2023年等级保护测评项目第1包
2023年等级保护测评项目第1包
2023年等级保护测评项目第1包
一、合同编号: 2023BFFFZ*****-1-001
二、合同名称: 2023年等级保护测评项目第1包
三、项目编号: 2023BFFFZ*****-1
四、项目名称: 2023年等级保护测评项目第1包
五、合同主体
采购人(甲方): 合肥市公安局
合同甲方编号: 113*****002******T
地址: 合肥市庐阳区寿春路290号
联系方式: 0551-********
供应商(乙方): 合肥天帷信息安全技术有限公司
合同乙方编号: 913*****096******Y
地址: 安徽省合肥市高新区望江西路900号中安创谷科技园一期A1楼29层
联系方式: 138*****759
六、合同主要信息
主要标的名称: 2023 年等级保护测评项目(第1包)
规格型号(或服务要求):
1.2.2.1 等级保护测评服务信息系统安全等级保护测评依据包含但不局限于以下内容: 1、公安部、国家保密局、国家密码管理局、信息化工作办公室联合 转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号);2、公安部、国家保密局、国家密码管理局、信息化工作办公室制定 的《信息安全等级保护管理办法》(公通字[2007]43 号);3、《信息安全技术 计算机信息系统安全保护等级划分准则》GB/T *****-1999;4、《信息安全技术 网络安全等级保护基本要求》GB/T *****-2019;5、《信息安全技术 网络安全等级保护测评要求》GB/T *****-2019;6、《信息安全技术 网络安全等级保护测评过程指南》GB/T *****-2018;对信息系统的定级备案提供咨询、指导,并完成信息系统的网络安全等级保 护测评工作,主要内容包括:(1)定级备案咨询、指导:针对甲方信息系统需要进行等级保护建设的要求,协助甲方完成已有和新建信息系统的定级备案工作,协助撰写定级报告、备案表等内容,并提供培训、咨询和指导,协助甲方取得相应系统的备案证明。 (2)等级保护测评:测评范围主要包括安全技术测评、安全管理测评。安全技术测评主要涉及该项目的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心层面。安全管理测评主要涉及该项目的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理层面。云计算安全测评扩展测评主要涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理。移动互联安全测评扩展要求主要涉及安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理。 (3)工具测试服务:乙方提供支撑服务期间,根据甲方安排,开展漏洞扫描和渗透测试等工作,并提供漏洞扫描报告及修复方案。 1)漏洞扫描服务 按照甲方要求,对甲方指定的信息系统每月通过安全扫描工具,分析并指出网络安全漏洞及被测系统的薄弱环节,编制详细的检测报告;每季度对客户单位系统信息安全状态进行检查,对服务器、网络设备、信息系统进行漏洞扫描,提交扫描文件。 2)渗透测试服务 对甲方指定的信息系统进行一次全面渗透测试,发现漏洞,验证漏洞,挖掘未知的漏洞。渗透测试须通过真实的用户访问环境进入系统,对网络到系统访问、数据调取、存储等一系列的操作进行测试,主要用于检测外部威胁源和路径,提交结果文件和整改报告。 ①公安内网渗透测试:使用渗透测试的方式查找公安内网可能存在的渗透点,发现公安内网防护体系的薄弱环节,找出公安内网可能发生的恶意攻击事件和违规行为。 ②互联网渗透测试: 互联网计算机为起点,以互联网应用系统为攻击目标,要求对应用软件能渗透获得系统数据,甚至获得系统权限,并在获得互联网系统控制权限后,向内网进行渗透,测试互联网与内网边界隔离措施有效性。 (4)风险分析:结合关联资产和关联威胁分别分析安全问题可能产生的危害结果,找出可能对系统的最大安全危害或损失。风险分析结果判断综合相关系统组件的重要程度、安全问题的严重程度、安全问题被关联威胁利用的可能性、所影响的相关业务应用以及发生安全事件可能的影响范围等因素。对等级测评结果中存在的所有安全问题,采用风险分析的方法进行危害分析和风险等级判定,形成相应的被测对象安全问题风险分析表。 (5)提出安全整改建议、整改咨询服务:依据测评结果和依据《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》为基础,结合质量管理体系、信息安全管理体系、信息技术服务管理体系、业务连续性管理体系、隐私信息管理体系和 ITSS 等行业最佳实践,从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行网络安全等级保护现状分析,形成相应的安全问题列表和差距分析报告。按照信息安全等级保护标准要求提出安全整改报告。并协助用户完成信息系统整改计划,整改建议科学、合理,并承诺及时跟进协助整改。 (6)出具报告及测评交付物:完成上述等保测评工作和整改后,由乙方出具符合公安机关要求的《等级保护测评报告》并报市公安局网安支队备案。1.2.2.2 等级保护支撑服务(1)安全培训服务 1)专业认证培训:乙方须提供安全管理人员专业培训 2 人,提供网络安 全能力认证(CCSC)等专业培训,按相关标准负责培训期间的食宿及交通费用。 2)安全技术培训:为甲方组织开展《关键信息基础设施安全保护条例》和等级保护 2.0 标准相关知识及要求的培训,乙方应提供具备专业网络安全培训资格的网络安全专家进行授课,切实提升甲方各层级管理员网络安全管理业务水平和安全意识。3)交付成果:安全培训服务过程应提供《培训课件》(2)驻场支撑服务(注:除评分标准中要求提供的相关人员证明材料作为 评分条件外,投标人无须提供人员其他相关证明材料,由甲方在合同签订后乙方进场服务前核查人员配备情况,人员须按照要求配备到位,否则甲方有权解除合同并上报政府采购监管部门按规定处理。)根据甲方本次项目实际需求,针对等级保护驻场支撑服务具体工作要求如 下:乙方能提供良好的驻点服务,安排 3 名驻场人员,驻场人员应具有初级及以上等级保护测评师资质或具有 CISP 或 CISAW 或 CCSC 等网络及安全相关证书,同时具有从事测评或安全服务工作不少于 1 年的工作经验,并严格遵守甲方工作时长和管理考核要求。 服务期限:自合同签订起,开展为期 1 年的驻场服务。 1)工作一:资产运维管理乙方安排的技术人员在驻场服务期间辅助甲方完成各项安全工作,按照甲方要求配合完成以下工作: ①安全资产监测及预警。协助甲方利用当前的安全设备开展日常监测、预警、通报处置及整体安全态势的支撑工作。②维护“一机两用”等系统。协助甲方开展接入注册管理系统工作,满足上级主管部门考核要求。辅助甲方做好“一机两用”(WEB 版)安装率、杀毒软件平均安装率、设备准入、“一机两用”注册率等安全管理工作,满足上级主管部门考核要求。 ③协助甲方更新升级软件产品版本和病毒库。分析防病毒数据,提取日志、分析报表,有针对性的编制病毒情况汇报和处理分析报告,交甲方实时存档,作甲方内部病毒知识库更新。终端行为审计系统运营情况实时关注及分析,针对异常情况,判断违规。如有违规事件,实时汇报分析,以及相关单位数据采集配合。 ④根据甲方实际需求,协助开展其他安全运维工作。 ⑤交付成果:驻场运维服务过程应在《日常运维记录》中记录。 2)工作二:安全测试及巡检 乙方提供支撑服务期间,根据甲方安排,开展漏洞扫描和渗透测试等工作,并提供测试报告及修复方案,按照甲方要求配合完成以下工作: ①漏洞扫描服务。按照甲方要求,对甲方指定的信息系统定期通过安全扫描工具,分析并指出网络安全漏洞及系统的薄弱环节,编制详细的检测报告;定期对客户单位系统信息安全状态进行检查,对服务器、网络设备、信息系统进行漏洞扫描,提交扫描报告及修复建议方案。②渗透测试服务。对甲方指定的信息系统进行全面渗透测试,并使用渗透测试的方式查找公安内网可能存在的渗透点,发现公安内网防护体系的薄弱环节,找出公安内网可能发生的恶意攻击事件和违规行为,提供渗透测试报告及修复建议方案。 ③资产日常使用及运维。自带办公电脑等常用物品,协助客户单位基础设施的日常运维工作,提供终端运维服务方案,至少包括安全设备资产维护、计算机软硬件维护、网络系统维护和服务器维护等内容。 ④交付成果:安全巡检服务过程应在《漏洞扫描报告》、《渗透测试报告》 中记录。 3)工作三:安全加固 乙方出具等级保护测评报告后,根据甲方要求,安排专业技术人员评估已测评系统的安全问题是否具备修复条件,提供修复安全问题的加固指导,并协助开展安全问题整改,按照甲方要求配合完成以下工作: ①进行网络架构分析:查找需要对网络结构实施优化的事项,包括: a)网络现状识别:涉及应用系统和用户分布,安全域划分,区域边界之间所采取的访问控制措施,各区域内所采取的入侵检测,安全审计措施,网络出口所采取的入侵防范、病毒过滤等内容。 b)网络安全分析:从网络的整体架构进行考虑,紧密结合业务应用现状,分析网络区域边界是否定义清晰,安全域划分是否合理,服务器、终端接入是否安全,各类安全设备的部署是否到位等。 ②设备配置检查:检查系统相关服务器、交换机与安全设备的配置策略,对信息系统相关设备进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平,满足等级保护要求等。 ③交付成果:安全整改服务过程应在《整改建议书》《安全整改服务报告》 中记录。 4)工作四:等保安全工作通报乙方提供支撑服务期间,应根据甲方安排,开展等保安全工作通报工作,按照甲方要求配合完成以下工作: ①根据安全巡检及安全加固情况,将结果下发给各信息系统责任部门进行 整改,并督促整改结果及时反馈。 ②安排专业技术人员定期到现场进行安全检查、评估,协助出具安全通报。 ③交付成果:等保安全工作通报服务过程应在《等保安全工作通报》中记录。 (3)专项支撑服务 1)工作一:网络安全资产梳理 对甲方指定范围内的安全资产进行梳理,同时根据甲方的安排,通过技术手段协助开展对违规接入资产的探测发现工作。 ①网络安全资产摸排:从安全角度构建细粒度网络安全资产信息,使用专业技术手段对甲方各类资产进行精准识别,梳理资产清单,探测发现违规接入资产。 ②交付成果:网络安全资产梳理过程应在《网络安全资产清单》中记录。 2)工作二:网络安全应急响应 乙方提供支撑服务期间,必须具有应急处理能力,在甲方单位有重大安保活动、发生重大网络安全事件等需求期间,需提供专人 24 小时响应甲方单位网络安全相关需求,为安全防护、事件溯源提供技术支持。针对甲方信息系统提供最新安全漏洞跟踪与处置服务,提供各种安全问题的应急响应技术服务,按照甲方要求配合完成以下工作: ①根据网络与信息安全突发事件的起因、机理,将网络与信息安全突发事件进行分类。同时参照网络与信息安全突发事件的分类原则,按照网络与信息安全威胁产生原因,将网络与信息安全预警信息分类。通过上述分类,乙方应按照网络与信息安全对可能造成的危害、紧急程度和发展势态,将安全事件进行分级并制定安全事件分级管理制度。②配合甲方编制网络安全应急预案:根据甲方业务特点编制应急演练方案,方案应包括丰富、全面的应急演练场景,如包含防病毒,网络、渗透攻击等演练场景,配合甲方开展应急演练方案编制,搭建演练环境,并提供必要的演练设备,演练开始前为具体参与人员提供演练培训。协助甲方组织实施应急演练工作,选择演练对象,从网络到系统环境等方面的故障进行模拟演练,确保在网络中断、系统毁瘫、机房出现重大事故等情况下尽快恢复应用的正常运行,做好演练过程记录和演练的总结工作。 ③承诺提供日常应急响应,在客户应急需求发起后,技术支撑人员必须在 1 小时内到达客户单位指定现场对安全事件进行处理。应派遣有经验的项目团队 进行安全事件处置与应急响应服务工作,以保证各方面安全工作有序开展。 ④网络安全应急响应服务过程应在《网络安全应急预案》、《网络安全应急响应服务报告》中记录。 3)工作三:其他专项安全支撑 乙方提供支撑服务期间,根据甲方安排,安排专业技术人员提供网络安全攻防赛事支撑、信息化项目建设或实施环节的网络安全顾问支撑服务,按照甲方要求配合完成以下工作: ①网络安全攻防支撑:提供一名具备专业渗透测试能力的技术专家,协助甲方组织或参加网络安全攻防,安排攻防技术团队支撑,并配套攻防平台工具供甲方使用和学习,具体工作由甲方安排。 ②网络安全顾问支撑:提供一名具备专业网络安全资质的网络安全专家顾 问,为甲方提供针对信息化类建设或实施项目的网络安全顾问支撑服务,安全顾问结合项目实际,并从网络安全最佳实践角度出发,提出安全方面的建议。 ③交付成果:其他安全专项支撑服务过程中应在《支撑服务方案》中记录。
主要标的数量: 见合同
主要标的单价: 见合同
合同金额: 114.******万元
履约期限、地点等简要信息:
1.服务期限:365(日历天) 2.服务地点:合肥市,甲方指定地点 3.服务方式:根据项目实际情况及要求,采用现场方式进行测评
采购方式: 公开招标
项目所属行业类别:政府采购
七、合同签订日期: 2023年07月26日
八、合同公告日期: 2023年07月27日
九、其他补充事宜:
根据本页面提供的交易合同是按照《安徽省公共资源交易平台服务管理细则》(皖政办〔2016〕65号)文件要求由市场主体发布,本网对其内容概不负责,亦不承担任何法律责任。
0天15小时60分37秒
标签: 等级保护测评
0人觉得有用
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无