7包 说明书.docx
- 文档编号:24508436
- 上传时间:2023-05-28
- 格式:DOCX
- 页数:14
- 大小:20.90KB
7包 说明书.docx
《7包 说明书.docx》由会员分享,可在线阅读,更多相关《7包 说明书.docx(14页珍藏版)》请在冰豆网上搜索。
7包说明书
山东省审计厅
信息系统等级保护测评服务招标文件(7包)
山东省审计厅
2013年11月1日
一、项目简介
本项目主要是为山东省审计厅选择重要信息系统的等级保护测评服务机构。
按照省公安厅相关文件要求,我厅要聘请第三方专业测评机构,在全面了解我厅现有信息系统现况的基础上,对厅内重要信息系统开展信息系统安全等级保护测评工作。
通过本次工作,切实加强信息安全防范水平,提高系统抵御风险的能力。
二、项目目标
1.按照国家等级保护相关标准和要求,对我厅内网审计管理系统(三级)和互联网门户网站系统(二级)开展信息系统安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,提出安全等级保护差距分析报告。
2、遵循适度安全原则,综合考量成本与效益因素,提供安全整改建议并协助安全策略优化,基于等级保护的要求协助建立信息安全管理体系、运维管理体系、应急体系。
3、按照信息系统安全等级保护的相关要求,梳理和完善山东省审计厅信息安全管理制度,健全和完善信息安全管理体系和技术保障体系。
4、在约定的服务期限内,提供应急支援服务和渗透测试服务及其他信息安全服务。
应急支援服务内容应包含现场应急支援服务和外部应急支援服务;渗透测试服务内容应包含非现场应急支援服务;其他信息安全服务包括协助完成信息安全相关检查等事项。
5、整改完成后,提供正式的等级保护测评报告,协助完成所有业务系统等级保护定级与备案工作。
三、项目主要实施参照标准及依据
1、公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);
2、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字[2007]43号)。
3、《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)
4、《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)
5、《信息安全技术信息系统安全等级保护实施指南》
6、《信息安全技术信息系统安全等级保护测评要求》
7、《信息安全技术信息系统安全等级保护测评过程指南》
8、《计算机信息系统安全保护等级划分准则》(GB17859-1999)
9、《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
10、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
11、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
12、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
13、《信息安全技术服务器技术要求》(GB/T21028-2007)
14、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
15、《信息安全技术信息系统安全管理要求》(GB/T20269-2006)
16、《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)
17、GB/T18336-2001信息技术安全技术信息技术安全性评估准则
四、项目内容
按照公安部的要求,重点完成以下工作内容:
1、系统定级与备案
对山东省审计厅现有的各类信息系统开展调研,依据《信息系统安全等级保护定级指南》(GB/T22240-2008)要求,遵循规范的流程确定定级对象并确定受侵害的客体和侵害程度,形成定级建议书,为委托方的系统定级和备案工作提供参考。
我厅现有信息系统如下:
序号
应用系统名称
安全保护等级
1
内网审计管理系统(OA)
3
2
互联网门户网站系统
2
供应商需协助完成下述八项工作后,编制《信息系统安全等级保护定级报告》
●识别单位的基本信息
●识别管理框架
●识别业务种类、流程和服务
●识别信息
●识别网络结构和边界
●识别主要的软硬件产品
●识别用户类型和分布
●形成定级结果
2、全面的信息安全风险评估和等级保护差距分析
对我厅所涉及到的信息系统,开展全面的信息安全风险评估,评估内容包含并不限于以下内容:
物理安全风险评估、网络架构安全风险评估、服务器风险评估、应用安全风险评估、数据安全风险评估、客户端安全检查、渗透测试等技术风险评估工作。
风险评估工作完成后提供如下报告:
《信息资产清单》:
包括IP地址段规划、服务器、网络和安全设备、终端PC等;
《网络拓扑》:
详细准确的网络拓扑图,涵盖所有的网络设备和服务器;
《风险评估报告和威胁攻击路径报告》:
基于渗透测试,列举所有的入侵和信息泄漏的途径以及所有信息系统安全风险清单;
《等级保护差距分析报告》:
基于等级保护基本要求,提供给差距分析报告,逐项列举差距分析结论、差距说明、整改建议。
3、提供可落地的安全管理体系和安全技术体系
基于等级保护的合规要求,提供可落地执行的信息安全管理系统和安全运维技术体系。
制定信息安全策略;
制定各岗位安全职责和日常工作规范;
制定不限于以下内容的安全管理制度:
《物理与环境管理制度》、《机房安全管理制度》、《网络通信与操作安全管理制度》、《变更操作管理制度》、《数据备份与灾难恢复管理制度》、《系统运维监控管理制度》、《病毒治理管理制度》、《敏感信息分类、访问控制与操作权限管理制度》、《客户端网络准入和U盘管理制度》、《互联网访问和邮件安全管理制度》、《无线网络和移动客户端安全管理制度》、《安全事件预警监控与应急处理管理制度》、《应急预案》。
制定制度落地相关的技术指南文件、工作流程和记录文档。
遵循适度安全原则,综合考量成本与效益因素,提供安全整改建议并协助安全策略优化,对安全评估发现的安全风险提供可操作的加固建议,不限于以下工作:
提供安全域规划和网络改造建议并提供详细的IP地址规划和网络规划图;
提供给服务器安全加固和防入侵、防信息泄密安全建议并协助服务器安全加固、建立安全日志搜集服务器;
提供客户端准入、安全管理、桌面管理建议并协助建立补丁分发服务器;
提供身份统一管理、认证、授权、审计建议;
提供应用软件安全漏洞加固建议;
提供机房安全整改建议。
4、在约定的服务周期内提供不限次数的信息安全应急支援服务,包括远程应急支援和现场应急支援。
针对严重紧急的安全应急事件,现场处理响应时间不超过6小时。
5、在约定的服务周期内每季度提供一次渗透测试服务,对所有互联网开放业务的应用系统和内网重要业务系统进行渗透测试,并提供渗透测试报告及加固建议。
建立信息安全应急预案总纲和信息安全专项应急预案(包括敏感信息泄漏、系统入侵、病毒爆发、网页篡改等)并提供应急演练;
建立业务连续性应急预案总纲和业务瘫痪专项应急预案(包括关键链路故障、核心网络设备故障、服务器故障等)并提供应急演练;
6、提供正式的等级保护测评服务
测评的内容包括但不限于以下内容:
(1)安全技术测评:
包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
(2)安全管理测评:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
五项目实施要求
(一)保密要求
投标方对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:
1.中标方应按要求与我厅签署保密协议。
2.主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。
3.不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的甲方关于该项目的秘密。
4.不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。
5.不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。
6.不论何种原因终止参与甲方关于该项目的工作后,都不得利用该项目之商业秘密为其他与甲方有竞争关系的企业(包括自办企业)服务。
7.该项目的商业秘密所有权始终全部归属甲方,乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前乙方已依法具有某些所有权者除外。
8.如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向甲方公司报告。
(二)实施要求
在项目实施过程中,投标方应做好计划与安排,不影响我厅正常业务办公的开展。
投标方要给予承诺,并承担由此引起的损失。
(三)服务要求
1、提供给甲方与项目相关的技术文档。
2、一旦收到甲方的服务请求,乙方项目组成员应立即给予响应。
双方确认需要到现场服务时,从确认时间开始,乙方工程师在4小时内到达用户现场,提供服务。
3、提供技术服务热线,并安排专业人员解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即做出响应。
4、乙方应具备公安部门规定等级保护检测服务所必需的检查工具。
5、我厅将要实施金审工程三期项目的建设,要求乙方提供项目建设网络、网络安全、运维方面的咨询服务,帮助我厅评估现有安全、运维体系,参考国家金审三期建设要求,提出建设方案。
六交付物
项目实施完成后,要求投标人提供包括但不限于交付物如下:
《信息系统安全等级保护测评方案》;
《信息系统安全等级保护差距分析报告》;
《系统信息安全等级保护测评报告》;
《信息系统风险评估报告》;
《信息系统安全整改建议报告》;
《信息安全管理制度汇编》;
《信息资产清单》;
《网络拓扑》;
《风险评估报告和威胁攻击路径报告》;
项目相关的各项过程文档等。
质量保证
1、为保证信息安全等级保护测评项目的质量,要求在测评过程中就等级保护测评过程控制、过程监督、结果验证等方面严格按照国家相关标准要求执行。
2、参与测评的每个人都应具有等级保护测评师资质。
3、测评结果必须通过用户方安全主管部门组织的评审和审批。
4、测评机构对自身测评行为和结果负责,测评机构承担等级保护测评要求的相关法律责任。
七测评机构和测评人员要求
合格的供应商除满足政府采购有关资格规定外必须满足:
1、在中国境内注册,具有独立法人资格或者分支机构,注册资金不少于500万元(含);
2、供应商须具有公安部信息安全等级保护评估中心颁发的《信息安全等级保护测评机构能力评估合格证书》及山东省信息安全等级保护工作协调小组办公室颁发的《信息安全等级保护测评机构推荐证书》资质;
3、拥有10名或以上等级保护测评师,提供社保证明;参与本次安全服务与等级保护测评项目的专业技术员不少于4人,其中,高级测评师不少于1名;参与技术检测的人员均为中国公民,无违法犯罪记录并签订安全保密协议;
4、应当投入满足测评需要的网络拓扑发现工具、安全配置核查工具、网络协议分析工具、漏洞扫描工具、渗透攻击工具、密码破解工具等。
以上要求均需提供相关证书等证明材料。
七、评分标准
评审项目
分数
评分标准
备注
价格40分
投标报价
40分
满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分40分。
其他投标人的价格分统一按照下列公式计算:
报价得分=(评标基准价/投标报价)×40。
超出预算的报价得0分
商务30分
企业业绩
10分
近两年,即自2011年6月1日以来(以合同签订日为准)的测评项目合同,每个项目加1分,同一法人机构的也就合同只认可1个,最多加至10分;投标文件中需附合同。
开标时须同时提供合同复印件,未提供复印件不计分。
企业资质
5分
具备ISO9001质量管理体系认证资质加2分,具备网络安全应急服务支撑单位证书加3分
以原件为准
人员能力
15分
等保测评人员能力,总分2分:
投标方拥有10名或以上等级测评师,测评机构测评师少于10人,此项不计分。
本项目测评人员具备网络技术专业知识,具备CCIE证书加3分,具备CCNP证书加1分;(此项最多3分)
本项目测评人员具备系统专业知识,具备RHCE证书加1分,具备MCP加2分;(此项最多2分)
本项目测评人员具备数据专业知识,具备MTA证书加1分,具备oracleDBA加2分;(此项最多2分)
本项目测评人员具备专业的渗透测试知识,具备渗透测试专家证书CEH加3分,具备CISP加1分(此项最多3分)
本项目测评人员具备虚拟化专业知识,具备VCP证书加1分
本项目项目经理具备项目管理师或PMP资格证书加2分
证书持有者需和社保证明对应
技术标30分
投标方案
25分
1、投标方需按照国家相关标准进行信息安全等级保护测评和系统性能测试,需从理论、方法、技术、工具等方面描述测评方案和项目实施方案,其中等级保护测评过程至少包含四个基本阶段:
测评准备阶段、方案编制阶段、现场测评阶段、分析及报告编制阶段。
投标方案方法、技术层次结构清晰,内容充实,测评过程描述正确、详实的,最高得10分;内容不全面的最高得5分;不符合要求的不得分。
2、风险评估方案,总分5分:
投标方需按照国家《GB/T20984-2007信息安全技术信息安全风险评估规范》进行风险评估,投标方案中至少包含物理安全评估、网络架构分析、技术脆弱性测试、渗透测试、管理体系评估等,总分5分,少1项扣1分。
3、合规方案,总分5分:
投标方需按照市政府要求提供给相关技术支持,建立安全管理体系、应急体系、系统运维管理体系,总分5分,不符合要求不得分
4、在满足标书要求的情况下额外提供的服务支持方案,比如培训、协助运维建立运维记录、提供开源软件工具更好的改进运维工作效率等。
总分5分,没有不得分
投标文件制作
5分
1、投标文件按照招标文件要求装订的,得2分;
2、评委根据投标文件的排版整齐有序、内容明确清晰、目录页码相符及明显的文字错误等进行评价,最高得3分。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 7包 说明书