- 发布人:admin5
- 时间:2022-05-20
- 点击:1903
- 来源:张家口职业技术学院
一、招标内容:
1. 项目介绍
为了提升学院各信息系统的安全保护能力,加强信息安全管理,根据《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护基本要求》等法规和标准的要求,需对学院教务系统(三级)、图书管理系统(二级)、门户网站系统(二级)三个信息系统相应指标进行测评。通过风险评估、安全扫描和渗透测试等测评手段,准确反映学院待测信息系统的安全防护能力现状,对发现的问题进行深入分析,提出安全整改建议,指导完成安全技术与管理的整改,最终出具信息系统等级保护测评报告、整改建议。
2.项目预算:
本项目最高限价为:人民币14.8万元。
二、采购清单及服务时间
本次参与信息系统安全等级保护测评的为以下信息系统,相应的等级如下:
|
序号 |
信息系统名称 |
安全保护等级 |
业务信息安全(S) |
系统服务安全(A) |
|
1 |
教务系统 |
第三级 |
第三级 |
第三级 |
|
2 |
图书管理系统 |
第二级 |
第二级 |
第二级 |
|
3 |
门户网站系统 |
第二级 |
第二级 |
第二级 |
服务时间:合同签订后50个工作日完成
三、供应商资质要求
1.投标人应当遵守我国的有关法律、法规,具备《中华人民共和国政府采购法》第二十二条规定的条件;
2.提供有效的营业执照、税务登记证、组织机构代码证(或三证合一的营业执照)(复印件加盖公章);
3.投标人需提供近一年至少三个月的税收及社保缴纳记录,新成立公司提供自成立之日起至今记录(复印件加盖公章);
4.列入失信被执行人名单库的供应商,禁止参加政府采购活动,期限届满的除外;
5.投标人须提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》和连续两年通过信息产业信息安全测评中心CNAS能力验证证书(验证结果为满意);
6.投标人须提供国家计算机网络应急技术处理协调中心河北分中心应急服务支撑单位证书;
7.投标人须提供中国合格评定国家认可委员会检验机构认可证书;
8.本项目不接受联合体投标。
资格审查要求:以上材料请于2022年5月25日(星期三)中午12点之前以邮寄方式或彩色扫描件发送电子邮件方式提交。
邮寄地点:河北省张家口市经开区胜利南路50号张家口职业技术学院现代教育技术中心(知行楼905室)
电子邮箱:zzyxdjyjszx@126.com
联系人电话:米老师15521376532 郁老师15028332008
四、技术要求
1.信息系统备案
协助张家口职业技术学院按照《信息安全等级保护备案实施细则》要求完成定级、备案材料的整理及在公安机关相关部门备案工作。
2.初次测评
检查张家口职业技术学院被测系统现状,参照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面进行差距分析,依据《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019),对系统进行初次安全评估。
通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。初次测评内容如下:
安全物理环境:包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。
安全通信网络:包括网络架构、通信传输、可信验证等内容。
安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全管理中心:包括系统管理、审计管理、安全管理、集中管控等内容。
安全管理制度:包括安全策略、管理制度、制定和发布、评审和修订等内容。
安全管理机构:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等内容。
安全管理人员:包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等内容。
安全建设管理:包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等内容。
安全运维管理:包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等内容。
3.等保整改
协助张家口职业技术学院按照《信息安全等级保护管理办法》《关于开展信息系统等级保护安全建设整改工作的指导意见》《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)等有关管理规范和技术标准,制定安全管理制度、落实安全责任,建议安全技术设施,落实安全技术措施。
通过安全建设整改,确保信息系统通过相应级别的安全等级评测。
4.二次测评
此阶段是网络安全等级测评完整实施阶段,通过对整改后的系统进一步分析和梳理,并按照《等级测评报告模板2021版》编写等级测评报告。
5.报告编制
通过对现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,然后进行整体测评和风险分析,形成等级测评结论,按照《信息系统安全等级测评报告模版(2021年版)》编写等级测评报告。
五、售后要求与文档提交要求
1.售后服务要求
(1)免费咨询服务:自项目验收之日起一年。
(2)售后服务机构及服务团队构成:
投标人的项目成员要求至少4名安全等级保护测评师服务,其中不少于1名高级测评师,不少于1名中级测评师。
2.服务文档的提交要求
(1)测评方案;
(2)整改建议;
(3)测评报告;
(4)公安部门出具的信息系统安全等级保护备案证明。
六、验收标准及支付方式
项目验收:
1.等级保护测评工作最终目标是输出等级保护测评报告,该项目将产生一定数量的文档。
2.投标人应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
3.投标人应提交验收报告,验收报告需双方代表签字、单位盖章认可。
项目交付后由采购人根据合同、招标文件、报价文件组织验收。
项目文档:
1.投标人提供的资料应使用国际单位制(SI),语言为中文。
2.资料的组织结构清晰、逻辑性强。资料内容要正确、准确、一致、清晰、完整。如所供资料不能达到要求时,投标人应免费给予补充。
3.投标人资料的提交应及时充分,满足项目进度要求。
4.投标人完成项目后应提供以下文档:
|
序号 |
文档名称 |
提交数量 |
备注 |
|
1 |
《测评方案》 |
3 |
纸质签字版 |
|
2 |
《整改建议》 |
3 |
纸质签字版 |
|
3 |
《测评报告》 |
3 |
纸质盖章版 |
|
4 |
《备案证明》 |
3 |
/ |
注:实施期不包含整改时间
支付方式:项目验收合格后,7个工作日内,凭发票支付款项。
七、质量保证与技术服务
1.质量保证
投标人在项目方案设计、实施、验收的各个阶段,均应满足各系统正常稳定运行的要求。
投标人出具的等保测评报告应满足张家口公安局相关部门的认可,并完成相应系统的等级保护备案工作。
2.技术服务与保密要求
1)现场服务人员要求
投标人应与招标方签订保密协议,对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害询价方的权益,否则询价方有权追究投标人的责任。
投标人工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
2)技术支持服务要求
测评工作本身也会引入安全风险,必须加强测评过程中的风险控制。项目实施前,双方应充分讨论并明确测评对系统可能带来的风险和隐患,确定测评对象、测评方法和工具。
(1)操作的申请和监护
测评操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。
(2)人员与数据管理
重视保密工作,加强测评过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。
(3)测评对象选择
优先选择备用设备(系统)或临时搭建的模拟环境进行测评,避免影响在线系统运行。
3)保密要求
投标人承担被测评单位敏感信息的保密责任,在项目实施过程中,双方需要复制对方提供的相关资料时,应提交书面申请,在得到对方书面同意后方可复制,并将数据内容记录成表,签字确认。
未经双方书面同意,不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。项目结束后,双方必须互相确认测评过程中提供的相关资料,相互承担保密责任。
八、响应文件及报价材料递交时间
材料递交截止时间:2022年5月27日(星期五)14:30,材料密封、盖章,并加盖骑缝章。
材料递交地点:河北省张家口市经开区胜利南路50号张家口职业技术学院现代教育技术中心(知行楼905室)
联系人电话:米老师15521376532 郁老师15028332008
九、采购部门组织询价评审专家,于2022年5月27日14:30对响应文件及报价材料进行评审,符合条件的最低价中标,报价相同时,实施时间短、售后服务时间长的中标。
