招标
【供应商寻源公告】太平石化金融租赁有限责任公司网络安全等级保护测评项目供应商征集
金额
-
项目地址
上海市
发布时间
2023/10/13
公告摘要
公告正文
太平石化金融租赁有限责任公司
网络安全等级保护测评项目供应商征集
太平石化网络安全等级保护测评项目已启动,现为该项目征集优秀供应商,征集时间自2023年10月14日9:00至10月20日17:00,欢迎参与。
一、采购人
太平石化金融租赁有限责任公司(此项目为采购人自行组织实施,未委托任何招标代理机构)
二、采购事项
本项目建设内容主要为网络安全等级保护测评(包括网络安全等级保护标准差距分析、安全加固和网络安全等级保护测评服务)。具体建设内容如下:
(一)网络安全等级保护标准差距分析
(二)网络安全加固服务
(三)网络安全等级保护备案与测评
三、供应商要求
报名供应商必须满足以下条件:
(一)供应商必须是具有独立承担民事责任能力的在中华人民共和国境内注册的法人或其他组织;
(二)近三年未被列入国家企业信用信息公示系统经营异常名录和严重违法失信企业名单;
(三)公司成立5年以上,且经营状况良好。企业注册资金不小于500万;
(四)近一年(2022年)经审计的财务报表或财务状况说明(复印件加盖公章);
(五)供应商提供近2年网络安全等级保护服务案例不少于3个,其中金融行业案例至少1个;
(六)供应商具有CCRC信息安全服务三级或以上资质认证;
(七)供应商具备本地化服务团队,本项目服务团队应至少包括一名项目经理和两名服务工程师(项目经理与服务工程师可兼职),提供成员名单及相关职业资格说明,项目经理需具有PMP证书或信息系统项目管理师证书,服务工程师应具有CISP、CISSP、CISAW、CISA、ISO27001审核员等职业资格或认证至少一项(需要附半年内的社保证明及资质证书证明);
(八)供应商必须获得上海本地测评机构授权,允许代理本项目服务(必须获得测评机构授权文件)。
四、供应商项目报名
(一)采购项目报名:我司采购项目采用线上的报名方式完成。
线上报名方式:登录https://eps.cntaiping.com/,在“采购公告”中查看对应公告,并点击公告下方“”,按系统设置提交相关报名材料(可使用压缩包一并上传)。报名材料一旦提交,无法再次编辑,请确认报名材料无误后,完成提交。
(二)务必点对点应答并提供相关信息及说明材料扫描件(加盖公章),否则视为无效报名,报名材料如下:
1.供应商信息介绍:营业执照、法定代表人身份证、公司简介等扫描件;
2.近三年未被列入国家企业信用信息公示系统经营异常名录和严重违法失信企业名单的证明文件扫描件(加盖公章);
示例:
3.公司成立5年以上,且经营状况良好。企业注册资金不小于500万;
4.供应商提供近2年网络安全等级保护服务案例不少于3个,其中金融行业案例至少1个,须提供合同关键页(包含封面页、合同内容或清单页、盖章页等,或能体现与本项目内容相关的关键页);
5.近一年(2022年)经审计的财务报表或财务状况说明(复印件加盖公章);
6.供应商具有CCRC信息安全服务三级或以上资质认证;
7.供应商具备本地化服务团队,本项目服务团队应至少包括一名项目经理和两名服务工程师(项目经理与服务工程师可兼职),提供成员名单及相关职业资格说明,项目经理需具有PMP证书或信息系统项目管理师证书,服务工程师应具有CISP、CISSP、CISAW、CISA、ISO27001审核员等职业资格或认证至少一项(需要附半年内的社保证明及资质证书证明);
8.供应商必须获得上海本地测评机构授权,允许代理本项目服务(必须获得测评机构授权书)。
注:报名材料扫描件或复印件的文字、印章应清晰可辨识,无法辨认的材料不能视作有效证明文件。
(三)温馨提示:该采购项目目前处于供应商公开征集阶段,征集结束后我司会组织相关人员对报名成功的供应商进行筛选,通过筛选的供应商会被邀请参与该采购项目后续采购活动中,请各位供应商知悉。
五、采购人信息
项目报名网址1(采购公告):
https://eps.cntaiping.com/
项目报名联系人:戴老师
电 话:021-60252519(如遇电话无人接听,请发邮件咨询)
邮箱: daixulei@tpshleasing.com
项目需求咨询人:黄老师
电 话:021-60252500(如遇电话无人接听,请发邮件咨询)
邮箱:huangwenjun@tpshleasing.com
特此公告
2023年10月13日
附件下载:供应商寻源征集-网络安全等级保护测评项目.pdf
网络安全等级保护测评项目供应商征集
太平石化网络安全等级保护测评项目已启动,现为该项目征集优秀供应商,征集时间自2023年10月14日9:00至10月20日17:00,欢迎参与。
一、采购人
太平石化金融租赁有限责任公司(此项目为采购人自行组织实施,未委托任何招标代理机构)
二、采购事项
本项目建设内容主要为网络安全等级保护测评(包括网络安全等级保护标准差距分析、安全加固和网络安全等级保护测评服务)。具体建设内容如下:
(一)网络安全等级保护标准差距分析
| 建设事项 | 服务类型 | 内容及要求 |
| 网络安全等级保护标准差距分析 | 差距测评 | 通过现场评估、脆弱性评估等技术手段分析信息系统安全风险,在安全评估后,根据《信息系统安全保护等级基本要求》、《信息安全技术网络安全等级保护测评要求》,按照第三级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析。安全管理包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;安全技术包含物理安全、网络安全、主机安全、应用安全、数据安全 |
| 基线核查 | 包含但不限于以下内容 Ø 网络与安全设备: OS安全、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置等 Ø 操作系统:系统漏洞补丁管理、帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制、通讯协议、日志审核功能、剩余信息保护、其他安全配置等 Ø 数据库:漏洞补丁管理、帐号和口令管理、认证、授权策略、访问控制、通讯协议、日志审核功能、其他安全配置等 Ø 中间件:漏洞补丁管理、帐号和口令管理、认证、授权策略、通讯协议、日志审核功能、其他安全配置等 | |
| 服务交付物 | 《差距分析报告》 | |
(二)网络安全加固服务
| 建设事项 | 服务类型 | 内容及要求 |
| 安全加固 | 网络设备安全加固 | Ø 对网络设备的管理员进行分级管理,权限更高的管理员的帐号和口令的管理要求必须保证是最严格等级,同时对其他管理员的帐号和口令的复杂度进行优化 Ø 对网络设备的登录帐号进行加固,使其满足一定强度的认证要求,并对不同级别的授权策略进行优化 Ø 网络设备的服务配置方面,必须遵循最小化服务原则,关闭网络设备不必要的所有服务,修复网络服务或网络协议自身存在的安全漏洞以降低网络的安全风险 Ø 针对网络设备管理设置访问安全限制策略,只允许特定主机访问网络设备 Ø 根据安全级别要求,开启网络设备必需的监控日志记录,并支持一定周期的日志本地存储或外置存储 |
| 主机操作系统加固 | Ø 对主机操作系统的管理员进行分级管理,确保不同管理员的帐号和口令的管理要求差异化,同时对帐号和口令的复杂度进行严格要求 Ø 确保主机操作系统的登录帐号达到一定强度的认证要求,并对不同级别的授权策略进行优化 Ø 主机操作系统的网络服务、进程和启动项配置方面,必须遵循最小化服务原则,关闭主机操作系统不需要的所有服务,降低网络服务或网络协议自身存在的安全漏洞带来的安全风险 Ø 严格把控每个文件/文件夹的访问权限,只允许授权的帐户访问此文件/文件夹 Ø 针对主机操作系统管理设置访问安全控制策略,只允许特定主机访问网络设备 Ø 按照安全级别要求,开启主机操作系统必需的监控日志记录,并支持一定周期的日志本地存储或外置存储 | |
| 数据库加固 | Ø 根据数据库管理员的分级管理策略制定差异化的管理员帐号和口令的管理要求,对帐号和口令的复杂度进行优化配置 Ø 针对数据库的登录帐号进行一定强度的认证要求,以及对不同级别的授权策略进行优化调整 Ø 针对数据库管理设置访问安全访问限制策略,只允许特定主机访问 Ø 根据安全级别要求,开启数据库必需的监控日志记录,并支持一定周期的日志本地存储或外置存储 | |
| 中间件及常见网络服务安全加固 | Ø 完成针对应用的管理员分级管理,不同管理员的帐号和口令的管理要求实现差异化,同时对帐号和口令的复杂度进行优化 Ø 针对应用的登录帐号进行一定强度的认证要求和不同级别的授权策略优化 Ø 根据安全级别要求,开启中间件及常见网络服务必需的监控日志记录,并支持一定周期的日志本地存储或外置存储 | |
| 服务交付物 | 《安全加固方案》 | 《安全加固报告》的具体内容应包含: Ø 具体的加固方法 Ø 对加固结果的详细记录 Ø 对未能实施加固(残余风险)的风险项进行详细说明,并提出安全补救措施和安全专家建议,为管理人员的后期维护提供参考 |
(三)网络安全等级保护备案与测评
| 建设事项 | 服务类型 | 内容及要求 |
| 网络安全等级保护测评服务 | 定级 | 定级咨询服务,提供服务的厂商需参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解系统的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,撰写信息系统定级报告,同时协助我方完成等级保护定级的专家评定工作 提交成果:《信息系统安全等级保护定级报告》 |
| 备案 | 备案服务,提供服务的厂商根据《信息安全等级保护管理办法》,根据定级的结果,协助我方填写《信息系统安全等级保护备案表》,同时协助到公安机关完成备案工作 提交成果:《信息系统安全等级保护备案表》 | |
| 协助整改 | Ø 根据等级保护基本要求以及风险分析结果,对服务范围内信息资产做安全加固,加固内容边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固以及应用安全加固辅导 Ø 辅助用户编写三层结构的安全管理制度,规范安全管理流程,满足等级保护安全管理要求 Ø 根据差距评估等相关检测报告,在加固完成后,仍有安全要求不满足项,提出合理的安全整改建议。 | |
| 等保测评 | 由上海本地安全测评机构完成等级保护测评工作。 |
三、供应商要求
报名供应商必须满足以下条件:
(一)供应商必须是具有独立承担民事责任能力的在中华人民共和国境内注册的法人或其他组织;
(二)近三年未被列入国家企业信用信息公示系统经营异常名录和严重违法失信企业名单;
(三)公司成立5年以上,且经营状况良好。企业注册资金不小于500万;
(四)近一年(2022年)经审计的财务报表或财务状况说明(复印件加盖公章);
(五)供应商提供近2年网络安全等级保护服务案例不少于3个,其中金融行业案例至少1个;
(六)供应商具有CCRC信息安全服务三级或以上资质认证;
(七)供应商具备本地化服务团队,本项目服务团队应至少包括一名项目经理和两名服务工程师(项目经理与服务工程师可兼职),提供成员名单及相关职业资格说明,项目经理需具有PMP证书或信息系统项目管理师证书,服务工程师应具有CISP、CISSP、CISAW、CISA、ISO27001审核员等职业资格或认证至少一项(需要附半年内的社保证明及资质证书证明);
(八)供应商必须获得上海本地测评机构授权,允许代理本项目服务(必须获得测评机构授权文件)。
四、供应商项目报名
(一)采购项目报名:我司采购项目采用线上的报名方式完成。
线上报名方式:登录https://eps.cntaiping.com/,在“采购公告”中查看对应公告,并点击公告下方“”,按系统设置提交相关报名材料(可使用压缩包一并上传)。报名材料一旦提交,无法再次编辑,请确认报名材料无误后,完成提交。
(二)务必点对点应答并提供相关信息及说明材料扫描件(加盖公章),否则视为无效报名,报名材料如下:
1.供应商信息介绍:营业执照、法定代表人身份证、公司简介等扫描件;
2.近三年未被列入国家企业信用信息公示系统经营异常名录和严重违法失信企业名单的证明文件扫描件(加盖公章);
示例:
3.公司成立5年以上,且经营状况良好。企业注册资金不小于500万;
4.供应商提供近2年网络安全等级保护服务案例不少于3个,其中金融行业案例至少1个,须提供合同关键页(包含封面页、合同内容或清单页、盖章页等,或能体现与本项目内容相关的关键页);
5.近一年(2022年)经审计的财务报表或财务状况说明(复印件加盖公章);
6.供应商具有CCRC信息安全服务三级或以上资质认证;
7.供应商具备本地化服务团队,本项目服务团队应至少包括一名项目经理和两名服务工程师(项目经理与服务工程师可兼职),提供成员名单及相关职业资格说明,项目经理需具有PMP证书或信息系统项目管理师证书,服务工程师应具有CISP、CISSP、CISAW、CISA、ISO27001审核员等职业资格或认证至少一项(需要附半年内的社保证明及资质证书证明);
8.供应商必须获得上海本地测评机构授权,允许代理本项目服务(必须获得测评机构授权书)。
注:报名材料扫描件或复印件的文字、印章应清晰可辨识,无法辨认的材料不能视作有效证明文件。
(三)温馨提示:该采购项目目前处于供应商公开征集阶段,征集结束后我司会组织相关人员对报名成功的供应商进行筛选,通过筛选的供应商会被邀请参与该采购项目后续采购活动中,请各位供应商知悉。
五、采购人信息
项目报名网址1(采购公告):
https://eps.cntaiping.com/
项目报名联系人:戴老师
电 话:021-60252519(如遇电话无人接听,请发邮件咨询)
邮箱: daixulei@tpshleasing.com
项目需求咨询人:黄老师
电 话:021-60252500(如遇电话无人接听,请发邮件咨询)
邮箱:huangwenjun@tpshleasing.com
特此公告
2023年10月13日
附件下载:供应商寻源征集-网络安全等级保护测评项目.pdf
解决方案
联系我们
返回顶部