网络安全等保测评服务竞采公告-竞采公告

 

网络安全等保测评服务竞采公告-竞采公告

需求描述:

招标模板需求维度仅供参考,请采购人根据项目实际情况修改。

(一)项目简介
系统名称
数量
等级
服务描述
涪陵区智慧组工云平台
1
三级
根据GB/T *****-2019《信息安全技术网络安全等级保护基本要求》等相关法律法规的要求及现有应用环境下,开展信息系统等级测评工作,对标等级保护2.0相关标准和要求,发现系统中存在的安全隐患和不足,针对这些安全问题,要求成交供应商通过专业的技术手段进行合理分析,正确评估风险,并协助招标方完成安全整改工作。

(二)工作依据:
本次测评的信息系统,按照等保2.0标准体系进行测评。
(1)法律法规
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《信息安全等级保护管理办法》(公通字[2007]43号)
(2)技术标准:
《中华人民共和国国家标准 GB/T *****-2020 《信息安全技术网络安全等级保护定级指南》
《中华人民共和国国家标准 GB/T *****-2019 信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》
《中华人民共和国国家标准GB/T *****-2019 信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求》
《中华人民共和国国家标准GB/T *****-2019 信息安全技术网络安全等级保护测评要求》
《中华人民共和国国家标准GBT *****-2018 信息安全技术网络安全等级保护测评过程指南》
《中华人民共和国国家标准GB/T *****-2007 信息安全技术信息安全风险评估规范》
2、参考标准:
ISO/IEC *****、ISO/IEC *****(BS7799)、ISO/IEC *****、ISO/IEC *****
(三)测评内容:
本项目将按照国家等级保护相关法规和技术标准,对构成上述信息系统不可分割的软件应用系统与应用软件、物理机房、网络环境与设备、主机(服务器)系统、数据与数据库及其相关管理制度和记录进行风险分析,风险识别采用访谈、检查、工具测试等方式进行。
1、测评通用要求:
(1)技术测评要求
A、安全物理环境测评(物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护);
B、安全通信网络测评(网络架构、通信传输、可信验证);
C、安全区域边界测评(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证);
D、安全计算环境测评(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护);
E、安全管理中心测评(系统管理、审计管理、安全管理、集中管控)。
(2)管理测评要求:
A、安全管理制度测评(安全策略、管理制度、制定和发布、评审和修订);
B、安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和合作、审核和检查);
C、安全管理人员测评(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理);
D、安全建设管理测评(定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择);
E、安全运维管理测评(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。
2、云计算扩展测评:
(1)安全物理环境测评(基础设施位置);
(2)安全通信网络测评(网络架构);
(3)安全区域边界测评(访问控制、入侵防范、安全审计);
(4)安全计算环境测评(身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护等);
(5)安全管理中心测评(集中管控);
(6)安全建设管理测评(云服务商选择、供应链管理等);
(7)安全运维管理测评(云计算环境管理)。
3、移动互联扩展测评:
(1)安全物理环境测评(无线接入点的物理位置);
(2)安全区域边界测评(边界防护、访问控制、入侵防范);
(3)安全计算环境测评(移动终端管控、移动应用管控);
(4)安全建设管理测评(移动应用软件采购、移动应用软件开发);
(5)安全运维管理测评(配置管理)。
4、物联网扩展测评:
(1)安全物理环境测评(感知节点设备物理防护);
(2)安全区域边界测评(接入控制、入侵防范);
(3)安全计算环境测评(感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理);
(4)安全运维管理测评(感知节点管理)。
5、工业控制系统扩展测评:
(1)安全物理环境测评(室外控制设备物理防护);
(2)安全通信网络(网络架构、通信传输)
(3)安全区域边界测评(访问控制、拨号使用控制、无线使用控制);
(4)安全计算环境测评(控制设备安全);
(5)安全建设管理测评(产品采购和使用、外包软件开发)。
(四)扫描与渗透
使用专业的安全分析工具及人工(至少包含专业的主机网络安全分析、应用系统安全析工具)对待测系统进行安全分析。在与采购人深入沟通的基础上,开展渗透测试,在项目实施过程中,投标方应做好计划与安排,确保项目实施不影响系统的正常运行,最终形成相应的实施和分析报告。
(五)等级测评
本项目信息安全等级保护测评目的和测评内容,应严格按照《GBT *****-2019 信息安全技术 网络安全等级保护基本要求》、《GBT *****-2019 信息安全技术 网络安全等级保护测评要求》等有关规定及要求,信息系统等级保护测评应包括以下内容:测评主要包括但不限于以下几个方面的内容:
1.本次测评的主要工作内容包括:(第三等保测评通用要求)
序号
工作项目
8.1.1 安全物理环境
8.1.7 安全管理机构
1
8.1.1.1 物理位置选择
39
8.1.7.1 岗位设置
2
8.1.1.2 物理访问控制
40
8.1.7.2 人员配备
3
8.1.1.3 防盗窃和防破坏
41
8.1.7.3 授权和审批
4
8.1.1.4 防雷击
42
8.1.7.4 沟通和合作
5
8.1.1.5 防火
43
8.1.7.5 审核和检查
6
8.1.1.6 防水和防潮
8.1.8 安全管理人员
7
8.1.1.7 防静电
44
8.1.8.1 人员录用
8
8.1.1.8 温湿度控制
45
8.1.8.2 人员离岗
9
8.1.1.9 电力供应
46
8.1.8.3 安全意识教育和培训
10
8.1.1.10 电磁防护
47
8.1.8.4 外部人员访问管理
8.1.2 安全通信网络
8.1.9 安全建设管理
11
8.1.2.1 网络架构
48
8.1.9.1 定级和备案
12
8.1.2.2 通信传输
49
8.1.9.2 安全方案设计
13
8.1.2.3 可信验证
50
8.1.9.3 产品采购和使用
8.1.3 安全区域边界
51
8.1.9.4 自行软件开
14
8.1.3.1 边界防护
52
8.1.9.5 外包软件开发
15
8.1.3.2 访问控制
53
8.1.9.6 工程实施
16
8.1.3.3入侵防范
54
8.1.9.7 测试验收
17
8.1.3.4 恶意代码和垃圾邮件防范
55
8.1.9.8 系统交付
18
8.1.3.5 安全审计
56
8.1.9.9 等级测评
19
8.1.3.6 可信验证
57
8.1.9.10 服务商供应商选择
8.1.4 安全计算环境
8.1.10 安全运维管理
20
8.1.4.1 身份鉴别
58
8.1.10.1 环境管理
21
8.1.4.2 访问控制
59
8.1.10.2 资产管理
22
8.1.4.3 安全审计
60
8.1.10.3 介质管理
23
8.1.4.4 入侵防范
61
8.1.10.4 设备维护管理
24
8.1.4.5 恶意代码防范
62
8.1.10.5 漏洞和风险管理
25
8.1.4.6 可信验证
63
8.1.10.6 网络和系统安全管理
26
8.1.4.7 数据完整性
64
8.1.10.7 恶意代码防范管理
27
8.1.4.8数据保密性
65
8.1.10.8 配置管理
28
8.1.4.9 数据备份与恢复
66
8.1.10.9 密码管理
29
8.1.4.10 剩余信息保护
67
8.1.10.10 变更管理
30
8.1.4.11 个人信息保护
68
8.1.10.11 备份与恢复管理
8.1.5 安全管理中心
69
8.1.10.12 安全事件处置
31
8.1.5.1 系统管理
70
8.1.10.13应急预案管理
32
8.1.5.2 审计管理
71
8.1.10.14外包运维管理
33
8.1.5.3安全管理
34
8.1.5.4集中管控
8.1.6 安全管理制度
35
8.1.6.1 安全策略
36
8.1.6.2 管理制度
37
8.1.6.3 制定和发布
38
8.1.6.4 评审和修订

预算金额: ¥*****.0 元

服务地址: 中共重庆市涪陵区委组织部

服务周期: 30 天

采购编号: ********

采购人信息:

中共重庆市涪陵区委组织部

信息来源:https://chinazhyc.zbj.com/detailsDemand?id=********


联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 网络安全 等保测评

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询
搜索

最近搜索

热门搜索