003包组面向 中小微企业招标。
品目1:互联网集群系统运维 (一)采购标的需实现的功能或者目标,以及为落实政府采购政策需满足的要求;
我省检察机关互联网站集群托管在发改委政府外网机房,目前我省大部份检察机关互联网站已经加入该站群,本运维工作是对40余家检察机关互联网站进行运维。
(二)采购标的需执行的国际相关标准、行业标准、地方标准或者其他标准、规范;
《互联网信息服务管理办法》(国务院令(第292号))
《互联网新闻信息服务管理规定》(国家互联网信息办公室令第1号)
(三)采购标的需满足的质量、安全、技术规格、物理特性要求;
互联网集群系统1、项目实施的可行性:需要包括门户网站的版本升级、内容更新、数据维护、运行维护等服务。2、没有这些日常服务,可能会导致互联网站集群升级更新不及时、暴露于黑客攻击之下。造成恶劣社会影响。
(四)采购标的的数量、采购项目交付或者实施的时间和地点;
根据运维服务采购内容,合同签订次日起开始实施,实施地点辽宁省人民检察院。
(五)采购标的需满足的服务标准、期限、效率等要求;
运维服务根据相关标准、合同签订次日起开始实施至2021年12月31日。
服务提供商须安排不少于2名服务人员在辽宁省人民检察院现场驻场工作,以辽宁省人民检察院数据中心为核心,为辽宁省人民检察院提供5(日)×12(小时)(7:30-19:30)的驻场服务。同时,向辽宁省人民检察院下辖的中院、基层院提供5(日)×12(小时)(7:30-19:30)的应急现场技术支持服务和远程服务。
综合咨询服务。服务提供商应具备足够的二线支持人员、专家队伍,为辽宁省人民检察院提供综合咨询服务,二线支持人员不能由现场驻场服务人员担任。专家队伍应该具有针对网络、信息安全、主机系统、数据库等方面经验丰富的资深工程师,和针对检察院核心业务熟知精通的业务专家,随时为驻场人员提供资深技术支持。
(六)采购标的的验收标准;
验收标准:按照《关于印发辽宁省省本级政府采购合同履约验收管理办法的通知》【辽财采函〔2017〕603号】规定执行。
品目2:集群网站监测及运维保障服务项目 (一)采购标的需实现的功能或者目标,以及为落实政府采购政策需满足的要求;
遵循《中华人民共和国网络安全法》的相关规定,保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。
辽宁省人民检察院委托具备相应资格的网络安全服务机构,提供切实可行的网络安全服务,对辽宁省人民检察院省本级电子政务外网及检察工作网实施安全运维;对全省检察机关互联网门户网站群可能存在的风险进行检测,并将检测情况和改进措施报送负责安全保护工作的相关部门,作为网络安全整改的有力依据之一。
项目运维目标
1.为全省检察机关互联网门户网站群网络安全工作提供有力支撑和良好的网络环境。
2.为省本级电子政务外网及检察工作网建设与管理提供网络安全保障。
(二)采购标的需执行的国际相关标准、行业标准、地方标准或者其他标准、规范;
《中华人民共和国网络安全法》
(三)采购标的需满足的质量、安全、技术规格、物理特性要求;
门户网站群检测服务:
(1)定期(每月一次)对全省检察机关互联网网站群及门户网站,进行网络安全检测服务。并出具检测报告及改善建议内容。
(2)在特定的时期,根据用户需求对指定网站额外进行上述安全检测。
(3)对全省检察机关互联网网站群及门户网站做日常安全监测,如有异常及时报警,并协助解决安全问题。
2.电子政务外网及检察工作网安全服务:
(1)根据实际安全需求,对省本级电子政务外网及检察工作网内各类安全设备进行规划、配置实施和策略部署等。整理、更新安全设备信息及网络结构图,适时调整安全策略部署和优化设备配置等服务。
(2)对网内安全设备的日常运行进行定期巡检,保障安全设备的稳定、有效运行。
(3)对网内安全设备的日志、日常监测结果进行分析校验,及时发现网内不安全因素和存在的安全隐患,并做出应对方案。
(4)实时解决网内出现的安全事故,配合查处网内的安全事件,保障网络安全。
(四)采购标的的数量、采购项目交付或者实施的时间和地点;
根据运维服务采购内容,合同签订次日起开始实施,实施地点辽宁省人民检察院。
(五)采购标的需满足的服务标准、期限、效率等要求;
运维服务根据相关标准、合同签订次日起开始实施至2021年12月31日,指派1名经验丰富的工程师提供1年5*8小时驻场服务,驻场工程师应具有CISP资格证书或同等能力水平。
(六)采购标的的验收标准;
验收标准:按照《关于印发辽宁省省本级政府采购合同履约验收管理办法的通知》【辽财采函〔2017〕603号】规定执行。
品目3:门户网站等保测评 (一)采购功能及实现目标
依据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》规定,采购具有《网络安全等级保护测评机构推荐证书》的测评机构,按照测评相关标准开展辽宁省人民检察院网络安全等级保护测评工作及信息安全风险评估工作。
1、工作范围
序号 | 工作内容 | 工作范围 |
1 | 网络安全等级保护测评 | 检察工作网平台系统(三级) |
2 | 信息安全风险评估 | 门户网站系统(三级) |
2、技术要求
(1)网络安全等级保护测评技术要求:
网络安全等级保护测评流程分为四个阶段:测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。
测评内容:根据国家等级保护相关标准,各信息系统的安全等级保护测评应包括以下内容:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理10个方面的安全测评。
安全物理环境。安全物理环境测评是对招标单位各信息系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应及电磁防护等方面的安全状况。
安全通信网络。安全通信网络测评是对招标单位各信息系统的安全通信网络安全防护情况进行测评,包括网络架构、通信传输及可信验证等方面的安全状况。
安全区域边界。安全区域边界测评是对招标单位各信息系统的安全区域边界的安全防护情况进行测评,包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计及可信验证等方面的安全状况。
安全计算环境。安全计算环境测评是对招标单位各信息系统的安全计算环境的安全防护情况进行测评,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护及个人信息保护等方面的安全状况。
安全管理中心。安全管理中心测评是对招标单位各信息系统的安全管理中心设置情况进行测评,包括系统管理、审计管理、安全管理和集中管理等方面的检查。
安全管理制度。安全管理制度测评是对招标单位各信息系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。
安全管理机构。安全管理机构测评是对招标单位各信息系统的安全管理机构的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面进行检查。
安全管理人员。安全管理人员测评是对招标单位相关内部人员的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。
安全建设管理。安全建设管理测评是对招标单位各信息系统生命周期中的定级和备案、安全方案设计、产品采购合使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等情况进行测评。
安全运维管理。安全运维管理测评是对招标单位各信息系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。
(2)信息安全风险评估技术要求
资产评估:确定资产的信息安全属性(机密性、完整性、可用性等)受到破坏而对信息系统造成的影响的过程。在风险评估中,资产评估包含资产识别、资产安全要求识别、资产赋值等三部分内容。
威胁评估:通过技术手段、统计数据和经验判断来确定信息系统面临威胁的过程。威胁评估中的主要工作包括两个方面:一是要根据资产运行环境来确定其所面临的威胁来源,另一方面要确定这些威胁的严重程度和发生频率。
脆弱性评估:包括脆弱性识别和赋值两个步骤,是对信息系统中存在的可被威胁利用的缺陷的发现与分析的过程。按照信息系统运作方式,将与信息系统的安全性相关的内容划分成技术、运维和管理三个方面。脆弱性识别包括:信息安全技术评估、信息安全管理评估、信息安全运行维护评估。信息安全技术评估包括物理安全、网络安全、操作系统安全、数据库安全、通用服务安全、应用系统安全、安全措施、数据安全及备份恢复。信息安全管理评估包括信息安全评估管理、信息安全的宣传与考核、信息安全监督与考核、符合性管理。信息安全运行维护评估包括信息系统运营管理、资产分类管理、配置与变更管理、业务连续性管理、设备与介质安全。
现有安全措施评估:通过对系统中现有的安全措施的评估可判别出已部署的和已经规划的安全防护措施是否合理,以及这些安全措施的使用是否达到了部署的目的,是否真实地降低了系统的脆弱性,抵御了威胁。
风险计算:依据标准,在完成资产评估、威胁评估和脆弱性评估后,根据资产及其关联的威胁和脆弱性的赋值情况可计算出风险值。
风险分析:为实现对风险有效、适度的控制,需要对风险的计算结果进行分析。首先应对风险计算结果进行排序,并从技术风险、管理风险、运维风险、机密性风险、完整性风险、可用性风险、资产的总和风险等多个角度进行分析。
安全建议:根据风险分析、风险决策的结果从技术层面(包括:物理、主机、网络、应用)、管理层面(组织机构、人员、管理制度)和运维层面,以及机密性、完整性、可用性方面分别提出对风险控制的需求。经过合理的统计和归纳,选择控制措施,形成安全解决方案。
3、交付成果
《检察工作网平台系统网络安全等级测评报告》
《门户网站系统信息安全风险评估报告》
(二)网络安全等级保护测评应符合国家相关标准。
国际、国家、行业标准化相关:
ø GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
ø GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
ø GB/T 22240-2020 《信息安全技术 信息系统安全等级保护定级指南》
ø GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
ø GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》
(三)根据国家等级保护相关标准,网络安全等级保护测评应包括以下内容:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理10个方面的安全测评,并出具网络安全等级测评报告。
(四)门户网站群系统(三级)及检察工作网平台系统(三级)等级保护测评,分别出具《检察工作网平台系统网络安全等级测评报告》和《门户网站系统信息安全风险评估报告》。合同签订后90日内交付至辽宁省人民检察院指定地点。
(五)提供7*8小时热线支持;如现场支持要求8小时内响应,4小时内到达。
(六)采购标的的验收标准:根据《关于印发辽宁省政府采购履约验收管理办法的通知》辽财采[2017]603号执行。
(七)无
2.落实政府采购政策需满足的资格要求:本项目根据《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)相关规定。本项目中包组003属于专门面向中小微企业采购的项目,供应商应为中小微企业。
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
供应商在辽宁政府采购网上报名,报名成功后在辽宁政府采购网自行下载采购文件。投标文件递交方式采用线上递交及可加密备份投标文件(U盘、光盘)递交同时执行,供应商无需提供纸质投标文件。参与本项目的投标供应商须自行办理好CA锁,如因供应商自身原因导致未线上递交投标文件的按照无效投标文件处理。电子投标文件解密时限为30分钟。同时供应商应自行准备电子设备并对电子设备进行调试,避免影响开评标活动。
(1)因供应商原因造成投标文件未解密的;
(2)因供应商自用设备原因造成的未在规定时间内解密、上传文件或投标(响应)报价等问题影响电子评审的;
(3)因供应商原因未对文件校验造成信息缺失、文件内容或格式不正确以及备份文件不符合要求等问题影响评审的。
出现前款(1)(2)情形的,视为放弃投标(响应);出现前款(3)情形的,由供应商自行承担相应责任。
具体详见辽财采函{2021}363号文件相关通知。