官方网站网络安全等级保护测评服务项目采购公告(第二次)
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
官方网站网络安全等级保护测评服务项目采购公告(第二次)
(招标编号:wcg2024010)
项目所在地区:湖北省,武汉市
一、招标条件
本官方网站网络安全等级保护测评服务项目采购公告(第二次)已由项目审批/
核准/备案机关批准,项目资金来源为自筹资金5万元,招标人为武汉市武昌殡
仪馆。本项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:最高限价:5万元
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)官方网站网络安全等级保护测评服务(第二次);
三、投标人资格要求
(001官方网站网络安全等级保护测评服务(第二次))的投标人资格能力要求:
(一)《政府采购法》第二十二条第一款规定的条件,提供下列材料:
1.法人或者其他组织的营业执照等证明文件,如供应商是自然人的提供身份证
明材料;
2.财务状况报告,依法缴纳税收和社会保障资金的相关材料;
3.具备履行合同所必需的设备和专业技术能力的证明材料;
4.参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明;
5.具备法律、行政法规规定的其他条件的证明材料。
(二)未被列入“信用中国”、“中国政府采购网”失信被执行人、重大税收
违法案件当事人名单、政府采购严重违法失信行为记录名单的网页打印件。
(三)具有公安部第三研究所(国家认证认可委员会批准的认证机构)认证发
放的《网络安全等级测评与检测评估机构服务认证证书》。
(四)供应商所提供参与本项目的测评人员的组成、资质及各自职责的划分(
参与现场人员的项目经理具备中级及以上测评资质或信息安全管理体系IS02700
1主任审核员资质)。参与本项目测评人员不少于5人,应配置有等级测评资质
人员进行本次信息安全等级保护测评工作,其中中级测评师不少于2名。
(五)供应商须具有本地化服务能力,如为异地机构在参与本项目过程中严格
落实异地测评备案手续,必须提供省级网络安全等级保护领导小组办公室出具
盖章版的《等级测评机构异地测评项目备案表》,本地化分支机构证明材料和
本地化常驻人员(至少10人)近一年的社保证明。 ;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2024年05月16日 00时00分到2024年05月20日13时00分
获取方式:免费获取
五、投标文件的递交
递交截止时间:2024年05月20日14时00分
递交方式:湖北省武汉市洪山区楚平路3号武汉市武昌殡仪馆(总务科)
纸质文件递交
六、开标时间及地点
开标时间:2024年05月21日10时00分
开标地点:湖北省武汉市洪山区楚平路3号武汉市武昌殡仪馆八楼会议室
七、其他
一、项目预算
最高限价:5万元
二、采购需求
(一)项目基本情况:
我单位高度重视网络安全保障工作,为满足公安机关的监管要求,拟对重要系统
开展等级保护测评工作,测评机构需要提供切实有效的整改方案、并提供整改
咨询方案;对整改后的信息系统进行回归测评,并出具正式等级保护测评报告
最终达到国家等级保护相关要求,通过公安机关备案手续。
o
(二)服务内容及范围:
等级保护测评服务:
序号系统名称系统等级
1武汉市武昌殡仪馆官方网站二级
参照《GBT22239-2019 网络安全等级保护基本要求》和《GB/T28448-2019
网络安全等级保护测评要求》等标准规范要求,开展信息系统等级保护测评及
整改工作。测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应
用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通
过公安部门及相关部门的等级保护检查要求。
(三)标准和规范
《GB 17859=-1999 计算机信息系统安全等级保护划分准则》
《GBT 20269-2006 信息安全技术 信息系统安全管理要求》
《GBT 20271=2006 信息安全技术网络系统安全通用技术要求》
《GBT 20272--2006 信息安全技术 操作系统安全技术要求》
《GBT 20273=2006 信息安全技术数据库管理系统安全技术要求》
《GB/T 22240-2020 信息安全技术网络安全等级保护定级指南》
《GBT 22239--2019 信息安全技术网络安全等级保护基本要求》
《GB/T25070=2019 信息安全技术网络安全等级保护设计技术要求》
《GB/T28448-2019 信息安全技术网络安全等级保护测评要求》
《信息安全等级保护备案实施细则》(公信安<2007>1360 号)
《GB/T 25058-2019 信息安全技术网络安全等级保护实施指南》
《GB-T 28449-2018 信息安全技术网络安全等级保护测评过程指南》
《公通字<2007>43号信息安全等级保护管理办法》
(四)本项目实施方案设计与具体实施必须满足以下原则:
1.保密原则:
对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人
不得利用此数据进行任何侵害招标方的行为。
y
2.标准性原则:
测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
3.规范性原则:
供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控
制。
4.可控性原则:
项目安排工作进度要跟上进度表的安排,保证工作的可控性。
5.最小影响原则:
测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现
有信息系统的正常运行、业务的正常开展产生任何影响。
6.整体性原则:
测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面
(五)整体要求
1.供应商应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项
目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶
段性文档提交等。
2.供应商应完成信息系统定级报告及定级材料的准备、整理,完成信息系统去
公安机关的备案工作。
3.供应商应详细描述测评人员的组成、资质。供应商参与测评人员至少应有5名
以上等级测评师,其中中级测评师不少于2名。
4.本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由供应
商推荐,经招标人确认后由供应商提供并在信息系统等级保护测评中使用。
5.信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标
人提供,供应商应详细描述需要的运行环境的具体要求。
6.供应商应提供本次信息系统安全等级保护整改的整体实施方案,包括项目时
间安排、阶段性文档提交等,并负责实施整改。
(六)专用工具要求
本项目涉及工程实施和验收测试所需的工具,由供应商负责提供。用于测评的
工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全
测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,
如果需要则对工具进行软件或代码升级。
(七)安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好
安全保密工作。
A、等级保护测评前
(1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
(2)签订安全保密协议。
B、等级保护测评中
(1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据
丶人员与管理等方面的信息进行严格的安全保密管理;
(2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,
工作结束后不驻留任何程序;
(3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁
情况要控制知情范围;
(4)对测评设备、介质进行严格的保密管理;
(5)工作过程中对人员要实施封闭式集中管理;
(6)对进场人员遵守被测单位的相关管理规定。
C、等级保护测评后
(1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被
泄漏;
(2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何
代码或可执行程序;
(3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
(八)文档要求
文档或报告的编写应完整清晰、用词规范、简明扼要,指出的问题应明确合理
符合逻辑、且有证据,出具的结论应公正客观、实事求是,提出的建议应符
合国家标准规范、富有建设性和可操作性。
(九)测评公司综合实力要求
供应商应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组
织方式、项目实施的管理方式、项目成员的角色和责任。
(十)售后服务
供应商承诺能按要求实现本技术规范规定的所有条款及功能要求,配合完成相
关政府部门的信息安全等级保护相关(登记、整改等)工作要求。
三、项目实施内容与要求
(一)项目定级备案
供应商应梳理现有的信息系统,严格按照《GB/T22240-2020信息安全技术
网络安全等级保护定级指南》的要求,对信息系统的级别进行划定。完成信息
系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作
(二)项目测评内容
根据国家等级保护相关标准《GBT22239-2019
网络安全等级保护基本要求》,对重要信息系统等级保护测评项目应包括以下
内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算
环境、安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设
管理、安全运维管理等五个方面的安全测评。
服务内容:
1.协助开展系统和重要信息系统的自查自评估工作,对存在的风险隐患和安全
问题及时提供有针对性的安全整改建议,保障整改措施的落实,完成重要信息
系统的定级、备案等相关工作;
2.依据《网络安全等级保护基本要求》,从安全技术和管理两个方面共十个层
面对信息系统进行等级测评,出具等级测评报告;
3.针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节,提供安全建
设整改和安全加固方面的咨询。
4.提供安全服务,及时发现信息系统中存在安全隐患和威胁,进一步开展安全
建设整改工作,及时、有效、正确的预防和阻止各种黑客攻击。职责清晰,能
快速及时的帮助客户处理网站安全事件。
项目服务内容工作描述
等级测评项目准备及现场调研
协助对信息系统物理环境、网络、终端、数据、安全管理等进行调研。
信息系统定级、备案
疏理信息系统定级工作,完成信息系统定级报告及定级材料的准备;
整理、补充信息系统备案所有相关的文档,完成相应信息系统等级保护备案工
作。
信息系统差距分析
对定级的信息系统,依照《网络安全等级保护基本要求》进行逐个对照,分析
信息系统安全情况与等级保护基本要求的差距,完成信息系统等级保护差距分
析报告。
等级保护安全整改
协助落实相关的等级保护建设整改工作,等级保护整改实施具体内容包括安全
管理制度修订、安全技术整改、形成安全配置基线、辅助进行安全增强配置和
调试工作、实施等保相关培训、安全风险管理工作落实等工作内容,提升信息
系统的安全防护能力,确保信息系统满足国家等级保护相应等级要求。
等级保护测评参照《GBT22239-2019
网络安全等级保护基本要求》和《GB/T28448-2019
网络安全等级保护测评要求》等标准规范要求,对信息系统开展信息系统等级
保护测评工作。
成果
服务目标为:协助用户取得公安机关备案证明;通过公安部门的等级保护检查
输出《信息系统等级保护测评报告》。
(三)测评要求
1.安全物理环境物理安全测评是对信息系统的机房和办公场所的物理位置选择
、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温
湿度控制、电力供应、电磁防护等方面的安全状况。
2.安全通信网络
网络安全测评是对信息系统的网络系统安全防护情况进行测评,包括网络结构
安全、网络访问控制、网络安全审计、网络边界完整性测评、网络入侵防范、
网络恶意代码防范、网络设备防护等方面的安全状况。
3.安全区域边界
安全区域边界是对信息系统的边界防护、访问控制、入侵防范、恶意代码和垃
圾邮件防范、安全审计、可信验证等方面的安全状况。
4.安全计算环境
安全计算环境是对信息系统的身份鉴别、访问控制、安全审计、入侵防范、恶
意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息
保护、个人信息保护等方面的安全状况。
5.安全管理中心
安全管理中心是对信息系统的系统管理、审计管理、安全管理、集中管控进行
测评。
6.安全管理制度
安全管理制度测评是对信息系统的安全策略、管理制度、制定和发布、评审和
修订等情况进行测评。
7.安全管理机构
安全管理机构测评是对信息系统的岗位设置、人员配备、授权与审批、沟通和
合作、审核和检查等情况进行测评。
8.安全管理人员
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗安全意识
教育和培训、外部人员访问管理等情况进行测评。
9.安全建设管理
系统建设管理测评是对信息系统建设过程中的、测试验收、系统交付、等级测
评服务供应商管理等情况进行测评。
10.安全运维管理
系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质
管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范
管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应
急预案管理、外包运维管理等情况进行测评。
(四)测评风险规避要求
项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全保
密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作,对测评活
动、测评人员以及相关文档和数据进行安全保密管理,对重点设备的技术检测
进行监督,对接入的检测设备进行控制。
安全测评工作中可能出现的安全风险点,按照检测对象周密制定测评方法,根
据被测评对象的不同采取相应的风险控制手段。不限于以下方法:
1.操作的申请和监护
在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处理
意外事件。
2.操作时间控制
对测评直接影响系统工作时,尽可能避开敏感时期。
3.人员与数据管理
必须高度重视信息保密工作,加强资料管理,确保人员可靠、稳定和可控。测
评与被测评单位之间应签署长期保密协议,测评人员与被测评单位之间也要有
相应的约束和控制措施,按国家有关要求做好保密工作。
4.制定应急预案
根据测评范围界定的系统情况,在实施前制定应急预案。
5.关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下,原则上不采用测
评工具,采用访谈、测评和简单测试的方式进行。
6.优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要的脆
弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要根
据其上不同的应用和服务情况,有针对性地定制扫描策略选项。
7.数据备份与恢复
对业务系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备与
主机的损伤影响业务系统的正常运行。
(五)整改实施内容
供应商严格按照差距分析报告内容,落实相关的等级保护建设整改工作,等级
保护整改实施具体内容包括安全管理制度修订、安全技术整改、形成安全配置
基线、进行安全增强配置和调试工作、实施等保相关培训、安全风险管理工作
落实等工作内容,提升信息系统的安全防护能力,确保信息系统满足国家等级
保护相应等级要求。
(六)汇总项目材料并验收
供应商对整改后的内容进行最终确认,并汇总信息系统等级保护测评报告,完
成公安机关的材料报备,取得信息系统备案证明。
供应商汇总等级保护测评阶段性文档(不限于定级备案材料、差距分析报告、
整改实施方案、测评报告、备案证明等),保证通过评审及验收。
八、监督部门
本招标项目的监督部门为武汉市武昌殡仪馆。
九、联系方式
招标人:武汉市武昌殡仪馆
地 址:湖北省武汉市洪山区雄楚大街楚平路3号
联系人:登录即可免费查看
电 话:登录即可免费查看
电子邮件:9118815@qq.com
招标代理机构:
地 址:
联系人:
电 话:
电子邮件:
招标人或其招标代理机构主要负责人(项目负责人)
签名)
招标人或其招标代理机构: 盖章)
网络安全等级保护测评报价单
年 月 日
| 采购单位:武汉市武昌殡仪馆 | |||||
| 采购 需求 | 系统名称 | 系统级别 | 测评标准 | 供货地点 | 其它要求 真有省级(含)以上网络安全等级保 |
| 武汉市武昌殡 仪馆官方网站 | 二级 | 按照GB/T22239- 2019《网络等级保护基 本要求》开展等级保护 测评工作 | 武汉市 | 护工作协调小组办公室核发的《网络安全 等级保护测评机构推荐证书》,并在湖北 省内设有技术团队。 | |
| 供应商 报价 | 联系人 联系电话 | ||||
| 供应商名称 | |||||
| (盖章) | |||||
备注:1、供应商提供《信息安全等级保护测评机构推荐证书》复印件并加盖公章。
2、供应商提供测评机构营业执照复印件并加盖公章。
3、供应商提供法人代表授权书并加盖公章。
1l
微信扫码关注
