招标
2021年开化县财政局信息安全等级保护测(复)评服务项目询价公告
金额
-
项目地址
-
发布时间
2021/08/25
公告摘要
公告正文
根据工作需要,开化县财政局将对本局信息系统进行安全等级复测评,面向社会进行服务采购询价。
一、询价响应人资格要求:
(一)符合《中华人民共和国政府采购法》第二十二条规定的供货商资格要求。
(二)具备浙江省信息安全等级保护协调小组公布的浙江省信息安全等级保护工作领导小组办公室推荐测评机构名单的推荐资格。
二、服务内容
具体系统:
服务内容:等级保护测评、漏洞扫描以及渗透测试。等级保护测评应分析应用系统的安全保护措施、等级保护相应级别之间的差距,开展合规分析,为加固整改提供客观依据,测评的内容包括但不限于以下内容:
(一)安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中 心、安全管理制度、安全管理机构、安全管理人员、 安全建设管理、安全运维管理)。
(二)现场测评完成后的整改建议服务。
三、依据标准
实施方应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
(一)GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求;
(二)GB/T 22240-2019 信息安全技术 信息系统安全等级保护定级指南;
(三)GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南;
(四)GB/T 28448-2019 信息安全技术 信息系统安全等级保护测评要求。
四、服务要求
(一)本次等级保护测评询价的要求
1. 响应供应商应提交浙江省信息安全等级保护协调小组公布的浙江省信息安全等级保护工作领导小组办公室推荐测评机构名单。
2. 各系统复测评报价。
3. 响应供应商应提交测评人员的组成、资质及各自职责的划分。响应供应商应配置有经验的测评人员进行本次等级保护测评工作。供应商实施骨干技术人员至少包含1名高级测评师,实施骨干技术人员至少包含2名中级测评师。(项目人员(须本公司员工)必须具有5年以上的测评工作经验,具有高级测评师证书、咨询工程师证书、软件性能测试高级工程师证书、注册网络安全防护工程师证书。中标后必须提供复印件(原件备查),无法提供视为无效应标)。
4. 本次等级保护测评实施过程中所使用到的各种工具软件由响应供应商推荐,经采购人确认后由响应供应商提供并在测评中使用。
5. 安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由响应供应商推荐,经采购人确认后由响应供应商提供并在测评中使用。
6. 安全测评需要的运行环境(如场地、网络环境等)由采购人提供。
注:供应商需在询价响应文件中提供包括且不仅仅包括
以下材料:
1) 《信息系统整体测评实施方案》
2) 《开化县财政局信息安全等级复测评报价》
3) 《安全测评工具清单》
(二)项目实施要求
1. 实施方应保证项目在采购方条件成熟时应立即开展实施;
2. 实施方在项目实施过程中应服从采购方的统一领导和协调,采购方有权裁决实施方的责任范围,实施方必须执行,在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容,采购方有权中止项目、索赔或拒付款项;
3. 实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件;
4. 实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成;
5. 项目完成后,要求提供为期一年的安全咨询服务。
(三)项目要求
1. 本项目的目标是输出等级保护测评报告,并协助办理信息系统安全保护测评备案手续。
2. 响应供应商应对所有正式交付件的综合质量审查负责。
3. 响应供应商应提交验收方案,供采购人参考。
4. 测评流程全部结束后,供应商出具项目总结资料作为验收依据。
5. 供应商出具的所有项目成果必须符合主管部门要求并完成等级保护备案。
(四)其它服务需求
1. 测评结束后,针对每个测评的系统提出可行的整改方案,出具一份整改建议书,并提供整改咨询,并配合招标方做好整改工作的服务。
2. 提供安全渗透测试服务:针对三级系统采用完全模拟入侵者可能采用的攻击技术和漏洞发现技术,利用专家经验对用户系统进行非破坏性质的模拟攻击,发现系统的最脆弱的环节和弱点等安全问题,为进一步加固信息系统提供了依据,并出具渗透测试报告。
3. 提供漏洞扫描服务:提供对系统进行全面的深度漏洞扫描服务,深度漏洞扫描覆盖的内容包括:WPB扫描(覆盖 OWASP TOP10)、WEB扫描覆盖安全测试检查、逐级扫描覆盖安全测试检查等,并出具漏洞扫描报告。
4. 提供安全培训:开展至少一次网络安全培训,招标方根据工作需要,要求中标方派遣专家提供网络安全方面的培训,培训内容包括但不仅限于以下内容:网络安全法律法规解读;关键信息基础设施管理、防护和运维知识培训;网络安全意识培训;网络安全等级保护知识培训等。
五、项目完成
本项目输出包括且不仅仅包括以下成果:
1. 《信息系统等级保护测评报告》
2. 《信息系统等级保护整改建议书》
请符合要求的供应商,在9月5日前,将报价文件密封并加盖公章,邮寄至开化县财政局(开化县永吉2路6号),数字中心收,联系人:徐旭明,电话:0570-6022984。
开化县财政局
2020/8/25
一、询价响应人资格要求:
(一)符合《中华人民共和国政府采购法》第二十二条规定的供货商资格要求。
(二)具备浙江省信息安全等级保护协调小组公布的浙江省信息安全等级保护工作领导小组办公室推荐测评机构名单的推荐资格。
二、服务内容
具体系统:
序号 | 系统名称 | 系统等级 | 备注 |
1 | 开化县财政局财政网络 | 三级 | 复测 |
2 | 金财工程一体化系统 | 三级 | 复测 |
服务内容:等级保护测评、漏洞扫描以及渗透测试。等级保护测评应分析应用系统的安全保护措施、等级保护相应级别之间的差距,开展合规分析,为加固整改提供客观依据,测评的内容包括但不限于以下内容:
(一)安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中 心、安全管理制度、安全管理机构、安全管理人员、 安全建设管理、安全运维管理)。
(二)现场测评完成后的整改建议服务。
三、依据标准
实施方应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
(一)GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求;
(二)GB/T 22240-2019 信息安全技术 信息系统安全等级保护定级指南;
(三)GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南;
(四)GB/T 28448-2019 信息安全技术 信息系统安全等级保护测评要求。
四、服务要求
(一)本次等级保护测评询价的要求
1. 响应供应商应提交浙江省信息安全等级保护协调小组公布的浙江省信息安全等级保护工作领导小组办公室推荐测评机构名单。
2. 各系统复测评报价。
3. 响应供应商应提交测评人员的组成、资质及各自职责的划分。响应供应商应配置有经验的测评人员进行本次等级保护测评工作。供应商实施骨干技术人员至少包含1名高级测评师,实施骨干技术人员至少包含2名中级测评师。(项目人员(须本公司员工)必须具有5年以上的测评工作经验,具有高级测评师证书、咨询工程师证书、软件性能测试高级工程师证书、注册网络安全防护工程师证书。中标后必须提供复印件(原件备查),无法提供视为无效应标)。
4. 本次等级保护测评实施过程中所使用到的各种工具软件由响应供应商推荐,经采购人确认后由响应供应商提供并在测评中使用。
5. 安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由响应供应商推荐,经采购人确认后由响应供应商提供并在测评中使用。
6. 安全测评需要的运行环境(如场地、网络环境等)由采购人提供。
注:供应商需在询价响应文件中提供包括且不仅仅包括
以下材料:
1) 《信息系统整体测评实施方案》
2) 《开化县财政局信息安全等级复测评报价》
3) 《安全测评工具清单》
(二)项目实施要求
1. 实施方应保证项目在采购方条件成熟时应立即开展实施;
2. 实施方在项目实施过程中应服从采购方的统一领导和协调,采购方有权裁决实施方的责任范围,实施方必须执行,在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容,采购方有权中止项目、索赔或拒付款项;
3. 实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件;
4. 实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成;
5. 项目完成后,要求提供为期一年的安全咨询服务。
(三)项目要求
1. 本项目的目标是输出等级保护测评报告,并协助办理信息系统安全保护测评备案手续。
2. 响应供应商应对所有正式交付件的综合质量审查负责。
3. 响应供应商应提交验收方案,供采购人参考。
4. 测评流程全部结束后,供应商出具项目总结资料作为验收依据。
5. 供应商出具的所有项目成果必须符合主管部门要求并完成等级保护备案。
(四)其它服务需求
1. 测评结束后,针对每个测评的系统提出可行的整改方案,出具一份整改建议书,并提供整改咨询,并配合招标方做好整改工作的服务。
2. 提供安全渗透测试服务:针对三级系统采用完全模拟入侵者可能采用的攻击技术和漏洞发现技术,利用专家经验对用户系统进行非破坏性质的模拟攻击,发现系统的最脆弱的环节和弱点等安全问题,为进一步加固信息系统提供了依据,并出具渗透测试报告。
3. 提供漏洞扫描服务:提供对系统进行全面的深度漏洞扫描服务,深度漏洞扫描覆盖的内容包括:WPB扫描(覆盖 OWASP TOP10)、WEB扫描覆盖安全测试检查、逐级扫描覆盖安全测试检查等,并出具漏洞扫描报告。
4. 提供安全培训:开展至少一次网络安全培训,招标方根据工作需要,要求中标方派遣专家提供网络安全方面的培训,培训内容包括但不仅限于以下内容:网络安全法律法规解读;关键信息基础设施管理、防护和运维知识培训;网络安全意识培训;网络安全等级保护知识培训等。
五、项目完成
本项目输出包括且不仅仅包括以下成果:
1. 《信息系统等级保护测评报告》
2. 《信息系统等级保护整改建议书》
请符合要求的供应商,在9月5日前,将报价文件密封并加盖公章,邮寄至开化县财政局(开化县永吉2路6号),数字中心收,联系人:徐旭明,电话:0570-6022984。
开化县财政局
2020/8/25
返回顶部