现场巡查督察大队网络安全等级保护测评服务项目招标公告
现场巡查督察大队网络安全等级保护测评服务项目招标公告
广州白云国际机场股份有限公司现场巡查督察大队网络安全等级保护测评服务
竞价公告
第一部分 竞价项目说明
广州白云国际机场股份有限公司现场巡查督察大队(单位名称)(以下简称“采购人”)现就网络安全等级保护测评服务项目,邀请有相应资格的合作商(以下简称“报价人”)进行网上竞价。
1.项目概况:
1.1项目名称:网络安全等级保护测评服务项目。
1.2项目内容:(协助重新评定系统级别)协助完成3个系统的定级备案材料编写、等保测评资产收集、等级保护测评、整改指导服务等。
1.3项目限价:67500.00元。
2.合格报价人条件:
2.1在中华人民共和国境内注册的独立的企业法人(注:采购人可根据项目需求明确可选取其他非企业法人组织,如:机关法人、事业单位法人、社会团体法人等)。
2.2报价人近三年没有因腐败或欺诈行为而被政府或业主宣布
取消投标资格;同时,报价人(包括其关联公司)近三年未与广东省机场管理集团有限公司其下属的全资、控股公司、非法人实体单位发生各种诉讼或仲裁。(须就此项内容提供承诺函并加盖报价人公章,格式样版见附录4)。
2.3报价人出具本竞价公告发布后未被列入以下系统相关名录的截图并加盖公章:
1)国家企业信用信息公示系统(http://www.gsxt.gov.cn/)的经营异常名录或严重违法失信企业名单(截图格式要求详见附录6);
2)信用中国(http://www.creditchina.gov.cn/)的失信被执行人或企业经营异常名录(截图格式要求详见附录7);
3)中国执行信息公开网(http://zxgk.court.gov.cn/)的全国法院失信被执行人名单(截图格式要求详见附录8)。
2.4法定代表人(或负责人)为同一人或者存在控股、管理关系的不同单位,不得参加同一项目报价,否则全部取消资格。
2.5未被广东省机场管理集团有限公司或其下属机构列入拒绝合作名单。
2.6★为保证所使用的所有工具和软件不会产生所有权和知识产权纠纷,并保证工具和软件的可用性和可靠性,投标人不是“第二部分采购需求中,2.3安全服务工具要求”这章节服务工具制造商的必须提供服务工具原厂商针对本项目的不存在知识产权纠纷及产品合格的书面证明函。由此产生的一切责任由投标人负完全责任。
2.7本项目不接受联合体报价。
2.8投标人具备以下任意资质(提供其中一种即可):
1)中国网络安全审查技术与认证中心颁发的“信息安全风险评估”服务资质。
2)中国信息安全测评中心颁发的“信息安全风险评估”服务资质。
2.9其他要求:上述文件为必须提供的资格预审材料,除2.7外。(注:包括资质、业绩、项目负责人等,由采购单位根据项目实际情况自行添加)。
(注:事业单位不适用上述第2.3条第(1)款。)
3.报价文件的有效期:
本项目报价文件的有效期为报价文件提交后90天之内。
4.报价人报名方式
4.1报价人应在广东省机场管理集团有限公司招标、采购管理平台(wz.gdairport.com)主页中“合作商注册”模块,按规定格式填写正确的合作商登记信息,登记为合格的候选合作商(已注册的除外)。
4.2报价人完成合作商登记工作后,方可在广东省机场管理集团有限公司招标、采购管理平台(wz.gdairport.com)网上竞价系统中递交项目资格预审文件。报价人按以下步骤查看或修改资格预审文件,在首页进入“会员中心”,点击“合作商管理-我参加的竞价项目-操作下拉菜单-查看报价详情-报价申请”。报名时间截止后,报价人将无法修改资格预审文件。
4.3在报名时间截止后,由采购人统一对报价人进行资格审查,只有资格预审通过后的报价人才能进入网上竞价环节,因报价人资料上传错误、缺失或丢失网站登录用户名和密码等情况导致报名失败的,相关责任由报价人自行承担。
5.项目竞价各环节时间安排:
5.1采购公告发布及资格预审文件上传时间:
项目公告及资格预审报名时间为:2020年8月21日10:30:00至2020年8月31日10:30:00(报名截止时间以系统服务器时间为准)。
资格预审报名时间截止前(截止时间以系统服务器时间为准),报价人可随时登陆网上竞价系统按竞价公告第三部分要求上传或修改电子版(扫描版)资质预审文件。
5.2资格预审结果查看:
报价人在资格预审时间结束后,可登陆网站“会员中心”查看自己是否通过审核以及未通过审核的原因。若因项目需要,采购人须延长资格预审时间的,采购人将在网站发布变更通知的方式通知报价人后适当延长资格预审时间。通过资格预审的报价人才能进入竞价环节。报价人应及时登陆网站会员中心“我参加的竞价项目”-“操作下拉菜单”自行查看“报价详情”(参与项目的资格预审情况)以及“变更记录”(项目资格预审时间延期情况),因报价人原因导致参与项目报价失败的一切后果,由报价人自行承担。
5.3竞价时间:
项目竞价时间为2020年9月1日9:30:00至2020年9月2日9:30:00(截止时间以系统服务器时间为准)。
项目竞价开始后,通过资格预审的报价人登陆网站即可进行报价,每次报价后即可看见自己的报价排名,报价人可在系统报价时间截止前,根据项目提示的最低调价幅度每次不低于200元,报价次数10次和截止时间范围内修改自己的报价。竞价系统默认按价格由低到高的顺序排名(注:如是拍卖的竞价项目请自行修改此条),若2家或以上报价人的报价相同,则按网站服务器时间先后进行排名。
6.竞价答疑:
若报价人对本项目有任何异议的,应当在提交资格预审报名申请文件截止时间2日前以书面形式提出(必须加盖报价人单位公章,否则采购人将不予回复),采购人将以书面形式进行回复。采购人如需修改竞价文件内容的,将顺延项目报名截止时间。
7.递交资格预审文件要求:
项目公告及资格预审报名期间,报价人应按竞价公告第三部分网上竞价报名文件要求在系统中提交纸质扫描版资格预审文件。若报价人提交的资格预审文件存在下列情况,将不能通过资格预审:
7.1不能完全符合项目合格报价人条件要求的;
7.2资格预审文件资料未按要求签字或加盖公章的;
7.3资格预审文件资料中透露了项目报价的;
7.4资格预审文件资料与实际情况不符,文件造假的;
7.5其他不能通过资格预审原因。
8.合作商的确定:
网上竞价项目符合资格条件,且参与报价的合作商至少应达到三家以上,不足三家的,采购人将重新发布采购信息,组织第二次采购。
如果第二次采购报名符合资格条件、且参与竞价的合作商仍不足三家的,采购人可按程序确定合作商。
没有符合资格条件合作商的项目,采购人将中止项目竞价。
9.纸质报价文件提交:
网上竞价结束后3个工作日内,排名前三名的报价人应提交资格预审文件及项目报价单(包括清单)纸质版报价文件提交采购人核对。资格预审文件应与系统上传的文件一致,项目报价单中的总金额及分项金额须完全一致,否则采购人有权认定其资格预审文件或报价单无效。
10.成交合作商的确定:
采购人按照系统排名选定排名最前的报价人为成交合作商,若报价人的报价明显低于市场价,采购人有权要求报价人提供其报价理由和有关未低于企业成本价的证明材料,如果报价人拒绝提供或提供的材料不充分,采购人有权认定其报价为无效报价。
11.竞价结果发布:
竞价结果确认后,采购人将在系统中发布竞价结果公告,公告时间不少于3个工作日。
12.对报价人不诚信行为处置:
对于报价人不符合我司网上竞价公告要求而参与竞价、恶意报低价或有以下情况的,现场巡查督察大队视其情节轻重将报价人记录到广东省机场管理集团有限公司采购平台合作商信息中,并保留将其列入拒绝名单库的权力:
12.1报价人是国家企业信用信息公示系统公布的失信企业或信用中国的失信被执行人;
12.2对集团公司非招标采购采购项目进行无效投诉的,具有下列之一的,应视为无效投诉:
12.2.1投诉主体不是项目参与报价人和其他利害关系人(投诉人需签字、提供身份证复印件);
12.2.2投诉人未提供必要的证明材料和明确的要求的;
12.2.3投诉人捏造事实、伪造材料或者以非法手段取得证明材料进行投诉的,证据来源的合法性存在明显疑问,投诉人(报价人)无法证明其取得方式合法的,视为以非法手段取得证明材料;
12.3 伪造、变造资格、资质证书或者其他许可证件、业绩等骗取成交的;
12.4 3年内2次以上使用他人名义参加集团公司采购;
12.5弄虚作假骗取采购项目给采购人造成直接经济损失的;
12.6成交后,不按约定签订合同的;
12.7报价人(包括独立法人及其关联公司和自然人)与集团公司本部、各全资、控股公司及集团公司所属非法人实体单位发生各种诉讼或仲裁的;
12.8其他弄虚作假骗取采购项目情节严重的行为。
13.投诉监督方式
报价人可以对本次竞价活动中的任何违法及不公平内容向现场巡查督察大队纪检专员进行投诉。
联系电话:***-********
14.项目采购单位联系方式
采购单位名称:现场巡查督察大队
采购联系人:李先生
联系电话:***-********
联系人邮箱:********@gdairport.cn
公司地址:广州白云国际机场1号航站楼31号门
第二部分 采购人需求
广州白云国际机场股份有限公司现场巡查督察大队网络安全等级保护测评服务采购项目,包括定级备案和测评服务,具体要求如下:
项目需求描述 1.1项目概况为贯彻落实国家网络安全等级保护制度的要求,进一步增强系统安全防护能力,确保系统安全稳定运行。依据《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全等级保护管理办法》(公通字[2007]43号)和《中华人民共和国网络安全法》等标准规范,对现场巡查督察大队的网络安全等级保护服务工作。
1.2依据及参考规范(一)法律法规:
1、《中华人民共和国网络安全法》;
2、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
3、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
4、《中共中央办公厅国务院办公厅转发国家信息化领导小组关于加强信息处理安全保障工作的意见的通知》(中办发[2003]27号);
5、《关于印发关于信息安全等级保护工作的实施意见的通知》(公通字[2004]66号文);
6、《关于印发信息安全等级保护管理办法的通知》(公通字[2007]43号文);
7、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文);
8、《广东省深化信息安全等级保护工作方案》(粤公通字[2010]45号);
9、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)。
(二)技术标准:
1、《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2019);
2、《信息安全技术 信息系统安全等级保护定级指南》(GB T 22240-2008)
3、《信息安全技术 信息系统安全等级保护测评过程指南》;
4、《信息安全技术 信息系统安全等级保护实施指南》;
5、《信息安全技术 信息系统安全等级保护测评要求》;
6、《信息安全技术 信息系统安全等级保护安全设计技术要求》(信安秘字[2009]059号);
7、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006);
8、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006);
9、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006);
10、《信息安全技术 服务器技术要求》(GB/T21028-2007);
11、《信息安全技术 终端计算机系统安全等级技术要求》
除上述规范以外,还遵循国家现行的相关标准和规范要求。
1.3项目服务范围信息系统项目清单如下:
序号 | 系统名称 | 定级 情况 | 备注 |
1 | 白云机场微信“随手拍” | 二级 | 重新定级 |
2 | 白云机场现场巡查督察系统 | 二级 | 重新定级 |
3 | 白云机场服务热线96158呼叫中心系统 | 二级 | 重新定级 |
根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准,及上述信息系统安全需求,协助采购人对现有未完成定级备案的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向当地公安局提交定级备案材料,取得信息系统定级备案证明。
对采购人上述信息系统开展网络安全等级保护测评服务,交付服务项目材料,等级保护整改问题清单及整改方案。
二、项目内容要求 2.1等级保护流程辅助服务协助完成上述清单信息系统的定级备案材料编写、等保测评资产收集、等保测评准备材料、项目整体协调;最终完成定级备案工作。
2.2等级保护测评服务对上述清单信息系统进行等级保护差距分析服务,提交“等级保护整改问题清单”及“整改方案”。
2.4.1测评内容
1)安全物理环境测评
安全物理环境测评中,测评人员将以文档查阅与分析和现场观测等检查方法为主,访谈为辅来获取测评证据(如机房的温湿度情况),用于评测机房的安全保护能力。
安全物理环境测评涉及的测评对象主要为机房和相关的安全文档。
安全物理环境测评实施过程涉及10个方面的安全保护能力,具体测评指标描述如下表所示:
安全物理环境测评指标描述
序号 | 安全子类 | 测评指标描述 |
1. | 物理位置选择 | 通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2. | 物理访问控制 | 通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3. | 防盗窃和防破坏 | 通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4. | 防雷击 | 通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5. | 防火 | 通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6. | 防水和防潮 | 通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7. | 防静电 | 通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8. | 温湿度控制 | 通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9. | 电力供应 | 通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10. | 电磁防护 | 通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
2)安全通信网络测评
安全通信网络测评中,测评人员将以配置核查和文档查阅为主,访谈和分析为辅来获取证据(如相关措施的部署和配置情况),用于测评信息系统的网络安全保护。
安全通信网络测评涉及的测评对象主要为网络设备和安全。
安全通信网络测评实施过程涉及3个方面的安全保护能力,具体测评指标描述如下表所示:
表安全通信网络测评指标描述
序号 | 安全子类 | 测评指标描述 |
1. | 网络架构 | 测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2. | 通信传输 | 测评通信过程中的完整性、保密性等。 |
3. | 可信验证 | 基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证,并在应用程序的关键执行环节进行动态可信验证。 |
3)安全区域边界测评
安全区域边界测评主要涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证6个方面的安全保护能力,具体测评指标描述如下表所示:
安全区域边界测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 边界防护 | 测评分析信息系统网络边界安全防护的状况。 |
2 | 访问控制 | 测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。 |
3 | 入侵防范 | 测评分析信息系统对攻击行为的识别和处理情况。 |
4 | 恶意代码和垃圾邮件防范 | 测评分析信息系统网络边界和核心网段对病毒等恶意代码及垃圾邮件的防护情况。 |
5 | 安全审计 | 测评分析信息系统审计配置和审计记录保护情况。 |
6 | 可信验证 | 基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证,并在应用程序的关键执行环节进行动态可信验证。 |
4)安全计算环境测评
安全计算环境测评主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意
代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11个方面的安全保护能力,具体测评指标描述如下表所示:
安全计算环境测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 身份鉴别 | 检查服务器的身份标识与鉴别和用户登录的配置情况。 |
2 | 访问控制 | 检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 |
3 | 安全审计 | 检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 |
4 | 入侵防范 | 检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
5 | 恶意代码防范 | 检查服务器的恶意代码防范情况,如服务器是否安装统一管理的恶意代码防范软件,是否及时升级病毒库等。 |
6 | 可信验证 | 基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证,并在应用程序的关键执行环节进行动态可信验证。 |
7 | 数据完整性 | 测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。 |
8 | 数据保密性 | 测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。 |
9 | 数据备份恢复 | 测评信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
10 | 剩余信息保护 | 测评鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。 |
11 | 个人信息保护 | 测评是否仅采集和保存业务必需的用户个人信息;是否禁止未授权访问和使用用户个人信息。 |
5)安全管理中心测评
安全管理中心测评主要涉及系统管理、审计管理、安全管理、集中管控4个方面的安全保护能力,具体测评指标描述如下表所示:
安全管理中心测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 系统管理 | 测评信息系统的系统管理员对系统的管理情况。 |
2 | 审计管理 | 测评信息系统的安全审计员对系统的审计情况。 |
3 | 安全管理 | 测评信息系统的安全管理员对系统的安全策略的配置情况。 |
4 | 集中管控 | 测评网络链路、安全设备、网络设备和服务器等设备的运行状况的集中监测、分析、报警等。 |
6)安全管理制度测评
安全管理制度测评主要涉及安全策略、管理制度、制定和发布、评审和修订4个方面的安全保护能力,具体测评指标描述如下表所示:
安全管理制度测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 安全策略 | 测评信息安全工作的总体方针、安全策略,总体目标、范围、原则和安全框架等。 |
2 | 管理制度 | 测评信息系统管理制度在内容覆盖上是否全面、完善。 |
3 | 制定和发布 | 测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
4 | 评审和修订 | 测评信息系统管理制度定期评审和修订情况。 |
7)安全管理机构测评
安全管理制度测评主要涉及岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的安全保护能力,具体测评指标描述如下表所示:
安全管理机构测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 岗位设置 | 测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通与合作 | 测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 检查信息系统安全工作的审核和测评情况。 |
8)安全管理人员测评
安全管理人员测评主要涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的安全保护能力,具体测评指标描述如下表所示:
安全管理人员测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 人员录用 | 测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 安全意识教育和培训 | 测评是否对人员进行安全方面的教育和培训。 |
4 | 外部人员访问管理 | 测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
9)安全建设管理测评
安全建设管理测评主要涉及定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10个方面的安全保护能力,具体测评指标描述如下表所示:
安全建设管理测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 定级和备案 | 测评是否按照一定要求确定系统的安全等级并完成备案工作。 |
2 | 安全方案设计 | 测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 等级测评 | 测评是否依据国家要求完成等级测评和整改工作。 |
10 | 服务供应商选择 | 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
10)安全运维管理测评
安全管理人员测评主要涉及环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的安全保护能力,具体测评指标描述如下表所示:
安全运维管理测评指标描述
序号 | 安全子类 | 测评指标描述 |
1 | 环境管理 | 测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备维护管理 | 测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 漏洞和风险管理 | 测评是否采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补。测评是否定期开展安全测评。 |
6 | 网络和系统安全管理 | 测评是否采取必要的措施对网络和系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 |
7 | 恶意代码防范管理 | 测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 | 配置管理 | 测评是否记录和保存系统的基本配置信息 |
9 | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 | 变更管理 | 测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 | 备份与恢复管理 | 测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 | 安全事件处置 | 测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
13 | 应急预案管理 | 测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
14 | 外包运维管理 | 测评外包运维服务商的选择是否符合国家的有关规定并签订相关协议。 |
1)确定测评范围
明确本次被测评系统的范围,包括每个信息系统的范围、各个等级信息系统的范围,信息系统的边界等。
2)获得信息系统的信息
通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。
3)确定具体的测评对象
初步确定每个等级信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
4)确定测评工作的方法
根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法。
5)制定测评工作计划
制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。
6)实施等级保护测评
召开现场工作启动会,实施测评,包括人工检查、工具扫描等方式,现场工作结束前,总结测评结果,向管理层反馈结果。
7)提交测评报告
分析现场测评实施结果,对实施的信息系统进行安全等级保护分析及打分,编制符合国家网络安全等级保护主管部门要求的《网络安全等级测评报告》。
2.3安全服务工具要求1、本项目在实施过程中所使用到的专业安全服务工具必须包含网络边界完整性检查工具、网络安全事件调查处置系统等。
2、★为保证所使用的所有工具和软件不会产生所有权和知识产权纠纷,并保证工具和软件的可用性和可靠性,投标人不是服务工具制造商的必须提供服务工具原厂商针对本项目的不存在知识产权纠纷及产品合格的书面证明函。由此产生的一切责任由投标人负完全责任。
3、▲本项目使用的所有测评工具和软件(包括但不限于以下网络边界完整性检查工具、网络安全事件调查处置系统等)无需本项目采购方购买,均由中标供应商自行提供。
4、▲本项目需使用信息安全等级保护综合管理系统,该系统需通过公安部的检测(需提供公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章)。
5、服务工具具体要求:
工具名称 | 工具要求 |
网络边界完整性检查工具 | 测评过程中根据《网络安全技术信息系统安全等级保护基本要求》中:“应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断”和“应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断”的测评指标项的要求,检测手段须具备网络边界完整性检查工具。 工具原厂商为中国境内注册,产品拥有自主知识产权,并且为国内研发和生产。 ★工具必须具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》。 工具需具备以下检测能力: 1、通过远程网络扫描,完成对违规内联行为的检测和定位; 2、接入层网络设备的自动发现,应可自动识别设备厂商;自动扫描采集设备的软硬件信息,包括设备名称、设备描述、型号、软件版本、物理接口数量等; 3、接入层交换设备端口和下联MAC地址的关联定位,应可自动识别接入层交换设备端口下联的MAC地址及其对应的IP地址;应对每一设备端口的接入历史提供详细审计,应可查询任一设备端口在过去某一时段曾接入的MAC地址和其对应的IP地址; 4、工具基于WEB管理,必须提供Https访问模式; 5、系统自身需提供用户校验机制,用户密码设置需提供复杂度检验机制,保证系统自身密码强壮性; 6、应提供定点登录机制,即只允许用户从指定的地址登录,防止系统遭暴力破解和攻击; 7、用户登录失败次数超过设定阀值,应提供用户锁定功能,防止系统遭受暴力破解。 |
网络安全事件调查处置系统 | 安全服务过程中提供网络安全事件调查处置工具对网络安全事件调查处置工作现场的技术支持,根据制定的任务生成采集U盘,通过工具进行现场数据采集、数据分析、攻击事件回溯、生成调查报告四个步骤完成调查处置工作。并将调查结果数据上报到网络安全事件调查处置平台中,通过平台的长期运行、数据积累,为信息系统和网络安全态势感知与通报预警提供精准的网络安全事件数据,并且通过大数据分析,能够预知、预判网络安全事件的发展和爆发趋势,及时进行通报预警。 ★工具必须通过公安部的检测(需提供公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章)。 ★支持将攻击者攻击行为进行回溯,包括扫描网站、发现漏洞、发起攻击、入侵主机、高危后果、清除痕迹共6个过程(提供功能截图)。 ★支持知识库管理,主要包括:漏洞库、恶意程序样本库、网络安全事件处置知识库、调查处置工具库4个功能。 ★测评工作须使用信息安全等级保护综合管理系统,该系统须通过公安部的检测,提供工具厂商盖章的公安部信息安全产品检测中心的检测报告。 |
内网安全管理系统 | 安全服务过程中提供对内网进行安全检测 ★工具必须通过公安部的检测(需提供公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章)。 基本功能:在windows/Linux系统下,实现从EFI/UEFI/MBR层开始接管主机,早于操作系统启动,能够监控包括操作系统在内的所有运行轨迹,实现“全息日志”监控。 ★根据全息日志,进行逆向推导,可以使系统回退到过去的任意时刻,反之,向前推导,可以从过去某个时刻再返回后来的某个时刻,从而实现整个主机系统的“时光旅行”。(请提供功能截图) ★在一定时段内,可以随意找回硬盘在该时段内任意时刻的数据。(请提供功能截图) 易用性:傻瓜式操作界面,安装后无需任何操作设置就可以备份系统和所有数据,可以任意恢复系统,找回任何数据。 性能:系统效率影响小于3%。 功能:任何硬盘数据的找回都无需重启系统。任何数据的找回,无需覆盖或者破坏当前数据,实现数据的实时在线验证。 操作系统:支持:windows xp及以上的windows操作系统 支持:server 2003及以上的server的操作系统 支持:Linux环境支持开源版 Centos / Ubuntu/ /RedHat/Team Linux /USE/Debian等。 |
服务中产生的全部档案资料版权归采购人所有,未经采购人允许的情况下,不得以任何形式向第三方提供安全技术文档的全部或部分内容,交付文件包括但不限于如下成果和报告:
1、等级保护测评实施计划
2、定级备案材料编写
3、信息系统安全整改问题清单
4、整改方案
第三部分 网上竞价报名文件要求
一、资格预审文件(注:采购人对照第一部分合格报价人条件列明资格预审文件要求)
1.营业执照复印件并加盖报价人公章;
2.按附件格式要求填妥并签章的法定代表人证明书或法人授权委托书(非法人签署时需提供);
3.按附件格式要求提交法人代表身份证或被授权人身份证(复印件即可);
4.按附件格式要求提交网上竞价项目采购文件响应承诺书;
5.按附件格式填妥并签章的“诚信承诺函”;
6.按附件格式要求提交“国家企业信用信息公式系统网站”截图并加盖报价人公章;
7.按附件格式要求提交“信用中国网站”截图并加盖报价人公章;
8.按附件格式要求提交“中国执行信息公开网”网站截图并加盖报价人公章。
9.提供中国网络安全审查技术与认证中心颁发的“信息安全风险评估”服务资质,或中国信息安全测评中心颁发的“信息安全风险评估”服务资质(提供其中一种即可)。
10.满足第一部分竞价项目说明 2.合格报价人条件的所有要求。
二、项目报价单
项目报价单
项目名称 | 广州白云国际机场股份有限公司现场巡查督察大队网络安全等级保护测评服务采购项目 |
报价 | (大写)人民币元 (¥元) |
注:1)此表需装订在报价文件正本中;
2)报价人所报价格为最终报价,应包含XXX的成本、利润、税金、运输及其他相关费用等,采购人将不予支付除报价文件约定的由报价人承担的风险因素之外的任何补偿。报价人漏报或不报,采购人将视为该漏报或不报部分的费用已包括在已报的分项报价中而不予支付。
3)对含糊不清或不确定的报价将视为无效报价。
报价人名称: (盖公章)
法定代表人或授权代表签名:
日期:
报价明细表
序号 | 采购内容 | 总价(含税价) | 税率(%) | 备注 |
1 | 白云机场微信“随手拍” | |||
2 | 白云机场现场巡查督察系统 | |||
3 | 白云机场服务热线96158呼叫中心系统 | |||
合计 | ||||
报价人名称: (盖公章)
法定代表人或授权代表签名:
日期:
第四部分 附录文件格式
附录1:营业执照复印(注:非企业法人应提供的相关证明)
附录2
法定代表人证明书
报价人名称:
单位性质:
地址:
成立时间:年月日
经营期限:
姓名:性别:年龄:职务:
系(报价人名称)的法定代表人。
特此证明。
报价人名称: (盖公章)
法定代表人:(签字或盖章)
日期:
附件:法定代表人身份证正反面复印件并加盖报价人公章。
附录3:
法人授权委托书
(如报价文件签署人不是法定代表人需提供)
本人(姓名)系(报价人名称)的法定代表人,现委托(姓名)为我司代理人。代理人根据授权,以我司名义签署、澄清、说明、补正、递交、撤回、修改项目编号为的 (项目名称)报价文件、签订合同和处理有关事宜,其法律后果由我司承担。
授权委托期限:自年月日至年月日止。
代理人无转委托权。特此委托。
报价人:(公章)
法定代表人:(签字或盖章)
代理人:(签字)性别:年龄:
代理人身份证号码:职务:
授权委托日期:
附:代理人的身份证正反面复印件并加盖报价人公章。
附录4
诚信承诺函
致:广州白云国际机场股份有限公司现场巡查督察大队
在研究并完全理解了网络安全等级保护测评服务项目竞价公告后,我司完全同意并接受项目竞价公告的所有内容,同时向贵司承诺:
1.近三年,我司没有因腐败或欺诈行为而被政府或业主宣布取消投标资格;
2.近三年,我司(包括其关联公司)未与广东省机场管理集团有限公司其下属的全资、控股公司、非法人实体单位发生各种诉讼或仲裁;
3.我司非联合体报价。
上述承诺如有造假行为,我司愿意无条件接受采购人的以下处理:
1.取消本项目报价、成交资格,并在相关网站公示;
2.由采购人没收合同履约保证金;
3.三年至六年内停止或禁止参加广东省机场管理集团有限公司本部、各全资、控股公司及集团公司所属非法人实体单位的所有采购项目;
4.对不良行为予以纪录,并进行公告;
5.报广东省机场管理集团有限公司备案;
6.其他行政处理决定。
报价人名称: (盖公章)
法定代表人或授权代表签名:
日期:
附录5
网上竞价项目采购文件响应承诺书
致:广州白云国际机场股份有限公司现场巡查督察大队(采购单位名称或采购代理机构)
我司保证提交的网络安全等级保护测评服务项目报价文件所有内容与贵司(单位)的采购文件要求条款完全响应,特此承诺!
报价人名称: (盖公章)
法定代表人或授权代表签名:
日期:
附录6:
国家企业信用信息公式系统网站(www.gsxt.gov.cn)截图格式
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及列入严重违法失信企业名单信息,
附录7:
“信用中国”网站(www.creditchina.gov.cn)截图格式
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及失信惩戒信息。
附录8:
“中国执行信息公开网”网站(zxgk.court.gov.cn)截图
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及查询结果。
!--EndFragment--
!--EndFragment--
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
