理等。 3.工具扫描 使用web安全扫描工具、主机系统漏洞扫描工具对待测系统进行安全检测和分析。其中验证测试工具应具备以下要求,并提供由工具原厂商盖章确认的产品界面截图证明。 (1)具备渗透测试台账功能 支持以excel报表格式导入渗透测试报告,形成渗透测试台账。可在系统查看渗透测试结果,以图表形式可视化展现漏洞风险级别比例、风险应用比例,可对渗透报告中的漏洞进行跟踪确认,处置漏洞状态:未整改、已整改、忽略、未整改。 (2)具备敏感内容审查工具 可上传文件(pdf\word\excel)、或者粘贴内容进行敏感词审查,内置敏感词库#+,支持人工再确认审查结果。 4.技术支持及售后服务 (1)供应商必须为本项目成立等级保护测评小组,测评人员均具有公安部认证的测评师证书,持证上岗。测评小组至少3-4人构成,为保证项目实施质量,测评服务提供方应为本项目指定一名中级及以上测评师为该项目负责人主持测评工作。供应商需具有应急服务团队(团队成员必须为供应商单位正式员工并具备信息安全相关专业资质和测评师资质),当 (略) 络安全公共事件时,能在2小时内派出技术团队到达现 (略) 置突发事件。 (2)在项目实施过程中,投标方应做好计划与安排,确保项目实施不影响系统的正常运行。应将测评工作对被测信息系统及相关业务的影响告知询价方,双方协商确定测评工作时间安排以减小对询价方正常业务和工作的影响。 (3)测评过程中应结合国家法律法规和政策方针为采 (略) 络安全规划和管理制度体系咨询服务,同时对被测系统涉及的配置调整、漏洞修复、安全加固等工作提供技术指导。 (4)签署保密协议,对测评工作相关的业务数据、商业信息、客户信息和被测信息系统不可分割的组成部分的相关信息等进行保护。 5. 项目成果 项目成果应包含:系统测评记录、技术测评和管理测评的其他文档、系统等级测评报告。 展开 | ¥# | 1(次) | ¥# |
最近搜索
无
热门搜索
无