一、我系统拟对系统等级保护测评服务进行市场信息征集。
(一)服务内容及范围
1.等级保护测评服务内容:
参照《gbt22239-2019 网络安全等级保护基本要求》和《gb/t28448-2019 网络安全等级保护测评要求》等标准规范要求,开展信息系统等级保护测评及整改工作。测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。
2.标准和规范
《gb 17859-1999 计算机信息系统 安全等级保护划分准则》
《gb/t 20269-2006 信息安全技术 信息系统安全管理要求》
《gb/t 20271-2006 信息安全技术 网络系统安全通用技术要求》
《gb/t 20272-2019 信息安全技术 操作系统安全技术要求》
《gb/t 20273-2019 信息安全技术 数据库管理系统安全技术要求》
《gb/t 22240-2020 信息安全技术 网络安全等级保护定级指南》
《gb/t 22239-2019 信息安全技术 网络安全等级保护基本要求》
《gb/t 25070-2019 信息安全技术 网络安全等级保护设计技术要求》
《gb/t 28448-2019 信息安全技术 网络安全等级保护测评要求》
《信息安全等级保护备案实施细则》(公信安[2007]1360 号)
《gb/t 25058-2019 信息安全技术 网络安全等级保护实施指南》
《gb/t?28449-2018信息安全技术 网络安全等级保护测评过程指南》
《公通字[2007]43号 信息安全等级保护管理办法》
3.本项目实施方案设计与具体实施必须满足以下原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为。
(2)标准性原则:测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
(3)规范性原则:供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可控性。
(5)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
(6)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
4.整体要求
(1)供应商应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(2)供应商应完成信息系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作。
(3)供应商应详细描述测评人员的组成、资质。
(4)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。
(5)供应商应提供本次信息系统安全等级保护整改的整体实施方案,包括项目时间安排、阶段性文档提交等,并负责实施整改。
(6)支持展示当前最新的检测结果中新增web/主机漏洞和本次被修复的web/主机漏洞、新增弱口令和本次被修复的弱口令;支持展示客户当前环境的主机中存在的高危端口服务的检测结果;支持展示用户安全事件发现的变化趋势。
5.专用工具要求
本项目涉及工程实施和验收测试所需的工具,由供应商负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。
6.安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
a、等级保护测评前
(1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
(2)签订安全保密协议。
b、等级保护测评中
(1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
(2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
(3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
(4)对测评设备、介质进行严格的保密管理;
(5)工作过程中对人员要实施封闭式集中管理;
(6)对进场人员遵守被测单位的相关管理规定。
c、等级保护测评后
(1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
(2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可执行程序;
(3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
7.文档要求
文档或报告的编写应完整清晰、用词规范、简明扼要,指出的问题应明确合理、符合逻辑、且有证据,出具的结论应公正客观、实事求是,提出的建议应符合国家标准规范、富有建设性和可操作性。
8.测评公司综合实力要求
供应商应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。
9.售后服务
供应商承诺能按要求实现本技术规范规定的所有条款及功能要求,配合完成相关政府部门的信息安全等级保护相关(登记、整改等)工作要求。
(二)项目实施内容与要求
1.项目定级备案
供应商应梳理现有的信息系统,严格按照《gb/t 22240-2020信息安全技术 网络安全等级保护定级指南》的要求,对信息系统的级别进行划定。完成信息系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作。
2.项目测评内容
根据国家等级保护相关标准《gbt22239-2019 网络安全等级保护基本要求》,对重要信息系统等级保护测评项目应包括以下内容:
******管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
服务内容:
(1)协助开展系统和重要信息系统的自查自评估工作,对存在的风险隐患和安全问题及时提供有针对性的安全整改建议,保障整改措施的落实,完成重要信息系统的定级、备案等相关工作;
(2)依据《网络安全等级保护基本要求》,从安全技术和管理两个方面共十个层面对信息系统进行等级测评,出具等级测评报告;
(3)针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节,提供安全建设整改和安全加固方面的咨询。
(4)提供安全服务,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作,及时、有效、正确的预防和阻止各种黑客攻击。职责清晰,能快速及时的帮助客户处理网站安全事件。
(5)基于梳理好的互联网资产,提供一年不少于2次的检测服务,包含web漏洞、主机漏洞、安全事件、文件泄露、可用性、弱口令、高危服务等。将检测结果形成纸质的检测报告(加盖公章)。同时将梳理好的互联网资产根据算法自动评估出互联网资产风险值,在每次检测服务完成后,通过平台展示资产风险情况,提供风险值变化趋势分析及资产风险值top排名,服务单位可通过微信公众号进行安全事件、域名有效期、证书有效期的推送。
二、报名要求:
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必须的设备和专业技术能力;
4、具有依法缴纳税收和社会保障资金的良好记录;
5、企业财务和经营状况良好,具备履行合同能力,无不良记录,无违法违纪记录;
6、具有本项目相应经营范围;
7、具备类似经验或业绩及服务能力,并具备相关证明材料;
8、法律、行政法规规定的其他条件;
三、参加市场调研需要提供的资料:
1、报名需提供资格证明文件:
(1)供应商有效的企业法人营业执照副本、税务登记证、组织机构代码证副本复印件(若供应商已办理三证合一的,则只需提供有效的三证合一证书);
(2)项目经办人员授权及经办人员身份证复印件(原件);
(3)法人代表身份证复印件及法定代表人授权书(原件);
(4)相关证明材料(原件);
(5)产品相关市场价格(原件);
(6)国家对该行业要求的其他相关资质;
(7)根据采购项目提出的特殊条件:具有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书;
以上资料须真实有效,按序装订成册,加封面,封面包含报名公司名称、联系人、联系电话等显著信息,均需加盖报名企业鲜章。
2、递交资料时间截止于调查公告发布后5个工作日。
四、联系方式:
1、联系人:喻老师 联系电话:******
2、地址:德阳市旌阳区龙泉山路325号(德阳市旌阳区卫健局2楼208)
2024年9月13日
(一)服务内容及范围
1.等级保护测评服务内容:
参照《gbt22239-2019 网络安全等级保护基本要求》和《gb/t28448-2019 网络安全等级保护测评要求》等标准规范要求,开展信息系统等级保护测评及整改工作。测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。
2.标准和规范
《gb 17859-1999 计算机信息系统 安全等级保护划分准则》
《gb/t 20269-2006 信息安全技术 信息系统安全管理要求》
《gb/t 20271-2006 信息安全技术 网络系统安全通用技术要求》
《gb/t 20272-2019 信息安全技术 操作系统安全技术要求》
《gb/t 20273-2019 信息安全技术 数据库管理系统安全技术要求》
《gb/t 22240-2020 信息安全技术 网络安全等级保护定级指南》
《gb/t 22239-2019 信息安全技术 网络安全等级保护基本要求》
《gb/t 25070-2019 信息安全技术 网络安全等级保护设计技术要求》
《gb/t 28448-2019 信息安全技术 网络安全等级保护测评要求》
《信息安全等级保护备案实施细则》(公信安[2007]1360 号)
《gb/t 25058-2019 信息安全技术 网络安全等级保护实施指南》
《gb/t?28449-2018信息安全技术 网络安全等级保护测评过程指南》
《公通字[2007]43号 信息安全等级保护管理办法》
3.本项目实施方案设计与具体实施必须满足以下原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为。
(2)标准性原则:测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
(3)规范性原则:供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可控性。
(5)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
(6)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
4.整体要求
(1)供应商应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(2)供应商应完成信息系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作。
(3)供应商应详细描述测评人员的组成、资质。
(4)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。
(5)供应商应提供本次信息系统安全等级保护整改的整体实施方案,包括项目时间安排、阶段性文档提交等,并负责实施整改。
(6)支持展示当前最新的检测结果中新增web/主机漏洞和本次被修复的web/主机漏洞、新增弱口令和本次被修复的弱口令;支持展示客户当前环境的主机中存在的高危端口服务的检测结果;支持展示用户安全事件发现的变化趋势。
5.专用工具要求
本项目涉及工程实施和验收测试所需的工具,由供应商负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。
6.安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
a、等级保护测评前
(1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
(2)签订安全保密协议。
b、等级保护测评中
(1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
(2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
(3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
(4)对测评设备、介质进行严格的保密管理;
(5)工作过程中对人员要实施封闭式集中管理;
(6)对进场人员遵守被测单位的相关管理规定。
c、等级保护测评后
(1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
(2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可执行程序;
(3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
7.文档要求
文档或报告的编写应完整清晰、用词规范、简明扼要,指出的问题应明确合理、符合逻辑、且有证据,出具的结论应公正客观、实事求是,提出的建议应符合国家标准规范、富有建设性和可操作性。
8.测评公司综合实力要求
供应商应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。
9.售后服务
供应商承诺能按要求实现本技术规范规定的所有条款及功能要求,配合完成相关政府部门的信息安全等级保护相关(登记、整改等)工作要求。
(二)项目实施内容与要求
1.项目定级备案
供应商应梳理现有的信息系统,严格按照《gb/t 22240-2020信息安全技术 网络安全等级保护定级指南》的要求,对信息系统的级别进行划定。完成信息系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作。
2.项目测评内容
根据国家等级保护相关标准《gbt22239-2019 网络安全等级保护基本要求》,对重要信息系统等级保护测评项目应包括以下内容:
******管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
服务内容:
(1)协助开展系统和重要信息系统的自查自评估工作,对存在的风险隐患和安全问题及时提供有针对性的安全整改建议,保障整改措施的落实,完成重要信息系统的定级、备案等相关工作;
(2)依据《网络安全等级保护基本要求》,从安全技术和管理两个方面共十个层面对信息系统进行等级测评,出具等级测评报告;
(3)针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节,提供安全建设整改和安全加固方面的咨询。
(4)提供安全服务,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作,及时、有效、正确的预防和阻止各种黑客攻击。职责清晰,能快速及时的帮助客户处理网站安全事件。
(5)基于梳理好的互联网资产,提供一年不少于2次的检测服务,包含web漏洞、主机漏洞、安全事件、文件泄露、可用性、弱口令、高危服务等。将检测结果形成纸质的检测报告(加盖公章)。同时将梳理好的互联网资产根据算法自动评估出互联网资产风险值,在每次检测服务完成后,通过平台展示资产风险情况,提供风险值变化趋势分析及资产风险值top排名,服务单位可通过微信公众号进行安全事件、域名有效期、证书有效期的推送。
二、报名要求:
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必须的设备和专业技术能力;
4、具有依法缴纳税收和社会保障资金的良好记录;
5、企业财务和经营状况良好,具备履行合同能力,无不良记录,无违法违纪记录;
6、具有本项目相应经营范围;
7、具备类似经验或业绩及服务能力,并具备相关证明材料;
8、法律、行政法规规定的其他条件;
三、参加市场调研需要提供的资料:
1、报名需提供资格证明文件:
(1)供应商有效的企业法人营业执照副本、税务登记证、组织机构代码证副本复印件(若供应商已办理三证合一的,则只需提供有效的三证合一证书);
(2)项目经办人员授权及经办人员身份证复印件(原件);
(3)法人代表身份证复印件及法定代表人授权书(原件);
(4)相关证明材料(原件);
(5)产品相关市场价格(原件);
(6)国家对该行业要求的其他相关资质;
(7)根据采购项目提出的特殊条件:具有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书;
以上资料须真实有效,按序装订成册,加封面,封面包含报名公司名称、联系人、联系电话等显著信息,均需加盖报名企业鲜章。
2、递交资料时间截止于调查公告发布后5个工作日。
四、联系方式:
1、联系人:喻老师 联系电话:******
2、地址:德阳市旌阳区龙泉山路325号(德阳市旌阳区卫健局2楼208)
2024年9月13日