关于贵州财经职业学院网络安全等级保护测评服务采购的公告

关于贵州财经职业学院网络安全等级保护测评服务采购的公告

贵州财经职业学院

网络安全等级保护测评服务采购公告

为了满足学校业务正常开展和不断发展网络安全需要,保护大量师生个人隐私信息以及教学、科研等的重要数据,进一步提升学校信息安全指数。经校长办公会研究同意,本着公正、公开、公平的原则,我校决定对贵州财经职业学院网络安全等级保护测评服务采购项目进行校内竞争性综合比选采购,现将有关事项公告如下:

一、招标内容

1. 贵州财经职业学院网络安全等级保护测评服务采购项目(详细项目要求见附件)。

2.预算22.8万元

二、投标人的资质要求

一般资格要求:符合政府采购法第二十二条规定,提供政府采购法实施条例第十七条规定资料。

①具有独立承担民事责任的能力: 具体要求:具备独立法人资格,提供有效的工商营业执照、税务登记证、组织机构代码证(或三证合一的营业执照),法定代表人及授权代表身份证(以上资料需复印件加盖公章)及法定代表人授权书(原件)等证明文件;

②具有良好的商业信誉和健全的财务会计制度: 具体要求:应提供2018年度或2019年度经第三方合法审计机构出具的财务审计报告,对于新成立或成立不满一年的新公司,应提供基本开户银行出具的资信证明(复印件加盖投标单位公章);

③具有履行合同所必须的设备和专业技术能力: 具体要求:提供具备履行合同所必需的设备和专业技术能力的证明材料(不做具体要求);

④具有依法缴纳税收和社会保障资金的良好记录: 具体要求:提供2019年至今任意3个月依法缴纳税收和2019年至今连续3个月社会保障资金的相关材料(复印件加盖公章);

⑤参加本次政府采购活动前三年内,在经营活动中没有违法违规记录:提供参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明(格式文件详见附件9);

⑥具备法律、行政法规规定的其他条件:(1)供应商须承诺:在“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)等渠道查询中未被列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中,如被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中的供应商取消其投标资格,并承担由此造成的一切法律责任及后果。(2)根据《省发展改革委省法院省公共资源交易中心关于推进全省公共资源交易领域对法院失信被执行人实施信用联合惩戒的通知》黔发改财金(2020)421号文件要求,采购人或代理机构在递交投标文件截止时间后现场根据贵州信用联合惩戒平台反馈信息,查询供应商是否属于法院失信被执行人,如被列入取消其投标资格。

特殊资格要求:取得省级等保办颁发《网络安全等级保护测评机构推荐证书》,并且证书在有效期以内。

三、报名、报价截止时间、开标时间及地点

1.报名时间:2021年5月20日—24日(除周末外),早上8:30分至12:00,下午14:00—16:10。

2.报名地点:清镇市职教城西区云站路50号,贵州财经职业学院行政楼401、402室。

3.开标时间:2021年5月27日上午10时。

4.开标地点:贵州财经职业学院行政楼三楼乡愁会议室。

5.递交报价文件截止时间:2021年5月27日上午10时。

6.确认投标人报名参与成功后,将另行发送招标(比选)文件,投标人按比选文件要求准备资料。

7.联系人:杨亚军、舒祥:0851-86807410、18085005862。

四、报名文件组成及要求

1.企业资质(工商税务登记证、经营许可证、组织机构代码证、营业执照)复印件加盖单位印章;

2.单位的法定代表人身份证复印件、授权委托书、投标人身份证复印件;

3.特殊资格要求中规定的相关证书

五、其他事宜

1.本项目不接受联合体投标,中标后不允许转包、分包。2.本次招标必须具有三家以上(不少于三家)的投标人参加,标书各自密封,公开拆标。投标人少于三家时,将另行确定招标。

附件:项目建设要求

1.被测系统描述

系统名称

贵州省财政学校网站系统

主管机构

贵州省财政学校

系统承载

业务情况

业务类型

01生产作业 02指挥调度 03管理控制

04内部办公 P5公众服务 06其他

业务描述

系统服务

情况

服务范围

P1全国02跨省(区、市) 跨个

03全省(区、市) 04跨地(市、区) 跨个

05地(市、区)内 06其它

服务对象

01单位内部人员 P2社会公众人员 03两者均包括

04其他

系统网络

平台

覆盖范围

01局域网02城域网P3广域网

04其他

网络性质

01业务专网 P2互联网03其它

系统互联

情况

01与其他行业系统连接 02与本行业其他单位系统连接

P3与本单位其他系统连接 04其它

业务信息安全保护等级

二级

系统服务安全保护等级

二级

信息系统安全保护等级

二级


系统名称

贵州财经职业学院网站系统

主管机构

贵州财经职业学院

系统承载

业务情况

业务类型

01生产作业 02指挥调度 03管理控制

04内部办公 P5公众服务 06其他

业务描述

系统服务

情况

服务范围

P1全国02跨省(区、市) 跨个

03全省(区、市) 04跨地(市、区) 跨个

05地(市、区)内 06其它

服务对象

01单位内部人员 P2社会公众人员 03两者均包括

04其他

系统网络

平台

覆盖范围

01局域网02城域网P3广域网

04其他

网络性质

01业务专网 P2互联网03其它

系统互联

情况

01与其他行业系统连接 02与本行业其他单位系统连接

P3与本单位其他系统连接 04其它

业务信息安全保护等级

二级

系统服务安全保护等级

二级

信息系统安全保护等级

二级


系统名称

财务系统

主管机构

贵州省财政学校

系统承载

业务情况

业务类型

P1生产作业 02指挥调度 03管理控制

04内部办公 05公众服务 06其他

业务描述

系统服务

情况

服务范围

01全国02跨省(区、市) 跨个

03全省(区、市) 04跨地(市、区) 跨个

P5地(市、区)内 06其它

服务对象

01单位内部人员 2社会公众人员 P3两者均包括

04其他

系统网络

平台

覆盖范围

P1局域网02城域网03广域网

04其他

网络性质

P1业务专网 02互联网03其它

系统互联

情况

01与其他行业系统连接 02与本行业其他单位系统连接

P3与本单位其他系统连接 04其它

业务信息安全保护等级

二级

系统服务安全保护等级

二级

信息系统安全保护等级

二级

系统名称

OA系统

主管机构

贵州财经职业学院

系统承载

业务情况

业务类型

01生产作业 02指挥调度 03管理控制

P4内部办公 05公众服务 06其他

业务描述

系统服务

情况

服务范围

01全国02跨省(区、市) 跨个

03全省(区、市) 04跨地(市、区) 跨个

P5地(市、区)内 06其它

服务对象

01单位内部人员 2社会公众人员 P3两者均包括

04其他

系统网络

平台

覆盖范围

P1局域网02城域网03广域网

04其他

网络性质

P1业务专网 02互联网03其它

系统互联

情况

01与其他行业系统连接 02与本行业其他单位系统连接

P3与本单位其他系统连接 04其它

业务信息安全保护等级

二级

系统服务安全保护等级

二级

信息系统安全保护等级

二级


系统名称

校园智慧平台系统

主管机构

贵州财经职业学院

系统承载

业务情况

业务类型

01生产作业 02指挥调度 P3管理控制

P4内部办公 05公众服务

06其他

业务描述

系统服务

情况

服务范围

01全国02跨省(区、市) 跨个

03全省(区、市) 04跨地(市、区) 跨个

P5地(市、区)内 06其它

服务对象

01单位内部人员 2社会公众人员 P3两者均包括

04其他

系统网络

平台

覆盖范围

P1局域网02城域网03广域网

04其他

网络性质

P1业务专网 02互联网

03其它

系统互联

情况

01与其他行业系统连接 02与本行业其他单位系统连接

P3与本单位其他系统连接

04其它

业务信息安全保护等级

二级

系统服务安全保护等级

二级

信息系统安全保护等级

二级

系统名称

教务管理系统

主管机构

贵州财经职业学院

系统承载

业务情况

业务类型

01生产作业 02指挥调度 P3管理控制

P4内部办公 05公众服务

06其他

业务描述

系统服务

情况

服务范围

01全国02跨省(区、市) 跨个

03全省(区、市) 04跨地(市、区) 跨个

P5地(市、区)内 06其它

服务对象

01单位内部人员 2社会公众人员 P3两者均包括

04其他

系统网络

平台

覆盖范围

P1局域网02城域网03广域网

04其他

网络性质

P1业务专网 02互联网

03其它

系统互联

情况

01与其他行业系统连接 02与本行业其他单位系统连接

P3与本单位其他系统连接

04其它

业务信息安全保护等级

二级

系统服务安全保护等级

二级

信息系统安全保护等级

二级

2.测评对象(包含但不限于以下几个方面)

1. 主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;

2. 存储被测系统重要数据的介质的存放环境;

3. 整个系统的网络拓扑结构;

4. 安全设备,包括防火墙、入侵检测设备和防病毒网关等;

5. 边界网络设备(可能会包含安全设备),包括路由器、防火墙、边界接入设备(如楼层交换机)等;

6. 对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;

7. 承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);

8. 管理终端和主要业务应用系统终端;

9. 能够完成被测系统不同业务使命的业务应用系统;

10. 业务备份系统;

11. 信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;

12. 涉及到信息系统安全的所有管理制度和记录。

在本次信息系统测评时,信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查一台作为测评对象。

3.测评方法

本次测评方法分为现场测评方法与风险分析方法。

现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

l 访谈

访谈是测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。

本次测评的贵州财经职业学院信息系统为二级信息系统,根据二级信息系统的测评强度要求,在访谈的广度上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。在访谈的深度上,应较全面,需包含通用和高级的问题以及一些有难度和探索性的问题。

l 文档审查

检查《基本要求》中二级规定的必须具有的制度、策略、操作规程等文档是否齐备;检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。检查上述文文档之间是否保持一致性,要求有执行过程记录的,过程记录文档的记录内容应与相应的管理制度和文档保持一致,与实际情况保持一致。

l 配置检查

根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等);如果系统在输入无效命令时不能完成其功能,将要对其进行错误测试;针对网络连接,应对连接规则进行验证。

本次测评配置检查的强度是:满足《基本要求》中的二级要求,测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性。

l 工具测试

根据测评指导书,利用技术工具针对主机、服务器、关键网络设备、安全设备等设备进行包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。

l 实地查看

根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评是否达到了相应等级的安全要求。

风险分析方法是依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析,分析过程包括:

1)判断信息系统安全保护能力缺失(等级测评结果中的部分符合项和不符合项)被威胁利用导致安全事件发生的可能性,可能性的取值范围为高、中和低;

2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中和低;

3)综合1)和2)的结果对信息系统面临的风险进行汇总和分等级,风险等级的取值范围为高、中和低;

4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

贵州财经职业学院

2021年5月20日



联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 等级保护测评 网络安全 职业学院

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询

最近搜索

热门搜索