宜卫校采〔****〕**号
根据学校采购管理相关制度,结合学校采购计划,现对学校网络安全等保*级测评服务项目进行采购,诚邀合格供应商参加竞选。
*、 项目名称:*川省宜宾卫生学校网络安全等保*级测评服务项目。
*、项目概括:
*.*川省宜宾卫生学校网络安全等保*级测评服务项目。项目限价:**万元。报价为综合价格,含人工费、安装费、税费等*切费用。
*.测评服务的目标任务:按照《中华人民共和国网络安全法》、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔****〕**** 号),进*步增强系统安全防护能力,确保系统安全稳定运行,对我校开展网络安全等级保护 *.* 测评服务工作。
*.服务期限:从合同签订后,至提交测评报告通过验收备案成功为止。
*.服务地点:*川省宜宾卫生学校。
*、竞选资质及要求:
*. 中国境内注册具有资质的合法商家,需提供合法有效的营业执照副本复印件,加盖鲜章。
*.法定代表人或经营者身份证复印件,加盖鲜章。
*.法定代表人或经营者授权书(单位参选代表人是法定代表人时,不必提供)。
*.单位参选代表人本人身份证复印件,加盖鲜章。
*.参选商家须提供以具备下证书的相关资料:
(*)具有*******质量管理体系认证证书,认证范围包括“评估测试服务”;
(*)具有********信息技术服务管理体系证书,认证范围包括“评估测试服务”;
(*)具有********信息安全管理体系证书,认证范围包括“评估测试服务”;
(*)具有中国合格评定国家认可委员会颁发的检验机构认可证书(****),认可范围包括“信息系统网络安全等级保护测评”;
(*)具有检验检测机构认证证书,检验检测能力范围包括“软件和信息系统安全等级保护测评等相关内容”。
*.参选商家提供拟派本项目经理须具有以下证书的相关资料:
(*)信息安全等级评测师(高级)证书 或 网络安全等级评测师(高级)证书;
(*)注册云安全系统认证专家(*****)证书;
(*)网络与信息安全应急人员证书;
*.参选商家提供拟派本项目技术人员须具有以下证书:
(*)信息安全等级评测师(高级)证书 或 网络安全等级评测师(高级)证书;
(*)注册云安全系统认证专家(*****)证书 或 注册信息安全专业人员(****)证书;
(*)网络与信息安全应急人员证书。
*.项目经理和技术人员不能是同*个人,拟派人员中需具有注册网络安全专业防御人员(*****-*)证书,须提供拟派人员近*个月的社保证明。
*、竞选方式:
*.公告时间:****年*月**日至****年*月*日;报名时间:****年*月*日上午*:**时至****年*月*日下午**时**分止(时间:上午*:**-**:**,下午**:**-**:**)参选单位在此段时间内将资质资料、承诺函和报名表交*川省宜宾卫生学校办公室(行政楼***室)。学校组织评比小组按程序于竞选截止日起*个工作日内开始评选,在响应报价要求的条件下以综合报价最低报价为中选商家。
*、服务内容及要求:
(*)、服务内容
*.测评服务内容
等级保护测评主要分为技术测评和管理测评。技术层面的测评主要是测评和分析在网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、应用系统等软硬件设备;管理层面的测评包括从组织的人员、组织结构、管理制度、系统运行保障措施,以及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷等。测评服务需要出具详细的测评报告。
本次实测**个系统,备案*个系统。
*.其他服务内容
包含技术和管理层面的服务。技术层面的服务主要是协助我校处技术安全风险,如指导、培训、建议等;管理层面的服务主要是协助我校处理管理安全风险,如人员配备及组织结构建议,管理制度、规范及相关资料的完善等。该项服务要直到我校符合网络安全*级等保要求为止。
(*)、测评依据及要求
*.测评依据
此次依据的标准包括但不限于以下内容:
《信息安全等级保护管理办法》(公通字〔****〕** 号)
《信息安全技术网络安全等级保护基本要求》**/* *****-****
《信息安全技术网络安全等级保护定级指南》**∕* *****-****
《信息安全技术信息系统安全等级保护实施指南》**/* *****-****
《信息安全技术信息安全风险评估规范》**/* *****-****
《信息安全技术信息系统安全等级保护测评要求》**/* *****-****
《信息安全技术网络安全等级保护测评过程指南》**/* *****-****
《中华人民共和国网络安全法》
*.测评要求:
(*)安全技术测评。包括物理环境安全,网络通信安全、安全区域边界、安全计算环境、安全管理中心*个方面的安全测评。
(*)安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等*个方面的安全测评。
(*)形成差距分析报告。依据测评结果,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出差距测评结论(结论为达标、基本达标、不达标)。根据测评结果制定《宜宾卫校网络安全等级保护*.* *级测评差距分析报告》,列出被测信息系统中存在的主要问题以及可能造成的后果。
(*)完成整改工作。依据整改方案,为我校系统安全整改的各项工作提供技术咨询服务,并协助制定整改计划和确定网络安全整改标准和整改结果达标确认。
(*)、测评服务项目
按照网络安全等级保护测评依据《**/* *****-**** 信息安全技术网络安全等级保护基本要求》、《**/* *****-**** 信息安全技术 网络安全等级保护测评要求》、开展测评工作(至少包括以下项目):
*.安全物理环境
安全物理环境检查主要是了解信息系统的物理安全保障情况,涉及对象为机房。在内容上,安全物理环境层面测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 物理位置的选择 | 检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
* | 物理访问控制 | 检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
* | 防盗窃和防破坏 | 检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
* | 防雷击 | 检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
* | 防火 | 检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
* | 防水和防潮 | 检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
* | 防静电 | 检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
* | 温湿度控制 | 检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
* | 电力供应 | 检查机房供电线路、设备等过程,测评是否具备为信息系统提供*定电力供应的能力。 |
** | 电磁防护 | 检查主要设备等过程,测评信息系统是否具备*定的电磁防护能力。 |
*.安全通信网络
安全通信网络检查主要是了解系统的网络架构和通信传输等,涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上,安全通信网络层面测评过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 网络架构 | 检查核心设备的***和内存使用率,整个网络带宽是否满足现状,****划分是否合理,网络架构是否做到设备冗余、链路。 |
* | 通信传输 | 检查数据在传输过程中的完整性和保密性措施。 |
* | 可信计算 | 检查设备是否进行可信验证。 |
*.安全区域边界
安全区域边界检查主要是了解系统在网络边界的防护措施,涉及对象为防火墙、入侵检测、安全审计等安全设备。在内容上,安全区域边界层面测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 边界防护 | 检查网络边界是否有访问控制设备,访问控制策略是否合理,是否关闭了闲置端口等。 |
* | 访问控制 | 检查网络中的访问控制策略是否合理、有效。 |
* | 入侵防范 | 检查网络中是否采用了入侵防范措施,验证该措施是否有效。 |
* | 恶意代码和垃圾邮件防范 | 检查网络中是否有恶意代码和垃圾邮件防范措施。 |
* | 安全审计 | 检查网络中是否有综合安全审计措施。 |
* | 可信验证 | 检查设备是否进行可信验证。 |
*.安全计算环境
安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施,涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上,安全计算环境层面测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 身份鉴别 | 检查所有设备的登录用户是否有身份鉴别措施,是否有复杂度、唯*性等检查。 |
* | 访问控制 | 检查用户的权限分配情况,默认用户和默认口令使用情况等。 |
* | 安全审计 | 检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。 |
* | 入侵防范 | 检查设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
* | 恶意代码防范 | 检查设备的恶意代码防范情况。 |
* | 可信验证 | 检查设备是否进行可信验证。 |
* | 数据完整性 | 检查系统数据的传输完整性和存储完整性措施。 |
* | 数据保密性 | 检查系统数据的传输保密性和存储保密性措施。 |
* | 数据备份恢复 | 检查系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
** | 剩余信息保护 | 检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
** | 个人信息保护 | 检查系统对个人信息的采集和使用情况。 |
*.安全管理中心
安全管理中心检查主要是了解系统在管理、审计等集中管理的情况,涉及对象为综合管理类设备、综合审计类设备等。在内容上,安全管理中心实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 系统管理 | 检查是否对系统管理员进行统*的身份鉴别,操作审计等。 |
* | 审计管理 | 检查是否对审计管理员进行统*的身份鉴别,操作审计等。 |
* | 安全管理 | 检查是否对安全管理员进行统*的身份鉴别,操作审计等。 |
* | 集中管控 | 检查是否划分独立的安全管理区域,是否对网络中运行的设备进行状态监测、日志审计、安全审计等,是否对补丁、恶意代代码进行统*管理。 |
*.安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 安全策略 | 核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略 |
* | 管理制度 | 检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
* | 制定和发布 | 检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循*定的流程。 |
* | 评审和修订 | 检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
*.安全管理机构
安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况,主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 岗位设置 | 检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
* | 人员配备 | 检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
* | 授权和审批 | 检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
* | 沟通和合作 | 检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
* | 审核和检查 | 检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
*.安全管理人员
安全管理人员测评是为了了解单位人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 人员录用 | 检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
* | 人员离岗 | 检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照*定的手续办理。 |
* | 安全意识教育和培训 | 检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
* | 外部人员访问管理 | 检查有关文档等过程,测评对第*方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
*.安全建设管理
安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全建设管理测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 定级和备案 | 检查系统定级相关文档等过程,测评是否按照*定要求确定系统的安全等级。 |
* | 安全方案设计 | 检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照*定流程进行。 |
* | 产品采购和使用 | 测评是否按照*定的要求进行系统的产品采购。 |
* | 自行软件开发 | 检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
* | 外包软件开发 | 检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
* | 工程实施 | 检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
* | 测试验收 | 检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
* | 系统交付 | 检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
* | 等级测评 | 检查系统之前等级测评的情况,以及之前测评机构的资质等。 |
** | 服务供应商选择 | 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
**.安全运维管理
安全运维管理测评是为了了解系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程涉及的工作单元,具体内容如下:
序号 | 工作单元名称 | 工作单元描述 |
* | 环境管理 | 检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
* | 资产管理 | 检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
* | 介质管理 | 检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
* | 设备维护管理 | 检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
* | 漏洞和风险管理 | 检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 |
* | 网络和系统安全管理 | 检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容;检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修 改等内容;核查是否具有对日志、监测和报警数据等进行分析统计的报告;核查开通远程运维的审批记录,核查针对远程运维的审计日志是否不可以更改等。 |
* | 恶意代码防范管理 | 检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
* | 配置管理 | 检查是否对基本配置信息进行记录和保存,基本配置信息改变后是否及时更新基本配置信息库等。 |
* | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
** | 变更管理 | 检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
** | 备份与恢复管理 | 检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
** | 资产管理 | 检查是否有资产清单,清单是否包括资产类别、资产责任部门、 重要程度和所处位置等内容;是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施 的选取上是否不同;核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。 |
** | 应急预案管理 | 检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
** | 外包运维管理 | 检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 |
(*)交付要求:
*.签订合同后,需结合我校实际制定《测评方案》。提交《测评方案》的期限为签订合同后的*个工作日内,测评方案中须包含但不限于测评服务项目中的各项内容,并包含测评流程、测评方法、测评指标和配合需求等内容,测评思路清晰、测评内容完整、测评重点突出,针对每点测评要求项提出完善的测评方法,方法全面、合理,并具有很强的针对性,否则视为不能履约。
*.在提交测评方案后的**个工作日内,严格按测评方案进行初次测评,并根据测评结果形成《初测报告》和《整改方案》,初测报告需真实和完整,整改方案需具有针对性、科学性和可行性,否则视为不能履约。
*.在校方整改期间,需提供密切协助和支持。
*.在校方整改结束后的*个工作日内,严格按测评方案进行复测,形成《复测记录》,在复测通过后**个工作日内,提交《提交网络安全等保测评报告》(正式),并完善相关资料,协助校方完成测评备案相关工作。
*、竞选须知:
*.竞选单位应遵守有关法律、法规,不得采取不正当竞争手段。
*.商家可依据自身情况自行勘查现场:宜宾卫校中心实验室肖老师,联系电话:****-*******。
*.项目实施过程中安全责任由中选商家负责。
*.采购项目咨询联系人:学校办公室(行政楼***室)段老师、薛老师、李老师,联系电话:****-*******。
*、履约保证金:中选人在中选后合同签订前须向甲方提交中选金额的*%作为履约保证金。在项目服务结束后,如无质量问题,甲方无息退还履约保证金。
*、付款方式:在工程项目验收合格后,提供本单位正式发票,学校支付全款。
*、本公告未尽事宜,由*川省宜宾卫生学校办公室负责解释。
**、项目采购具体情况及报名表详见《报价单》。参选单位必须按公告格式进行报价。
*
防盗窃和防破坏
检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
*
可信计算
检查设备是否进行可信验证。
*
入侵防范
检查网络中是否采用了入侵防范措施,验证该措施是否有效。
*
安全审计
检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。
*
安全管理
检查是否对安全管理员进行统*的身份鉴别,操作审计等。
*
制定和发布
检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循*定的流程。
*
授权和审批
检查相关文档,测评信息系统对关键活动的授权和审批情况。
*
安全意识教育和培训
检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。
*
产品采购和使用
测评是否按照*定的要求进行系统的产品采购。
*
介质管理
检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
热门推荐