大洋网网络安全等级保护测评2024年度采购公告延长报价

1.定级备案服务。该项目三个系统已取得《等级保护备案证》，根据2022-2024年度新发布标准的要求提供相关服务。
2.等保测评服务。按国家GB/T 22239-2019《网络安全等级保护基本要求》、GB/T 28448-2019《网络安全等级保护测评要求》相关标准，对三个系统开展网络安全等级保护测评，系统通过测评。具体测评内容要求如下：
①安全测评通用要求，主要包括：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理；
物理和环境安全：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应。
网络和通信安全：网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、集中管控。
设备和计算安全：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制。
应用和数据安全：身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份和恢复、剩余信息保护、个人信息保护。
安全策略和管理制度：安全策略、管理制度、制定和发布、评审和修订。
安全管理机构人员：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查、人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理
安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理
②扩展要求（如有），主要包括：云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求、工业控制系统安全测评扩展要求。
扩展要求主要测试内容包括：物理位置选择、网络架构、访问控制、入侵防范、安全审计、集中管控、身份鉴别、资源控制、镜像和快照保护、数据完整性、数据保密性、数据备份和恢复、剩余信息保护、个人信息保护、云计算服务商选择、供应链管理、云计算环境管理、移动终端管控、移动应用管控、移动应用软件采购和开发、配置管理等。
③验证测试，主要包括：采用工具测试，进行WEB漏洞扫描和主机漏洞扫描。
3.服务交付内容。每个系统完成等保测评工作后，测评机构应提交如下材料：
①网络安全等级保护测评方案
②系统整改建议书
③网络安全等级保护测评报告
④测评过程中的相关文档（如*方需要）

1.应为中华人民共和国注册的具有独立民事责任的法人或其他组织，经营范围（以有效的工商营业执照为准）。
2. (略) /机构资质：
（1）公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》
（2）中国信息安全测评中心颁发的信息安全服务资质认证证书（安全工程类二级及以上）
（3）中国网络安全审查技术与认证中心颁发的信息安全风险评估资质
（4）中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质（二级及以上）
（5）中国网络安全审查技术与认证中心颁发的信息安全网络安全审计服务资质
（6）中国合格评定国家认可委员会检验机构认可证书(CNAS)
（7）质量管理体系认证证书ISO 9001
（8）ISO 27001信息安全管理体系认证证书（其适用范围须包括网络安全服务、网络安全等级测评与检测评估服务）
（9）ISO 22301业务连续性管理体系认证证书（其适用范围须包括网络安全服务、网络安全等级测评与检测评估服务）
证书上的单位名称必须与报价单位名称一致。
3.人员资质：
▲项目经理（1名）同时具备以下技术资质：需具有信息系统项目管理师（高级）证书、中国信息安全测评中心注册信息安全专业人员（CISP）、信息安全等级测评师证书（中级及以上）、通过商用密码应用安全性评估能力考试；
▲项目技术负责人（1名）同时具备以下技术资质：等保中级及以上测评师、信息系统项目管理师（高级）、中国网络安全审查技术与认证中心数据安全官证书、中国信息安全测评中心注册信息安全专业人员（CISP）、中国网络安全审查技术与认证中心信息安全保障人员认证证书（CISAW）和通过商用密码应用安全性评估测评人员能力考核；
▲项目组成员（至少1名）具有技术资质需覆盖以下证书：具有中国信息安全测评中心注册信息安全专业人员（CISP）、中国网络安全审查技术与认证中心信息安全保障人员认证证书（CISAW）、注册网络安全渗透评估专业人员（NSATP-A）证书的
▲整体技术团队具有不少于3名网络安全等级保护测评师；
※注：一人同时具备多个证书的，可以重复计算；须提供人员社保记录作为在职凭证。