★一、项目背景
为加快落实数字中国战略,深入实施“数字辽宁、智造强省”行动计划,依据《国家信息化发展战略》《促进大数据发展行动纲要》《辽宁省数字经济发展规划》《数字辽宁发展规划(2.0 版)》《数字盘锦发展规划(2021—2025 年)》以及《盘锦市关于通过“党建引领、智慧治理”推进市域治理体系不断完善、治理能力有效提升的实施意见》等文件中关于信息化建设的部署要求,结合盘锦市实际,以满足人民日益增长的美好生活需要为根本目的,利用新一代信息技术手段,建设数据支撑体系、应用支撑体系、业务应用体系和安全保障体系。
★二、服务要求
2.1总体要求
本项服务要求投标人依据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《安全可靠应用信息系统等级保护基本要求》(试行)、《安全可靠应用信息系统等级保护测评要求》(试行)等国家和行业相关信息系统安全规范标准,在服务期内,对建成的数据中台升级系统、智能中台系统、领导驾驶舱、*****查看详情智能化系统、盘锦市政务服务一体化在线管理平台、全国信用信息共享平台(辽宁盘锦)、盘锦市中小微企业融资服务平台、盘锦市政务OA系统进行信息安全等级测评,测评内容为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10方面测评任务。
2.2测评详细指标要求
(1)单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个层面上的单元测评;管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的单元测评。
① 安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
② 安全通信网络测评内容:
网络架构、通信传输、可信验证。
③ 安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
④ 安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
⑤ 安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
⑥ 安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
⑦ 安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
⑧ 安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
⑨ 安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务投标人选择。
⑩ 安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
(2)整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
投标人测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
系统整体测评主要包括四个部分:分别为安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试。
① 安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系统的访问控制被旁路。
② 层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
③ 区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
④ 验证测试
验证测试包括对主机、网络、数据、应用(含移动应用)的漏洞扫描和渗透测试等,验证测试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
★三、服务人员要求
投标人投入本项目等级保护测评的人员不得少于5人,其中项目总负责人1人,具有高级信息安全或网络安全等级测评师证书,其余4人具有信息安全或网络安全等级测评师证书。
中标投标人必须承诺:中标后,投标文件中的人员全部参与全过程服务工作,人员证件由采购单位保管,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。
★四、现场保障
(1)配备专门的施工服务车辆,以确保工地间运输畅通。
(2)每名服务人员配备通讯设施,保证24小时随时沟通。
(3)配备现场安全用具,确保人员安全。
(4)配备完善的办公用品,如笔记本电脑、打印机、传真机等器材。
(5)其它有关本项目现场保障设备由服务人自行解决,本次等保测评所需检测仪器设备及测试软件,均为投标方拥有的自有设备。
(6)现场发生的一切事故与招标人无关,出现任何问题由投标人自行承担。
★五、项目实施应满足的原则
项目实施应满足以下原则:
(1)符合性原则:符合国家等级保护和国家相关法律,指出防范的方针和保护的原则;
(2)标准性原则:测评方案的设计与实施应依据国内、国际的相关标准进行;
(3)规范性原则:测评提供商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
(4)可控性原则:测评的方法和过程要在双方认可的范围之内,安全测评的进度要按照进度表进度的安排,保证人对于服务工作的可控性;
(5)整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
(6)最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能对招标人各系统的运行和业务产生显著影响;
(7)保密原则:对测评的过程获得的招标人数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害人利益的行为,否则人有权追究投标投标人的责任。
★六、售后支持服务
(1)成交投标人应在本项目范围内提供1年免费的5*8热线电话支持服务。
(2)在合同结束后5年内,成交投标人仍有保守各项企业秘密的责任。
(3)投标投标人需在项目响应文件中对售后技术支持服务的情况做出必要的说明。
七、商务条件
| 1 | ★履约期限:自签订合同之日起三个月内 |
| 2 | ★履约地点:盘锦市内采购人指定地点 |
| 3 | ★付款方式及条件:合同签订后,支付40%;网络安全等级保护测评工作完成,提交各系统的《网络安全等级保护测评报告》,采购人签收后15日内支付60%。 |
| 4 | ★验收标准:按照《关于印发辽宁省政府采购履约验收管理办法的通知》【辽政采(2017)603号】规定执行。 验收程序:采购人组织 验收报告:采购人出具 组织验收主体:本项目的履约验收工作由采购人依法组织实施。 |
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
