中标
中航安盟财产保险有限公司2023年网络安全等级保护测评备案项目招标文件招标公告
金额
-
项目地址
-
发布时间
2023/04/25
公告摘要
公告正文
中航安盟财产保险有限公司
2023年网络安全等级保护测评备案项目
招 标 文 件
(商务&技术)
采 购 人:中航安盟财产保险有限公司
二○二三年四月
目录
2023年网络安全等级保护测评备案项目
第一章 招标公告
一、项目名称
二、招标服务范围
三、服务期
四、服务地点
五、投标人资质要求
六、投保报名
七、投标保证金
第二章 投标须知
一、招标服务范围
二、对投标资格要求
三、费用承担
四、招标答疑
第三章 关于投标文件
一、投标文件组成
1. 投标文件编订
2.投标文件修改、补充、撤回说明
3.投标文件编写注意事项
4.投标文件的签署和印刷规定
5.投标文件的数量、装订和密封规定
6.投标文件递交
7.投标语言及计量单位
8.关于投标报价
二、关于开标、评标、定标
1.开标
2.评标
3.定标
三、关于投标无效和招标失败
1.投标无效情况
2.招标失败情况
四、关于合同签署、付款和实施
1.合同签订
2.关于合同付款
五、关于保密
第四章 招标技术需求
一、项目概况
1.项目背景
2.项目目标
3.招标内容
第五章 技术标准和服务要求
一、技术标准和规范
二、招标人技术及管理要求
1.技术要求
2.进度与时间要求
3.输出过程文档
4.考核及验收要求
5.其他要求
第六章 附录
一、商务部分
附件1:投标文件封面
附件2:投标声明函
附件3:投标报价单
附件4:商务偏离表(仅描述偏离项)
附件5:技术偏离表(仅描述偏离项)
附件6:金融保险行业成功案例清单(2020—2022年)
附件7:资质、信誉文件列表清单
附件8:拟任本项目工作主要人员情况表
附件9:尽职调查表
附件10:法定代表人身份证明及授权委托书
附件11:投标保密承诺书
二、技术部分
1.等保测评备案实施方案
2.网络安全培训及其他增值服务实施方案
3.项目实施整体计划
4.项目售后服务方案
5.其他
中航安盟财产保险有限公司
2023年网络安全等级保护测评备案项目
第一章 招标公告
为贯彻落实国家《网络安全法》、等级保护制度以及上级监管部门的相关要求,中航安盟财产保险有限公司现针对2023年网络安全等级保护测评备案项目进行公开招标,现将招标有关事宜公告如下:
中航安盟财产保险有限公司2023年网络安全等级保护测评备案项目
本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对公司重要信息系统开展网络安全等级测评,提供差距项整改建议,出具等级保护测评报告,指导协助各公司进行整改加固,协助公司完成信息系统备案、公司全辖网络安全培训等相关工作,并最终通过成都市公安机关等保认证并获得由成都市公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
合同签订后,2个自然月内需完成测评服务及备案工作(不包含甲方整改时间)。
招标人指定地点。
1)凡是在中华人民共和国境内依照《中华人民共和国公司法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;
2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府及其它采购活动前三年内,在经营活动中没有重大违法记录;
(六)法律、行政法规规定的其他条件。
3)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
4)投标人提供的网络安全等级测评与检测评估机构服务认证证书与投标人营业执照上单位名称一致,且可在www.djbh.net上进行查询。
5)投标人不得直接或间接的与招标人为采购本次招标的货物和服务进行设计、编制规范和其他文件所委托的咨询公司或其附属机构有任何关联;
6)按照本投标邀请的规定,获得招标文件;
7)本项目不接受联合体投标。
有意参加该项目投标的单位应携带以下资料到招标人指定地点报名领取招标文件:(以下文件均需要盖章)
1)投标单位营业执照副本复印件;
2)必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》;(原件请一并携带用于核验)
3)法人身份证明或法人授权委托书及被授权人的身份证;
4)经会计师事务所出具的2022年度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件;
5)近三个月的缴纳社会保障资金的入账票据凭证复印件;
6)近三个月的依法缴纳税收的入账票据凭证复印件;
7)参加本次采购活动前三年内,在经营活动中没有重大违法记录的声明。
招标文件(电子版)领取时间:自本招标公告发布之日起5个工作日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。
招标文件领取地点:成都市高新区交子大道33号中国华商金融中心1号楼36层。联系人:张龙跃;联系电话:028-67670518。
8)投标保证金:10000元人民币
9)投标及标书投递:
投标书投递时间:自本招标公告发布之日起5个工作日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。
标书投递地址:见开标地点。
10)开标地点:
成都地址:成都市高新区交子大道33号中国华商金融中心1号楼36层;联系人:张龙跃;联系电话:028-67670518 。
11)评标办法:综合评分法。
12)公告时限:五个工作日
招标人信息:中航安盟财产保险有限公司
地 址:成都市高新区交子大道33号中国华商金融中心1号楼36层;联 系 人:张龙跃;联系方式:028-67670518
凡对本次招标提出询问,请按以上联系方式联系。
1)投标单位须在报名确认并领取招标文件后3日内(包含报名日)缴纳投标保证金人民币10000元整,并将投标保证金缴纳到本招标书指定的账号。
2)投标单位应按招标文件规定的金额和期限缴纳投标保证金,投标保证金作为投标文件的组成部分。提交投标保证金的投标单位须已报名本项目。投标单位与交款单位名称必须一致,投标单位必须从企业基本账户银行一次性缴交足额投标保证金,不接受现金或分批次缴款。非投标单位缴纳的投标保证金无效。
3)投标单位缴纳投标保证金后,请致电本招标书所描述联系人自行核对保证金是否有效并发送缴费凭证至联系人指定邮箱地址。
4)报名后未按要求缴纳投标保证金,报名无效。
5)投标保证金的退回:
(1)未中标公司的投标保证金在开标后30个工作日内予以无息退还。
(2)中标公司的投标保证金在中标方与招标方签订合同后30个工作日内予以无息退还。
6)投标保证金指定账号信息
公司基本账户信息如下:
账号:51001870836050914945
户名:中航安盟财产保险有限公司
开户行:中国建设银行成都新华支行
联行号:105651000604
注: 要求只能通过转账方式收取。
特此公告!
中航安盟财产保险有限公司
二〇二三年四月
第二章 投标须知
本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对公司重要信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告,指导协助各公司进行整改加固,协助公司完成信息系统备案等相关工作,在公司全辖范围内开展网络安全培训,并最终通过成都市公安机关等保认证并获得由成都市公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
1)凡是在中华人民共和国境内依照《中华人民共和国公司法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;
2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(六)法律、行政法规规定的其他条件。
3)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
4)投标人提供的网络安全等级测评与检测评估机构服务认证证书投标人营业执照上单位名称一致,并可在www.djbh.net上进行查询。
5)投标人不得直接或间接的与招标人为采购本次招标的货物和服务进行设计、编制规范和其他文件所委托的咨询公司或其附属机构有任何关联;
6)按照本投标邀请的规定,获得招标文件;
7)本项目不接受联合体投标。
投标人应自行承担所有与准备和参加投标有关的全部费用,不论投标的结果如何,招标人无义务和责任承担这些费用。
1)投标单位如对招标文件中所述内容有疑问,请按招标公告规定的投标截止时间和地点以书面或传真形式进行递交,招标单位将视情况对所有投标单位以书面形式进行答复。
2)招标单位收到投标单位提出的疑问后,由招标单位分别对投标单位所提的相关问题进行解答,书面答疑文件将作为招标文件的补充文件,并在规定投标截止时间前提供给所有投标单位。
3)招标单位对投标单位提出的疑问所做出的任何口头或电话询问与答复均属无效,以书面答疑为准。
4)在投标截止时间前,招标单位都有权对招标文件进行修改、补充,若原招标文件与后补充文件有矛盾时,以后补文件为准。
5)如果考虑到招标澄清或修改的内容会导致投标单位不能按期完成投标文件,招标单位有权延长投标截止日期。
第三章 关于投标文件
请按下列要求顺序装订,目录索引与投标书页码对应。
- 投标文件编订
以下文件均需要加盖公司公章,并在需要签名的位置手写签名。
- 投标文件封面目录(格式见附件1);
- 投标声明函(格式见附件2);
- 报价单(格式见附件3);
- 服务内容和标准承诺函(格式自定义);
- 商务偏离表(格式见附件4);
- 技术偏离表(格式见附件5);
- 2020—2022年金融行业成功案例清单列表(格式见附件6);
- 2020—2022年金融行业成功案例证明(案例合同甲乙双方盖章位置及服务内容复印盖章);
- 资质能力、信誉文件证明列表清单(格式见附件7)
10)营业执照副本复印件
11)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
12)投标企业法定代表人资格证明或法人授权委托书(格式见附件10);
13)拟担任本项目工作主要人员情况表,项目实际实施人员需与投保书承诺主要工作人员一致(格式见附件8)
14)企业信誉相关证明资料;
(1)经会计师事务所出具的2022年度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件;
(2)近三个月的缴纳社会保障资金的入账票据凭证复印件;
(3)近三个月的依法缴纳税收的入账票据凭证复印件;
15)联系人姓名、电话、传真、邮编、地址及身份证明;
16)尽职调查表(格式见附件9)
17)投标保证金凭证
18)投标保密承诺书(格式见附件11)
19)技术方案
20)投标文件电子版(投标书WORD版COPY进U盘,单独密封。)
投标人在投标截止时间前,可以对所递交的投标文件进行补充、修改或者撤回(仅限1次),并书面通知招标人。补充、修改的内容应当按招标文件要求签署、盖章,并作为投标文件的组成部分。
1)投标人必须保证所提供的全部资料的真实性、准确性,否则,将拒绝其投标。投标人在投标文件中提供不真实的材料,无论其材料是否重要,都将视为投标无效,并承担由此产生的法律责任。
2)投标人必须对本招标文件的每一项要求给予实质性响应,否则将视为不响应。“实质性响应”指符合招标文件所有要求、条款、条件和规定,且没有重大偏离。
3)投标人对本招标文件的每一项要求所给予的响应必须是唯一的。否则将视为不响应。
1)投标文件正本须打印并由投标人法定代表人或其委托代理人在正本和副本上要求的地方签字。
2)投标文件除签字外其余必须是印刷形式,其中不许有加行、涂抹或改写。
3)邮箱、电话、传真形式的投标概不接受。
1)投标人应准备投标文件的正本1套,副本1套,电子版1份(U盘存储),在每一份投标文件上要明确注明“正本” 或“副本”字样,U盘单独封装。一旦正本和副本内容有差异,以正本为准。
2) 投标人应将投标文件按照本章第1部分投标文件编订要求单独装订成册,在正副本封面上加盖公章并签字。
3)投标文件应装订牢固不可拆卸(如:胶订),如因装订不牢固导致的任何损失由投标人承担。
4)正本、副本及电子版分别独立封装,在每一封口处加盖公章,并在信封上标明投标人名称和联系方式信息。
1)投标人将投标文件按上述规定进行密封和标记后,按招标公告注明的地址在投标截止时间之前由专人送至或邮寄至招标采购单位。
2)招标单位将拒绝在投标截止时间后收到的投标文件。
3)一正一副本投递至成都指定地点(详见招标公告)。
1)投标文件及投标人和招标采购单位就投标交换的文件和来往信件,应以中文书写。投标人提供的支持文件、技术资料和印刷的文献可以用其他语言,但相应内容应附有中文翻译本,以中文为准。
2)计量单位应使用中华人民共和国法定公制计量单位。
综合考虑招标方信息系统等级保护测评工作量,并结合招标方测评工作的特殊性,将项目规划为按被测评信息系统级别进行单项核算,并给出汇总报价。
1)投标人必须以人民币报价。
2)投标人必须按招标文件指定格式正确填写报价单,报价单中相应内容的报价应计算正确。
3)每一项目的报价必须是唯一的。报价栏项目中如出现数字0,视报价为零,即免费;如出现空白,视为已响应但漏报价。
4)漏报的单价或每单价报价中漏报、少报的费用,视为此项费用已隐含在投标报价中,中标后不得再向采购人收取任何费用。
5)所有报价应包含本项目的所有费用(包含国家规定的所有税费)。
6)报价单的总报价大小写应该一致,大写金额和小写金额不一致的,以大写金额为准。
7)开标时,投标文件中报价单的总报价与投标文件中明细表的报价不一致的,以报价单的总报价为准。
8)投标文件的大写金额和小写金额不一致的,以大写金额为准;总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;单价金额小数点有明显错位的,应以总价为准,并修改单价;对不同文字文本投标文件的解释发生异议的,以中文文本为准。
1)由招标采购单位根据安排确定时间,并提前通知投标人。
1)招标单位根据项目招标需要组建评标委员会。
2)评标委员会将遵照公开、公平、公正、科学合理的评标原则,严格按照招标文件的要求和条件进行评标,平等地对待所有投标方,评标委员会综合分析投标方的各项指标择优定标,而不以单项指标的优劣评选出入围单位。
3)评标委员会将对投标文件进行审查、质疑、评估和比较;必要时,可对投标文件中的问题向投标方进行询问。
1)评标委员会综合评审,择优确定入围公司。
2)综合考虑以下因素评标定标:
(1)报价
(2)成功案例
(3)增值服务
3)不承诺最低价格方为中标公司。
4)不向落标方解释落标原因。
5)评标结束后,招标人将及时通过投标人所预留联系方式通知入围中标公司。入围公司2天内要给出明确答复,并与招标人洽谈合同事项。若因商务或其他原因无法达成协议,招标人有权选择第二入围公司。
6)招标人不再向未入围公司发出未中标通知。
7)入围公司在洽谈合同时,提出与招标文件规定相反的意见,如招标人不予认可而入围公司坚持不变的,招标人有权取消入围公司的中标资格,由此产生的后果和经济损失均由入围公司负责。
8)本招标书、入围公司的投标文件及其澄清文件等,均为签订经济合同的依据。
1)投标文件未密封;
2)投标声明函无单位盖章和法定代表人或法定代表人委托的代理人的印鉴;
3)投标文件不完整、不真实或未对招标文件做出实质的响应导致投标无效;
4)投标设备或服务明显不符合技术规格、技术标准的要求;
5)投标文件载明的货物包装方式、检验标准和方法等不符合招标文件的要求;
6)投标文件附有招标采购单位不能接受的条件;
7)投标文件逾期送达;
8)不满足招标文件中其他重要指标;
1)符合专业条件的投标人或者对招标文件作实质响应的投标人不足三家的;
2)出现影响采购公正的违法、违规行为的;
3)投标人的报价均超过了采购预算,采购人不能支付的;
4)因重大变故,采购任务取消的。
投标人将与招标人一起进行实施方案的细化确认,并经过商务谈判后才能签订合同。
项目实施完成并达成项目目标,在成都市公安局完成等保备案并由中标方提供相关证明,在招标人确认后20个工作日内,招标方支付合同金额的100%款项给中标方。(如投标书所承诺的增值服务项目未达标或未完成,将扣除相应款项,最高扣除合同总金额的10%)。
未经招标人和投标人许可,双方都不得将招标文件中关于采购人的系统现状及需求情况、建设情况提供给任何第三方。
第四章 招标技术需求
为贯彻落实国家《网络安全法》《网络安全等级测评要求》、等级保护制度以及上级主管部门的相关要求,深入开展中航安盟财产保险有限公司(以下简称招标人)网络及信息系统的安全隐患发现、安全隐患整治,提升中航安盟建设新形势下整体网络安全保障能力,开展2023年等级保护(以下简称等保)测评工作,确保公司信息系统安全稳定运维。
本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对招标人重要信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告报告,指导协助各公司进行整改加固,协助招标人完成信息系统备案备案等相关工作,在全辖开展网络安全培训,并最终通过成都市公安机关等保认证并获得由成都市公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
依据等保2.0相关要求,对中航安盟保险信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告,配合招标人在成都市公安局完成信息系统等级保护备案。
1)信息系统的信息安全等级定级和备案工作,必须确保每个信息系统定级、备案通过市级以上公安机关的备案手续,取得相应等级保护备案证明。
2)按照信息系统安全等级保护要求,对信息系统完成系统拓扑描绘及说明;协助信息系统业主方完善系统安全管理制度;对系统安全保护实施设计方案或改建实施方案提供咨询;出具成都市公安局认可的系统等级测评报告。
3)安全技术测评。包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面的安全测评。
4)安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全系统建设和安全系统运维五个方面的安全测评。
5)形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以、整改意见。
6)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务,并协助制定整改计划和确定信息按整改标准和整改结果达标确认。
7)等级测评,至少包括:
在系统整改完成后,按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。
编制测评报告。制定并提交《系统信息安全等级测评报告》,报告需提交公安机关网安部门备案,且能满足合规性要求,备案证明作为验收材料之一。
- 针对招标方开展一次全辖的网络安全培训,以实战和理论相结合的方式进行。
分类 | 子类 | 基本要求 |
安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
物理访问控制 | 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。 | |
防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; b) 应将通信线缆铺设在隐蔽安全处。 | |
防雷击 | 应将各类机柜、设施和设备等通过接地系统安全接地。 | |
防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 | |
防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 | |
防静电 | 应采用防静电地板或地面并采用必要的接地防静电措施。 | |
温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | |
电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 | |
电磁防护 | 电源线和通信线缆应隔离铺设,避免互相干扰。 | |
安全通信网络 | 网络架构 | a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 |
通信传输 | 应采用校验技术保证通信过程中数据的完整性。 | |
可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信 验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全区域边界 | 边界防护 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 |
访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。 | |
入侵防范 | 应在关键网络节点处监视网络攻击行为。 | |
恶意代码防范 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。 | |
安全审计 | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | |
可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行 可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全计算环境 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 |
访问控制 | a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。 | |
安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 | |
入侵防范 | a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; b) 应不需要的系统服务、默认共享和高危端口; c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 | |
恶意代码防范 | 应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 | |
可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
数据完整性 | 应采用校验技术保证重要数据在传输过程中的完整性。 | |
数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; b) 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。 | |
剩余信息保护 | 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 | |
个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; b) 应禁止未授权访问和非法使用用户个人信息。 | |
安全管理中心 | 系统管理 | a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对 这些操作进行审计; b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、 系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 |
审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | |
安全管理制度 | 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全 框架等。 |
管理制度 | a) 应对安全管理活动中的主要管理内容建立安全管理制度; b) 应对管理人员或操作人员执行的日常管理操作建立操作规程。 | |
制定和发布 | a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 | |
评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制 度进行修订。 | |
安全管理机构 | 岗位设置 | a) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; b) 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。 |
人员配备 | 应配备一定数量的系统管理员、审计管理员和安全管理员等。 | |
授权和审批 | a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; b) 应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程。 | |
沟通和合作 | a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 | |
审核和检查 | 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。 | |
安全管理人员 | 人员录用 | a) 应指定或授权专门的部门或人员负责人员录用; b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查。 |
人员离岗 | 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设 备。 | |
安全意识教育和培训 | 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 | |
外部人员访问管理 | a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; c) 外部人员离场后应及时清除其所有的访问权限。 | |
安全建设管理 | 定级和备案 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; c) 应保证定级结果经过相关部门的批准; d) 应将备案材料报主管部门和相应公安机关备案。 |
安全方案设计 | a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b) 应根据保护对象的安全保护等级进行安全方案设计; c) 应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后 才能正式实施。 | |
产品采购和使用 | a) 应确保网络安全产品采购和使用符合国家的有关规定; b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。 | |
自行软件开发 | a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; b) 应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。 | |
外包软件开发 | a) 应在软件交付前检测其中可能存在的恶意代码; b) 应保证开发单位提供软件设计文档和使用指南。 | |
工程实施 | a) 应指定或授权专门的部门或人员负责工程实施过程的管理; b) 应制定安全工程实施方案控制工程实施过程。 | |
测试验收 | a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; b) 应进行上线前的安全性测试,并出具安全测试报告。 | |
系统交付 | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责运行维护的技术人员进行相应的技能培训; c) 应提供建设过程文档和运行维护文档。 | |
等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; b) 应在发生重大变更或级别发生变化时进行等级测评; c) 应确保测评机构的选择符合国家有关规定。 | |
服务供应商选择 | a) 应确保服务供应商的选择符合国家的有关规定; b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。 | |
安全运维管理 | 环境管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理; b) 应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等; c) 应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 |
资产管理 | 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 | |
介质管理 | a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。 | |
设备维护管理 | a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; b) 应对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 | |
漏洞和风险管理 | 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响 后进行修补。 | |
网络和系统安全管理 | a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制; c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面做出规定; d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。 | |
恶意代码防范管理 | a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; b) 应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等; c) 应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时分析处理。 | |
配置管理 | 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补丁信息、各个设备或软件组件的配置参数等。 | |
密码管理 | a) 应遵循密码相关国家标准和行业标准; b) 应使用国家密码管理主管部门认证核准的密码技术和产品。 | |
变更管理 | 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。 | |
备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等; c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | |
安全事件处置 | a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等; c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。 | |
应急预案管理 | a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; b) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。 | |
外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定; b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。 |
分类 | 子类 | 基本要求 |
安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
物理访问控制 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 | |
防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; b) 应将通信线缆铺设在隐蔽安全处。 c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 | |
防雷击 | a) 应将各类机柜、设施和设备等通过接地系统安全接地。 b) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 | |
防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 | |
防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 | |
防静电 | a) 应采用防静电地板或地面并采用必要的接地防静电措施; b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 | |
温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | |
电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; c)应设置冗余或并行的电力电缆线路为计算机系统供电。 | |
电磁防护 | a) 电源线和通信线缆应隔离铺设,避免互相干扰; b)应对关键设备实施电磁屏蔽。 | |
安全通信网络 | 网络架构 | a) 应保证网络设备的业务处理能力满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 |
通信传输 | a) 应采用校验技术或密码技术保证通信过程中数据的完整性; b) 应采用密码技术保证通信过程中数据的保密性。 | |
可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全区域边界 | 边界防护 | a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制; c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制; d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 |
访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 | |
入侵防范 | a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 | |
恶意代码和垃圾邮件防范 | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 | |
安全审计 | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 | |
可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全计算环境 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
访问控制 | a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 | |
安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; d)应对审计进程进行保护,防止未经授权的中断。 | |
入侵防范 | a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; b) 应不需要的系统服务、默认共享和高危端口; c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | |
恶意代码防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | |
可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
数据完整性 | a) 应采用校验技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 | |
数据保密性 | a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 | |
数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; b) 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地; c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。 | |
剩余信息保护 | a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 | |
个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; b) 应禁止未授权访问和非法使用用户个人信息。 | |
安全管理中心 | 系统管理 | a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 |
审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | |
安全管理 | a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 | |
集中管控 | a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; f)应能对网络中发生的各类安全事件进行识别、报警和分析。 | |
安全管理制度 | 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
管理制度 | a) 应对安全管理活动中的主要管理内容建立安全管理制度; b) 应对管理人员或操作人员执行的日常管理操作建立操作规程; c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 | |
制定和发布 | a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 | |
评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 | |
安全管理机构 | 岗位设置 | a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; b)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; c)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。 |
人员配备 | a)应配备一定数量的系统管理员、审计管理员和安全管理员等; b) 应配备专职安全管理员,不可兼任。 | |
授权和审批 | a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度; c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 | |
沟通和合作 | a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 | |
审核和检查 | a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。 | |
安全管理人员 | 人员录用 | a) 应指定或授权专门的部门或人员负责人员录用; b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核; c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 |
人员离岗 | a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; b) 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 | |
安全意识教育和培训 | a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; b)应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训; c)应定期对不同岗位的人员进行技能考核。 | |
外部人员访问管理 | a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; c) 外部人员离场后应及时清除其所有的访问权限; d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 | |
安全建设管理 | 定级和备案 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; c) 应保证定级结果经过相关部门的批准; d) 应将备案材料报主管部门和相应公安机关备案。 |
安全方案设计 | a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件; c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 | |
产品采购和使用 | a) 应确保网络安全产品采购和使用符合国家的有关规定; b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; c)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 | |
自行软件开发 | a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; c)应制定代码编写安全规范,要求开发人员参照规范编写代码; d) 应具备软件设计的相关文档和使用指南,并对文档使用进行控制; e)应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测; f) 应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制; g)应保证开发人员为专职人员、开发人员的开发活动受到控制、监视和审查。 | |
外包软件开发 | a) 应在软件交付前检测其中可能存在的恶意代码; b) 应保证开发单位提供软件设计文档和使用指南; c)应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 | |
工程实施 | a) 应指定或授权专门的部门或人员负责工程实施过程的管理; b) 应制定安全工程实施方案控制工程实施过程; c)应通过第三方工程监理控制项目的实施过程。 | |
测试验收 | a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 | |
系统交付 | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责运行维护的技术人员进行相应的技能培训; c) 应提供建设过程文档和运行维护文档。 | |
等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; b) 应在发生重大变更或级别发生变化时进行等级测评; c) 应确保测评机构的选择符合国家有关规定。 | |
服务供应商选择 | a) 应确保服务供应商的选择符合国家的有关规定; b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务; c)应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 | |
安全运维管理 | 环境管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理; b)应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定; c) 应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 |
资产管理 | a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; c)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 | |
介质管理 | a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。 | |
设备维护管理 | a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; b) 应对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等; c)信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密; d)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。 | |
漏洞和风险管理 | a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; b)应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 | |
网络和系统安全管理 | a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制; c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定; d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容; f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为; g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; h)应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据; i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即接口或通道; j)应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。 | |
恶意代码防范管理 | a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; b)应定期验证防范恶意代码攻击的技术措施的有效性。 | |
配置管理 | a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补丁信息、各个设备或软件组件的配置参数等; b) 应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。 | |
密码管理 | a) 应遵循密码相关国家标准和行业标准; b) 应使用国家密码管理主管部门认证核准的密码技术和产品。 | |
变更管理 | a)应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施; b) 应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程; c)应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 | |
备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等; c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | |
安全事件处置 | a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等; c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训; d)对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。 | |
应急预案管理 | a)应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容; b) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; c)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练; d)应定期对原有的应急预案重新评估,修订完善。 | |
外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定; b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容; c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确; d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 |
信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:投标人的工作中的过程和文档,具有很好的规范性,以便于项目的跟踪和控制。
可控性原则:等保测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
1)投标人应详细描述本次项目整体实施方案,包括项目概述、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2)投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果作出专业判断以及出具等级测评报告等任务的能力。
投标人应配置有经验的测评人员进行本次等级保护测评工作。
投标人应以文件形式任命一名技术主管,并明确其在等级测评技术方面的职责,全面负责等级测评方面的技术工作。
3)投标人应保证有足够的能力满足测评工作要求,包括安全技术测评实施能力、安全管理测评实施能力、安全测试与分析能力、整体测评实施能力等。
4)投标人应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。应建立完善的测评项目管理制度,划分测评各阶段,明确各阶段的工作内容。
6)投标人应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、渗透测试工具等。
投标人应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
7)投标人应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保投标人各级人员能够理解和执行。应建立一套完善的管理体系文件,该体系文件应能覆盖机构日常工作和测评活动的各个方面。体系文件可以制度、手册、程序等形式发布执行,并应建立执行记录。
8)投标人应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务,应制定保证其公正性、客观性、诚实性的制度、程序或行为规范,并向客户和社会做出公正性声明或承诺,接受行为监督。
投标人的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。机构应保证其单位法人及主要工作人员身份的可信性,并可提供用于证明的机构注册资料和人员档案信息。
9)投标人应重视安全保密工作,指派安全保密工作的责任人。投标人应依据保密管理制度,定期对工作人员进行保密教育,投标人和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等,应制定保密管理制度,明确保密范围、各岗位的保密职责和保密要求。
投标人应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于:
a) 被测评单位提供的资料;
b) 等级测评活动生成的数据和记录;
c) 依据上述信息做出的分析与专业判断。
投标人应着重对被测单位的技术资料、测评数据、测评报告等信息进行保护。对上述信息资料应专门保管,对数据信息存储和借阅应严格控制。
10)投标人应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。机构应借助技术手段,如数据加密存储、传输、处理方式,保证数据的安全。同时防止存储测评数据信息的计算机非法外联、非受控移动存储设备接入、重要信息的互联网传输等问题的发生。
11)测评记录的规范性,测评记录应当清晰规范,并获得被测评方的书面确认;测评过程中的记录应按规定的格式填写,字迹要求清晰;数据结果应当现场记录,不得漏记、补记、追记;记录的更正应有规范性要求;测评记录应获得被测评方的确认。
12)测评报告的规范性,测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;
13)风险控制能力:投标人应充分估计测评可能给被测系统带来的风险,风险包括投标人由于自身能力或资源不足造成的风险、测试验证活动可能对被测系统正常运行造成影响的风险、测试设备和工具接入可能对被测系统正常运行造成影响的风险、测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。投标人应全面分析评估,针对不同风险,采取不同的规避和控制措施。包括合同评审、签署保密协议、风险告知确认、现场测评授权、系统备份、制定应急预案以及邀请全程监督等,做好防范和控制工作,避免为自身带来额外风险。
第五章 技术标准和服务要求
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)
《信息安全等级保护管理办法》
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护定级指南》(GB/T22240-2008)
《信息系统安全等级保护基本要求》(GB/T22239-2019)
《信息系统安全等级保护测评要求》(GB/T28448-2019)
《信息系统安全等级保护测评过程指南》(GB/T28449-2018)
《信息安全风险评估规范》(GB/T20984-2007)
《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)
《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 8449-2012)
《信息安全技术 计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息安全技术 信息系统密码应用基本要求》GB/T 39786-2021
如有最新规定按最新规定执行。
(1)具备较强的系统分析、问题判断和解决等方面的能力;
(2)对工作职责有充分认知,有较强的工作责任心,具备较好的沟通协调、口头表达能力,能够与客户进行良好的沟通。
(1)服务人员应严格遵守招标人各项规章制度及计算机信息行业的法律法规,保持安全、规范、清洁的工作环境,做好信息安全保护措施及计算机病毒的防范工作;
(2)数据或其他涉密信息传递时,应按照要求进行加密,通过电话或其他方式通知接受方;
(3)未经允许,切勿对自己或他人的计算机网络功能进行删除、修改或者增加;切勿私自安装病毒或其他含病毒软件;
(1)遵守用户的各项规章制度,严格按照用户相应的规章制度办事;
(2)与用户运行维护体系其他部门和环节协同工作,密切配合,共同开展技术支持工作;
(3)出现疑难技术、业务问题和重大紧急情况时,及时向负责人报告;
(4)现场技术支持时要精神饱满,穿着得体,谈吐文明,举止庄重;
(5)接听电话时要文明礼貌,语言清晰明了,语气和善;
遵守保密原则。对被支持单位的网络、主机、系统软件、应用软件等的密码、核心参数、业务数据等负有保密责任,不得随意复制和传播。
投标方应建立严格的质量保障体系和应急事件响应机制。投标人应配备技术人员进行远程支持。当有服务请求时,现场人员应在2小时内响应并进行处理,如遇故障,现场人员无法解决的,远程人员需在30分钟内响应并进行处理,如远程无法处理的,投标方需在2小时到达现场进行处理,如遇应急事件投标方须在10分钟响应并启动应急事件处理机制。
时间要求,合同签订后2个自然月达成项目目标。
完成内容:在服务期间内,按照中航安盟的管理要求,定期完成等级保护测评工作。针对用户使用过程中出现的系统业务支撑问题进行及时的解答、跟踪并及时反馈至管理部门。
本次信息系统等级保护测评活动,应针对各个阶段输出各自的过程文档,文档应包括但不限于以下方面:
《等级测评工作计划》
《信息系统调研表》
《信息系统测评方案》
《信息系统扫描方案》
《信息系统现场测评记录表》
《信息系统漏洞扫描报告》
《信息系统漏洞渗透测试报告》
本项目根据中航安盟相关项目管理办法进行考核及验收。
该项目需要达到的效果、质保期、售后服务及项目过程中和后期投标方所需提供的资料。
(1)招标工作完成,中标人须向中航安盟提交本项目的《测评方案》,该《测评方案》须从项目服务内容、范围、流程、人员、计划等方面进行详细阐述。
(2)投标方参加本项目现场工作的人员不少于3人,不得少于2个中级测评师。
(3)相关工作人员(项目经理、测评工程师)必须为中华人民共和国境内的中国公民,且无犯罪记录(提供身份证复印件及承诺函)。
(4)测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
(5)在项目过程中,安排专人对被测单位相关人员实施网络安全钓鱼演练。成功钓鱼人数大于等于30人,钓取内容包括邮箱密码,公司内部账号密码、商业信息等,Counter-Strike等远程工具上线数量大于等于10人。(在此基础上承诺的钓鱼数量越多加分越多)
(6)供应商应在项目实施结束后,结合被测单位的实际情况提供商用密码培训1次(培训内容包括:1.密评相关概念解读2.涉及法律法规宣贯3.密评具体工作科普4.密评典型案例解析等)且成交供应商培训人员须通过国家商业密码应用安全性评估人员能力考核认证。
第六章 附录
项目名称
投 标 文 件
项目名称:
投标单位(盖公章):
法 定 代 表 人
或其委托代理人(签字或盖章):
日 期: 年 月
项目名称:
日期:
中航安盟财产保险有限公司:
我公司(单位)_______________已仔细研究并了解(项目名称) 招标文件的全部内容,愿意以人民币(大写) 元(¥ )的投标总报价进行投标,投标文件中所有关于投标资格证明文件、内容陈述等均是真实的、准确的,若有违背,我公司愿意承担由此而产生的一切后果。
投标方代表签字:
投标方公章:
序号 | 等保备案系统名称 | 等级 | 数量(套) | 报价 (元) | 备注 |
1 | 核心业务系统(包括子系统) | 3 | 1 | | 增值服务内容描述 |
2 | 财务系统(包括子系统) | 3 | 1 | | |
3 | 互联网业务平台(包括子系统) | 3 | 1 | | |
4 | 办公系统(包括子系统) | 2 | 1 | | |
5 | 邮箱系统 | 2 | 1 | | |
6 | 公司官网 | 2 | 1 | | |
7 | 合计 | / | 6 | | |
10 | 合计大写金额 | | |
(需要完善)
说明:
1、此表可延长,合计报价分别以大写、小写格式进行填写。
2、此表应包含本投标项目所有产品及模块报价。
3、此“备注”栏可详细描述具体的服务优惠方案,可包括且不限于售后服务,培训等。
序号 | 招标文件要求 | 投标响应 | 差异 | 差异原因 |
| | | | |
| | | | |
| | | | |
| | | | |
序号 | 招标文件要求 | 投标响应 | 差异 | 差异原因 |
| | | | |
| | | | |
| | | | |
| | | | |
序号 | 被测评单位名称 | 行业 | 测评系统 | 备案等级 | 合同证明文件在投标书中的页码 |
1 | | | | | |
2 | | | | | |
3 | | | | | |
4 | | | | | |
序号 | 资质、信誉(资信证明、获奖等)文件名称 | 获取时间 | 描述 | 在投标书中位置页码 |
1 | | | | |
2 | | | | |
3 | | | | |
请在此依次附上资质、信誉文件复印件。加盖公章。
姓 名 | | 性别 | | 出生年月 | |
职 称 | | 学历 | | 毕业时间 | |
毕业院校 | | 所学专业 | | ||
专业工作年限 | | 从事相关工作年限 | | ||
工作邮箱 | | 联系电话 | | ||
拟在本项目工作中承担的职务 | | ||||
资格证书名称/级别/编号 | | ||||
主要工作经历及业绩: |
注:1、“主要人员”是指本项目负责人及实施人员;
2、本表应相应附有本项目负责人身份证、职称证书、资格证书等复印件及业绩证明材料。
3、资格证书请尽量完整地填写各类信息安全证书、等保测评类证书和商密测评类证书。
投 标 人: (盖公章)
法定代表人或其委托代理人: (签字或盖章)
日 期: 年 月 日
中航安盟财产保险有限公司采购尽职调查表
鉴于贵公司/贵组织(以下简称贵公司或公司)拟参加中航安盟财产保险有限公司(以下简称中航安盟公司)采购事项,为保证采购事项公平、公正,请贵公司填写以下事项,并加盖公章。本《采购尽职调查表》为采购投标(包括单一来源采购)的必要文件。如填写虚假信息,将取消投标资格,并列入中航安盟公司采购黑名单,对于发现有舞弊或违法事项,将进一步追究相关人员责任。贵公司如中标,本《采购尽职调查表》将作为与中航安盟公司签订的采购合同的组成部分。
(贵公司为政府机关、军队、银行、保险公司、证券公司、期货公司、信托公司、股东方关联公司不需要填写此表)
1.公司名称:
2.公司成立时间:
3.公司注册资金:
4.公司注册地址:
5.公司在采购项目实际使用或实施地的地市级行政区域内是否有经营机构(如有,请填写办公地址):
6.负责本次采购投标的联系人是否为公司正式员工,请填写联系人姓名、职务、电话:
7.公司营业执照所列经营范围:
8.公司是否具有与采购项目有关的资质(资质指政府规定提供与本次采购相关的商品或服务必须具备的资质,不包括已获奖励、认证等,如有请具体说明):
9.公司股东与实际控制人(实际控制人是指:持有公司50%以上股份,或对公司具有实际决定权):
10.投标的项目是否需要第三方授权(如是,请说明是否已取得第三方授权,需要授权事项包括但不限于知识产权、肖像权等):
11.公司是否承诺,因公司提供的商品或服务中存在未授权的事项(不包括中航安盟公司提供或附加的部分),因此产生的一切责任均由公司承担(如否,请说明理由):
12.公司近三年是否被列为失信执行人(如有,请具体说明):
13.公司近三年是否被列入制裁名单(如有,请具体说明):
14.公司近三年是否存在违规缴纳社保、偷漏税款的情况(如有,请具体说明):
15.公司近三年是否受到过政府或行政主管部门的行政处罚(如有,请具体说明):
16.公司近三年在工商行政管理部门、税务部门登记的存续状态是否正常(如存在异常提示,请具体说明):
17.公司是否能够遵守反洗钱的有关规定(如否,请说明理由):
18.公司当期资产负债率(资产负债率如超过70%时,请简要说明原因,并分析是否会影响合同的履行):
19.公司知悉本次采购招标的时间与途径:
20.公司实际控制人、股东、负责人、与采购项目有关的人员及上述人员其近亲属,是否与中航安盟公司高管、采购承办部门/机构的人员具有亲属、合作与合伙,或其他存在利益关联的关系(如有,请具体说明):
21.中航安盟公司高管、采购承办部门/机构的人员是否现在或曾经在公司任职,或与公司有过其他合作(如有,请具体说明):
22.公司相关人员是否与中航安盟公司高管、采购承办部门/机构的人员存在商务宴请、馈赠礼品礼金,变相旅游或其他给予利益的行为(如有,请具体说明):
23.公司近三年是否作为投标方投标过中航安盟公司采购项目(如有,请逐项说明):
24.公司近三年是否中标过中航安盟公司采购项目(包括单一来源采购,如有,请逐项说明):
公司盖章:
经办人签字:
填写日期: 年 月 日
法定代表人身份证明书
本授权委托书声明:我__________(姓名)系___________(投标方)的法定代表人,现授权委托________(投标方)的____________(姓名)身份证号为____________为我司代理人,以本公司的名义参加____________(招标人)的___________________________项目的投标活动。投标方在开标、评标、合同谈判、签署合同过程中所签署的一切文件和处理与之有关的一切事务,我均予以承认。代理人无转委权利。特此委托。
(附:法定代表人身份证正反面复印件)
致:中航安盟财产保险有限公司
(以下简称“我司”)希望参与中航安盟财产保险有限公司(以下简称“贵司”)的 (以下简称“本项目”)项目建设。在本项目投标过程中,贵司同意向我公司提供有关本项目的相关信息和技术资料,前提是我公司必须根据本承诺书的规定对所提供的信息和资料严格履行保密责任,并且仅为对本项目的招投标及项目实施之目的而使用。
为了对保密信息予以有效保护,我公司同意做出以下承诺:
- 相关信息和资料的定义
本承诺书所称的“相关信息和技术资料”是指贵司向我公司提供的招标文件内容以及有关本项目实施过程中涉及的全部未向社会公开的信息,无论是书面的、口头的、图形的、电子的或其他任何形式的信息。
- 保密义务
- 我公司同意严格保密本次项目招投标所提供的相关信息和技术资料。
- 我公司保证采取所有必要的方法对本次项目招投标所提供的相关信息和技术资料进行保密,严禁非授权透露、使用、复制本次项目招投标所提供的相关信息和技术资料。
- 未经贵司书面同意,我公司不得因任何理由以任何方式透露本次项目招投标所提供的相关信息和技术资料。
- 方式和不适用的义务
本次项目招投标所提供的相关信息和技术资料只能被我公司用于进行本次参与招投标及中标后的项目实施,我公司不能将本次项目招投标所提供的相关信息和技术资料用于其他任何目的。
除我公司参与招投标的人员和直接参与本次项目实施的员工外,我公司不能将本次项目招投标所提供的相关信息和技术资料透露给其他任何人;未经贵司书面同意,我公司不得将本次项目招投标所提供的相关信息和技术资料向新闻媒体予以公开披露或者发表声明。
我公司应当告知参与本次招投标的员工或我公司聘请的相关人员遵守本保密协议书的约定,并应采取必要措施,确保其参与本次招投标和项目实施的员工和外聘人员履行保密义务。若参与本项工作之员工或外聘人员违反本保密协议的约定,泄露了贵司所提供的相关信息和技术资料,依据本承诺书约定,我公司应与泄密员工或外聘人员承担连带责任。
- 相关信息和资料的交回
当贵司以书面形式要求我公司交回本次项目招投标所提供的相关信息和技术资料时,我公司应立即交回所有书面的或其他有形的相关信息和资料以及所有描述和概括该相关信息和资料的文件。我公司在交回以上有关资料前未经贵司的允许不得采取抄写、复印、拷贝等任何方式留存相关信息和资料
没有贵司的书面许可,我公司不得丢弃和处理任何书面的或其他有形的相关信息和资料。
- 违约责任
我公司如违约泄露本次项目招投标所提供的相关信息和技术资料,应当按照贵司的指示采取一切必要措施对违约行为予以补救,包括采取有效方法对该专有信息进行保密,所需费用由我公司承担。
我公司应当赔偿贵司因我公司违约而造成的所有损失。
- 保密期限
自本承诺书生效之日起,双方的合作交流都要符合本承诺书的约定,除非贵司通过书面通知明确说明,本承诺书所涉及的某项信息和资料可以不用保密,我公司必须按照本承诺书所承担的保密义务在所接收的信息和资料被社会公知前对所收到的相关信息和资料进行保密,保密期限不受本承诺书有效期限的限制。
- 其他
- 本承诺书受中华人民共和国法律管辖,并在所有方面依其进行解释。
- 由本承诺书产生的一切争议由双方友好协商解决。协商不成,双方可向有管辖权的人民法院提起诉讼。
- 本承诺书自我公司加盖公章之日起生效。
我司方信息接口人:
姓名:
身份证号:
联系电话:
返回顶部