兴山县自然资源和规划局网络信息安全等级保护测评项目询价采购公告
兴山县自然资源和规划局网络信息安全等级保护测评项目询价采购公告
一、采购内容
1、项目名称:兴山县自然资源和规划局2019年信息安全等级保护测评项目
2、项目预算:项目预算金额为5.5万元,超过预算金额的报价为无效。投标人进行一次报价,资格性和符合性审查合格后,以最低价确定产品供应商及供应价格。投标人报价为合同包干价,需考虑项目执行中可能发生事宜的费用,项目执行过程中不再增加任何费用。
3、投标报价:自2019年6月10日上午10时至2019年6月17日下午17时截至。
4、标书递交地点:兴山县古夫镇香溪大道28号(兴山县自然资源和规划局办公室410室),联系人:杨娇 电话:138*****112
二、项目资格要求
1、投标人应具备合法有效的工商营业执照。
2、通过“信用中国” 网站或者中国政府采购网等渠道查询的主体信用记录,未被列入信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
3、供应商必须具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。省外等级保护测评机构须在湖北省网络安全等级保护工作领导小组办公室办理异地测评备案手续。
4、供应商需具有专业化的项目实施队伍或具备公安机关认可的攻防演练实验室;项目实施负责人应具有等级保护高级测评师资质或注册信息系统安全专家资质(CISSP);项目实施人员必须具有等级测评师资质(DJCP),等级测评师不少于5人。
5、本项目不接受联合体参加投标,投标人中标后不允许分包。
三、采购需求
3.1项目概况
兴山县自然资源和规划局信息安全等级保护测评项目要求:参照《信息系统安全等级保护基本要求》GB/T 22239-2008标准对兴山县自然资源和规划局信息系统进行测评,对被测的信息系统提出建设整改建议和系统整改方案,协助其所有被测系统整改达到等级保护相应级别的标准和要求;整改完成后,开展二次测评,出具《兴山县自然资源和规划局信息安全等级测评报告》;并对现有被测评的系统进行梳理,指导采购方撰写定级报告和备案表、协助到宜昌市公安局办理系统备案手续,使系统能够取得公安机关颁发的《信息安全等级保护备案证明》。
3.2项目清单、技术、服务要求:
明确被测系统的安全等级是开展信息系统安全等级保护测评工作的首要步骤,依据[《信息系统安全等级保护定级指南》GB/T 22240-2008],结合科学的方法、规范的流程以及系统业务特性,实现对信息系统的安全定级。
信息系统定级服务主要包括:信息系统调查、定级对象分析、定级要素分析、撰写定级报告和协助定级备案五个组件。
根据定级指南要求,按上述步骤,协助采购方完成被测信息系统定级、指导采购方编写定级、备案材料,配合采购方到宜昌市公安局办理系统定级、备案手续,确保信息系统安全保护等级定级准确、备案完整。
(一)货物、服务需求一览表
序号 | 货物/服务名称 | 数量 | 备注 |
1 | 兴山县自然资源和规划局中心机房 | 1 | 二级 |
2 | 兴山县自然资源和规划局核心业务系统网络 | 1 | 二级 |
3 | 兴山县自然资源和规划局信息系统所涉及的主机 | 1 | 二级 |
4 | 兴山县自然资源和规划局信息系统所涉及的应用安全 | 1 | 二级 |
5 | 兴山县自然资源和规划局信息系统所涉及的数据传输、存储、备份 | 1 | 二级 |
6 | 兴山县自然资源和规划局安全管理机构制度 | 1 | 二级 |
7 | 兴山县自然资源和规划局安全管理制度 | 1 | 二级 |
8 | 兴山县自然资源和规划局人员安全管理制度 | 1 | 二级 |
9 | 兴山县自然资源和规划局系统建设管理制度 | 1 | 二级 |
10 | 兴山县自然资源和规划局系统运维管理制度 | 1 | 二级 |
(二)详细技术要求
序号 | 货物/服务名称 | 技术规格参数、服务要求 | 备注 |
1 | 物理位置的选择 | 检查主机房等过程,测评主机房等信息系统物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 | |
2 | 物理访问控制 | 检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 | |
3 | 防盗窃和破坏 | 检查主机房主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 | |
4 | 防雷击 | 检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 | |
5 | 防火 | 检查机房设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生 | |
6 | 防水和防潮 | 检查主机房等过程,测评信息系统是否采取必要的措施防止水灾和机房潮湿。 | |
7 | 防静电 | 检查主机房等过程,测评信息系统是否采取必要的措施防止静电的产生。 | |
8 | 温湿度控制 | 检查主机房恒温恒湿系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 | |
9 | 电力供应 | 检查主机房供电线路、设备等过程,测评信息系统是否具备提供一定的电力供应的能力。 | |
10 | 电磁防护 | 检查主要设备等过程,测评信息系统是否具有一定的电磁防护能力。 | |
11 | 结构安全 | 检查网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络带宽分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 | |
12 | 访问控制 | 检查防火墙等网络访问控制设备测试系统对外暴露安全漏洞情况等过程,测评分析系统对网络区域边界相关的网络隔离与访问控制能力。 | |
13 | 安全审计 | 检查核心交换机和接入交换机等网络互联设备的安全审计情况等,测评分析系统审计配置和审计记录保护情况。 | |
14 | 边界完整性 检查 | 检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析系统私自联到外部网络的行为。 | |
15 | 入侵防范 | 检查网络边界处的入侵检查设备IDS、IPS等过程,测评分析系统对攻击行为的识别和处理情况。 | |
16 | 恶意代码防范 | 检查网络边界处对恶意代码进行检测和清除,是否维护恶意代码库的升级和检测系统的更新 | |
17 | 网络设备防护 | 检查核心交换机、接入交换机和接入路由器等网络互联设备,IDS和防火墙等网络安全设备,查看他们的安全配置情况,包括身份鉴别、权限分离、登陆失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。 | |
18 | 身份鉴别 | 检查各主机服务器和终端设备相应操作系统或数据库的自身标识与鉴别和用户登录的配置情况。 | |
19 | 访问控制 | 检查各主机服务器和终端设备相应操作系统或数据库的自主访问控制设置情况,包括安全策略覆盖、控制力度以及权限设置情况等。 | |
20 | 安全审计 | 检查各主机服务器和终端设备相应操作系统或数据库的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 | |
21 | 入侵防范 | 检查各主机服务器和终端设备相应操作系统系统组件安装情况和补丁更新情况。 | |
22 | 剩余信息保护 | 检查操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除 | |
23 | 恶意代码防范 | 检查各主机服务器和终端设备相应操作系统的恶意代码防范情况。 | |
24 | 资源控制 | 检查各服务器和终端设备相应操作系统或数据库的系统资源控制情况,如会话限定、用户登陆控制、最大并发连接以及服务优先级设置等。 | |
25 | 身份鉴别 | 检查业务应用系统的身份表示与鉴别功能设置和使用配置情况;检查业务应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 | |
26 | 访问控制 | 检查业务应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 | |
27 | 安全审计 | 检查业务应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; 检查业务应用系统安全审计进程和记录的保护情况。 | |
28 | 剩余信息保护 | 检查存储空间、系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户情况。 | |
29 | 抗抵赖 | 检查在请求的情况下,是否为数据原发者或接收者提供数据原发证据或接受证据的功能。 | |
30 | 通信完整性 | 检查业务应用系统客户端和服务器之间的通信完整性保护情况。 | |
31 | 通信保密性 | 利用协议分析仪检查业务应用系统客户端和服务器端之间的通信保密性保护情况 | |
32 | 软件容错 | 检查业务应用系统的软件容错能力,如输入输出格式检查,自我状态监控,自我保护,退回等能力。 | |
33 | 资源控制 | 检查业务应用系统的资源控制情况,如会话限定,用户登陆限制,最大并发连接以及服务优先级设置等。 | |
34 | 数据完整性 | 访谈安全员在数据完整性方面采取的措施;检查操作系统网络设备、主要应用系统等保证数据完整性措施。 | |
35 | 数据保密性 | 访谈网络管理员、系统管理员、数据库管理员、安全员并检查测试操作系统、网络设备、数据库管理系统、关键应用系统有关于鉴别信息、敏感的系统管理数据和敏感的用户数据采用加密或其他有效措施实现传输保密性。 | |
36 | 数据备份和恢复 | 通过访谈网络管理员、系统管理员、数据库管理员并检查操作系统、网络设备、数据库管理系统、应用系统配 置有本地系统级热备份和重要信息恢复功能。 | |
37 | 岗位设置 | 检查部门/岗位职责文件,测评被测评单位的安全主管部门设置情况以及各岗位设置情况 | |
38 | 人员配置 | 检查人员名单等文档,测评被测评单位内各个岗位人员配备情况以及关键岗位的轮岗情况 | |
39 | 授权和审批 | 检查相关文档,测评被测评单位对重要活动的授权和审批情况 | |
40 | 沟通与合作 | 检查相关文档,测评被测评单位对内部部门、外部单位间的沟通与合作情况 | |
41 | 审核与检查 | 检查相关制度文档和管理要求文档等过程测评被测评单位对安全工作的审核和检查情况 | |
42 | 管理制度 | 检查有关管理制度体系文档等过程,测评管理制度体系在内容覆盖上是否全面,完善。 | |
43 | 制定与发布 | 检查有关制度制定要求文档等过程,测评管理制度的制定和发布过程是否遵循一定的流程 | |
44 | 评审和修订 | 检查管理制度评审记录等过程,测评管理制度定期评审和修订情况 | |
45 | 人员录用 | 检查人员录用文档等过程,测评被测评单位在录用人员时是否对人员提出要求以及是否对其进行各种审查和考核 | |
46 | 人员离岗 | 检查人员离岗要求文档等过程,测评被测评单位在人员离岗时是否按照一定的手续办理。 | |
47 | 人员考核 | 检查有关考核记录等过程,测评被测评单位是否对人员进行日常的业务考核和工作审查。 | |
48 | 安全意识教育和培训 | 检查培训计划和执行记录等过程,测评易被测评单位是否对人员进行安全方面的教育和培训。 | |
49 | 外部人员访问管理 | 检查有关文档等过程,测评被测评单位对第三方人员访问(物理、逻辑)信息系统是否采取必要控制措施。 | |
50 | 系统定级 | 检查系统定级相关文档等过程,测评信息系统是否按照一定要求确定其等级 | |
51 | 安全方案设计 | 检查系统安全建设计划等文档,测评被测评单位对系统整体的安全规划设计是否按照一定流程进行。 | |
52 | 产品采购和使用 | 检查相关采购制度等过程,测评被测评单位是否按照一定的要求进行信息系统的产品采购。 | |
53 | 自行软件开发 | 检查相关软件开发文档和管理制度文档,测评被测评单位对自行开发的软件是否采取必要的措施保证开发过程的安全性。 | |
54 | 外包软件开发 | 检查相关软件开发文档和管理制度文档,测评被测评单位对自行开发软件是否采取必要的措施保证开发过程的安全性 | |
55 | 工程实施 | 检查相关文档,测评被测评单位对系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行 | |
56 | 测试验收 | 检查相关制度文档和测试验收文档,测评被测评单位在信息系统运行前是否对其进行测试验收工作。 | |
57 | 系统交付 | 检查系统交付清单和系统交付管理制度等过程,测评被测评单位是否采取必要的措施对系统交付过程进行有效控制。 | |
58 | 安全服务商选择 | 检查测评被测评单位是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 | |
59 | 系统备案 | 检查是否有专门的部门或人员负责管理系统定级的相关材料,并将系统等级及相关材料报系统主管部门备案 | |
60 | 系统测评 | 检查系统所在单位是否按照国家相关要求定期开展系统等级测评。 | |
61 | 环境管理 | 通过访谈系统建设负责人,检查主机房安全管理制度和办公环境管理文档等过程,测评被测评单位是否采取必要的措施对主机房的出入控制和办公环境的人员行为等方面进行安全管理 | |
62 | 资产管理 | 通过访谈系统建设负责人,检查资产清单和系统、网络设备等过程,测评被测评单位是否采取必要的措施对信息系统资产进行分类标识管理 | |
63 | 介质管理 | 通过访谈系统建设负责人,检查介质管理记录、介质安全管理制度以及各类介质等过程,测评被测评单位是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 | |
64 | 设备管理 | 通过访谈系统建设负责人,系统管理员,检查设备使用管理文档和设备操作规程等过程,测评被测评单位是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 | |
65 | 网络安全管理 | 通过访谈系统建设负责人、网络管理员、检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评被测评单位是否采取必要的措施对网络安的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 | |
66 | 系统安全管理 | 通过访谈系统建设负责人,系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评被测评单位是否采取必要的措施对信息系统的安全配置、系统帐户、漏洞扫描和审计日志等方面进行有效的管理 | |
67 | 监控管理 | 检查信息处理设备审批及通信线路、主机、网络设备和应用软件的运行等进行监测情况;是否组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施。 | |
68 | 恶意代码防护管理 | 通过访谈系统建设负责人,检查恶意代码防护管理制度和恶意代码检测、分析记录等过程,测评被测评单位是否采取必要的措施对恶意代码进行集中管理,确保信息系统具有恶意代码防范能力。 | |
69 | 密码管理 | 通过访谈安全员,检查密码管理制度等过程,测评被测评单位时候能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 | |
70 | 变更管理 | 通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评被测评单位是否采取必要的措施对系统发生的变更进行有效管理。 | |
71 | 备份和恢复管理 | 通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评被测评单位是否采取必要的措施对数据、设备和系统进行备份,并确保必要时能够对信息系统进行有效地恢复。 | |
72 | 安全事件处理 | 通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处理管理制度等过程,测评被测评单位是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 | |
73 | 应急预案管理 | 通过访谈系统运维负责人,检查应急响应预案文档,应急预案培训记录等过程,测评被测评单位是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 | |
74 | 安全现状调研 | 参照等级保护基本要求,结合前期测评结果和风险评估标准,从安全管理及安全技术等各个层面开展深入细化的安全现状调研工作,清理相关资产威胁。 | |
75 | 物理安全咨询 | 指导并监督物理安全整改设计和实施,对相关产品资质、功能、性能及配置部署是否合规进行查验 | |
76 | 网络安全咨询 | 指导并监督网络安全架构设计是否合理,对相关产品资质、功能、性能及配置部署是否合规进行查验 | |
77 | 主机安全咨询 | 指导并监督主机系统安全整改方案和实施是否合理,对相关产品资质、功能、性能及配置部署是否合规进行查验 | |
78 | 数据安全咨询 | 指导并监督数据安全整改配置及备份和恢复策略是否合理,对相关产品资质、功能、性能及配置部署是否合规进行查验 | |
79 | 应用安全咨询 | 指导并监督应用安全改造是否合理并满足等级保护第二级基本要求 | |
80 | 安全管理咨询 | 结合前期测评结果和现状调研情况,指导并监督安全体系和管理制度是否合理并满足等级保护第二级基本要求。 |
备注:所有信息安全等级保护测评相关资料提供电子版与纸质存档。
四、资格性审查和符合性审查
审查内容 | 评审因素 | |
资格性审查 | 营业执照 | 具有合法有效的营业执照 |
信用记录 | 参加本次投标活动期间,通过“信用中国”网站(www.creditchina.gov.cn)或中国政府采购网(www.ccgp.gov.cn)等渠道查询无任何不良记录(提供网站截图并加盖供应商公章)。 | |
联合体 | 本项目不接受联合体投标 | |
符合性审查 | 投标人名称 | 与营业执照等其他证件一致 |
投标文件签署 | 按要求在规定区域加盖单位公章和签章 | |
法人或授权代表资格 | 具有法定代表人资格证明或法定代表人授权委托书 | |
投标报价 | 投标报价唯一;投标报价未超过预算金额或者最高限价;投标报价合理 | |
采购需求 | 符合采购文件要求 | |
其他要求 | 符合法律、法规和采购文件中规定的其他实质性内容的 |
五、投标人须提交的资料(所有资料需加盖公章):
1、提供合法有效的企业法人营业执照复印件。
2、提供法人授权委托书,法人和委托代理人身份证复印件附后。投标人与法人身份一致的,提供法定代表人资格证明文件,法人身份证复印件附后。
3、投标报价表。
4、提供“信用中国” 网站或者中国政府采购网等渠道查询的主体信用记录,未被列入信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的网站截图加盖公章。
5、提供国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》的复印件并加盖公章。省外等级保护测评机构须提供在湖北省网络安全等级保护工作领导小组办公室办理异地测评备案手续的相应证明文件。
6、提供具有专业化的项目实施队伍或具备公安机关认可的攻防演练实验室的相应证明文件;提供项目实施负责人的等级保护高级测评师资质或注册信息系统安全专家资质(CISSP)的相应证明文件;提供不得少于5人的项目实施人员的等级测评师资质(DJCP)证明文件。
7、投标人认为需要提供的其他资料。
8、投标人应当编制响应文件正本一份,必须进行胶装。响应文件不得行间插字、涂改或增删。如有修改错漏处,必须由响应文件签署人签字或盖章,否则视为无效文件。上述投标资料需装入档案袋,密封盖章。
注:投标人应仔细阅读招标文件的所有内容,按招标文件的要求提供完整的投标文件,并保证所提供的全部资料的真实性,以使其投标对招标文件作出实质性响应,否则其投标可能被拒绝。如投标人只对部分要求作出响应或书写不清,给评标造成困难的,责任由投标方承担。
响应文件封皮响应文件
项目名称:__________________________
供应商名称:________________(签章)
日 期:年月日
响应函
致:兴山县自然资源和规划局
依据贵方 ( 项目)采购的邀请,我方代表(姓名、职务)经正式授权并代表(供应商名称、地址)提交下述响应文件。
1.我方郑重承诺:我们是符合《政府采购法》第二十二条规定的供应商。
2.我们接受采购文件和响应文件的所有的条款和规定。
3.本响应文件的有效期为从截止时间起计算的九十天,在此期间,采购文件和响应文件将始终对我们具有约束力,并可随时被接受。如果我们成交,采购文件和响应文件在此期间之后将继续保持有效。
4. 我方愿意向贵方提供任何与本项投标有关的数据、情况和技术资料。若贵方需要,我方愿意提供我方作出的一切承诺的证明材料。
供应商名称(公章):
地址:邮编:
电话:传真:
法人代表或授权委托人(签字或印章):
日期:年 月 日
法定代表人资格证明书
单位名称:
单位性质:
地 址:
成立时间:年 月 日
经营期限:
姓 名:性别:年龄:职务:
系 (投标人单位名称) 的法定代表人。
特此证明。
附法人身份证扫描件: |
投标人: (盖公章)
日 期:年月日
法定代表人授权委托书
本授权委托书申明:我(姓名)系
(投标人单位名称)的法定代表人,现授权委托我公司的(姓名)为我的委托代理人,以本公司的名义参加项目投标,授权委托人在开标、评标、合同谈判过程中所签署的一切文件和处理与之有关的一切事务,我均予以承认。
代理人无转委托权,特此委托。
投标人单位名称(盖章):
法定代表人(签字或盖章):
委托代理人(签字):性别:年龄:
身份证号码:职务:
授权委托日期:年月日
附法人身份证扫描件: 被委托代理人身份证扫描件: |
兴山县自然资源和规划局2019年信息安全等级保护测评项目
采购报价表
序号 | 项目名称 | 单位 | 数量 | 单价 | 金额 |
1 | 兴山县自然资源和规划局2019年信息安全等级保护测评项目 | 项 | 1 | ||
总报价 | 元,大写: | ||||
完成服务时间 | 签订合同后40个工作日内完成服务(不包含整改时间)。 | ||||
备注 | 以上报价为包含本项目所有费用。 |
注:本表中报价单位为人民币,单位为元,精确到个位数。
法定代表人或授权代表: (签字)
供应商名称: (签章)
报价时间: 年 月 日
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
