2024年全市政务信息化系统等保测评及密码评估服务项目招标项目的潜在供应商应在线上获取招标文件,并于2024年01月15日 09时00分(北京时间)前递交投标文件。
包 组 号:001
包组名称:等保测评服务(一)
对沈阳市本级非涉密政务信息系统进行等保测评服务,根据实际工作需求,最终以测评系统所在单位确认的交付成果据实结算,本包组测评系统总数不超过155个。
一、服务内容
依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对非涉密政务信息系统进行测评,并出具《网络安全等级保护测评报告》。 二、服务要求
(一)等保测评
协助采购人调研梳理测评范围内非涉密政务信息系统基本情况,根据实际需求对沈阳市本级不超过155个非涉密政务信息系统进行测评,并出具《网络安全等级保护测评报告》。若首次测评后被测信息系统需要进行整改完善的,测评机构提出整改完善意见,被测系统于2024年12月31日前完成整改的,免费提供一次复测服务。
服务方式:现场和远程
交付成果:结合实际完成测评系统数量提供《网络安全等级保护测评报告》
(二)定级备案
协助采购人、系统所属单位共同对测评范围内未定级、未备案的系统形成定级、备案相关材料,并组织开展专家评审会,完成定级备案等相关服务工作。
服务方式:现场
交付成果:备案证明
(三)测评服务范围
依据《信息安全技术 网络安全等级保护基本要求》,测评内容包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。
1、安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2、安全通信网络测评内容:
网络架构、通信传输、可信验证。
3、安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
4、安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
5、安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
6、安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
7、安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8、安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
9、安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
10、安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
(四)人员能力要求
1、完成本项目服务工作的人员应具备信息安全或网络安全等级测评师证书且从事本行业工作不少于2年。
2、投标人须承诺:中标后,投标文件中的人员全部参与服务工作,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。
3、投标人应为此服务项目提供专业服务团队,服务团队成员不少于8人(投标文件中须提供拟派人员名单及岗位分工)。其中,项目经理1人,对项目的整体进行把控;技术负责人1名,负责提供项目所需的技术指导和支持。
注:本章所有内容均为实质性要求,不得负偏离,否则按无效投标处理。
包 组 号:002
包组名称:等保测评服务(二)
1、 完成本项目服务工作的人员应具备信息安全或网络安全等级测评师证书且从事本行业工作不少于2年。
包 组 号:003
包组名称:密码评估服务
根据工作实际需求,对沈阳市本级非涉密政务信息系统进行密码应用安全评估服务,配合评估系统所在单位到沈阳市国家密码管理局完成备案工作,最终以沈阳市国家密码管理局出具的系统备案回执等交付成果确定系统评估数量,验收后据实结算。本包组评估系统总数不超过100个。
具体要求如下:
一、总体要求
依据GM/T 0054-2018 《信息系统密码应用基本要求》等国家和行业商用密码相关规范标准,根据实际需求,对本项目要求的应用系统开展商用密码应用安全性评估等相关工作。
服务内容为:商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评及配合系统所在单位、沈阳市国家密码管理局、沈阳市大数据管理中心完成相关工作。服务完成后,出具加盖检测机构(中标人)印章的《密码应用安全评估报告》纸质一式三份。
二、详细要求
(一) 商用密码总体要求测评
1、密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
2、密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
3、密码产品合规性测评:信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。
4、密码服务合规性测评:信息系统中使用的密码服务是否通过国家密码管理部门许可。
(二) 密码技术应用测评
从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。
物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素:重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。
网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素:安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。
设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。
应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。
(三)密钥管理测评
对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节:密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。
(四)安全管理测评
对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。
1、安全管理制度维度,包括但不限于下列内容与措施:密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。
2、人员管控维度,包括但不限于下列内容与措施:了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。
3、信息系统实施维度,包括但不限于下列内容与措施:信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。
4、应急预案维度,包括但不限于下列内容与措施:应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。
三、团队要求
为保障项目执行管理调度得当,过程管控高效,确保工作质量和成果,要求为本项目提供不少于10人的项目团队。其中,项目负责人1人,具备相应管理和沟通能力。依据商用密码应用安全性评估工作要求,现场实施需要留存到场证据材料,省外人员需要提供差旅证明。
四、服务要求
对测评过程中出现的系统平台安全问题在工作时间内30分钟完成排查响应。
