鄂州市不动产登记中心信息系统等级保护测评等级保护项目
询价文件
项目名称:鄂州市不动产登记中心信息系统等级保护测评
询价内容:等级保护测评
询价人:鄂州市不动产登记中心
二O一八年十一月
按照“公开、公平、公正”的原则对本项目的等级保护测评服务进行询价采购,请贵公司根据以下要求提供报价。
报价须知
一、采购需求(见附件一)
二、报价文件组成(见附件二)
三、报价自行确定
四、服务周期:30工作日内完成。
五、投标供应商必须持有湖北省等级保护协调小组颁发的《网络安全等级保护测评机构推荐证书》;
六、投标供应商需具备丰富的等级测评项目经验,近1年内至少完成5个及以上信息系统等级测评项目案例(需提供中标通知书或等级测评合同)。投标供应商必须提供参与本次项目的高级测评师资质(DJCP)。
七、本项目不接受联合体招标。
八、报价文件的递交
当地报价供应商应将报价文件密封(正本一份,副本二份)送至鄂州市不动产登记中心综合科(房产大厦三楼)。
截止时间:2018年11月29日17点30分
九、确定成交供应商
采购人根据采购需求、质量和服务相等且报价最低的原则确定成交候选供应商。成交候选供应商因特殊原因放弃或因不可抗力提出不能履行合同,由报价低到高的次序依次递补。
报价合理性说明:评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效投标处理。
十、合同签订
成交供应商应与采购人按询价通知书和报价文件于一周内订立书面合同,合同实质性内容不得超出询价通知书和报价文件的范围。
十一、联系方式:
联系人:熊思迪
电 话:0711-3861612
传 真:0711-3861610
地 址:鄂州市不动产登记中心综合科(房产大厦三楼)
鄂州市不动产登记中心
2018年11月22日
附件一
采购需求
第一部分. 总体要求
1.1项目基本情况:
为了进一步完善我单位信息系统安全体系建设,响应湖北省公安厅《关于开展全省2018年公安机关网络安全执法检查工作的通知》的文件通知,规范我单位信息安全管理,提高信息安全保障能力,投标人需按照信息系统等级保护的技术标准、主管单位及公安机关的相关要求,对我单位不动产统一登记管理平台进行测评,系统级别为三级,在物理安全、网络安全、主机安全、应用安全、数据安全及安全管理等方面开展等级保护测评,完成定级备案、分析信息系统的安全保护现状及与等级保护的要求差距,综合评价被测信息系统保护状况和安全防护能力,提出未达标部分整改方案,开展安全整改工作,形成等级测评报告,并通过等级保护测评和取得证书,满足湖北省公安厅等级保护检查要求。
1.2服务内容及范围:
根据相关文件及标准要求,对需要进行测评的信息系统安全等级保护定级、备案、测评、协助整改等工作,出具符合格式要求的等级测评报告。服务目标为通过公安部门及相关部门的等级保护检查要求。
|
序号
|
系统名称
|
系统级别
|
备注
|
|
1
|
不动产统一登记管理平台
|
三级
|
|
1.3标准和规范
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号
《关于加强信息安全保障工作的意见》中办发[2003]27号
《关于信息等级保护工作的实施意见》(公通字66号)
《信息安全等级保护管理办法》公通字[2007]43号
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)
《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)
《信息安全技术信息安全等级保护 信息系统物理安全技术要求》(GB/T 21052-2007)
《信息安全技术信息系统安全等级保护实施指南》
《信息安全技术信息系统安全等级保护测评准则》
《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、
《信息安全技术服务器技术要求》
《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
《信息安全技术信息系统安全管理要求》(GB/T20269-2006)
《信息技术信息安全管理实用规则》(GB/T 19716-2005 )
《信息技术 安全技术信息技术安全性评估准则》(GB/T 18336)
《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
1.4标准和规范
本项目实施方案设计与具体实施必须满足以下原则:
1) 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标方的行为。
2) 标准性原则:测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
3) 规范性原则:投标方的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
4) 可控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可控性。
5) 最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
1.5整体要求
(1)投标公司必须为湖北省信息安全等级保护工作协调小组办公室推荐目录内公司和其颁发的《网络安全等级保护测评机构推荐证书》。
(2)投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(3)投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(4)投标人必须提供拟派项目实施人员的等级测评专业的高级测评师资质(DJCP)。
(5)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件(包括测试工具和报告编写工具)应符合国家相关要求,经招标人确认后由投标人提供并在信息系统等级保护测评中使用。
(6)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供协助。
1.6专用工具要求
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。
1.7安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
1.7.1等级保护测评前
1) 对等级保护测评人员要进行安全保密教育,制定安全保密措施;
2) 签订安全保密协议。
1.7.2等级保护测评中
1) 对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
2) 等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
3) 对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
4) 对测评设备、介质进行严格的保密管理;
5) 工作过程中对人员要实施封闭式集中管理;
6) 对进场人员遵守被测单位的相关管理规定。
1.7.3等级保护测评后
1) 认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
2) 现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可执行程序;
3) 在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
1.8文档要求
文档或报告的编写应完整清晰、用词规范、简明扼要,指出的问题应明确合理、符合逻辑、且有证据,出具的结论应公正客观、实事求是,提出的建议应符合国家标准规范、富有建设性和可操作性。
1.9技术支持及质量保证
1.9.1技术支持
投标方应提供机构背景材料、等级保护测评专业资质及其他认为可以体现技术能力的资质。投标方应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。
1.9.2售后服务
投标方承诺能按要求实现本技术规范规定的所有条款及功能要求,配合完成相关政府部门的信息安全等级保护相关(登记、整改等)工作要求,为被测单位提供系统信息安全咨询服务(包括:行业等级保护知识、信息系统安全防护知识和信息安全技术和管理策略等咨询和答疑,提供信息系统安全加固整改技术咨询支持等)。
第二部分. 项目实施要求
2.1 项目测评内容要求
根据国家等级保护相关标准,等保测评实施项目安全等级保护测评应包括以下内容:
安全技术测评:包括物理安全、网络安全、主机安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
服务内容:
(1)协助开展系统和重要信息系统的自查自评估工作,对存在的风险隐患和安全问题及时提供有针对性的安全整改建议,保障整改措施的落实,指导完成重要信息系统的定级、备案等相关工作;
(2)依据《信息系统安全等级保护基本要求》,从安全技术和管理两个方面共十个层面对信息系统进行等级测评,出具等级测评报告;
(3)针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节,提供安全建设整改和安全加固方面的咨询。
2.1.1物理安全
物理安全测评是对信息系统的机房和办公场所的物理环境安全防护情况进行测评,包括机房位置选址、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
2.1.2网络安全
网络安全测评是对信息系统的网络系统安全防护情况进行测评,包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性测评、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。
2.1.3主机安全
主机安全测评是对信息系统的服务器、数据库和终端主机系统的安全防护情况进行测评,包括操作系统和数据库层面的身份鉴别、访问控制、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源控制等方面的安全状况。
2.1.4应用安全
应用安全测评是对信息系统的业务系统的安全防护情况进行测评,包括应用系统层面的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、应用系统的资源控制等方面的安全状况。
2.1.5数据安全
数据安全及备份恢复测评是对信息系统的数据安全保护情况进行测评,包括数据在传输和存储过程中的完整性、保密性措施,数据备份和恢复措施。
2.1.6安全管理机构
安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和测评等情况进行测评。
2.1.7安全管理制度
安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
2.1.8人员安全管理
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
2.1.9系统建设管理
系统建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等情况进行测评。
2.1.10系统运维管理
系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。
2.2测评风险规避要求
项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全保密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作,对测评活动、测评人员以及相关文档和数据进行安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行控制。
安全测评工作中可能出现的安全风险点,按照检测对象周密制定测评方法,根据被测评对象的不同采取相应的风险控制手段。不限于以下方法:
? 操作的申请和监护
在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事件。
? 操作时间控制
对测评直接影响系统工作时,尽可能避开敏感时期。
? 人员与数据管理
必须高度重视信息保密工作,加强资料管理,确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议,测评人员与被测评单位之间也要有相应的约束和控制措施,按国家有关要求做好保密工作。
? 制定应急预案
根据测评范围界定的系统情况,在实施前制定应急预案。
? 关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下,原则上不采用测评工具,采用访谈、测评和简单测试的方式进行。
? 优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要根据其上不同的应用和服务情况,有针对性地定制扫描策略选项。
? 数据备份与恢复
对业务系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备与主机的损伤影响业务系统的正常运行。
? 厂商协作
厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息,在测评之前,由三方共同分析测评对业务可能造成的风险,分析可能存在的问题。在测评过程中尽量规避这些风险。
2.3整改实施内容
投标方严格按照差距分析报告内容,落实相关的等级保护建设整改工作,等级保护整改实施具体内容包括安全管理制度修订、安全技术整改、形成安全配置基线、进行安全增强配置和调试工作、实施等保相关培训、安全风险管理工作落实等工作内容,提升信息系统的安全防护能力,确保信息系统满足国家等级保护相应等级要求。
2.4 复评内容
投标方对差距分析报告中测评不通过的项目进行复测评,直至满足等级保护测评要求;
2.5 定级备案服务
对进行测评的信息系统进行定级、备案材料的编写,协助采购方到公安监管等部门办理备案手续,确保信息系统安全保护等级定级准确、备案完整。投标方对整改后的内容进行最终确认,并汇总信息系统等级保护测评报告,完成公安机关的材料报备,取得信息系统备案证明。
2.6 汇总项目材料并验收。
投标方汇总等级保护测评阶段性文档(不限于信息系统拓扑图、定级备案材料、测评记录、检测表、差距分析报告、整改实施方案、测评报告、备案证明等),保证通过评审、验收。
附件二:
报 价 函
(采购人):
(报价人全称)授权 (姓名) (职务)为全权代表,参加信息系统等级保护测评的采购活动。为此,我方谨郑重声明以下诸点并对之负法律责任:
1.我方已详细阅读了全部采购要求和澄清通知(如果有的话)。我方愿意按照本次采购文件的全部要求进行报价,保证所报价工程质量。
2.我方提交的报价为(人民币):
3.我方承诺的服务周期为:
4.我方将按采购文件的规定执行合同责任和义务;
5.我方同意提供按照贵方可能要求的与报价有关的一切数据或资料,完全理解贵方的采购原则和方法及不向落标人解释落标的方式。
供货方单位名称(公章):
供货方代表人(签名):
联系电话:
日期: 年 月 日
法人代表授权书
(采购人):
兹授权 同志为我公司参加贵单位组织的信息系统安全等级保护测评项目询价活动的授权代表人,全权代表我公司处理在该项目活动中的一切事宜。
代理期限从 年 月 日起至 年 月 日止。
供应商: (加盖公章)
法定代表人: (签字)
签发日期: 年 月 日
附:代理人工作单位:
职务: 性别:
身份证号码:
其他证明文件、资料等
1、公司组织机构代码证
2、公司营业执照
3、税务登记证
4、相关资质证书
5、技术服务方案
以上文件均为复印件并加盖公章