为保护信用信息数据安全,确保“中山市信用联合奖惩应用系统”持续平稳运行,我局拟采购2021年“中山市信用联合奖惩应用系统”信息安全等级保护测评服务,现将有关事项公告如下:
一、采购服务内容
按照《信息安全等级保护管理办法》(公通字〔2007〕43号)规定和信用联合奖惩应用系统信息安全等级保护测评要求,对“中山市信用联合奖惩应用系统”开展2021年信息安全等级保护测评服务,并向市公安局申请出具年度等级测评回执,申请保护等级为三级。主要测试的内容包括:“中山市信用联合奖惩应用系统”6台服务器(详见附件《信用联合奖惩应用系统信息安全等级保护测评服务需求》)。
二、预算及时间要求
(一)采购预算
6.5万元。
(二)时间要求
1.2021年9月25日前完成信息系统定级备案和信息系统等级测评工作,完成相关材料的编写审核、定稿并提交公安部门进行信息安全等级保护系统定级备案和测评报告备案。
2.2021年9月28日前获取相应的由市公安局出具的已完成对信用联合奖惩应用系统的年度等级测评回执,保护等级为三级。
三、服务商及测试人员资质要求
(一)服务商资质要求
1.服务商须是具有独立法人资格。
2.服务商须具有公安部门认定的信息安全等保测评资质或相关授权。
3.服务商应具有承担本项目所需的人力、技术等支持,具有三级等保测评服务经验。
4.服务商应能够按照要求提供优质服务、按期完成项目。
5.服务商不存在突出问题被广东省公安厅要求责令整改未通过的情况。
6.服务商不存在被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的情况。
7.本项目不接受联合体投标。
(二)测试人员要求
1.熟悉计算机系统和网络设备的操作,对系统安全、网络安全以及信息安全等有深入了解。
2.能独立分析和处理网络系统、操作系统、数据库系统的安全问题,能完成信息安全等级保护、信息安全咨询、信息安全风险评估等项目的技术支持工作。
3.能根据客户需求设计解决方案,按照文档规范整理编写技术支持文档,为相关人员提供等级保护、信息安全风险评估介绍。
4.了解最新信息安全产品知识和技术。
四、付款要求
签订合同之日起1个月内,支付本合同总金额的40%;完成《中山市信用联合奖惩应用系统安全等级保护整改建议》,《中山市信用联合奖惩应用系统安全等级保护差距测评报告》和《中山市信用联合奖惩应用系统网络安全等级保护测评报告(年测)》并递交公安部门,取得市公安局回执(保护等级为三级)之日起1个月内,支付本合同总金额的60%。
五、开标评标
(一)组织评标。收到投标单位的投标文件后,我局将按照《中山市发展和改革局采购管理制度(2020年)》要求组织开标和评标。
(二)评标标准。评标分为两个阶段:第一阶段是符合性审查,投标文件必须满足报价要求及服务需求,符合性审查合格的投标才进入后续评审,符合性审查不合格的投标为无效投标,不进入后续评审;第二阶段是价格评审,按照价低者得的原则,选取总价最低的为中标单位。
六、材料提交要求
服务商应提交本项目执行方案(包括测试流程、测试工具、测试方法、进度计划安排、交付物,项目人员安排、技术支持等相关服务保障等)、报价文件、资质文件各3份,加盖服务商公章后,于2021年7月11日前(以邮戳时间为准)通过中国邮政EMS等快递邮寄至中山市发展和改革局信用建设协调科(地址:中山市松苑路1号市政府大楼535室,邮编528403),信封上请注明“信用联合奖惩应用系统信息安全等级保护测评服务”。逾期未提交申报材料的,视作放弃本次投标。
如对投标事项有任何疑问,可致电我局反馈。
联系人:罗碧仪/黄静雯
联系电话:0760-88322197 传真:0760-88220930
附件:《信用联合奖惩应用系统信息安全等级保护测评服务需求》
中山市发展和改革局
2021年7月1日
附件
信用联合奖惩应用系统信息安全等级保护测评服务需求
一、总体要求
通过等级保护安全测评检测出信用联合奖惩应用系统存在的安全隐患、漏洞等,针对存在的问题提出有效的整改建议,协助采购方进行整改,从而使得信息系统达到信息系统三级保护的安全标准,进而提高信息系统的安全指数,使其安全、正常、稳定的运行,并达到系统验收标准。
二、测评原则
符合性原则:应符合国家信息安全等级保护制度及相关法律法规。
标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
规范性原则:项目实施应由专业的等级保护测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则:等级保护测评与安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害客户利益的行为。
同时,在等级保护测评实施的过程中遵循以下原则:
客观性和公正性原则:虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
经济性和可重用性原则:基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
可重复性和可再现性原则:不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
结果完善性原则:测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
三、测评的范围
根据《信息安全等级保护管理办法》关于三级等保测评要求,对信用联合奖惩应用系统进行信息安全三级保护测评,主要测试的内容包括1个信息系统及6台服务器。
四、服务内容及要求
(一)为中山市信用联合奖惩应用系统提供信息安全等级保护测评服务工作。
(二)中山市信用联合奖惩应用系统等级保护定级为三级,严格按照《信息安全等级保护管理办法第三级》测评要求,完成所有测评点测评工作。
(三)根据差距测评结果,提供详尽合理的安全整改建议,并在信息安全管理制度、安全技术等方面的整改工作中提供模板和指导意见,协助构建符合系统建设要求的安全等级保护管理体系。
(四)在甲方要求的时间内完成信息系统定级备案和信息系统等级测评工作,完成相关材料的编写审核、定稿,提交公安部门进行信息安全等级保护系统定级备案和测评报告备案并取得公安局回执,保护等级为三级。
(五)根据公安部门对报备材料的反馈情况,如需整改的,协助对本次测评的信息系统进行整改、补正材料。
(六)提供自签订合同之日起12个月的重大信息安全事件通告服务,按每季度一次安全事项通报服务,以邮件的方式发送到甲方指定的邮箱以便查阅。
(七)提供自签订合同之日起12个月的信息安全等级保护工作咨询和指导服务,确保中山市信用联合奖惩应用系统的信息安全等级保护持续符合国家管理规范和技术标准以及国家管理部门要求。
(八)服务期内,若测评系统发生变化,需为改变后的系统重新提供定级备案服务。如需开展系统测评工作,则费用另计。
(九)网络层面:根据采购方现有网络环境,从网络结构合理性、网络规则、网络优化、配置合理性、配置优化等方面,提出网络优化安全整改建议。
(十)安全层面:对采购方现有安全体系规范性、产品部署合理性、安全事件(网络核心设备中断、安全事件通报、病毒暴发等)给予咨询建议与支持。
(十一)出具《中山市信用联合奖惩应用系统网络安全等级保护测评报告(年测)》之日起的12个月内,接采购方通知后免费提供2次的应用漏洞扫描服务。
五、测评要求
(一)测评单位要求
1.服务商须是具有独立法人资格;
2.服务商须具有公安部门认定的信息安全等保测评资质或相关授权;
3.服务商应具有承担本项目所需的人力、技术等支持,具有三级等保测评服务经验;
4.服务商应能够按照要求提供优质服务、按期完成项目;
5.服务商不存在突出问题被广东省公安厅要求责令整改未通过的情况;
6.服务商不存在被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的情况;
7.本项目不接受联合体投标。
(二)测评人员要求
1.熟悉计算机系统和网络设备的操作,对系统安全、网络安全以及信息安全等有深入了解;
2.能独立分析和处理网络系统、操作系统、数据库系统的安全问题,能完成信息安全等级保护、信息安全咨询、信息安全风险评估等项目的技术支持工作;
3.能根据客户需求设计解决方案,按照文档规范整理编写技术支持文档,为相关人员提供等级保护、信息安全风险评估介绍;
4.了解最新信息安全产品知识和技术。
(三)测试工具要求
在等级保护测评过程中,采用询问、检查、测试、工具扫描等多种手段组合的方式。工具扫描应至少包括使用:安全评估系统(即安全脆弱性扫描)工具对重要服务器、网络设备、客户端进行漏洞扫描。
六、成果
成交服务商须向采购方提交以下成果:
(一)《中山市信用联合奖惩应用系统安全等级保护整改建议》;
(二)《中山市信用联合奖惩应用系统安全等级保护差距测评报告》;
(三)《中山市信用联合奖惩应用系统网络安全等级保护测评报告(年测)》;
(四)已完成对信用联合奖惩应用系统的年度等级测评回执,保护等级为三级。
