中标
广西恒盛工程造价咨询有限公司广西巩固脱贫攻坚成果和防止返贫监测信息平台完善拓展(二期)项目信息安全等级保护测评及密码应用安全评估服务(HSZB2023X03024)成交结果公告
金额
-
项目地址
广西壮族自治区
发布时间
2023/08/11
公告摘要
项目编号hszb2023x03024
预算金额-
招标联系人覃楷15578881579
招标代理机构广西恒盛工程集团有限公司
代理联系人欧玥0771-2864069
中标公司广西网信信息技术有限公司
中标联系人-
公告正文
一、项目编号:HSZB2023X03024
二、项目名称:广西巩固脱贫攻坚成果和防止返贫监测信息平台完善拓展(二期)项目信息安全等级保护测评及密码应用安全评估服务
三、中标(成交)信息:
供应商名称:广西网信信息技术有限公司
供应商地址:南宁市青秀区东葛路118号南宁青秀万达广场东9栋616号
成交金额:人民币壹拾肆万伍仟元整(¥145000.00)
四、主要标的信息:
名称:广西巩固脱贫攻坚成果和防止返贫监测信息平台完善拓展(二期)项目信息安全等级保护测评及密码应用安全评估服务
服务范围:为广西巩固脱贫成果和防止返贫监测信息平台完善拓展(二期)项目提供三级等保测评并出具报告。
服务要求:1、总的要求:依据《网络安全等级保护基本要求》(GB/T 22239-2019)对广西巩固脱贫攻坚成果和防止返贫监测信息平台开展网络安全等级保护测评工作,并出具网络安全等级保护测评报告。
2、标准依据:《计算机信息系统安全保护等级划分准则》(GB 17859-1999);《网络安全等级保护基本要求》(GB/T 22239-2019);《网络安全等级保护测评要求》(GB/T 28448-2019);《网络安全等级保护测评过程指南》(GB/T 28449-2018);《网络安全等级保护设计技术要求》(GB/T 25070-2019);《网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
3、测评内容
(1)安全通用要求:安全通用要求测评内容应包括安全技术和安全管理两大类,其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评,安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。
(2)安全扩展要求:应用了不同新技术的安全保护对象处于不同的应用场景中,面临不同的安全威胁,因此会有不同的安全需求,如本项目执行时发现等级保护对象涉及测评标准安全扩展要求(云计算、移动互联网、物联网、大数据、工业控制)方面内容的,则根据实际情况选定适用的安全扩展要求测评内容开展本项目测评工作。
该保护对象涉及的安全扩展要求包括:
1)云计算:云计算安全测评内容包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等的测评。
2)移动互联:移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。
3)物联网:物联网安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全运维管理等的测评。
4)工业控制系统:工业控制系统安全测评包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理方面的测评。
5)大数据:大数据安全测评包括对安全物理环境、安全通信网络、安全计算环境、安全运维管理等的测评。
4、测评方法:在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程;测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。
5、服务成果:测评完成后,出具符合国家等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。
二、商用密码应用安全性评估服务
1、总的要求:依据《中华人民共和国密码法》、《信息安全技术信息系统密码应用基本要求》(GB/T39786 -2021)要求和系统自身的安全需求分析,对广西巩固脱贫攻坚成果和防止返贫监测信息平台进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为。商用密码应用安全性评估服务内容如下:
2、技术标准:《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021);《信息系统密码应用测评要求(试行)》;《商用密码应用安全性评估测评过程指南(试行)》;《商用密码应用安全性评估测评作业指导书(试行)》
3、服务内容:依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)等技术标准对XX系统进行商用密码应用安全性评估工作,并出具符合要求的《商用密码应用安全性评估报告》。
1.实施方式:系统评估:及时发现系统脆弱性,识别变化的风险,了解系统安全状况。对照密码应用方案对系统开展评估。根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。
密码技术应用测评:物理安全密码测评、网络安全密码测评、主机安全密码测评、应用安全密码测评、数据安全及备份恢复密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求。
密钥管理测评:检测信息系统密钥管理各环节,包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。
安全管理测评:对制度、人员、实施和应急等四个方面安全管理的测评,并协助完善商用密码应用安全性管理制度,协助完善密码相关系统运维管理制度。
2.评估成果:针对被评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议,并出具商用密码应用安全性评估报告。
服务时间:自签订合同之日起至项目竣工验收合格。
服务标准:无
五、评审专家名单:
孟令春、王晶瑀、邹桂兰
六、代理服务收费标准及金额:按发改价格〔2011〕534号收费标准向成交人收取,由成交人在领取成交通知书时一次性向采购代理机构付清。
本项目代理服务费为:人民币贰仟壹佰柒拾伍元整(¥2175.00元)
七、公告期限:
自本公告发布之日起1个工作日。
八、其他补充事宜:
网上公告媒体查询:中国采购与招标网(http://www.chinabidding.com.cn)。
九、凡对本次公告内容提出询问,请按以下方式联系:
1.采购人信息
名称:广西壮族自治区乡村振兴外资项目发展中心
地址:南宁市新民路34号
联系方式:覃楷 15578881579
2.采购代理机构信息
名称:广西恒盛工程造价咨询有限公司
地址:南宁市西乡塘区大学西路5号新缘大厦6楼
联系方式:欧玥 0771-2864069、18172087260
广西恒盛工程造价咨询有限公司
2023年8月11日
返回顶部