一、项目编号:XKX-******(招标文件编号:XKX-******)
二、项目名称:鞍山市立山区营商环境建设局网络安全等级保护测评项目
三、中标(成交)信息
供应商名称:辽宁浪潮创新信息技术有限公司
供应商地址:辽宁省沈阳市和平区族旺路*号*层
中标(成交)金额:*.*******(万元)
四、主要标的信息
| 序号 |
供应商名称 |
服务名称 |
服务范围 |
服务要求 |
服务时间 |
服务标准 |
| * |
辽宁浪潮创新信息技术有限公司 |
鞍山市立山区营商环境建设局网络安全等级保护测评项目 |
完成以下系统的等级保护测评工作,并出具监管部门认可的测评报告
序号 系统名称 系统级别
* “宜立山”平台 三级 |
见正文 |
工期:**自然日。 |
测评单位按照网络安全等级保护测评*.*标准进行信息安全等级测评,并符合公安监管部门要求。同时提供以下咨询服务:资源整理、技术配合、过程文档编制、协助业务办理。 |
| |
|
|
|
|
|
|
五、评审专家(单一来源采购人员)名单:
黄海、张福利
六、代理服务收费标准及金额:
本项目代理费收费标准:本项目代理费收费标准:《招标代理服务收费管理暂行办法》(计价格[****]****号)
本项目代理费总金额:*.******* 万元(人民币)
七、公告期限
自本公告发布之日起*个工作日。
八、其它补充事宜
*.*服务要求
*.*.*实施要求
实施地点:招标人指定地点。
工期:**自然日
投标单位应详细描述等级保护测评的整体实施方案,包括项目概述、测评方案、项目实施方案、时间安排、阶段性文档提交等。投标单位应详细描述测评人员的组成、资质及各自职责的划分。投标单位应配置经验丰富的技术人员进行等级保护测评工作。
投标单位的测评方法应符合下述条件:
测评方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。
如需在等级保护测评实施过程中采用在线测评工具的,各种工具软件由投标单位推荐,经招标单位确认后由投标单位提供并在工作中使用。应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。等级保护测评应有详细的实施方案和严格的操作步骤,采取的措施应是经过测试、稳定可靠的。
安全工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标单位推荐,经确认后由投标单位提供并在实际工作中使用。安全测评需要的运行环境(如场地、网络环境等)由招标单位提供,投标单位应详细描述需要的运行环境的具体要求。
招标单位各信息系统安全等级保护测评流程分为四个阶段:测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。
测评工作本身也会引入安全风险,必须加强测评过程中的风险控制。测评实施前,双方应充分讨论并明确测评对系统可能带来的风险和隐患,确定测评对象、测评方法和工具,并制定应急恢复措施。
操作的申请和监护。测评操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。
人员与数据管理。重视测评保密工作,加强测评过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。
测评对象选择。优先选择备用设备(系统)或临时搭建的模拟环境进行测评,避免影响在线系统运行。
制定应急预案。根据被测评系统情况,在测评实施前制定应急预案,加强系统在线应急处置能力。
测评内容:根据国家等级保护相关标准,招标单位各信息系统的安全等级保护测评应包括以下内容:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理**个方面的安全测评。
安全物理环境。安全物理环境测评是对招标单位各信息系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应及电磁防护等方面的安全状况。
安全通信网络。安全通信网络测评是对招标单位各信息系统的安全通信网络安全防护情况进行测评,包括网络架构、通信传输及可信验证等方面的安全状况。
安全区域边界。安全区域边界测评是对招标单位各信息系统的安全区域边界的安全防护情况进行测评,包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计及可信验证等方面的安全状况。
安全计算环境。安全计算环境测评是对招标单位各信息系统的安全计算环境的安全防护情况进行测评,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护及个人信息保护等方面的安全状况。
安全管理中心。安全管理中心测评是对招标单位各信息系统的安全管理中心设置情况进行测评,包括系统管理、审计管理、安全管理和集中管理等方面的检查。
安全管理制度。安全管理制度测评是对招标单位各信息系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。
安全管理机构。安全管理机构测评是对招标单位各信息系统的安全管理机构的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面进行检查。
安全管理人员。安全管理人员测评是对招标单位相关内部人员的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。
安全建设管理。安全建设管理测评是对招标单位各信息系统生命周期中的定级和备案、安全方案设计、产品采购合使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等情况进行测评。
安全运维管理。安全运维管理测评是对招标单位各信息系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。
实施注意事项:a)测评时不能影响机房其他设备的正常运行;b)测评时由招标单位人员陪同,接受招标单位人员的管理和监督;c)遵守招标单位各项管理制度。
*.*.*实施团队要求
投标单位实施团队组成应包括有丰富此类项目经验的项目经理、实施工程师向招标单位提供服务,根据项目总体要求,完成项目需求内容。
为保证项目顺利进行,投标单位必须组织专业的实施团队,项目实施人员必须具备等级保护测评师证书。技术、管理人员到现场,负责及时组织和进行系统测评;并负责解决系统在测评过程中发现的有关问题。对于不能胜任工作的现场技术人员,招标单位有权要求投标单位重新选派人员且不得影响工程进度。投标单位应保证项目实施人员的相对固定,如发生人员变动需征得招标单位同意。如果招标单位认为实施人员不能胜任工作,可以提出更换要求。
*.*.*项目管理要求
*.*.*.*技术联络会
为了确认招标单位各信息系统的等级保护测评方案,明确等级保护测评的范围,准备必需的测评资料,协调工程进度。在整个工程进展过程中投标单位可根据招标单位要求召开两次技术联络会。技术联络会应记录会议纪要,包括会议议题和结论。联络会纪要应由双方代表签字,并且具有与合同相同的法律效力。
第一次技术联络会在合同生效后约*周内在招标单位地举行,投标单位派代表参加。
审查并确定等级保护测评初步方案及流程。
讨论并澄清合同文件中的技术条款及相应的实施方案,确定系统等级保护测评范围。
投标单位应提供测评所用工具及相关资料,以保证测评的顺利实施。
讨论并确认工程实施方案及工程进度。
第二次技术联络会在现场测评阶段完成后举行,包括以下议题。
双方确认现场测评结果,对测评发现的问题进行沟通。
双方明确整改范围,对整改建议书内容进行沟通。
双方根据整改范围和整改计划,明确复测内容及工作计划。
*.*.*.*项目文档
投标单位完成项目后应提供以下文档:
表*-* 投标单位完成项目提供文档列表
序号文档名称
*《网络安全等级测评报告》
*.*.*.*质量保证
投标单位在等级保护测评方案设计、实施的各个阶段,均应满足系统正常稳定运行的要求。
投标单位出具的相关报告应得到等级保护行业主管单位认定。报告一式三份,招标单位保留一份,公安监管部门一份,测评机构一份。
*.*.*.*保密要求
投标单位承担被投标单位敏感信息的保密责任,在项目实施过程中,双方需要复制对方提供的相关资料时,应提交书面申请,在得到对方书面同意后方可复制,并将数据内容记录成表,签字确认。
未经双方书面同意,不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。
项目结束后,双方必须互相确认测评过程中提供的相关资料,相互承担保密责任。
九、凡对本次公告内容提出询问,请按以下方式联系。
*.采购人信息
名 称:鞍山市立山区营商环境建设局
地址:鞍山市立山区建国大道***栋
联系方式:于浩洋 ***********
*.采购代理机构信息
名 称:鞍山新科信项目管理有限公司
地 址:辽宁省 鞍山市 铁东区 千山东路**甲栋S*号
联系方式:刘晶 ****-*******
*.项目联系方式
项目联系人:刘晶
电 话: ****-*******
