山东省审计厅机关信息系统等级保护测评服务采购公开招标公告
一、采购人:山东省审计厅机关 地址:山东省济南市共青团路88号 联系方式: ****-********
二、采购代理机构:山东省省级机关政府采购中心地址:济南高新技术产业开发区伯乐路190号 联系方式: ****-********
三、政府采购计划编号:***************
四、项目名称:信息系统等级保护测评服务 项目编号:SDGP2013-452-1
五、采购内容及分包情况:
采购内容(包括采购货物和服务的名称、用途、数量):
信息系统等级保护测评服务
分包情况:包号 货物名称 数量 简要技术指标 供应商资格要求
A8 信息系统等级保护测评服务 详见公告附件 详见公告附件 详见公告附件
六、获取招标文件地点:山东省省级机关政府采购中心 时间:2013年12月11日至2013年12月29日 8:30-11:30,13:00-16:30(北京时间,节假日除外) 方式:登录山东政府集中采购网(www.sdzfcg.gov.cn),免费下载招标文件。 售价:免费
七、投标截止日期:2013年12月31日 9:00 - 9:30(北京时间)
八、开标日期:2013年12月31日9:30(北京时间) 开标地点:山东省省级机关政府采购中心
九、本项目联系人:刘晓英、黄启瑞 联系电话:****-********
十、其他:
A8包、信息系统等级保护测评服务一、供应商资格要求1、符合《中华人民共和国政府采购法》第二十二条的规定。2、供应商的资质要求:(1)具有公安部信息安全等级保护评估中心颁发的《信息安全等级保护测评机构能力评估合格证书》及山东省信息安全等级保护工作协调小组办公室颁发的《信息安全等级保护测评机构推荐证书》。二、技术要求一、总体要求1. ★按照国家等级保护相关标准和要求,对山东省审计厅内网审计管理系统(等保三级)和互联网门户网站系统(等保二级)开展信息系统安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,提出安全等级保护差距分析报告。2、遵循适度安全原则,综合考量成本与效益因素,提供安全整改建议并协助安全策略优化,基于等级保护的要求协助建立信息安全管理体系、运维管理体系、应急体系。3、按照信息系统安全等级保护的相关要求,梳理和完善山东省审计厅信息安全管理制度,健全和完善信息安全管理体系和技术保障体系。4、在约定的服务期限内,提供应急支援服务和渗透测试服务及其他信息安全服务。应急支援服务内容应包含现场应急支援服务和外部应急支援服务;渗透测试服务内容应包含非现场应急支援服务;其他信息安全服务包括协助完成信息安全相关检查等事项。5、整改完成后,提供正式的等级保护测评报告,协助完成所有业务系统等级保护定级与备案工作。二、项目实施参照主要标准及依据1、公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);2、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)。3、《信息安全技术 信息系统安全等级保护基本要求》( GB/T22239-2008) 4、《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)5、《信息安全技术信息系统安全等级保护实施指南》6、《信息安全技术信息系统安全等级保护测评要求》7、《信息安全技术信息系统安全等级保护测评过程指南》8、《计算机信息系统安全保护等级划分准则》(GB 17859-1999)9、《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)10、《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)11、《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006)12、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)13、《信息安全技术 服务器技术要求》(GB/T 21028-2007)14、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006)15、《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)16、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)17、GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则三、工作内容1、全面的信息安全风险评估和等级保护差距分析对山东省审计厅所涉及到的信息系统,开展全面的信息安全风险评估,评估内容包含并不限于以下内容:物理安全风险评估、网络架构安全风险评估、服务器风险评估、应用安全风险评估、数据安全风险评估、客户端安全检查、渗透测试等技术风险评估工作。风险评估工作完成后提供如下报告:《信息资产清单》:包括IP地址段规划、服务器、网络和安全设备、终端PC等;《网络拓扑》:详细准确的网络拓扑图,涵盖所有的网络设备和服务器;《风险评估报告和威胁攻击路径报告》:基于渗透测试,列举所有的入侵和信息泄漏的途径以及所有信息系统安全风险清单;《等级保护差距分析报告》:基于等级保护基本要求,提供给差距分析报告,逐项列举差距分析结论、差距说明、整改建议。2、提供可落地的安全管理体系和安全技术体系基于等级保护的合规要求,提供可落地执行的信息安全管理系统和安全运维技术体系。制定信息安全策略;制定各岗位安全职责和日常工作规范;制定不限于以下内容的安全管理制度:《物理与环境管理制度》、《机房安全管理制度》、《网络通信与操作安全管理制度》、《变更操作管理制度》、《数据备份与灾难恢复管理制度》、《系统运维监控管理制度》、《病毒治理管理制度》、《敏感信息分类、访问控制与操作权限管理制度》、《客户端网络准入和U盘管理制度》、《互联网访问和邮件安全管理制度》、《无线网络和移动客户端安全管理制度》、《安全事件预警监控与应急处理管理制度》、《应急预案》。制定制度落地相关的技术指南文件、工作流程和记录文档。遵循适度安全原则,综合考量成本与效益因素,提供安全整改建议并协助安全策略优化,对安全评估发现的安全风险提供可操作的加固建议,不限于以下工作:提供安全域规划和网络改造建议并提供详细的IP地址规划和网络规划图;提供给服务器安全加固和防入侵、防信息泄密安全建议并协助服务器安全加固、建立安全日志搜集服务器;提供客户端准入、安全管理、桌面管理建议并协助建立补丁分发服务器;提供身份统一管理、认证、授权、审计建议;提供应用软件安全漏洞加固建议;提供机房安全整改建议。3、在约定的服务周期内提供不限次数的信息安全应急支援服务,包括远程应急支援和现场应急支援。针对严重紧急的安全应急事件,现场处理响应时间不超过6小时。4、在约定的服务周期内每季度提供一次渗透测试服务,对所有互联网开放业务的应用系统和内网重要业务系统进行渗透测试,并提供渗透测试报告及加固建议。建立信息安全应急预案总纲和信息安全专项应急预案(包括敏感信息泄漏、系统入侵、病毒爆发、网页篡改等)并提供应急演练;建立业务连续性应急预案总纲和业务瘫痪专项应急预案(包括关键链路故障、核心网络设备故障、服务器故障等)并提供应急演练;5、提供正式的等级保护测评服务测评的内容包括但不限于以下内容:(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;(2)安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。6、系统定级与备案对山东省审计厅现有的各类信息系统开展调研,依据《信息系统安全等级保护定级指南》(GB/T 22240-2008)要求,遵循规范的流程确定定级对象并确定受侵害的客体和侵害程度,形成定级建议书,为委托方的系统定级和备案工作提供参考。山东省审计厅现有信息系统如下:序号应用系统名称安全保护等级1内网审计管理系统32互联网门户网站系统2供应商需协助完成下述工作后,编制《信息系统安全等级保护定级报告》?识别单位的基本信息?识别管理框架?识别业务种类、流程和服务?识别信息?识别网络结构和边界?识别主要的软硬件产品?识别用户类型和分布?形成定级结果7、山东省审计厅将要实施金审工程三期项目的建设,要求乙方提供项目建设网络、网络安全、运维方面的咨询服务,帮助山东省审计厅评估现有安全、运维体系,参考国家金审三期建设要求,提出建设方案。四、项目实施要求(一)保密要求投标方对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:1.中标方应按要求与山东省审计厅签署保密协议。2.主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。3.不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的甲方关于该项目的秘密。4.不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。5.不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。6.不论何种原因终止参与甲方关于该项目的工作后,都不得利用该项目之商业秘密为其他与甲方有竞争关系的企业(包括自办企业)服务。7.该项目的商业秘密所有权始终全部归属甲方,乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前乙方已依法具有某些所有权者除外。8.如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向甲方公司报告。(二)实施要求在项目实施过程中,投标方应做好计划与安排,不影响山东省审计厅正常业务办公的开展。投标方要给予承诺,并承担由此引起的损失。五、成果交付项目实施完成后,要求投标人提供包括但不限于交付成果如下:《信息系统安全等级保护测评方案》;《信息系统安全等级保护差距分析报告》;《系统信息安全等级保护测评报告》 ;《信息系统风险评估报告》 ;《信息系统安全整改建议报告》;《信息安全管理制度汇编》;《信息资产清单》;《网络拓扑》;《风险评估报告和威胁攻击路径报告》;项目相关的各项过程文档等。质量保证1、为保证信息安全等级保护测评项目的质量,要求在测评过程中就等级保护测评过程控制、过程监督、结果验证等方面严格按照国家相关标准要求执行。2、测评结果必须通过用户方安全主管部门组织的评审和审批。3、测评机构对自身测评行为和结果负责,测评机构承担等级保护测评要求的相关法律责任。六、测评机构和测评人员要求1、参与本次安全服务与等级保护测评项目的专业技术员不少于4人,参与测评的每个人都应具有等级保护测评师资质。其中,高级测评师不少于1名;签订安全保密协议;2、应当投入满足测评需要的网络拓扑发现工具、安全配置核查工具、网络协议分析工具、漏洞扫描工具、渗透攻击工具、密码破解工具等。注:以上加“_________”部分为★条款内容,如不满足,按无效投标处理。三、投标保证金1、投标保证金数额:人民币壹仟贰佰圆整(¥1200.00)。2、投标保证金交纳采用下列形式之一:电汇、银行本票、银行汇票、现金、投标担保函。投标保证金为电汇形式的,汇款单上须注明采购项目编号、包号。若交款人名称与投标人名称不一致,投标人须出具加盖公章的书面材料,退款时,款项退至投标人帐户。收款单位:山东省省级机关政府采购中心开户银行:建行济南市高新支行黄金时代分理处银行帐号:
****************9999大额联行号:
********1046采用投标担保函形式交纳的,按山东省财政厅《关于印发(山东省政府采购信用担保试点方案)的通知》(鲁财采[2011]49号)规定执行。
