兵团组织部电教中心信息安全评估招标公告
兵团组织部电教中心信息安全评估招标公告
兵团组织部电教中心信息安全评估采购项目询价公告
兵团统一采购中心将对兵团组织部电教中心信息安全评估采购项目进行询价采购,符合政府采购法第二十二条规定,具有法人资格,国内注册企业,有具有信息安全风险评估资质的生产厂家或经销商均具备参加本次投标的资格。
1、文件编号: BTCG-XJ2011-001
2、招标内容:
信息安全风险评估工作要求
在兵团党员干部现代远程教育基础设施建设项目验收中,对信息安全风险评估工作有关要求说明如下:
一是评估项目。主要是电信模式各级播出平台、有线模式各级播出平台。对于省级资源库、省级辅助教学网站、省级信息管理系统等地方全额投资建设的项目,为了保证系统的安全可靠,也要纳入评估范围。
二是评估内容。主要是分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。
三是评估依据。主要有《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等。
四是评估单位。信息安全风险评估的承担单位应具有专业评估资质,同时完成安全等级测评和风险评估工作。具体单位的选择,应与地方发展改革部门、公安部门沟通确定。根据国家发改委的规定,中央全额投资建设的项目信息安全风险评估工作,由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担。我们与这些单位进行了沟通,中国信息安全测评中心在全国有18家分支机构,国家和各省的信息安全等级保护工作协调小组办公室共推荐了80家信息安全等级保护测评机构。同时,本地的发展改革、公安等部门也指定了相应的单位承担信息安全风险评估工作。(这是国家信息安全等级保护工作协调小组办公室推荐测评机构名单。)
五是评估成果。信息安全风险评估工作完成后,承担单位要提交信息安全风险评估报告和安全等级测评报告。
新疆兵团组织部电教中心远程教育项目信息安全风险评估要求
一、公司要求 | 具有信息安全风险评估资质 | |
二、风险评估成果物要求 | ||
序号 | 项目 | 评估内容简介 |
1.项目启动&系统调研 | 项目组组建 | 双方项目组组建,确定人员、地点、时间、范围及工作安排等。 |
信息系统状况调研 | 对信息系统的资产状况、机房物理环境、网络架构及网络设备、服务器系统、数据库系统、安全管理模式、现有安全防护措施等进行全面调研,明确评估范围和实施细则。 | |
2.信息安全风险评估服务 | 信息资产安全需求评估 | 帮助客户识别和统计信息系统关键资产,并参照CIA属性对各资产的机密性、完整性、可用性进行需求分析,帮助制定各资产的安全防护等级。 |
机房状况安全评估 | 参照机房环境安全建设的有关国家及行业标准,评估现有机房环境的安全状况,指导未来机房安全改造建设。 | |
网络架构安全评估 | 评估网络架构设计的合理性和安全性,包括安全域划分、Vlan控制、路由设计、网络访问控制、安全审计措施等,对于网络架构中可能存在的各种安全隐患给出相应的安全改造技术建议。 | |
网络设备安全性评估 | 利用专业的漏洞扫描软件对网络中的关键网络设备进行安全分析,发现网络设备中存在的系统漏洞和配置安全隐患。 | |
服务器漏洞检测 | 利用多种专业漏洞扫描工具对客户的所有服务器系统进行全面的系统脆弱性检测评估,并对扫描结果进行人工分析;检查对象包括操作系统、应用服务平台、后台数据库等。 | |
服务器人工审计 | 结合专家经验,并参照国内国际权威安全审计CheckList,对重点服务器系统进行人工控制台审计评估,评估内容包括:用户账号及口令健壮性、系统安全配置、补丁更新情况、日志审核策略、受入侵迹象、可疑后门及木马清除等。 | |
应用系统安全评估 | 对于C/S和B/S结构开发的业务应用系统进行深层次的安全分析,深度挖掘业务系统在设计与开发过程中可能存在的各种安全隐患,包括安全功能保障、账号身份识别与权限认证、后台数据交互及存储过程、信息保密性设计等。 | |
安全防护技术措施审计 | 对客户已有的安全防护技术措施及相关安全设备进行人工审计评估,审计对象包括防火墙、VPN、IDS、防病毒、补丁管理等等,审计内容包括日志审计、配置审计、运行状况审计等,综合分析当前安全产品上所应用的策略是否为最佳工作状态,对于不合理的设置以及应用情况给出安全性部署建议。 | |
渗透测试 | 通过模拟黑客攻击的方式,分别从内网和外网对客户的网络信息系统进行抗入侵攻击能力测试,深入发现和检测安全防护措施的有效性,并模拟一旦信息系统遭受攻击后可能受到的破坏影响程度。 | |
安全管理状况评估 | 参照国家及行业相关政策要求以及国内国际权威的信息安全管理体系标准,采用访谈、问卷调查、文档审计等多种方式评估客户在信息安全管理方面的现状情况,包括:安全保障组织机构及人员配备情况、安全运维管理制度及流程、应急保障体系建设等,并提供相应的改善建议。 | |
综合分析&总结报告 | 资料汇总、总结和关联分析、编写安全评估综合报告以及未来安全改造建设规划。 | |
3.项目总结及验收 | 项目总结 | 资料汇总、总结汇报、准备项目验收文档。 |
项目验收 | 提交各阶段安全服务项目实施文档,对项目成果进行总结和验收。 |
新疆兵团组织部电教中心远程教育项目信息安全等级保护差距性分析和测评评估要求 | ||
一、公司要求 | 信息安全等级保护测评资质或者省级以上(含省级)公安部门出具的测评证明文件。 | |
二、信息安全等级保护差距性分析和测评的评估内容 | ||
阶段 | 服务项 | 服务内容简介 |
测评准备与方案编制 | 信息系统状况调研 | 对信息系统用途、系统所属管理机构、有无国家秘密信息、网络规模、关键资产、物理环境及设施、系统运维管理模式、现有安全防护措施等进行调研和分析,选取测评对象,制定测评方法并编写测评方案为后续开展具体测评工作提供必要依据。 |
测评实施 | 物理安全差距测评 | 参照系统定级的级别,分别从物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面考察系统与等保标准要求的符合度。 |
网络安全差距测评 | 参照系统定级的级别,分别从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面考察系统与等保标准要求的符合度。 | |
主机安全差距测评 | 参照系统定级的级别,分别从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面考察系统与等保标准要求的符合度。 | |
应用安全差距测评 | 参照系统定级的级别,分别从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面考察系统与等保标准要求的符合度。 | |
数据安全差距测评 | 参照系统定级的级别,分别从数据完整性、数据保密性、备份和恢复等方面考察系统与等保标准要求的符合度。 | |
安全管理制度差距测评 | 参照系统定级的级别,分别从管理制度完备性、制定和发布、评审和修订等方面考察系统与等保标准要求的符合度。 | |
安全管理机构差距测评 | 参照系统定级的级别,分别从岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面考察系统与等保标准要求的符合度。 | |
人员安全管理差距测评 | 参照系统定级的级别,分别从人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面考察系统与等保标准要求的符合度。 | |
系统建设管理差距测评 | 参照系统定级的级别,分别从系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等方面考察系统与等保标准要求的符合度。 | |
系统运维管理差距测评 | 参照系统定级的级别,分别从环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面考察系统与等保标准要求的符合度。 | |
分析与报告编制 | 综合分析&总结报告 | 资料汇总、总结和关联分析、编写安全评估综合报告以及未来安全改造建设规划 |
本项目招标说明:
1、投标供应商对参数直接复制粘贴者,不予评标。
2、本项目询价单免费发放
3、领取标书时间: 2012年1月31日至2012年2月10日(节假日除外),过期不予领取
领取询价单地点:新疆乌鲁木齐市建设西路41号5楼兵团统一采购中心业务室
联系电话****-*******
5、开标时间:2012年2月 13日 北京时间下午04:00
6、开标地点:新疆乌鲁木齐市建设西路41号5楼兵团统一采购中心
特别声明:
供应商如对询价文件的技术参数不清或对具有品牌倾向性的技术参数及资格准入条款有质疑或疑问的,可在领取文件3日内向兵团统一采购中心提供书面材料,并提供供应商名称、联系人及联系电话,兵团统一采购中心将给予解答。未在规定时间内提出质疑或疑问的,视同投标人理解并接受本询价文件所有内容,由此引起的投标损失自负。
采购中心业务联系人:马金鸣 联系电话:****-*******
传 真:****-*******
采购单位项目联系人:张世杰 ****-*******
标签:
0人觉得有用
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无