安全检测

保标招标 > 安全检测 > 招标信息 > 陕西省地震局等级保护测评项目采购公告

陕西省地震局等级保护测评项目采购公告

· 2022-11-16

根据《陕西省地震局自行采购管理办法(试行)》,现对陕西省地震局地震应急响应辅助决策系统和陕西省地震数据资源平台信息安全等级保护测评项目进行公开采购,具体事项说明如下:

一、项目概况

项目名称:陕西省地震局等级保护测评项目

采购单位:陕西省地震局信息中心

项目预算:10万元整

二、工作内容

根据国家《信息安全等级保护管理办法》(公通字[2007]43号)、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)、《陕西省信息安全等级保护安全建设整改工作指导意见》(陕等保办2011 2号)等相关文件要求,此次项目拟对以下信息系统开展定级备案、等级测评及安全检测,并提供测评报告。信息系统名称及安全保护等级如下表:

序号

系统名称

系统等级

服务

1

陕西省地震局地震应急响应辅助决策系统

二级

等级测评服务

2

陕西省地震数据资源平台

二级

等级测评服务

三、项目服务内容

系统调研:在系统相关人员的协助下,对信息系统进行调研和梳理,了解系统当前信息系统资产现状。

现场测评:根据国家等级测评的相关标准及已编制的相关等级保护测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果。

分析整改:根据前述工作内容,分析信息系统安全情况与等级保护基本要求的差距,提供差异化测评服务,并进行风险分析,可根据现场情况出具科学合理的整改建议及整改方案,配合采购单位安全整改工作。

结论报告:根据前述工作内容,分析当前信息系统安全保护能力是否符合相应等级的安全要求,针对整改项进行再次测评,提供安全等级符合性测评服务,出具相关系统测评报告。

配合验收:整理项目过程中所有相关的过程文档,提交系统相关人员,做好验收汇报和整改工作。

四、资质要求

营业执照副本(事业单位法人证书副本)、税务登记证副本(非盈利性事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);

法定代表人委托授权书,法定代表人或事业单位法人参加招标只需提供其身份证;

具有国家信息安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》;

本项目不接受联合体投标。

备注:以上资质文件提供复印件加盖公章查验。

五、其他要求

1. 测评人员要求:本项目的测评人员需具有1年或1年以上测评工作经验,项目经理和质量负责人必须具备丰富的安全服务经验及相关资质认证,并提供人员管理及配备方案,并确保人员稳定。如需更换测评人员,须由采购单位同意。

2. 人员配备:投标方参与此项目组人员不少于4人(其中高级测评师不少于1人,中级测评师不少于1人),提供现场服务的测评师不少于2人(至少1名中级)。投标人必须为本项目成立本地化等级保护测评小组,由测评小组组长统一负责,测评小组组长具有一定的技术及管理知识和经验,能容易地与客户沟通,能很好的执行与完成测评工作,并根据适当情况增加测评人员。

3. 投标人应按等级保护测评要求制定测评过程中产生的文档,做到科学、规范、详尽、统一。

六、服务交付内容

在本次等级保护测评项目中,服务商须提交主要成果文档包含如下:

1.《信息系统安全等级保护项目计划书》;

2.《信息系统安全等级保护测评方案》(陕西省地震局地震应急响应辅助决策系统);

3.《信息系统安全等级保护测评方案》(陕西省地震数据资源平台);

4.《信息系统安全等级保护测评报告》(陕西省地震局地震应急响应辅助决策系统);

5.《信息系统安全等级保护测评报告》(陕西省地震数据资源平台);

6.《信息系统整改建议书》(含两个系统);

7.《信息系统安全等级保护整改方案》(含两个系统);

8. 对出现的网络安全事件或问题提供溯源和解决。

七、项目技术标准及要求

(一)总体要求

根据国家《信息安全等级保护管理办法》(公通字[2007]43号)与《信息安全技术 网络安全等级保护基本要求》GB/T22239-2019要求,等级测评工作须覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容,并根据现场实际情况完成风险分析工作,最终为完善等级保护安全防护体系提供指导依据。

具体工作内容:

1. 陕西省地震局地震应急响应辅助决策系统二级等保测评,该系统用于实现我省震后第一时间地震灾情评估和快速发布、地震灾情获取和地震烈度快速评定等关键信息的产出及服务。需公司依据等保二级要求进行信息系统测评,形成测评报告、整改报告,同时修改完善对应的信息系统备案相关资料。

2. 陕西省地震数据资源平台二级等保测评,该平台用于实现我省地震测震观测数据、编目数据、速报数据、地球物理数据的流程化、自动化、智能化的汇聚接入及服务。需公司依据等保二级要求进行信息系统测评,形成测评报告、整改报告,同时修改完善对应的信息系统备案相关资料。

3. 提供日常及重要安保时期的网络安全事件处置和溯源服务。

从合同签订时间起10个工作日完成系统检查,在取得备案证书后30个工作日内完成测评报告;同时从合同签订时间起一年内提供应急响应与安全事件处置、配合检查、电话支持、安全咨询等服务在内的安全维保服务。

(二)第一阶段:等级保护

信息安全等级保护工作共分为五步,分别是:定级、备案、建设整改、等级测评、监督检查。该项目主要完成系统的安全测评工作,依据安全技术和安全管理两个方面的测评要求,分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个安全类别进行安全测评。

1.等级保护测评要求

服务商在测评过程中要求按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)、《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018)等相关的标准规范开展等级测评工作,对系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共10个层面进行安全等级保护测评。

2.等级保护测评流程及内容

等级保护测评过程中要求服务商严格按照下列流程开展工作,具体工作流程如下:

(1)测评准备阶段:是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。

(2) 方案编制阶段:是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书,形成测评方案。

(3) 现场测评阶段:是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格按照测评指导书执行,分步实施所有测评项目,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。

(4) 分析与报告编制阶段:是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《等级测评过程指南》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成《信息系统安全等级测评报告》文本。

(三)第二阶段:代码审计

采用Fortify SCA 工具,对系统进行代码审计。内容包括但不限于:

1. 审核应用流程中是否存在可被绕过的隐患;

2. 审核应用代码中是否有一般性的漏洞类型;

3. 审核应用代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞;

4. 审核应用系统中三方组件及产品的漏洞隐患;

5. 结合黑盒渗透测试方法,对应用代码审计结果验证;

6. 发现安全隐患,确定后给出加固解决方案;

7. 对应用代码中不符合安全规范的部分进行规范;

8. 对今后应用代码编写的安全措施给出指导意见。

(四)第三阶段:漏洞扫描与分析

针对系统进行漏洞扫描,涉及漏洞包括OWASP TOP 10等主流安全漏洞,包括:SQL注入、XSS跨站脚本、伪造跨站点请求(CSRF)、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、其他各类CGI漏洞。

(五)第四阶段:安全检测

安全检测采用专业工具扫描(漏洞扫描采用产品必须为商业化产品)、人工评估、渗透测试三种相结合的方式,对目标系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面。其他评估内容应至少包括网络设备与防火墙、Web服务、文件服务、Mail服务、数据库问题、跨站脚本攻击、其他服务、其他问题等。

(六)第五阶段:建设整改咨询及安全加固(不涉及硬件)

建设整改咨询工作以等级测评和渗透检测发现的安全问题为工作重点,编写《信息系统安全建设整改建议》;将信息系统的安全建设整改需求落实到可操作的安全技术和管理上,提出能够实现的技术参数或制度及其具体规范。

(七)第六阶段:服务与售后

为期一年的服务与售后工作中,服务方将向陕西省地震局提供应急响应与安全事件处置、配合检查、电话支持、安全咨询等服务在内的安全维保服务。具体服务时效如下:

(1)应急响应与安全事件处置服务

针对本次项目,服务方提供7X24的常规应急响应及灾难恢复专家服务。在接到用户故障报修电话10分钟内响应。对客户信息网络应用系统突发的信息安全事件进行响应、处理、恢复、取证、跟踪、事后分析的方法及过程。对于网络安全事件处置按需提供现场服务,得到通知后1小时到现场。

(2)配合检查服务

服务方免费协助陕西省地震局响应公安机关、单位内部以及第三方机构针对信息系统安全等级保护工作的检查工作。服务内容包括协助陕西省地震局准备、完善各类资料文档,配合检查过程中的答疑及技术支持及其他现场检查的响应。

(3)电话支持服务

每周7天/每天24小时不间断的电话支持服务,解答陕西省地震局在使用过程中遇到的问题,及时提出解决问题的建议和操作方法。电话响应时间不小于10分钟,根据不同响应需求到达现场,解决问题不超过24小时。

(4)安全咨询服务

服务方为陕西省地震局免费提供一年技术咨询服务,包括信息系统整改建设咨询服务以及其他相关安全咨询服务,一旦接到用户的服务请求,技术服务工程师将立即开始提供服务,帮助客户解决信息安全相关技术问题,全面配合陕西省地震局做好业务系统全保障工作。

八、采购响应方式

采购响应时间:2022年11月16日至2022年11月18日

采购响应文件递交地点:西安市碑林区边家村水文巷4号防震减灾科技大楼9楼

联系人:程燕

电话:029-88465343

本次采购接受邮寄,供应商可将资质材料复印件加盖公章连同采购响应文件一并邮寄。

九、付款方式

合同签订后7个工作日内,由乙方向甲方支付10%的履约保证金,甲方收到后向乙方支付合同全额,10%的履约保证金待完成全部服务支持后返还。

十、采购响应文件要求

采购响应文件应严格按照采购需求做出实质性响应,包含以下内容:

1. 对测评准备(现状调研)、方案编制、现场测评、报告编制等内容进行详细描述;

2. 对安全检测方案及内容进行详细描述;

3. 明确服务内容及方法;

4. 明确合理的实施周期和进度表 ;

5. 提供整个测评项目实施过程中的风险防范措施,并明确保密责任与赔偿承诺;

6. 服务承诺及保障措施;

7. 其他认为需要补充的合理化建议。

备注:以上资质文件现场提供复印件加盖公章查验

十一、评标

本项目评审使用综合评分法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、项目实施方案、项目人员从业经验、业务开展情况等多个因素为评价指标,依据评标办法,进行分项评审,评审得分计入总得分。

(一)商务及技术标评分办法表

评审内容

评分标准

分值

汇总

报价

价格

综合评分法中的价格分采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格分为满分15分。

投标报价每偏离基准价5%扣1分,计算公式如下:投标得分=15-【(投标报价-基准价)】/(基准价*5%)。

15

15

技术

服务方案及措施评审

供应商结合采购单位实际需求,提供完整的项目工作流程和实施方案,对等级测评各个工作阶段的工作内容、工作方法及工作成果具有详细说明。优计10-8分,良计7-3分,差计3-0分。

10

25

对项目组成员工作分配、工作职责及项目实施进度具有科学合理安排;按照方案响应程度。成员工作分配科学,进度安排科学紧凑。优计10-8分,良计7-3分,差计3-0分。

10

具有明确保密责任与承诺;具有严格的项目质量管理方案、过程控制及监控手段;具有严格的风险管理方案。优计5分,良计4-2分,差计1-0分。

5

团队技术能力

项目组人员不少于4人(其中高级测评师不少于1人,中级测评师不少于1人),保证提供现场服务的测评师不少于2人(至少包含1名中级),满足得5分,其他情况不得分。

注:以上人员需提供近三个月社保缴纳证明,资质证书证明材料复印件加盖供应商公章。

5

20

项目组负责人具备高级测评师证书,同时具备CISP证书,满足的得5分;项目组成员具备中级及以上测评师证书,同时具备CISAW证书,满足的得5分,其他情况不得分。

注:以上人员需提供近三个月社保缴纳证明,资质证书证明材料复印件加盖供应商公章。

10

项目组成员具备国家信息安全漏洞库CNVD原创漏洞提交证明,每提供一个证书得1分,最高得5分,没有不得分。

注:需提供证书复印件加盖供应商公章。

5

售后

售后服务

针对本项目具有设计全面且可行的售后服务方案,主要针对日常和特殊重要安保时期发生安全事件的情况,根据能够提供安全事件后的溯源服务情况得1-6分;根据能够提供重保期间的远程或现场服务得1-4分;其他情况不得分。

10

10

商务及业绩

公司实力

在测评期间,供应商需提风险评估及分析服务,供应商能提供中国网络安全审查技术与认证中心颁发的《信息安全服务资质认证证书》(信息安全风险评估)二级及以上证书得10分;三级证书得5分,没有不得分。

注:需提供证书复印件加盖供应商公章。

10

30

为保障测评服务质量,供应商应具备:

ISO9001质量管理体系认证证书得5分;

ISO27001信息安全管理体系认证证书得5分;

注:需提供证书复印件加盖供应商公章。

10

业绩

供应商提供自公开报价日起近3年内同类项目业绩合同(以合同签订时间为准,需提供合同复印件至少应包括合同首页、服务内容页、合同价格页及合同盖章页并加盖供应商公章,其他情况不得分)。每份计2分,满分10分。

10

(二)评标规则

各评委必须按照本办法据实评分。凡评分不符合本办法规定者,为无效评分。

评标过程中,各种数字计算均精确至小数点后两位。

评标委员会根据总分由高到低对供应商进行排名;得分相同的,按投标报价由低到高进行排名;得分且报价相同的,按技术标得分由高到低排名。按照上述排名办法由评标委员会推荐前三名供应商为中标候选人。

评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,有关情况待评标委员会研究确定后,再行评定。

评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。

本评标办法解释权归采购人。

十二、定标

陕西省地震局根据评标结果确定成交单位,对未成交单位不做原因解释,成交单位须在公示期结束后的7个工作日内完成合同签订工作。

陕西省地震局

2022年11月16日

文章推荐:

徽州大道4514-35号房屋租赁

淮河路步行街主街新安商城支巷15号位的房屋租赁

滨湖城市天地公租房商201-2室房屋租赁(三次)

和平路237号香料厂104房屋租赁(六次)

热门浏览

更多商机查看,下载保标APP

扫码关注小程序,获取商机更容易