政府采购项目采购需求--系统等保测评、密评及网络安全服务项目
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
一、需求调查情况
(一)是否开展需求调查
否
(二)需求调查方式
无
(三)需求调查对象
无
二、需求清单
(一)项目概况
系统等保测评、密评及网络安全服务项目。
(二)采购项目预(概)算
总预算:100万元。本项目共分为2个包,第一包:70万元;第二包:30万元。
(三)技术商务要求
1.技术要求
第一包:网络安全等级保护测评服务
1.1具体服务内容
通过等级保护测评服务,确保采购人对以上三级系统(部分平台整合),符合《中华人民共和国网络安全法》和《信息安全等级保护基本要求》中有关信息安全服务要求,对信息系统的安全保护等级进行测评。
测评的内容包括但不限于以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。
安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
(1)安全物理环境
根据现场安全测评记录,针对信息系统机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
(2)安全通信网络
根据现场安全测评记录,针对信息系统通信网络方面在“网络架构”、“通信传输”、“可信验证””等方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)安全区域边界
根据现场安全测评记录,针对信息系统安全区域边界现场测评包括 “边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等边界区域防范措施进行检查。
(4)安全计算环境
根据现场安全测评记录,针对信息系统安全计算环境现场测评包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等几个方面的测评。
(5)安全管理中心
根据现场安全测评记录,针对信息系统安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中控制”等方面。
(6)安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
(7)安全管理机构
根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
(8)安全管理人员
根据现场安全测评记录,针对信息系统在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(9)安全建设管理
根据现场安全测评记录,针对信息系统在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
(10)安全运维管理
根据现场安全测评记录,针对信息系统在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案。
待整改完毕后,进行结果确认,完成网络安全等级保护测评,出具测评报告,并将测评报告报当地公安机关备案。
1.2测评依据
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
★1.3交付成果
项目实施完成后,提供包括但不限于交付物如下:
《网络安全等级保护测评报告》
1.4其他要求
投标人须成立专业项目团队负责本项目。
第2包:密评及网络安全服务
一、商用密码应用安全性评估服务
依据国家商用密码相关标准和要求,对采购人的2个三级系统进行密码应用安全性评估测评。
1.1具体服务内容
对系统进行密码应用安全性评估,测评内容包括但不限于以下内容:
(1)通用测评
核查信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
核查信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
核查信息系统中使用的密码产品、密码服务是否符合法律法规的相关要求。
(2)密码应用技术测评
包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。
① 物理和环境安全测评
针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
② 网络和通信安全测评
针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
③ 设备和计算安全测评
针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
④ 应用和数据安全测评
针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
(3)密码应用管理测评
从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能够确保密码技术被合规、正确、有效地实施。
(4)整体测评
对重要信息系统结构进行整体安全测评,并采用风险分析的方法分析密码应用安全问题可能对信息系统安全造成的影响,提交整体测评与风险评估结果。
(5)报告编制
根据评估结果,按照国家密码管理局要求,编制密码应用安全性评估报告。报告应对信息系统密码应用情况进行全面排查,梳理密码应用需求,查找风险漏洞,提出科学合规、具体实用、有针对性的密码应用安全整改方案,规范密码应用。
1.2测评依据
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
《信息系统密码应用测评要求》
《信息系统密码应用测评过程指南》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
★1.3交付成果
项目实施完成后交付《密码应用安全性评估报告》。
二、网络安全服务
1.1具体服务内容
(1)重大活动期间网络安全值守及应急响应服务。重大活动期间提供现场人员支持服务,同时提供远程安全协助。
(2)攻防演练。根据网络安全政策要求,组织对采购单位信息系统的攻防演练。完成攻防演练方案及筹备工作,攻击方式及手法包括互联网正面突破、社工钓鱼、近源攻击等,指导采购单位进行安全风险问题修复,提升采购单位安全人员水平能力。要求合理安排攻演练时间,在保障采购单位业务系统正常使用前提下开展演练工作。
(3)提供面向网络安全管理人员不少于6课时专业技能培训和面向全体人员的不少于半天网络安全意识培训。
(4)一年二次,每半年一次,对采购人信息系统开展网络安全巡检工作,完成年度网络安全巡检年度总结报告。
(5)一年四次,每季度一次,对采购人主机、应用系统进行漏洞扫描,及时发现安全漏洞,并根据发现的高、中危漏洞,出具报告及整改建议。
★1.2交付成果
要求投标人提供包括但不限于交付物如下:
《漏洞扫描报告》
《网络安全巡检年度总结报告》
《攻防演练总结报告》
1.3其他要求
投标人须成立专业项目团队负责本项目。
2.商务要求
★2.1服务期限
自合同签订之日起至项目成果通过专家组验收。
2.2服务地点
采购人指定地点
★2.3付款方式
政府采购合同签订生效并完成必要支付准备流程后10个工作日内,支付合同金额的50%;经验收合格并完成必要支付准备流程后10个工作日内,支付合同金额的50%。
2.4服务成果验收
服务期满或完成服务成果后,招标人应对服务的成果进行详细而全面的检验。招标人有权限根据检验结果要求中标人立即更换或者提出索赔要求。检验合格后,由招标人组成的验收小组签署验收报告,作为付款凭据之一。
四、公示时间
本项目采购需求公示期限为3日历天。
五、意见反馈方式
本项目采购需求方案公示期间接受社会公众及潜在供应商的监督。
请遵循客观、公正的原则,对本项目需求方案提出意见或者建议,并请于采购需求公示期限结束前将书面意见反馈至采购人或者采购代理机构,采购人或者采购代理机构应当于公示期满5个工作日内予以处理。
采购人或者采购代理机构未在规定时间内处理或者对处理意见不满意的,异议供应商可就有关问题通过采购文件向采购人或者采购代理机构提出质疑;质疑未在规定时间内得到答复或着对答复不满意的,异议供应商可以向采购人或同级财政部门提出投诉。
六、采购需求最终以发布的招标公告、招标文件为准。
七、联系方式
1.采购人信息
名称:青岛市自然资源和规划局
地址:青岛市市南区香港西路55号
联系人:登录即可免费查看 联系电话:登录即可免费查看
(一)是否开展需求调查
否
(二)需求调查方式
无
(三)需求调查对象
无
二、需求清单
(一)项目概况
系统等保测评、密评及网络安全服务项目。
(二)采购项目预(概)算
总预算:100万元。本项目共分为2个包,第一包:70万元;第二包:30万元。
(三)技术商务要求
1.技术要求
第一包:网络安全等级保护测评服务
1.1具体服务内容
| 信息系统名称 | |
| 1 | 青岛市不动产统一登记信息平台 |
| 2 | 自然资源信息系统平台 |
| 3 | 青岛市第三次国土调查市级信息系统 |
| 4 | 数据中心云平台 |
| 5 | 自然资源规划一张图系统 |
| 6 | 青岛市项目策划生成系统及青岛市“多测合一”信息系统 |
| 7 | 智慧青岛时空大数据平台 |
| 8 | 基于区块链的工程建设规划土地审批服务系统 |
| 9 | 国土资源卫星遥感即时监测监管服务平台 |
| 10 | 青岛市土地二级市场交易服务平台 |
| 11 | 不动产互联网+查询服务和电子权证及无纸化登记系统 |
| 12 | 青岛市一网通办系统 |
| 13 | 农村集体土地确权发证系统 |
通过等级保护测评服务,确保采购人对以上三级系统(部分平台整合),符合《中华人民共和国网络安全法》和《信息安全等级保护基本要求》中有关信息安全服务要求,对信息系统的安全保护等级进行测评。
测评的内容包括但不限于以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。
安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
(1)安全物理环境
根据现场安全测评记录,针对信息系统机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
(2)安全通信网络
根据现场安全测评记录,针对信息系统通信网络方面在“网络架构”、“通信传输”、“可信验证””等方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)安全区域边界
根据现场安全测评记录,针对信息系统安全区域边界现场测评包括 “边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等边界区域防范措施进行检查。
(4)安全计算环境
根据现场安全测评记录,针对信息系统安全计算环境现场测评包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等几个方面的测评。
(5)安全管理中心
根据现场安全测评记录,针对信息系统安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中控制”等方面。
(6)安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
(7)安全管理机构
根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
(8)安全管理人员
根据现场安全测评记录,针对信息系统在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(9)安全建设管理
根据现场安全测评记录,针对信息系统在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
(10)安全运维管理
根据现场安全测评记录,针对信息系统在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案。
待整改完毕后,进行结果确认,完成网络安全等级保护测评,出具测评报告,并将测评报告报当地公安机关备案。
1.2测评依据
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
★1.3交付成果
项目实施完成后,提供包括但不限于交付物如下:
《网络安全等级保护测评报告》
1.4其他要求
投标人须成立专业项目团队负责本项目。
第2包:密评及网络安全服务
一、商用密码应用安全性评估服务
依据国家商用密码相关标准和要求,对采购人的2个三级系统进行密码应用安全性评估测评。
1.1具体服务内容
对系统进行密码应用安全性评估,测评内容包括但不限于以下内容:
(1)通用测评
核查信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
核查信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
核查信息系统中使用的密码产品、密码服务是否符合法律法规的相关要求。
(2)密码应用技术测评
包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。
① 物理和环境安全测评
针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
② 网络和通信安全测评
针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
③ 设备和计算安全测评
针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
④ 应用和数据安全测评
针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
(3)密码应用管理测评
从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能够确保密码技术被合规、正确、有效地实施。
(4)整体测评
对重要信息系统结构进行整体安全测评,并采用风险分析的方法分析密码应用安全问题可能对信息系统安全造成的影响,提交整体测评与风险评估结果。
(5)报告编制
根据评估结果,按照国家密码管理局要求,编制密码应用安全性评估报告。报告应对信息系统密码应用情况进行全面排查,梳理密码应用需求,查找风险漏洞,提出科学合规、具体实用、有针对性的密码应用安全整改方案,规范密码应用。
1.2测评依据
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
《信息系统密码应用测评要求》
《信息系统密码应用测评过程指南》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
★1.3交付成果
项目实施完成后交付《密码应用安全性评估报告》。
二、网络安全服务
1.1具体服务内容
(1)重大活动期间网络安全值守及应急响应服务。重大活动期间提供现场人员支持服务,同时提供远程安全协助。
(2)攻防演练。根据网络安全政策要求,组织对采购单位信息系统的攻防演练。完成攻防演练方案及筹备工作,攻击方式及手法包括互联网正面突破、社工钓鱼、近源攻击等,指导采购单位进行安全风险问题修复,提升采购单位安全人员水平能力。要求合理安排攻演练时间,在保障采购单位业务系统正常使用前提下开展演练工作。
(3)提供面向网络安全管理人员不少于6课时专业技能培训和面向全体人员的不少于半天网络安全意识培训。
(4)一年二次,每半年一次,对采购人信息系统开展网络安全巡检工作,完成年度网络安全巡检年度总结报告。
(5)一年四次,每季度一次,对采购人主机、应用系统进行漏洞扫描,及时发现安全漏洞,并根据发现的高、中危漏洞,出具报告及整改建议。
★1.2交付成果
要求投标人提供包括但不限于交付物如下:
《漏洞扫描报告》
《网络安全巡检年度总结报告》
《攻防演练总结报告》
1.3其他要求
投标人须成立专业项目团队负责本项目。
2.商务要求
★2.1服务期限
自合同签订之日起至项目成果通过专家组验收。
2.2服务地点
采购人指定地点
★2.3付款方式
政府采购合同签订生效并完成必要支付准备流程后10个工作日内,支付合同金额的50%;经验收合格并完成必要支付准备流程后10个工作日内,支付合同金额的50%。
2.4服务成果验收
服务期满或完成服务成果后,招标人应对服务的成果进行详细而全面的检验。招标人有权限根据检验结果要求中标人立即更换或者提出索赔要求。检验合格后,由招标人组成的验收小组签署验收报告,作为付款凭据之一。
四、公示时间
本项目采购需求公示期限为3日历天。
五、意见反馈方式
本项目采购需求方案公示期间接受社会公众及潜在供应商的监督。
请遵循客观、公正的原则,对本项目需求方案提出意见或者建议,并请于采购需求公示期限结束前将书面意见反馈至采购人或者采购代理机构,采购人或者采购代理机构应当于公示期满5个工作日内予以处理。
采购人或者采购代理机构未在规定时间内处理或者对处理意见不满意的,异议供应商可就有关问题通过采购文件向采购人或者采购代理机构提出质疑;质疑未在规定时间内得到答复或着对答复不满意的,异议供应商可以向采购人或同级财政部门提出投诉。
六、采购需求最终以发布的招标公告、招标文件为准。
七、联系方式
1.采购人信息
名称:青岛市自然资源和规划局
地址:青岛市市南区香港西路55号
联系人:登录即可免费查看 联系电话:登录即可免费查看
微信扫码关注
