内江市发展和改革委员会关于内江市公共信用信息平台2024年网络安全等级保护测评(三级)项目预询价公告
全部类型四川内江2024年09月25日
按照《中华人民共和国网络安全法》《城市信用监测预警指标(2024年版)》等有关要求,我委拟邀请具有资质的第三方测评机构,负责内江市公共信用信息平台2024年网络安全等级保护测评(三级),现就该项目进行预询价,具体情况公告如下。
一、项目概况
(一)项目名称:内江市公共信用信息平台2024年网络安全等级保护测评(三级)项目。
(二)项目内容:严格依据《中华人民共和国网络安全法》《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》《GB-T 28449-2018 信息安全技术网络安全等级保护测评过程指南》等有关规定对内江市公共信用信息平台开展2024年网络安全等级保护测评(三级),出具测评报告(项目具体需求见附件)。
(三)服务工期:如为一年期,自签订合同之日起,至****前完成本项目;如服务为三年期,则需2024年、2025年、2026年分别开展一次服务,完成时间均为当年12月30日前。
(点击登录查看)项目验收标准:完成内江市公共信用信息平台网络安全等级保护测评服务(三级),出具等级保护测评报告,符合公安部门相关要求并通过等保备案。
二、资格要求
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(点击登录查看)具有依法缴纳税收和社会保障资金的良好记录;
(五)参加采购活动前三年内,在经营活动中没有重大违法记录;
(六)未被“信用中国”网站(www.creditchina.gov.cn)列入失信被执行人和重大税收违法案件当事人名单,未被“中国政府采购网”网站(http:****);
(七)供应商须具有《网络安全等级测评与检测评估机构服务认证证书》;
(八)法律、法规规定的其他条件;
(九)本项目不允许联合体参与采购活动。
三、报价文件要求
(一)企业营业执照副本复印件或事业单位法人证书副本复印件;
(二)法定代表人第二代身份证正、反面复印件,或授权书及被授权人的第二代身份证正、反面复印件;
(三)依法缴纳税收和社会保障资金的证明文件;
(点击登录查看)满足资格条件要求的承诺函(格式自拟);
(五)信用中国网站、中国政府采购网等信用查询结果;
(六)单位简介及报价函(格式自拟,请按照一年一次服务和三年三次服务分别进行一次报价);
(七)《网络安全等级测评与检测评估机构服务认证证书》复印件。
报价材料须盖单位公章,一次发出,不得修改。报价材料装订成册后密封,并在密封袋封口处加盖公章或密封章。报价单位请预留联系人及联系方式。
点击登录查看、报价材料递交时间、方式、地点
请于****17:00前报价文件经密封,并在密封袋封口处加盖供应商单位公章后,采用现场递交或者邮寄方式进行递交。地址:内江市****
联系人:柯董
联系电话:****
附件:内江市公共信用信息平台2024年网络安全等级保护测评(三级)项目采购需求说明
内江发展和改革委员会
****
附件
内江市公共信用信息平台2024年网络安全等级保护测评(三级)项目采购需求说明
一、项目概述
为贯彻落实国家、省社会信用体系建设工作要求和信息系统网络安全等级保护要求,进一步增强我市信用信息平台系统安全防护能力,确保系统安全稳定运行,点击登录查看拟对内江市公共信用信息平台开展2024年网络安全等级保护测评(三级)。
二、项目内容及技术要求
(一)项目内容
依据国家和行业信息安全相关标准,全面了解和掌握内江市****
本次项目的服务范围包括以下信息系统:
| 服务内容 | 信息系统名称 | 数量 | 系统级别 |
| 网络安全等级保护测评 | 内江市公共信用信息平台(含门户网站) | 1 | 三 |
(二)项目实施依据
此次依据的标准包括但不限于以下内容:
1.《中华人民共和国网络安全法》;
2.《信息安全等级保护管理办法》(公通字〔2007〕43号);
3.《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》
4.《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》
5.《GB-T 28449-2018 信息安全技术网络安全等级保护测评过程指南》
6.其它国家、省、行业信息安全等级保护有关要求和标准。
(三)项目技术要求
按照相关要求,对内江市公共信用信息平台进行安全现状调研,采取相应的测评方法(包括:访谈、检查、测试等),按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的系统等级保护测评报告。实施地点由采购人指定。
1.测评应满足的原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购方的行为,否则采购方有权追究供应商的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
2.测评要求
根据项目需求,为保障现场测评过程安全可控,明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程:
| 序号 | 关键实施阶段 | 工作要求 |
| 1 | 确定测评范围 | 明确本次被测评信息系统的范围,包括信息系统的范围、信息系统的边界等。 |
| 2 | 获得信息系统的信息 | 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 |
| 3 | 确定具体的测评对象 | 初步确定每个信息系统的被测评对象,包括整体对象,如办公环境、网络等,也包括具体对象,如网关设备、应用系统等。 |
| 4 | 确定测评工作的方法 | 根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法。 |
| 5 | 制定测评工作计划 | 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 |
| 6 | 实施等级保护测评 | 实施测评,包括人工检查、工具扫描等方式。 |
| 7 | 协助整改 | 为安全整改的各项工作提供技术咨询服务。 |
| 8 | 项目总结 | 对测评结果进行总结、汇报。 |
3.测评内容按照信息系统等级保护测评依据开展测评工作(包括不限于以下项目):
(1)安全物理环境:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
(2)安全通信网络:网络架构、通信传输、可信验证。
(3)安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
(4)安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
(5)安全管理中心:系统管理、审计管理、安全管理、集中管控。
(6)安全管理制度:安全策略、管理制度、制定和发布、评审和修订。
(7)安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
(8)安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
(9)安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
(10)安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
除以上安全通用要求外,还包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
4.其他要求
(1)渗透测试服务。对项目中所涉及的业务系统,至少提供两次安全渗透服务。
(2)投标人完成对招标人信息系统等级保护系统测评工作后,并协助招标人完成该系统在内江市公安部门的等保备案工作,以保证信息系统可以顺利通过信息系统等级保护测评。
(3)为确保测评工作高质量完成,投标人要严格按照国家标准规范开展工作,保证4名测评师现场实施(高级、中级测评师至少各配备1名),并在响应文件中和现场实施过程中提供人员名单(包括信息安全等级测评师证书复印件、身份证复印件、近3个月的社保证明、联系方式),所有工作人员仅限中华人民共和国境内的中国公民,且无犯罪记录。
(4)测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
5.交付产物
包括但不仅限于以下资料:
| 序号 | 项目内容 |
| 1 | 信息系统安全等级保护测评方案 |
| 2 | 信息系统安全等级保护整改建议 |
| 3 | 信息系统安全等级保护测评报告 |
| 4 | 其他应交但未列入的资料 |
三、商务要求
(一)合同签订时间:自成交通知书发出之日起30日内签订。
(二)★项目完成时间:如为一年期,自签订合同之日起,至****前完成本项目;如服务为三年期,则需2024年、2025年、2026年分别开展一次服务,完成时间均为当年12月30日前。
(三)采购方将按相关规定组织项目验收。
(点击登录查看)甲方在项目验收后10个工作日内向乙方支付合同总额100%。合同总价(含税)已包含人工、材料、编制、差旅等费用,以及在甲方办公现场乙方产生的住宿、餐饮、办公用品等费用。
(五)以下情形甲方将取消中标方成交资格,并将不予支付项目期间该企业所产生的所有费用:甲方将检查现场实施人员资质、名单,如发现人员资质和名单与提供的技术方案不符的;中标方不能满足4小时内响应项目现场服务需求;其他属于中标方未按要求按时间完成项目的情形。