按照公安部等四部委《关于印发〈信息安全等级保护管理办法〉的通知》(公通字〔2007〕43号)第三章第十八条“第三级信息系统每年至少检查一次”的相关要求,提供项目安全测评服务,并提交安全等级测评服务测试机构出具的《信息系统安全等级测评报告》(三级)。福州市生态环境局拟就“福州市环境网格化监管平台及生态环境资源中心(一期)系统网络安全等级保护三级测评服务”进行内部公开询价采购,项目控制价不超过7.1万元。欢迎有能力的投标人参加响应。具体事项公告如下:
一、采购方式
内部公开询价采购,符合要求的投标人,最低价者中标。
二、项目说明
1.项目概况
本次采购服务主要用于福州市环境网格化监管平台及生态环境资源中心(一期)系统网络安全等级保护三级复测服务。福州市环境网格化监管平台及生态环境资源中心(一期)项目安全保护等级为三级,2020年月完成核准备案。根据公安部等四部委《关于印发〈信息安全等级保护管理办法〉的通知》(公通字〔2007〕43号)第三章第十八条“第三级信息系统每年至少检查一次”,今年需要重新采购第三方安全等级保护测评服务。
2.服务内容
2.1等级保护咨询服务
2.1.1等保资产分析服务
根据等级保护范围内的资产组成,投标人需派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制信息系统基本情况调查表。
2.1.2等保差距评估服务
投标人需在安全评估和信息系统定级的基础上,根据《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析。
2.1.3等保风险分析服务
投标人需根据等级保护基本要求,开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,对信息系统进行安全风险分析。
2.1.4等保安全加固服务
投标人需根据等级保护基本要求以及风险分析结果,提供专业的系统安全加固建议意见,派遣专业工程师到现场根据等保安全加固指导书,实施边界防护安全策略优化辅导、服务器病毒检查与清理,提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。
加固完成后,派遣专业工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
提供等保安全加固服务,确保在安全加固后,信息系统测评分数可达到70分以上并出具等保测评报告。
2.1.4等保制度建设辅导服务
投标人需协助我单位对安全管理制度建设,按照等级保护管理部分的标准,从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理5个方面帮助我单位补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助我单位编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
2.2等级保护测评服务
根据提交的网络安全等级保护测评申请书,投标人对服务范围内的信息系统进行安全等级测评,并为被测系统出具信息系统安全等级测评报告。
2.2.1技术层面测评服务
技术层面测评将根据要求逐项进行测评:
安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
安全通信网络:网络架构、通信传输、可信验证。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
安全管理中心:系统管理、审计管理、安全管理、集中管控。
2.2.2管理层面测评服务
管理层面测评将根据要求逐项进行测评:
安全管理制度:安全策略、管理制度、制定与发布、评审与修订。
安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。
安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务投标人管理。
安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理。
★3.项目实施要求
3.1.投标人为本项目投入的测评团队,需配备1名高级测评师作为项目经理,1名中级测评师担任质量监督员,1名中级测评师负责技术类测评;2名初级测评师分别负责信息安全制度及管理类测评要求工作;提供人员网络安全等级测评师证书复印件及前三个月内(不含响应截止当月)任意一个月社保缴交证明材料并加盖投标人公章。
3.2.对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等:
(1)投标人为保障检测范围全面性,所采用的检测工具须涵盖不少于140项的检测项:支持包括Dropbox SDK远程代码执行、Vpod SDK漏洞检测、Supersonic SDK漏洞检测、AdMarvel SDK信息泄露漏洞、Airpush SDK信息泄漏漏洞、MoPub 漏洞信息泄漏漏洞、信鸽SDK远程命令执行与拒绝服务漏洞等检测内容。(须提供功能截图佐证)
(2)投标人在等保测评服务中所采用的服务检测工具具有自定义检测策略功能,支持检测时自定义检测策略,可针对不同的侧重点对重要检测项重点检测。(须提供功能截图佐证)
4.提交成果及要求
对福州市环境网格化监管平台及生态环境资源中心(一期)系统网络安全等级进行复测,通过有资质的专业测评公司进行三级复测评;
服务时限: 收到所需的技术资料和具备工作环境后的60个工作日内完成网络安全等级测评服务,并提交相应的《信息系统安全等级测评报告》。
投标人严格按照国内现有的信息系统安全测评的有关规范和标准进行测评工作。
投标人在采购人现场测评时,应遵守采购人的工作纪律,不破坏采购人的工作设备和软、硬件设施。
三、投标人资格及选取
1.应具有独立的法人资格,持有工商行政管理部门核发的有效的营业执照复印件。
2.若出现两家或以上单位报价相同时,以现场抽签方式确定中标人。
3.参加本次采购活动前三年内,在经营活动中没有重大违法记录。
4.投标人须具有公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》(须在网络安全等级保护网(http://www.djbh.net)中“全国网络安全等级测评与检测评估机构目录查询”可查阅),提供证书复印件及查阅网页的截图。
5.投标人在2021-2023年期间未受到相关监管部门违规处罚、通报暂停、勒令整改、撤销服务证书等情况,需提供承诺函并加盖公章。
四、报价文件要求
1.项目报价单。报价文件一次发出,不得修改,报价应全部用人民币(元)报出。报价应视为已包括测评费用等与履行本项目合同有关的一切费用。
2.报价单位营业执照复印件。
3.招标内容及要求中所需提供的证明材料。
4.通过“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)查询并打印相应的信用记录。
5.其他证明投标人资格(若有)。
报价单位请预留联系人及联系方式。
以上文件每页须要盖报价单位公章;
报价文件壹份,(密封并加盖公章递交,投标后无论中标与否,投标文件一律不予退还)。
五、付款方式
1.付款以转账方式支付,中标单位必须提供正规的增值税专用发票。
2.委托单位收到测评报告后一次性付清费用。
六、报价文件的递交时间、地点
投标人应于2024年12月16日上午9:00前将报价文件送至或邮寄福州市生态环境信息中心。地址:福州市南江滨西大道193号东部办公区7号楼12层1251室。收件人:周月梅,联系方式:18059133580。
扫一扫在手机上查看当前页面