中国采招网(bidcente r.com.cn|)
(注:以下内容为附件图片识别,个别文字可能不准确,请以附件为准)
官方网站网络安全等级保护测评服务项目采购公告
(招标编号:wcg2024010)
项目所在地区:湖北省,武汉市
一、招标条件
本官方网站网络安全等级保护测评服务项目采购公告已由项目审批/核准/备案
机关批准,项目资金来源为自筹资金5万元,招标人为武汉市武昌殡仪馆。本项
目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:最高限价:5万元
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)官方网站网络安全等级保护测评服务项目:
三、投标人资格要求
(001官方网站网络安全等级保护测评服务项目)的投标人资格能力要求:()
《政府采购法》第二十二条第一款规定的条件,提供下列材料:
1.法人或者其他组织的营业执照等证明文件,如供应商是自然人的提供身份证
明材料:
2.财务状况报告,依法缴纳税收和社会保障资金的相关材料:
3.具备履行合同所必需的设备和专业技术能力的证明材料:
4.参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明
5.具备法律、行政法规规定的其他条件的证明材料。
(二)未被列入“信用中国”、“中国政府采购网”失信被执行人、重大税收
违法案件当事人名单、政府采购严重违法失信行为记录名单的网页打印件。
(三)具有公安部第三研究所(国家认证认可委员会批准的认证机构)认证发
放的《网络安全等级测评与检测评估机构服务认证证书》。
(四)供应商所提供参与本项目的测评人员的组成、资质及各自职责的划分(
参与现场人员的项目经理具备高级及以上测评资质或信息安全管理体系IS02700
1主任审核员资质)。参与本项日测评人员不少于5人,应配置有等级测评资质
或网络与信息安全管理员等专业人员进行本次信息安全等级保护测评工作:
(五)供应商须具有本地化服务能力,如为异地机构在参与本项目过程中严格
落实异地测评备案手续,必须提供省级网络安全等级保护领导小组办公室出具
盖章版的《等级测评机构异地测评项目备案表》,本地化分支机构证明材料和
本地化常驻人员(至少10人)近一年的社保证明。:
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2024年05月07日00时00分到2024年05月11日13时00分
获取方式:免费获取
五、投标文件的递交
递交截止时间:2024年05月11日14时00分
递交方式:湖北省武汉市洪山区楚平路3号武汉市武昌殡仪馆(总务科)
纸质文件递交
六、开标时间及地点
开标时间:2024年05月13日10时00分
开标地点:湖北省武汉市洪山区楚平路3号武汉市武昌殡仪馆八楼会议室
七、其他
一、项目预算
最高限价:5万元
二、采购需求
(一)项目基本情况:
我单位高度重视网络安全保障工作,为满足公安机关的监管要求,拟对重要系统
开展等级保护测评工作,测评机构需要提供切实有效的整改方案、并提供整改
咨询方案;对整改后的信息系统进行回归测评,并出具正式等级保护测评报告
。最终达到国家等级保护相关要求,通过公安机关备案手续。
(二)服务内容及范围:
等级保护测评服务:
序号系统名称系统等级
1武汉市武昌殡仪馆官方网站二级
参照《GBT22239-2019网络安全等级保护基本要求》和《GB/T28448-2019
网络安全等级保护测评要求》等标准规范要求,开展信息系统等级保护测评及
整改工作。测评及整改范围为顶目目标所涉及的基础网络环境、主机层面、应
用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通
过公安部门及相关部门的等级保护检查要求。
(三)标准和规范
《GB17859一1999计算机信息系统安全等级保护划分准则》
《GBT20269一2006信息安全技术信息系统安全管理要求》
《GBT20271一2006信息安全技术网络系统安全通用技术要求》
《GBT20272一2006信息安全技术操作系统安全技术要求》
《GBT20273一2006信息安全技术数据库管理系统安全技术要求》
《GB/T22240-2020信息安全技术网络安全等级保护定级指南》
《GBT22239一2019信息安全技术网络安全等级保护基本要求》
《GB/T25070一2019信息安全技术网络安全等级保护设计技术要求》
《GB/T28448一2019信息安全技术网络安全等级保护测评要求》
《信息安全等级保护备案实施细则》(公信安[2007]1360号)
《GB/T25058-2019信息安全技术网络安全等级保护实施指南》
《GB-T28449-2018信息安全技术网络安全等级保护测评过程指南》
《公通字[2007]43号信息安全等级保护管理办法》
(四)本项目实施方案设计与具体实施必须满足以下原则:
1.保密原则:
对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人
,不得利用此数据进行任何侵害招标方的行为。
2.标准性原则:
测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
3.规范性原则:
供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控
制。
4.可控性原则:
项目安排工作进度要跟上进度表的安排,保证工作的可控性。
5.最小影响原则:
测评工作应尽可能小的影响系统和网络,并在可控范围内:测评工作不能对现
有信息系统的正常运行、业务的正常开展产生任何影响。
6.整体性原则:
测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面
(五)整体要求
1.供应商应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项
目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶
段性文档提交等。
2.供应商应完成信息系统定级报告及定级材料的准备、整理,完成信息系统去
公安机关的备案工作。
3.供应商应详细描述测评人员的组成、资质。供应商参与测评人员不少于4人,
必须提供高级测师资质证明或CISP证书种类涵盖CISO、CISE和CISP-PTE等。
4.本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由供应
商推荐,经招标人确认后由供应商提供并在信息系统等级保护测评中使用。
5.信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标
人提供,供应商应详细描述需要的运行环境的具体要求。
6.供应商应提供本次信息系统安全等级保护整改的整体实施方案,包括项目时
间安排、阶段性文档提交等,并负责实施整改。
(六)专用工具要求
本项目涉及工程实施和验收测试所需的工具,由供应商负责提供。用于测评的
工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全
测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,
如果需要则对工具进行软件或代码升级。
(七)安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好
安全保密工作。
A、等级保护测评前
(1)对等级保护测评人员要进行安全保密教育,制定安全保密措施:
(2)签订安全保密协议
B、等级保护测评中
(1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据
、人员与管理等方面的信息进行严格的安全保密管理:
(2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,
工作结束后不驻留任何程序:
(3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁
情况要控制知情范围:
(4)对测评设备、介质进行严格的保密管理:
(⑤)工作过程中对人员要实施封闭式集中管理:
(6)对进场人员遵守被测单位的相关管理规定。
C、等级保护测评后
(1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被
泄漏:
(2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何
代码或可执行程序:
(3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
(八)文档要求
文档或报告的编写应完整清晰、用词规范、简明扼要,指出的问题应明确合理
、符合逻辑、且有证据,出具的结论应公正客观、实事求是,提出的建议应符
合国家标准规范、富有建设性和可操作性。
(九)测评公司综合实力要求
供应商应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组
织方式、项目实施的管理方式、项目成员的角色和责任。
(十)售后服务
供应商承诺能按要求实现本技术规范规定的所有条款及功能要求,配合完成相
关政府部门的信息安全等级保护相关(登记、整改等)工作要求。
三、项目实施内容与要求
(一)项目定级备案
供应商应梳理现有的信息系统,严格按照《GB/T22240-2020信息安全技术
网络安全等级保护定级指南》的要求,对信息系统的级别进行划定。完成信息
系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作
(二)项目测评内容
根据国家等级保护相关标准《GBT22239-2019
网络安全等级保护基本要求》,对重要信息系统等级保护测评项目应包括以下
内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算
环境、安全管理中心等五个方面的安全测评:
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设
管理、安全运维管理等五个方面的安全测评。
服务内容:
1.协助开展系统和重要信息系统的自查自评估工作,对存在的风险隐患和安全
问题及时提供有针对性的安全整改建议,保障整改措施的落实,完成重要信息
系统的定级、备案等相关工作:
2.依据《网络安全等级保护基本要求》,从安全技术和管理两个方面共十个层
面对信息系统进行等级测评,出具等级测评报告:
3.针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节,提供安全建
设整改和安全加固方面的咨询。
4.提供安全服务,及时发现信息系统中存在安全隐患和威胁,进一步开展安全
建设整改工作,及时、有效、正确的预防和阻止各种黑客攻击。职责清晰,能
快速及时的帮助客户处理网站安全事件。
项目服务内容工作描述
等级测评项目准备及现场调研
协助对信息系统物理环境、网络、终端、数据、安全管理等进行调研。
信息系统定级、备案
疏理信息系统定级工作,完成信息系统定级报告及定级材料的准备:
(意适)
2
-9222210g
全际传保网)6102
聚
氯
