- 發布人:admin5
- 時間:2022-05-20
- 點擊:2482
- 來源:張家口職業技術學院
一、招標內容:
1. 項目介紹
為了提升學院各信息系統的安全保護能力,加強信息安全管理,根據《信息安全等級保護管理辦法》《信息安全技術信息系統安全等級保護基本要求》等法規和標準的要求,需對學院教務系統(三級)、圖書管理系統(二級)、門戶網站系統(二級)三個信息系統相應指標進行測評。通過風險評估、安全掃描和滲透測試等測評手段,準確反映學院待測信息系統的安全防護能力現狀,對發現的問題進行深入分析,提出安全整改建議,指導完成安全技術與管理的整改,最終出具信息系統等級保護測評報告、整改建議。
2.項目預算:
本項目最高限價為:人民幣14.8萬元。
二、采購清單及服務時間
本次參與信息系統安全等級保護測評的為以下信息系統,相應的等級如下:
|
序號 |
信息系統名稱 |
安全保護等級 |
業務信息安全(S) |
系統服務安全(A) |
|
1 |
教務系統 |
第三級 |
第三級 |
第三級 |
|
2 |
圖書管理系統 |
第二級 |
第二級 |
第二級 |
|
3 |
門戶網站系統 |
第二級 |
第二級 |
第二級 |
服務時間:合同簽訂后50個工作日完成
三、供應商資質要求
1.投標人應當遵守我國的有關法律、法規,具備《中華人民共和國政府采購法》第二十二條規定的條件;
2.提供有效的營業執照、稅務登記證、組織機構代碼證(或三證合一的營業執照)(復印件加蓋公章);
3.投標人需提供近一年至少三個月的稅收及社保繳納記錄,新成立公司提供自成立之日起至今記錄(復印件加蓋公章);
4.列入失信被執行人名單庫的供應商,禁止參加政府采購活動,期限屆滿的除外;
5.投標人須提供公安部第三研究所頒發的《網絡安全等級測評與檢測評估機構服務認證證書》和連續兩年通過信息產業信息安全測評中心CNAS能力驗證證書(驗證結果為滿意);
6.投標人須提供國家計算機網絡應急技術處理協調中心河北分中心應急服務支撐單位證書;
7.投標人須提供中國合格評定國家認可委員會檢驗機構認可證書;
8.本項目不接受聯合體投標。
資格審查要求:以上材料請于2022年5月25日(星期三)中午12點之前以郵寄方式或彩色掃描件發送電子郵件方式提交。
郵寄地點:河北省張家口市經開區勝利南路50號張家口職業技術學院現代教育技術中心(知行樓905室)
電子郵箱:zzyxdjyjszx@126.com
聯系人電話:米老師15521376532 ?郁老師15028332008
四、技術要求
1.信息系統備案
協助張家口職業技術學院按照《信息安全等級保護備案實施細則》要求完成定級、備案材料的整理及在公安機關相關部門備案工作。
2.初次測評
檢查張家口職業技術學院被測系統現狀,參照《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等層面進行差距分析,依據《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019),對系統進行初次安全評估。
通過對系統現狀的分析和梳理,發現系統現有安全措施與等級保護基本要求的差距,提出安全整改建議,以指導后續安全整改工作。初次測評內容如下:
安全物理環境:包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等內容。
安全通信網絡:包括網絡架構、通信傳輸、可信驗證等內容。
安全區域邊界:包括邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等內容。
安全計算環境:包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護等內容。
安全管理中心:包括系統管理、審計管理、安全管理、集中管控等內容。
安全管理制度:包括安全策略、管理制度、制定和發布、評審和修訂等內容。
安全管理機構:包括崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查等內容。
安全管理人員:包括人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理等內容。
安全建設管理:包括定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評、服務供應商選擇等內容。
安全運維管理:包括環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理等內容。
3.等保整改
協助張家口職業技術學院按照《信息安全等級保護管理辦法》《關于開展信息系統等級保護安全建設整改工作的指導意見》《信息安全技術網絡安全等級保護測評過程指南》(GB/T 28449-2018)、《信息安全技術網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)等有關管理規范和技術標準,制定安全管理制度、落實安全責任,建議安全技術設施,落實安全技術措施。
通過安全建設整改,確保信息系統通過相應級別的安全等級評測。
4.二次測評
此階段是網絡安全等級測評完整實施階段,通過對整改后的系統進一步分析和梳理,并按照《等級測評報告模板2021版》編寫等級測評報告。
5.報告編制
通過對現場測評獲得的測評證據和資料,判定單項測評結果及單元測評結果,然后進行整體測評和風險分析,形成等級測評結論,按照《信息系統安全等級測評報告模版(2021年版)》編寫等級測評報告。
五、售后要求與文檔提交要求
1.售后服務要求
(1)免費咨詢服務:自項目驗收之日起一年。
(2)售后服務機構及服務團隊構成:
投標人的項目成員要求至少4名安全等級保護測評師服務,其中不少于1名高級測評師,不少于1名中級測評師。
2.服務文檔的提交要求
(1)測評方案;
(2)整改建議;
(3)測評報告;
(4)公安部門出具的信息系統安全等級保護備案證明。
六、驗收標準及支付方式
項目驗收:
1.等級保護測評工作最終目標是輸出等級保護測評報告,該項目將產生一定數量的文檔。
2.投標人應對所有正式交付件的綜合質量審查負責,指定各交付件的相關責任人,明確相關職責。
3.投標人應提交驗收報告,驗收報告需雙方代表簽字、單位蓋章認可。?
項目交付后由采購人根據合同、招標文件、報價文件組織驗收。
項目文檔:
1.投標人提供的資料應使用國際單位制(SI),語言為中文。
2.資料的組織結構清晰、邏輯性強。資料內容要正確、準確、一致、清晰、完整。如所供資料不能達到要求時,投標人應免費給予補充。
3.投標人資料的提交應及時充分,滿足項目進度要求。
4.投標人完成項目后應提供以下文檔:
|
序號 |
文檔名稱 |
提交數量 |
備注 |
|
1 |
《測評方案》 |
3 |
紙質簽字版 |
|
2 |
《整改建議》 |
3 |
紙質簽字版 |
|
3 |
《測評報告》 |
3 |
紙質蓋章版 |
|
4 |
《備案證明》 |
3 |
/ |
注:實施期不包含整改時間
支付方式:項目驗收合格后,7個工作日內,憑發票支付款項。
七、質量保證與技術服務
1.質量保證
投標人在項目方案設計、實施、驗收的各個階段,均應滿足各系統正常穩定運行的要求。
投標人出具的等保測評報告應滿足張家口公安局相關部門的認可,并完成相應系統的等級保護備案工作。
2.技術服務與保密要求
1)現場服務人員要求
投標人應與招標方簽訂保密協議,對過程數據和結果數據嚴格保密,未經授權不得泄露給任何單位和個人,不得利用此數據侵害詢價方的權益,否則詢價方有權追究投標人的責任。
投標人工作中的過程和文檔,應具有規范性,便于項目跟蹤和控制。
2)技術支持服務要求
測評工作本身也會引入安全風險,必須加強測評過程中的風險控制。項目實施前,雙方應充分討論并明確測評對系統可能帶來的風險和隱患,確定測評對象、測評方法和工具。
(1)操作的申請和監護
測評操作必須遵守現場運行規章制度,確保系統安全穩定運行。如需在線測試,按照相關工作規程,事前申請,并在專責人員的指導和監護下進行。
(2)人員與數據管理
重視保密工作,加強測評過程中的保密管理,確保參與測評工作人員的可靠、穩定,防止敏感信息泄漏。
(3)測評對象選擇
優先選擇備用設備(系統)或臨時搭建的模擬環境進行測評,避免影響在線系統運行。
3)保密要求
投標人承擔被測評單位敏感信息的保密責任,在項目實施過程中,雙方需要復制對方提供的相關資料時,應提交書面申請,在得到對方書面同意后方可復制,并將數據內容記錄成表,簽字確認。
未經雙方書面同意,不得向第三方透露項目和涉及雙方企業信息安全、技術成果的任何內容。項目結束后,雙方必須互相確認測評過程中提供的相關資料,相互承擔保密責任。
八、響應文件及報價材料遞交時間
材料遞交截止時間:2022年5月27日(星期五)14:30,材料密封、蓋章,并加蓋騎縫章。
材料遞交地點:河北省張家口市經開區勝利南路50號張家口職業技術學院現代教育技術中心(知行樓905室)
聯系人電話:米老師15521376532 ?郁老師15028332008
九、采購部門組織詢價評審專家,于2022年5月27日14:30對響應文件及報價材料進行評審,符合條件的最低價中標,報價相同時,實施時間短、售后服務時間長的中標。
