一、项目信息
项目名称:杭州职业技术学院信息中心2024年网络安全等级保护评测项目
项目编号:62024091483038967
项目联系人及联系方式: 程老师 17376573100
报价起止时间:2024-09-14 14:31 - 2024-09-20 11:30
采购单位:杭州职业技术学院
供应商规模要求: -
供应商资质要求: -
二、采购需求清单
商品名称
参数要求
购买数量
控制金额(元)
意向品牌
测试评估认证服务
核心参数要求:
商品类目: 测试评估认证服务; 描述:详见采购需求表;
次要参数要求:6个
199999.98
-
买家留言:-
附件: 网络等保技术标准、服务标准.docx
响应附件要求:请供应商上传相应资质文件及响应文件
三、收货信息
送货方式: 送货上门
送货时间: 工作日09:00至17:00
送货期限: 竞价成交后7个工作日内
送货地址: 浙江省 杭州市 钱塘区 白杨街道 学源街68号
送货备注: -
四、商务要求
商务项目
商务要求
技术参数(标准)
针对杭州职业技术学院信息6个信息系统进行资产梳理、定级备案、差距分析、规划整改、整改实施、辅助测评等相关流程提供等保咨询服务,具体内容如下: (1)依据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GBT22239-2019《信息安全技术网络安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求,对需定级的系统进行等级保护基本要求符合性的调查,采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析报告; (2)依据信息系统安全保护等级所应达到的防护要求,结合信息系统等级保护差距分析结果,对在技术、管理层面不符合等级保护标准要求的环节,采取适当的纠正措施,以达到等级保护基本要求为目的,设计信息系统等级保护体系建设方案,为后续信息系统的网络安全等级保护安全建设提供依据; (3)依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题,确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求,能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在第一时间恢复部分功能。
服务要求(1)
一、公司资质要求: (一)符合政府采购法第二十二条之供应商资格规定 (二)需具备《网络安全等级测评与检测评估机构服务认证证书》 二、技术要求: 根据国家网络安全等级保护相关标准,实施方对杭州职业技术学院信息系统安全等级保护测评的内容包括但不限于以下内容: 安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评; 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评; (一)等级测评要求 1)实施方应在对本单位系统详细了解的基础上,编制针对性的等级保护测评整体实施方案,包括项目概述、等级测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。 2)实施方应详细描述测评人员的组成、资质及各自职责的划分。实施方应配置有经验的测评人员进行本次等级测评工作。 3)本次等级测评实施过程中所使用到的各种工具软件由实施方推荐,经采购方确认后由实施方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。 4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。 5)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由实施方推荐,经采购方确认后由实施方提供并在测评中使用。 6)安全测评需要的运行环境(如场地、网络环境等)由采购方提供,实施方应详细描述需要的运行环境的具体要求。 7)项目完成后必须提交完整的技术文档、测评报告、整改建议等。
服务要求(2)
(二)项目实施要求 1)实施方应保证投标项目在采购方条件成熟时应立即开展实施; 2)实施方在项目实施过程中应服从采购方的统一领导和协调,采购方有权裁决实施方的责任范围,实施方必须执行,在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容,采购方有权中止项目、索赔或拒付款项; 3)实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件; 4)实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成; 5)测评项目负责人必须具有5年以上的测评工作经验。承担本次测评项目的项目经理必须同时具有高级测评师、信息安全保障人员认证证书(CISAW)、国家重要信息系统保护人员培训证书(CIIPT)、信息安全管理系统审计认证(DNV)、商用密码应用安全性评估人员测评能力证书、CCRC数据合规官证书、渗透测试认证证书(NSCP)(合同签订时提供证书复印件)。 三、测评报告要求 实施方应对采购人的信息系统进行等级保护测评,形成相应的报告。 1)实施方在测评完成后,出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评报告; 2)对不符合信息安全等级保护有关管理规范和技术标准的,实施方出具可行的信息系统整改建议,并指导用户方整改; 3)实施方协助用户方办理信息系统安全等级保护备案手续等相关工作。