项目预算***元
****市城市大脑(*期)第*方等保测评服务项目采购需求
*、采购清单
| 序号 |
服务名称(标的名称) |
标的所属行业 |
| * |
****市城市大脑第*方等保测评服务项目 |
软件和信息技术服务业 |
*、服务需求
(*)项目背景
****等级保护是我国关于信息安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发(****)**号)明确要求我国信息安全保障工作实行等级保护制度。****年*月发布的关于印发《信息安全等级保护管理办法》的通知(公通字(****)**号)进*步强调了开展****等级保护工作的重要意义,规定了实施****等级保护制度的原则、内容、职责分工、基本要求和实施计划,确立了实施****等级保护工作的操作办法。
****年*月国家颁布实施《中华人民共和国****法》,进*步明确,国家实行****等级保护制度,正式将****等级保护制度写进国家法律,从法治层面推动****等级保护制度的落实。
(*)项目概述
为深入贯彻落实习近平总书记关于****工作的重要指示精神和《****法》规定,根据网信办、公安部、上级主管部门关于****的指示要求,我单位将委托第*方有测评资质的测评机构,按照等级保护基本要求开展****等级保护测评,出具相应的测评报告。
(*)项目目标
通过****等级保护测评,全面了解和掌握****市城市大脑(*期)项目安全保护状况,找出其与《****等级保护基本要求》对应级别的差距。同时从风险管理角度,运用科学的方法和手段,系统地分析被测系统所面临的威胁及其存在的脆弱性,评估安全事件*旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护策略和整改措施,为防范和化解****风险、最大限度地防止由于****事件引发公共安全事故以及全面提升单位****防护水平提供科学依据。
(*)项目实施
*、实施依据
本次项目实施,主要遵循以下国家标准:
《信息安全技术****等级保护基本要求》**/******-****
《信息安全技术****等级保护测评要求》**/******-****
《信息安全技术****等级保护测评过程指南》**/******-****
*、实施原则
(*)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究中标人的责任。
(*)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(*)规范性原则:中标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(*)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(*)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(*)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
*、实施范围
本次项目主要对以下系统,按照已定级标准,开展****等级保护测评:
| 序号 |
测评系统名称 |
定级情况 |
简要说明 |
| * |
****市*体化数据基础平台 |
*级 |
*次 |
| * |
****市应急指挥协调能力提升 |
*级 |
*次 |
*、实施内容
对已定级备案的系统进行*个安全层面的****等级保护测评(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)。
测评包括*个方面的内容:*是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;*是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评*大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心*个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理*个方面的安全控制测评。具体见下图*.*:
图*.*****等级保护测评框架
(*)过程控制
****等级保护测评分为测评准备、方案编制、现场测评、分析与报告编制*个阶段,各阶段主要工作如下:
*、测评准备阶段
主要包括以下工作内容:
测评项目组组建:明确项目经理、测评人员及职责分工。
项目计划书编制:项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。
信息系统调研:通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,明确被测系统的范围(特别是信息系统的边界),了解被测系统的详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。
工具和表单准备:根据被测系统的实际情况,准备测评工具和各类测评表单。
输出文档:《项目计划书》、《系统调研表》、《工具清单》、各类表单。
*、方案编制阶段
主要包括以下工作内容:
测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。
测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。
测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。
测评内容确定:确定现场测评的具体实施内容,即单元测评内容。
测评实施手册开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何进行测评活动。
输出文档:《测评方案》、《测评指导书》。
*、现场测评阶段
现场测评主要指单项测评,分别从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和管理上的安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理分别进行。
安全物理环境:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上,安全物理环境层面测评实施过程涉及**个测评单元,包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
安全通信网络:通过人员访谈、配置检查和工具测试的方式测评信息系统的网络通信安全保障情况。主要涉及对象为网络整体架构、网络拓扑结构、通信传输方式等。在内容上,安全通信网络层面测评实施过程涉及*个测评单元,包括:网络架构、通信传输、可信验证。
安全区域边界:通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络边界安全保障情况。主要涉及对象为网络边界互连设备、网络边界安全设备以及安全控制策略等。在内容上,安全区域边界层面测评实施过程涉及*个测评单元,包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
安全计算环境:通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络边界安全保障情况。主要涉及对象为网络设备、安全设备、主机、数据库以及应用系统等。在内容上,安全计算环境层面测评实施过程涉及**个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
安全管理中心:通过访人员访谈、配置检查的方式测评信息系统的集中安全管理保障情况。主要涉及对象为系统各类安全审计系统、综合网管系统、网络拓扑以及集中安全管理功能系统等。在内容上,安全管理中心层面测评实施过程涉及*个测评单元,包括:系统管理、审计管理、安全管理、集中管控等。
安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及*个测评单元,包括:安全策略、管理制度、制定和发布、评审和修订。
安全管理机构:通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及*个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
安全管理人员:通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。在内容上,安全管理人员方面测评实施过程涉及*个测评单元,包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。在内容上,安全建设管理方面测评实施过程涉及**个测评单元,包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
安全运维管理:通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。在内容上,安全运维管理方面测评实施过程涉及**个测评单元,包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
输出文档:现场测评结果记录。
*、分析与报告编制阶段
主要包括以下工作内容:
单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据。
单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐*列出。
整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。
风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。
输出文档:《等级测评报告》。
*、交付成果
本项目输出的主要工作产品中,交付给采购单位的主要有:
| 阶段名称 |
任务名称 |
输出文档 |
| 准备阶段 |
项目计划 |
/ |
| 准备阶段 |
系统调研分析 |
/ |
| 方案编制阶段 |
测评方案制定与确认 |
测评方案 |
| 测评阶段 |
现场实施 |
/ |
| 测评阶段 |
整改复核 |
/ |
| 报告编制阶段 |
测评报告的编制与评审 |
等级保护测评报告 |
(*)项目管理
为确保本项目顺利开展,要求测评机构结合本项目实际,组建适宜项目组,负责项目的具体推动落实。
*、质量要求
测评机构应具有运行良好的质量管理体系,加强项目测评过程中的质量管理控制,确保项目按照相关标准实施。配备的质量经理应具有丰富管理经验及管理能力。
*、服务期要求
成交供应商在合同签订生效之日起*年内,每年完成相应测评工作,提交测评报告。
*、风险控制
测评机构应具有良好的保密机制,确保测评过程获悉的相关资料不被泄露。此外,为确保测评过程的风险可控,测评机构应针对测评过程可能出现的风险,编制风险规避措施,将可能的损失降到最低。
*、测评工具
本次测评过程中使用的测评工具需满足等级保护测评所需,至少包括系统漏洞检查工具、网站安全检查工具、主机病毒检查工具、主机木马检查工具等工具。优先选择经公安部门认可推荐的测评工具。工具接入系统前,需经采购人认可同意后,方可接入系统。
*、指导培训
成交供应商在项目实施过程中,应为建设单位提供安全业务培训类等相关工作培训并获得相应证书,每年不少于*个。
(*)售后服务
自测评结束后,为采购人提供为期*年的****应急处置服务,处置时限要求:工作日*小时内到现场处置,非工作日*小时到场处置。
(*)项目验收
完成****等级保护测评工作,测评单位出具****等级保护测评报告后,由采购人确认并验收。
*、商务要求
*、服务期:*年。
*、服务地点:****市(采购人指定地点)。
*、服务规范按照以下原则执行:有国家标准的执行国家标准;无国家标准的执行行业标准;无行业标准的执行地方标准;无地方标准的执行企业标准。
*、响应文件中为本项目配备的人员力量,在合同履行期间,成交供应商须按采购人要求到达本项目现场提供相应服务,否则采购人有权解除采购合同。
*、实施期间成交供应商所发生的或成交供应商实施场地内发生的或成交供应商原因造成的安全事故,均应由成交供应商负责按有关规定处理善后事宜,并承担给采购人造成的损失。
*、付款方式:
*.*合同签订后,采购人向成交供应商支付合同金额的**%作为预付款(预付款支付之前,成交供应商须向甲方提交银行、保险公司、担保公司等金融机构出具的预付款保函或其他担保措施)。剩余合同总金额实行每年*结,在成交供应商切实完成该年度测评并出具****等级测评报告后,采购人支付该年度合同款。第*年、第*年按照此种方式执行。
*.*如成交供应商书面明确表示无需预付款,则合同总金额实行每年*结,在成交供应商切实完成该年度测评并出具****等级测评报告后,采购人支付该年度合同款。第*年、第*年按照此种方式执行。
*、如采购人出现紧急问题,成交供应商须*小时内响应,并在**小时内解决问题。未能按时解决的,每发生*次扣减合同总金额的*分之*。
*、项目总报价包含了履行本项目的全部费用,以及完成本项目所需要的其他费用及所有价内价外税金及合理利润。
功能介绍
热门关键词: 
换一批
马鞍山最新招标预告推荐
招标采购
询价订单
分包项目
直采订单
拟在建项目
业主委托
