招标
福建省地方金融监督管理局2021年度安全测评服务项目比价公告
金额
-
项目地址
福建省
发布时间
2021/09/03
公告摘要
公告正文
福建省地方金融监督管理局经研究决定,采用比价方式采购2021年度安全测评服务项目,欢迎国内合格的供应商前来报价。
一、项目名称
福建省地方金融监督管理局2021年度安全测评服务项目
二、采购单位
福建省地方金融监督管理局
三、项目内容
通过比价方式选择1家安全测评服务供应商。供应商如需了解有关项目情况,可向我局经办人联系。
网络安全等级测评的目的是通过对目标系统在技术及管理方面的测评,对目标系统的安全技术状态及安全管理状况做出初步判断,给出目标系统在技术及管理方面与其相应安全等级保护要求之间的差距。测评结论作为委托方进一步完善系统安全策略及安全技术防护措施依据。
网络安全等级保护建设
(一)定级备案。根据《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》文中对于信息系统定级已给出指导性意见。进行备案工作,提交材料如下:
二级:
1.编写《信息系统安全等级保护备案表》
2.编写《信息系统安全等级保护定级报告》(盖章扫描件);
3.邀请等级保护专家进行定级评审,最终产出信息系统安全保护等级专家评审意见并由专家签字确认(该文件加盖公章的扫描件);
4.编写主管部门审核批准信息系统安全保护等级的意见,由该单位上级领导进行签字盖章,确认所定等级。
三级:除以下材料,还需包含二级的所有材料
1.编写系统拓扑结构及说明(盖公章的简要拓扑图扫描件);
2.编写系统安全组织机构和管理制度(盖公章提供封面、目录、骑缝章扫描件);
3.编写系统安全保护设施设计实施方案或者改建实施方案(加盖公章、骑缝章的封面和目录页扫描件);
4.编写系统使用的信息安全产品清单及其安全认证或销售许可证明(加盖公章、骑缝章的扫描件);
最终提交给当地网安部门,获得信息系统获批定级成功的二级或三级的备案证明。
(二)差距分析
资产收集是开展信息安全等级保护建设的前期准备工作。通过资产收集调查服务范围内的信息资产,采集资产信息,获取资产清单,进行资产分类,划分资产重要级别;建立信息系统数据库,梳理出各个系统的组成、维护单位、用途、面向对象、部署位置、网络层信息、重要程度等基本信息,划分不同安全需求等级,为后期差距分析内容提供依据。
差距分析需要依据《GBT 28449-2018 信息安全技术 网络安全等级保护测评过程指南》和《信息安全技术 信息系统安全等级保护实施指南》《信息安全技术_网络安全等级保护测评要求》的标准内容进行开展,并输入对应合规性的建设与修复指导意见。
人工评估:安排相关人员逐项检查系统的各项配置和运行状态,评估对象应包括各主机的操作系统、网络设备和数据库,给出评估报告。
工具评估:基于各种技术层面的评估工具或者专用安全评估系统对评估对象进行扫描,评估对象应包括主机、网络设备和各种数据库,给出评估报告。
渗透测试:可依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,给出评估报告。
网络数据抽样:利用网络分析设备或工具从网络中抓包分析现有网络的安全情况,分析现有网络的安全风险态势。
(三)整改加固
1.制度整改:根据等级保护要求,进行信息安全策略总纲设计,并编写《信息安全总方针》《信息安全体系文件控制办法》、信息安全体系文件发布与维护实施细则》。
2.技术体系整改:安全技术实施的活动内容包括安全控制的开发以及验收与测试等环节,针对基础网络架构具体的安全需求,在等级保护工作基础上,结合系统情况提出建议。
3.策略复查:在安全管理体系和安全技术体系改造完成之后,针对加固前后的系统脆弱性、基线合规性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
(四)等级保护测评
根据采购人提交的《网络安全等级保护测评申请书》,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。
1.安全物理环境:包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面。
2.安全通信网络:包括网络架构、通信传输、可信验证方面。
3.安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。
4.安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。
5.安全管理中心:包括系统管理、审计管理、安全管理、集中管控方面。
6.安全管理制度:包括安全策略、管理制度、制定和发布、评审和修订方面。
7.安全管理机构:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面。
8.安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。
9.安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。
10.安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理方面。
四、项目要求
(一)合同生效。
合同双方签字并盖章后生效,服务期为自签订之日起1年。供应商应于2021年9月底前完成相关测评备案等工作。
(二)验收条款。
根据供应商提交的安全测评报告及相关工作资料,进行审查验收,验收结束后出具验收报告。
(三)支付条款。
1.合同生效后10个工作日内,我局根据供应商提供的正规、足额的增值税普通发票,向供应商支付合同总金额的50%;
2.项目完成并通过验收后,我局根据供应商提供的正规、足额的增值税普通发票,10个工作日内支付剩余的50%款项。
(四)违约条款
1.除不可抗力以及我局的原因外,供应商未按时提供服务,视为违约。每违约一次,供应商应当向我局支付合同总金额的0.1%作为违约金,但违约金的总额不超过合同总金额的10%;违约金的支付并不能免除供应商继续履行合同的义务。
2.我局未按合同约定时间付款,自约定的付款之日起,每延期付款一周,应当向供应商支付合同总金额的0.1%作为违约金,但违约金总额不超过合同总金额的10%;违约金的支付并不能免除我局继续履行付款义务。
3.如因供应商原因造成未及时完成安全测评,造成我局不可挽回严重损失的,我局有权提前解除合同,并赔偿损失。
4.供应商要严格遵守《中华人民共和国保密法》及有关保密法规的规定,不得以任何理由向第三方披露我局保密信息。如因供应商原因(包括供应商离职人员)造成泄密,供应商应承担泄密给我局造成的全部损失。
五、报价文件
请各供应商报价应低于5万元,报价文件要求:
(一)报价表;
(二)工商营业执照副本复印件;
(三)法定代表人授权委托书、法定代表人身份证复印件、委托代理人身份证复印件。
(四)网络安全等级保护测评机构推荐证书且证书在有效期内。提供证书复印件,原件备查。
六、报价时间、地点
(一)报价时间:本公告发布之日起至2021年9月10日18:00止。
(二)报价文件加盖公章后装入信封密封,在信封封口处加盖公章,请于2021年9月10日18:00前送至福州市鼓楼区北大路133号13层福建省地方金融监督管理局1301室,联系方式:88323130。
七、评标办法
我局将成立评审小组,对符合条件的供应商,选择报价最低的为中标供应商。评审后将于5个工作日内通知中标供应商,未中标的供应商不另行通知。
福建省地方金融监督管理局 2021年9月3日
一、项目名称
福建省地方金融监督管理局2021年度安全测评服务项目
二、采购单位
福建省地方金融监督管理局
三、项目内容
通过比价方式选择1家安全测评服务供应商。供应商如需了解有关项目情况,可向我局经办人联系。
网络安全等级测评的目的是通过对目标系统在技术及管理方面的测评,对目标系统的安全技术状态及安全管理状况做出初步判断,给出目标系统在技术及管理方面与其相应安全等级保护要求之间的差距。测评结论作为委托方进一步完善系统安全策略及安全技术防护措施依据。
网络安全等级保护建设
(一)定级备案。根据《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》文中对于信息系统定级已给出指导性意见。进行备案工作,提交材料如下:
二级:
1.编写《信息系统安全等级保护备案表》
2.编写《信息系统安全等级保护定级报告》(盖章扫描件);
3.邀请等级保护专家进行定级评审,最终产出信息系统安全保护等级专家评审意见并由专家签字确认(该文件加盖公章的扫描件);
4.编写主管部门审核批准信息系统安全保护等级的意见,由该单位上级领导进行签字盖章,确认所定等级。
三级:除以下材料,还需包含二级的所有材料
1.编写系统拓扑结构及说明(盖公章的简要拓扑图扫描件);
2.编写系统安全组织机构和管理制度(盖公章提供封面、目录、骑缝章扫描件);
3.编写系统安全保护设施设计实施方案或者改建实施方案(加盖公章、骑缝章的封面和目录页扫描件);
4.编写系统使用的信息安全产品清单及其安全认证或销售许可证明(加盖公章、骑缝章的扫描件);
最终提交给当地网安部门,获得信息系统获批定级成功的二级或三级的备案证明。
(二)差距分析
资产收集是开展信息安全等级保护建设的前期准备工作。通过资产收集调查服务范围内的信息资产,采集资产信息,获取资产清单,进行资产分类,划分资产重要级别;建立信息系统数据库,梳理出各个系统的组成、维护单位、用途、面向对象、部署位置、网络层信息、重要程度等基本信息,划分不同安全需求等级,为后期差距分析内容提供依据。
差距分析需要依据《GBT 28449-2018 信息安全技术 网络安全等级保护测评过程指南》和《信息安全技术 信息系统安全等级保护实施指南》《信息安全技术_网络安全等级保护测评要求》的标准内容进行开展,并输入对应合规性的建设与修复指导意见。
人工评估:安排相关人员逐项检查系统的各项配置和运行状态,评估对象应包括各主机的操作系统、网络设备和数据库,给出评估报告。
工具评估:基于各种技术层面的评估工具或者专用安全评估系统对评估对象进行扫描,评估对象应包括主机、网络设备和各种数据库,给出评估报告。
渗透测试:可依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,给出评估报告。
网络数据抽样:利用网络分析设备或工具从网络中抓包分析现有网络的安全情况,分析现有网络的安全风险态势。
(三)整改加固
1.制度整改:根据等级保护要求,进行信息安全策略总纲设计,并编写《信息安全总方针》《信息安全体系文件控制办法》、信息安全体系文件发布与维护实施细则》。
2.技术体系整改:安全技术实施的活动内容包括安全控制的开发以及验收与测试等环节,针对基础网络架构具体的安全需求,在等级保护工作基础上,结合系统情况提出建议。
3.策略复查:在安全管理体系和安全技术体系改造完成之后,针对加固前后的系统脆弱性、基线合规性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
(四)等级保护测评
根据采购人提交的《网络安全等级保护测评申请书》,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。
1.安全物理环境:包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面。
2.安全通信网络:包括网络架构、通信传输、可信验证方面。
3.安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。
4.安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。
5.安全管理中心:包括系统管理、审计管理、安全管理、集中管控方面。
6.安全管理制度:包括安全策略、管理制度、制定和发布、评审和修订方面。
7.安全管理机构:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查方面。
8.安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。
9.安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。
10.安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理方面。
四、项目要求
(一)合同生效。
合同双方签字并盖章后生效,服务期为自签订之日起1年。供应商应于2021年9月底前完成相关测评备案等工作。
(二)验收条款。
根据供应商提交的安全测评报告及相关工作资料,进行审查验收,验收结束后出具验收报告。
(三)支付条款。
1.合同生效后10个工作日内,我局根据供应商提供的正规、足额的增值税普通发票,向供应商支付合同总金额的50%;
2.项目完成并通过验收后,我局根据供应商提供的正规、足额的增值税普通发票,10个工作日内支付剩余的50%款项。
(四)违约条款
1.除不可抗力以及我局的原因外,供应商未按时提供服务,视为违约。每违约一次,供应商应当向我局支付合同总金额的0.1%作为违约金,但违约金的总额不超过合同总金额的10%;违约金的支付并不能免除供应商继续履行合同的义务。
2.我局未按合同约定时间付款,自约定的付款之日起,每延期付款一周,应当向供应商支付合同总金额的0.1%作为违约金,但违约金总额不超过合同总金额的10%;违约金的支付并不能免除我局继续履行付款义务。
3.如因供应商原因造成未及时完成安全测评,造成我局不可挽回严重损失的,我局有权提前解除合同,并赔偿损失。
4.供应商要严格遵守《中华人民共和国保密法》及有关保密法规的规定,不得以任何理由向第三方披露我局保密信息。如因供应商原因(包括供应商离职人员)造成泄密,供应商应承担泄密给我局造成的全部损失。
五、报价文件
请各供应商报价应低于5万元,报价文件要求:
(一)报价表;
(二)工商营业执照副本复印件;
(三)法定代表人授权委托书、法定代表人身份证复印件、委托代理人身份证复印件。
(四)网络安全等级保护测评机构推荐证书且证书在有效期内。提供证书复印件,原件备查。
六、报价时间、地点
(一)报价时间:本公告发布之日起至2021年9月10日18:00止。
(二)报价文件加盖公章后装入信封密封,在信封封口处加盖公章,请于2021年9月10日18:00前送至福州市鼓楼区北大路133号13层福建省地方金融监督管理局1301室,联系方式:88323130。
七、评标办法
我局将成立评审小组,对符合条件的供应商,选择报价最低的为中标供应商。评审后将于5个工作日内通知中标供应商,未中标的供应商不另行通知。
福建省地方金融监督管理局 2021年9月3日
解决方案
联系我们
返回顶部