作者:
来源:西藏林芝网
各意向单位:
根据工作需要,林芝市融媒体中心拟通过公开询价方式确定“网络信息系统进行安全等级保护测评”项目服务方,诚邀符合条件的公司参加比选。具体事宜如下:
一、项目名称
网络信息系统进行安全等级保护测评
二、项目费用
最高限价:250000.00元(含税)
三、项目要求说明(实质性要求)
(一)项目背景
1.为进一步提高信息系统的保障能力,根据《中华人民共和国网络安全法》(主席令第53号)、《国家网络安全事件应急预案》(中央网信办〔2017〕4号)、《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》等相关法律法规要求,我单位信息系统需依据等级保护2.0相关要求开展等保测评工作。
2.我单位将委托第三方有测评资质的测评机构,对我单位信息系统按照等级保护要求进行测评,测评结束后出具符合公安部门要求的的信息系统网络安全测评报告。
(二)项目目标
本次信息系统网络安全等级保护测评就信息系统进行等级保护测评。测评单位应依据相应等级的安全保护测评要求及行业的特殊安全需求,对信息系统网络安全进行等级保护符合性测评。测评内容涵盖物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、数据安全与备份恢复、安全策略和管理制度、安全管理机构和人员、系统建设管理、系统运维管理等信息安全的各个层面。
(三)实施原则
1.保密原则。对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究中标人的责任。
2.标准性原则。测评方案的设计与实施应依据国家等级保护的相关标准进行。
3.规范性原则。中标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
4.可控性原则。测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
5.整体性原则。测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
6.最小影响原则。测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
测评人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
(四)公司资质要求
1.投标人入围全国等级保护测评机构推荐目录(http://www.djbh.net网址可查询,提供投标人在目录内可搜索到的网页截图)或持有公安部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”。
2.投标人具有国家互联网应急中心颁发的“网络安全能力认证”培训机构证书。
3.投标人具有经中国国家认证认可监督管理委员会批准的认证机构颁发的ISO 9001质量管理体系认证证书。
4.投标人具有经中国国家认证认可监督管理委员会批准的认证机构颁发的职业健康安全管理体系认证证书(GB/T 45001-2020)、信息安全管理体系认证证书ISO/IEC 27001(认证范围包含“等级保护测评”)、信息技术服务管理体系认证证书ISO/IEC 20000(认证范围包含“等级保护测评”)。
5.投标人具有信息技术服务标准符合性证书(ITSS)证书。
6.投标人具有检验检测机构资质认定证书(CMA)且检验检测的能力范围包括网络安全等级保护测评。
(五)人员资质要求
1.具有公安部直属研究所颁发的网络安全等级保护2.0标准应用工程师认证证书。
2.具有中国信息安全测评中心颁发的大数据安全分析师(CISP-BDSA)。
3.拟派测评师(具有测评师资质)具有注册信息安全渗透测试专家(CISP-PTS)证书。
4.拟派测评师(具有测评师资质)具有“网络安全能力认证”培训讲师(CCSC)。
5.拟派渗透测试工程师(具有测评师资质)具有注册网络安全渗透评估专业人员证书(NSATP-A)证书。
四、采购需求
1.等级保护测评服务。主要需求如下:
系统名称 | 等级 | 等保测评 | 备注 |
电视播出系统 | 三级 | √ | |
广播制播系统 | 三级 | √ |
2.服务要求。要求测评机构以国家等级保护相关标准《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》为基础,对采购人整体信息系统的构成、应用情况、网络结构、安全现状加以分析研究、编制信息系统测评技术方案和实施方案,提交差距分析、问题清单及整改意见、测评报告、等一系列技术文档。
3.技术规格和标准。
(1)《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
(2)《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
(3)《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
(4)《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
(5)《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2020)
(6)《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)
(7)《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006)
(8)《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006)
(9)《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2006)
(10)《信息安全技术 应用系统安全等级保护通用技术指南》(GA/T 711-2007)
(11)《信息安全技术 服务器技术要求》(GB/T 21028-2007)
(12)《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006)
(13)《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
(14)《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006)
(15)《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)
4.项目内容
(1)漏洞扫描。供应商需针对网络设备,服务器,应用等进行漏洞扫描出具漏洞扫描报告。
(2)渗透测试。模拟黑客可能使用的攻击技术和漏洞发现技术,对信息系统进行验证性渗透测试。
(3)等级保护测评。依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)等国家等级保护相关标准,参照《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018),完成安全技术层面包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全测评;安全管理层面包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全测评。完成上述测评工作和整改加固实施后,供应商最后出具符合公安机关要求的各信息系统网络安全等级保护测评报告。
(4)测评结果反馈。
等级保护测评 工作 | 1.问题清单及整改建议。 2.信息系统网络安全等级保护测评报告。 |
五、报名条件
1.满足《中华人民共和国政府采购法》相关规定;
2.根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)的规定,自询价响应文件递交截止时间前三年,供应商必须提供在“信用中国”网站(www.creditchina.gov.cn)查“失信被执行人”和“重大税收违法案件当事人名单”,以及在“中国政府采购网”(www.ccgp.gov.cn)查询“ 政府采购严重违法失信行为记录名单”的查询结果网页截图,对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的企业及法人,拒绝其响应人参与本项目招标活动。
六、报名资料
公司简介、营业执照、资质证明、法定代表人或其委托人身份证明、征信报告、业绩证明、报价清单。
注:注:以上材料需一式两份并加盖公司章密封(一份胶装、一份散装便于复印),密封袋外显眼处标明联系人电话。
七、报名文件提交时间
2024年5月17日至2024年5月21日18点30分,逾期不再受理。
八、联系方式及地址
报名地址:林芝市巴宜区八一镇广东路640号,林芝市融媒体中心技术维护管理中心
咨询电话:13398048887
九、其他事宜
届时我中心将组织林芝市融媒体中心采购询价小组进行比选,比选结果提交中心党组审议,审议通过后与中标机构签订服务协议。
西藏自治区部门网站
藏公网安备54010202000062号