招标
“网络安全等级保护测评”询价公告
金额
19.8万元
项目地址
江苏省
发布时间
2020/10/13
公告摘要
公告正文
“网络安全等级保护测评”询价公告
[2020-079]
公司:
我校拟采购“网络安全等级保护测评”服务,采购预算19.8万 元。
一、供应商资质要求:提供相关证明文件并加盖单位公章
1.投标人应遵守国家有关的法律、法规,并具备《中华人民共和国政府采购法》第二十二条和本文件规定的条件;提供营业执照复印件
2.具有网络安全等级保护推荐证书;
3.具有ISO9001质量管理体系证书,且认证范围包括网络信息安全等级保护测评服务;
4.具有ISO 27001安全管理体系证书,且认证范围包括网络信息安全等级保护测评服务;
5.具有ISO/IEC 20000信息技术服务管理体系证书,且认证范围包括网络信息安全等级保护测评服务;
6.具有中国网络安全审查技术与认证中心颁发的软件安全开发服务资质;
7.具有中国网络安全审查技术与认证中心颁发的网络安全审计服务资质;
8.具有中国网络安全审查技术与认证中心颁发的信息系统灾难备份与恢复服务资质。
二、服务项目及服务期限
中国矿业大学拟采购“网络安全等级保护测评”技术服务一项,
1.网络安全等级保护测评系统名称:
校园一卡通系统(三级)、学校主页系统(三级)、办公自动化系统(二级)、教务系统(二级)、科研管理系统(二级)。
2.服务时间:合同签订后30个工作日内完成测评。
三、等级保护测评技术要求
1.等级保护测评
根据等保2.0三级等级保护要求,对系统进行测评分析,对评估对象的现状作记录,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;按照用户系统现状对应的管理要求进行测评分析,对评估对象的现状作记录,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
2.识别信息安全风险
通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
3.增强安全防护能力
依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
4.测评结果分析
(1)单项测评结果判定
(2)单元测评结果判定
(3)整体测评分析
(4)形成测评分析报告
(5)针对测评分析报告的整改建议
5.渗透测试要求
选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。
(1)渗透测试的内容
工作内容包括渗透测试及提供漏洞修复方案。
本次渗透测试工作为黑盒测试。
(2)需要包含如下阶段
前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。
信息搜集阶段:采用各种方法搜集用户方的所有相关信息。
威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。
渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。
后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危害用户应用系统的工作行为,遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自修改、拷贝用户数据,不得泄露、传播用户的敏感信息,如有违反将负法律责任。
四、服务人员要求,提供相关证明文件
1.项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。
2.项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。
3.项目经理具备:信息安全等级测评师证书(高级);信息安全保障人员认证证书(安全管理、安全运维、风险管理或应急服务的专业级及以上);PMP项目经理证书;中国信息安全测评中心颁发的CISP证书(需提供证书及社保证明复印件)。
4.拟投入团队人员(项目经理除外):具有信息安全等级测评师证书(中级及以上)的至少三人,具有信息安全保障人员认证证书的至少两人(需提供证书及社保证明复印件)。
5.供应商至少提供具有CISP证书的2个人员1个月驻场服务(需提供证书)。人员驻校期间,随用户作息时间签到,服从客户加班时间安排。如签订合同后,投标方未按照所投人员提供驻场服务,甲方有权废除合同。
五、工具配备要求
1.投标人必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web漏洞扫描系统。
2.投标人必须在技术方案内明确专项检查所需要的所有技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。
六、服务成果要求
本次安全服务应提交以下成果:
1.《网络安全等级保护测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
2.《信息系统渗透测试报告》,包含但不限于如下方面的内容:渗透测试的方法、目标、范围;测试的人员、时间、策略;测试的工具、风险规避措施。测试的过程、漏洞利用截图,测试的结果等。
七、其他要求
1.本项目技术联系人:苏老师13685199719;
2.报价文件提供详细服务方案;
3.报价要求:报价包含提供服务等所有费用。
4.付款方式:合同签订后完成测评工作、出具测评报告、完成驻场时间后,一次性支付合同款额。
八、报价文件制作要求:
1.询价公告号、项目名称、供应商名称;
2.报价清单,并加盖公章;
3.技术及商务偏离表;
4.报价文件提供本项目详细服务方案;
5.报价文件提供“一、供应商资质要求”的相关资质材料;
6.报价文件提供“四、服务人员要求”的服务人员名单及相关证明材料;
7.报价文件提供“五、工具配备要求”的相关内容;
8.供应商联系人及联系方式
9.报价文件制作及寄送要求:
报价文件制作两份,要求密封,外部注明询价公告号(2020-079)及公司名称,于2020年10月20日11:00前报送我处。
由于防疫工作要求,学校封闭管理,请发送顺丰快递(其他快递一概退回)
邮寄地址:江苏省徐州市铜山区大学路1号中国矿业大学南湖校区校行政办公楼C206采购管理办公室,王磊收,电话:0516-83590283,邮编:221116。
中国矿业大学财务处采购管理办公室
2019年10月13日
[2020-079]
公司:
我校拟采购“网络安全等级保护测评”服务,采购预算19.8万 元。
一、供应商资质要求:提供相关证明文件并加盖单位公章
1.投标人应遵守国家有关的法律、法规,并具备《中华人民共和国政府采购法》第二十二条和本文件规定的条件;提供营业执照复印件
2.具有网络安全等级保护推荐证书;
3.具有ISO9001质量管理体系证书,且认证范围包括网络信息安全等级保护测评服务;
4.具有ISO 27001安全管理体系证书,且认证范围包括网络信息安全等级保护测评服务;
5.具有ISO/IEC 20000信息技术服务管理体系证书,且认证范围包括网络信息安全等级保护测评服务;
6.具有中国网络安全审查技术与认证中心颁发的软件安全开发服务资质;
7.具有中国网络安全审查技术与认证中心颁发的网络安全审计服务资质;
8.具有中国网络安全审查技术与认证中心颁发的信息系统灾难备份与恢复服务资质。
二、服务项目及服务期限
中国矿业大学拟采购“网络安全等级保护测评”技术服务一项,
1.网络安全等级保护测评系统名称:
校园一卡通系统(三级)、学校主页系统(三级)、办公自动化系统(二级)、教务系统(二级)、科研管理系统(二级)。
2.服务时间:合同签订后30个工作日内完成测评。
三、等级保护测评技术要求
1.等级保护测评
根据等保2.0三级等级保护要求,对系统进行测评分析,对评估对象的现状作记录,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;按照用户系统现状对应的管理要求进行测评分析,对评估对象的现状作记录,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
2.识别信息安全风险
通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
3.增强安全防护能力
依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
4.测评结果分析
(1)单项测评结果判定
(2)单元测评结果判定
(3)整体测评分析
(4)形成测评分析报告
(5)针对测评分析报告的整改建议
5.渗透测试要求
选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。
(1)渗透测试的内容
工作内容包括渗透测试及提供漏洞修复方案。
本次渗透测试工作为黑盒测试。
(2)需要包含如下阶段
前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。
信息搜集阶段:采用各种方法搜集用户方的所有相关信息。
威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。
渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。
后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危害用户应用系统的工作行为,遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自修改、拷贝用户数据,不得泄露、传播用户的敏感信息,如有违反将负法律责任。
四、服务人员要求,提供相关证明文件
1.项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。
2.项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。
3.项目经理具备:信息安全等级测评师证书(高级);信息安全保障人员认证证书(安全管理、安全运维、风险管理或应急服务的专业级及以上);PMP项目经理证书;中国信息安全测评中心颁发的CISP证书(需提供证书及社保证明复印件)。
4.拟投入团队人员(项目经理除外):具有信息安全等级测评师证书(中级及以上)的至少三人,具有信息安全保障人员认证证书的至少两人(需提供证书及社保证明复印件)。
5.供应商至少提供具有CISP证书的2个人员1个月驻场服务(需提供证书)。人员驻校期间,随用户作息时间签到,服从客户加班时间安排。如签订合同后,投标方未按照所投人员提供驻场服务,甲方有权废除合同。
五、工具配备要求
1.投标人必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web漏洞扫描系统。
2.投标人必须在技术方案内明确专项检查所需要的所有技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。
六、服务成果要求
本次安全服务应提交以下成果:
1.《网络安全等级保护测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
2.《信息系统渗透测试报告》,包含但不限于如下方面的内容:渗透测试的方法、目标、范围;测试的人员、时间、策略;测试的工具、风险规避措施。测试的过程、漏洞利用截图,测试的结果等。
七、其他要求
1.本项目技术联系人:苏老师13685199719;
2.报价文件提供详细服务方案;
3.报价要求:报价包含提供服务等所有费用。
4.付款方式:合同签订后完成测评工作、出具测评报告、完成驻场时间后,一次性支付合同款额。
八、报价文件制作要求:
1.询价公告号、项目名称、供应商名称;
2.报价清单,并加盖公章;
3.技术及商务偏离表;
4.报价文件提供本项目详细服务方案;
5.报价文件提供“一、供应商资质要求”的相关资质材料;
6.报价文件提供“四、服务人员要求”的服务人员名单及相关证明材料;
7.报价文件提供“五、工具配备要求”的相关内容;
8.供应商联系人及联系方式
9.报价文件制作及寄送要求:
报价文件制作两份,要求密封,外部注明询价公告号(2020-079)及公司名称,于2020年10月20日11:00前报送我处。
由于防疫工作要求,学校封闭管理,请发送顺丰快递(其他快递一概退回)
邮寄地址:江苏省徐州市铜山区大学路1号中国矿业大学南湖校区校行政办公楼C206采购管理办公室,王磊收,电话:0516-83590283,邮编:221116。
中国矿业大学财务处采购管理办公室
2019年10月13日
解决方案
联系我们
返回顶部