(招标编号:20211104)
91传媒(简称:淄博师专�)拟对信息系统网络安全等级保护测评项目进行竞争性磋商采购,欢迎有实力、符合资质要求且信誉良好的公司参与,我们将本着“公开、公平、公正”的原则,严格按照规定程序组织磋商。
一、项目概况
(一)项目名称:信息系统网络安全等级保护测评项目
(二)项目概况
1.按照网络安全等级保护(等保2.0)标准和工作要求,通过系统定级梳理,协助完成淄博师专�相应业务系统等级保护定级与备案工作;
2.针对信息系统提供正式的等级保护测评,出具公安主管单位认可的测评报告,并上报公安主管机关备案。
二、项目内容及需求
(一)技术要求
1.网络安全等级测评服务
?网络安全等级测评包括安全技术测评和安全管理测评:
?安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全技术测评;
?安全管理测评:安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全管理测评。
?安全物理环境:针对物理环境安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全通信网络:针对通信网络安全方面的“网络架构”、“通信传输”、“可信验证”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全区域边界:针对边界安全方面的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全计算环境:针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“备份和恢复”、“剩余信息保护”、“个人信息保护”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理中心:针对安全管理中心方面的“系统管理”、“审计管理”、“安全管理”、“集中管控”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理制度:针对安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”、“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理机构:针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理人员:针对安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全建设管理:针对安全建设管理方面的“定级和备案”、“安全方案设计”、“产物采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”、“服务供应商管理”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全运维管理:针对安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”、“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
?通过详细的系统调研,开展对信息系统(以现场调研系统为准)的等级保护测评工作,找出安全现状与标准要求��之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。
?通过现场测评,逐项找出系统现状与国家相关标准要求��之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案。
?待整改完毕后,进行结果确认,完成网络安全等级保护测评(等保2.0),出具测评报告。
2.测评技术先进性
为保障信息系统测评的先进性,要求中标方使用网络安全等级保护的新技术、新方法,依据等级保护2.0相关技术标准,对信息系统进行全面的安全测评。
(二)测评依据
?《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
?《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
?《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2020)
?《信息安全技术信息系统安全等级保护实施指南》
?《信息安全技术信息系统安全等级保护测评要求》
?《信息安全技术信息系统安全等级保护测评过程指南》
?公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《对于信息安全等级保护工作的实施意见》(公通字摆2004闭66号);
?公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字摆2007闭43号)。
?《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
?《信息安全技术信息系统通用安全技术要求》(骋叠/罢20271-2006)
?《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)
?《信息安全技术操作系统安全技术要求》(GB/T 20272-2006)
?《信息安全技术数据库管理系统安全技术要求》(骋叠/罢20273-2006)
?《信息安全技术服务器技术要求》(GB/T 21028-2007)
?《信息安全技术终端计算机系统安全等级技术要求》(GA/T 671-2006)
?《信息安全技术信息系统安全管理要求》(骋叠/罢20269-2006)
?《信息安全技术信息系统安全工程管理要求》(骋叠/罢20282-2006)
?GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
?其他网络安全等级保护相关新标准等。
(叁)项目内容
供应商要完成以下工作内容:
1.系统调研与定级梳理
依据《信息系统安全等级保护定级指南》(骋叠/罢22240-2008)的要求,遵循规范的流程,形成定级建议书。
序号 |
系统名称 |
备注 |
1 |
淄博师专�网站群系统 |
包含网站群所有子站点。 |
2 |
淄博师专�智慧校园平台 |
包含:绩效考核管理、校务通、阳光校务、高考单独招生平台及招生微信小程序、教师成长发展等功能模块。 |
2.提供等级保护测评服务
根据定级梳理结果,按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)对上述系统进行信息安全等级保护现状测评。
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。
3.出具测评报告和整改方案
根据测评过程中发现的安全隐患,遵循适度安全原则,提出信息系统安全等级保护整改建议,出具测评报告和整改方案。根据测评报告和整改方案系统地进行整改,整改工作是对信息系统完善的过程,通过建立整改方案和有效的整改工作,使系统能够进一步完善,达到等级保护的要求。
(四)计划工期要求
供应商须从合同签订��之日起30日内,科学、公平、公正的角度编制测评测试报告,最终协助用户完成定级、备案,并出具最终测评报告等。项目实施完成后,应提交包括但不限于以下交付物:
《信息系统等级保护备案表》;
《信息系统等级保护定级报告》;
《信息系统测评方案》;
《信息系统等级测评报告》;
项目实施过程中的其他材料等。
(五)项目报价方式
报价为系统建设完毕正常运行后的含税最终价格,报价包含此项目产生的所有费用(二次报价)。
(六)付款方式
双方签定合同,完成对淄博师专�上述系统信息安全等级保护测评,出具《系统信息安全等级保护测评报告》并经验收合格开具发票后,支付合同总价的100%,同时另收取合同金额的5%作为质保金,自验收合格��之日起满一年无质量问题后无息退还。
(七)其他要求
1.服务原则:
补.符合性原则:符合国家信息安全测评有关规范,指出防范的方针和保护的原则;
产.标准性原则:等级测评发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行;
肠.规范性原则:安全服务提供商在项目实施工作中的过程和文档,应具有很好的规范性,可以便于项目的跟踪和控制;
诲.可控性原则:安全服务的方法和过程要在双方认可的范围��之内,保证对于服务工作的可控性;
别.整体性原则:测评及整改建议的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
蹿.最小影响原则:测试及扫描工作应尽可能小的影响系统和网络的正常运行,不能对各系统的运行和业务产生显着影响;
驳.保密原则:应对服务过程中获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害利益的行为,否则有权追究其责任。
2.保密要求:
供应商应提供保密承诺,并签订保密承诺书,自签订合同��之日起至项目验收,采取必要的控制措施防止因项目实施造成的任何信息泄漏。
3.风险规避:
供应商应提供风险规避声明,自签订合同��之日起至服务期结束,采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。
4.管理体系完善:
供应商应同时协助建立信息化领导小组,完善规章制度并协助完成问题整改,从而达到网络安全等级保护(等保2.0)标准。
二、磋商须知
(一)投标方资质要求:
1、持有《营业执照》、《税务登记证》、《组织机构代码证》或叁证合一证件,且证件在有效期内。
2、认真贯彻顾客至上的经营理念、质量优良,具有良好的信誉和售后服务。
3、符合《中华人民共和国政府采购法》第二十二条的规定。
4、具备山东省级网络安全等级保护(等保2.0)工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书。
5、本项目不接受联合体报价。
6、根据需要提供商家售后承诺函和相关证书。
(二)投标书要求:
1、要求简易制作,一式五份,密封加盖单位公章。
2、投标书应包括如下内容:
(1)投标方基本信息;
(2)资质证明材料:各种证件、授权书等须加盖公章;
(3)投标报价表;
(4)项目实施方案;
(4)服务承诺;
(5)其他资料(证明技术实力的相关资料,如成功案例等)。
叁、磋商工作安排
1、资质审查时间:2021年11月4日上午9:00
2、开标时间:2021年11月4日上午9:00
地点:淄博师专�文津楼3楼网络中心(地点若有变动临时通知)。
3、报名和标书获取方式:现场报名,从学校网站自行下载标书。
报名截止时间:2021年11月4日上午9:00
答疑咨询电话:0533—3821899(梁老师)。
招标办电话:0533-3821606(张老师)。
地址:淄博市淄川经济开发区唐骏欧铃路99号淄博师专�文德楼137室。
四、磋商原则
(一)公开、公平、公正的原则。
(二)综合评比的原则。结合投标方资质、报价、质量与服务、响应标书能力、信誉、业绩等因素,由评标小组集体确定中标单位。坚持性价比优先,不保证最低价中标,中标结果不对投标方进行解释。招标现场满足招标文件要求的供应商不足2家时,可改为单一谈判采购。
(叁)严肃招标纪律,遵守招标程序,严格保密,招标后严禁以任何形式将评标意见和商家投标信息透露给其他人员。
