&

溫州科技職業學院（溫州市農業科學研究院）關于信息系統等級保護測評密封詢價采購公告 招標文件下載

信息發布日期：2020.10.25 標簽：浙江省招標溫州市招標

加入日期：	2020.10.25
招標業主：	溫州科技職業學院
地區：	溫州市
內容：	******（農業科學研究院）關于信息系統等級保護測評密封詢價采購公告各供應商：我院現需要如下一些服務，決定采用密封式議價采購，請供應商（以下簡稱乙方）仔細閱讀需求清單及議價注意事項，并提供一次性報價（不得更改）。一、供應商資格要求： . 符合《中華人民**國政府采購法》第二

招標公告正文

溫州科技職業學院（溫州市農業科學研究院）關于信息系統等級保護測評密封詢價采購公告
各供應商：
我院現需要如下一些服務，決定采用密封式議價采購，請供應商（以下簡稱乙方）仔細閱讀需求清單及議價注意事項，并提供一次性報價（不得更改）。一、供應商資格要求：
1. 符合《中華人民共和國政府采購法》第二十二條規定應當具備的條件；
二、報名需提交的資料：
1.《工商營業執照》、《稅務登記證》復印件加蓋公章一式五份；需提供原件以備核查
2.法定代表人、授權人身份證復印件一式五份。
三、采購編號：WKY20200441
四、采購內容：
序號申購單編號項目名稱技術參數數量
1 20200441 信息系統等級保護測評
（預算：40200元）詳見采購清單 1套系統
信息系統等級保護測評（采購清單）
▲一、項目工作內容
1．本次測評的信息系統
本次測評主要針對我院財務管理軟件系統等一批信息系統進行二級等保測評。
2．等保安全整改方案配套服務
提供等級保護加固整改針對性建議并出具整改報告、組織整改后的復核驗證和監督檢查等個性化服務，通過等級測評可以發現系統目前安全現狀與等級保護相關要求之間的差距，從而形成系統改建加固的安全需求，為系統加固方案的設計奠定基礎。
3．等保第三方測評服務
依據《中華人民共和國網絡安全法》、《中華人民共和國計算機信息系統安全保護條例》（國務院 147 號令）、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27 號）、《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66 號）、《信息安全等級保護管理辦法》（公通字〔2007〕43 號）、《浙江省信息安全等級保護管理辦法》（省政府223號令）等相關文件要求，對我院該信息系統進行網絡安全等級保護測評。根據系統的保護等級，并依據等保2.0相關標準的條款要求提供安全技術測評和安全管理測評，全面分析應用系統的安全保護措施與等級保護相應級別之間的差距，進行合規性分析，為系統等級保護加固整改提供客觀依據。
4．安全服務
(1)安全制度建設服務
供應商在開展安全建設整改工作中，會要堅持管理和技術并重的原則，依據《基本要求》，落實信息安全責任制，建立并落實各類安全管理制度，開展人員安全管理、系統建設管理和系統運維管理等工作，協助溫州科技職業學院完成等保安全管理制度的建設。
(2)技術咨詢
供應商能夠提供信息安全方面的技術咨詢服務，安全專家咨詢服務、安全策略與規范擬定服務。
5．安全等級定級及測評服務要求
在等級保護測評過程中，必須依照以下標準：
（1）《信息安全等級保護管理辦法》
（2）《計算機信息系統安全保護等級劃分準則》- GB17859-1999
（3）《網絡安全等級保護安全設計技術要求》（GB/T 25070-2019）
（4）《網絡安全等級保護測評要求》（GB/T 28448-2019）
（5）《網絡安全等級保護實施指南》（GB/T25058-2019）
（6）《信息系統安全等級保護定級指南》（GB/T 22240-2020）
（7）《網絡安全等級保護基本要求》（GB/T 22239-2019）
（8）《信息安全技術信息系統通用安全技術要求》（GB/T20271-2006）
（9）《信息安全技術網絡基礎安全技術要求》（GB/T20270-2006）
（10）《信息安全技術操作系統安全技術要求》（GB/T20272-2006）
（11）《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2006）
（12）《信息安全技術服務器技術要求》（GB/T21028-2007）
（13）《終端計算機系統安全等級技術要求》（GA/T671-2006）
（14）《信息安全風險評估規范》（GB/T 20984-2007）

6．等級保護測評流程
整個等級保護測評過程至少包括以下幾個階段：
a) 確定測評范圍
明確本次被測評系統的范圍，包括每個信息系統的范圍、各個等級信息系統的范圍，信息系統的邊界等。
b) 獲得信息系統的信息
通過調查或查閱資料的方式，了解被測評信息系統的構成，包括網絡拓撲、業務應用、業務流程、設備信息、安全措施狀況等。
c) 確定具體的測評對象
初步確定每個等級信息系統的被測評對象，包括整體對象，如機房、辦公環境、網絡等，也包括具體對象，如邊界設備、網關設備、服務器設備、工作站、應用系統等。
d) 確定測評工作的方法
根據信息系統安全等級情況、系統規模大小等，明確本次測評的方法。
e) 制定測評工作計劃
制定測評工作計劃或方案，說明測評范圍、測評對象、工作方法、人員組成、角色職責、時間計劃等。
f）實施等級保護測評
召開現場工作啟動會，實施測評，包括人工檢查、工具掃描等方式，現場工作結束前，總結測評結果，編制《等級保護測評問題單》，召開末次會議，向管理層反饋結果。
g) 確認整改結果
確認被測評單位的整改報告以后，根據整改報告，對被測系統的進行整改結果進行確認。
7．報告要求
服務中產生的全部檔案資料版權歸采購人所有，供應商未經采購人允許的情況下，不得以任何形式向第三方提供安全技術文檔的全部或部分內容，交付文件包含但不限于以下成果和報告：
（1）《等級保護測評整改報告》
（2）《等級保護測評報告》
（3）滿足等級保護要求各項管理制度標準模板。
8．信息安全規范與標準(一整套)
通過對信息系統在安全技術和安全管理方面的測評，發現信息系統與相應安全等級保護要求之間的差距，評估信息系統面臨風險。依據安全技術測評結果，結合我院信息工作實際情況，制定針對性的安全技術建設整改計劃，通過安全技術整改不斷提高信息系統的整體安全保護水平。依據安全管理測評結果，建立健全管理制度、安全策略、操作規程，落實各項管理措施，完善安全事件處置和應急預案管理，通過安全管理手段與安全技術手段相結合進一步保證我院信息系統的安全性和穩定性。對于現有系統而言，在明確系統的安全需求后，需要明確系統改建的安全需求，形成信息安全規范和標準。
9．《等級保護測評報告》
報告格式及內容應完全依據浙江省網警總隊公布的《信息系統安全等級測評報告模板》，內容包括：信息系統現狀、信息系統安全測評的方法、信息系統運行環境測評、等級測評內容、剩余風險分析與評價、等級評測結論。
▲二、項目成果
1．合同簽定后 1個月內（不包括整改時間）完成提交包括但不限于以下成果：
（1）《信息系統等級保護定級建議報告》
（2）《信息系統等級保護測評報告》
（3）《信息系統等級保護整改規劃建議報告》
2．交付地點：采購人指定地點。
3．驗收要求：交付驗收標準依次序對照適用標準為：①符合中華人民共和國國家安全質量標準、環保標準或行業標準；②符合采購文件和中標供應商響應文件的要求。
4．售后服務：供應商應在本項目范圍內提供1年的7*24支持服務。
5．供應商需協助采購人辦理信息系統等級保護定級工作，并根據測評過程中發現的問題，編制相應的安全完善方案，提供用戶參考。
6．測評工作結束后，供應商須配合采購人提交備案申請，協助采購人完成系統的報備工作。
三、其他要求
（一）項目實施要求
1．實施要求
（1）供應商必須具備獨立完成本項目的能力；
（2）供應商提供的資格、資質等證明文件應真實有效；
（3）供應商應對了解到的信息保密，并提供保密承諾；
▲（4）供應商應在項目現場實施周期內，供應商必須為本項目成立等級保護測評小組，安排包括項目經理和本地社保測評師的現場駐場服務（簽訂合同前務必提供本地社保測評師的材料）；
▲（5）服務期內為溫州科技職業學院提供技術支持和安全服務過程必須具備并隨時提供公安部授權廠商正版等保工具箱及正版測評結果分析軟件（簽訂合同前務必提供相關證明材料）；
（6）能按照溫州科技職業學院規定的工作內容及進度安排完成等級保護工作；
（7）項目執行周期要求在 1 月內（不包括整改時間）完成；
（8）項目必須按照等級保護的標準要求展開，并達到市公安局等級保護的相關要求。
（二）項目管理要求
1.組織實施要求
1)供應商應安排專職項目經理負責本次項目的實施。
2)供應商應保證項目團隊成員的穩定，以保證服務的質量和連貫性。
2．人員安排要求
本項目的技術服務人員需具有信息安全服務工作經驗，參加過信息安全等級保護測評項目并取得信息安全方面資質證書，提供人員管理及配備方案，并確保人員的穩定，要求人員要全程駐場（包括方案制作階段）并以此做為驗收條件。如更換技術服務人員，須由采購人同意并簽字確認。
1)項目負責人（項目實施負責人***
A.工作經驗：2年以上信息安全工作及項目管理經驗。
B.專業知識：熟悉信息安全等級測評，能夠熟練使用常規的WEB應用掃描、基線掃描、漏洞掃描工具，具有一定的操作系統、網絡安全、網站和數據庫知識。
C.素質能力：具備信息安全管理和協調能力，工作認真負責，具有高度的責任心。
2)測評核心技術人員（等級保護測評師）
A.教育水平：通信或計算機類專業本科或同等學歷。
B.工作經驗：2年以上信息安全工作及項目實施經驗，具CISP證書優先。
C.專業知識：熟悉信息安全等級測評，能夠熟練使用常規的WEB應用掃描、基線掃描、漏洞掃描工具。
3．保密要求
服務商須保證對本項目實施中所獲得任何資料和信息嚴格保密，并與我司簽訂保密協議。
（三）整體技術要求
1）安全調查和測評的過程中，供應商如需采購人配合，供應商需要詳細描述需要配合的內容。如需要采購人協助完成各種表單，需要詳細描述表單的名稱、功能及主要表項等等，并由供應商給出具體示例。采購人有權利拒絕提供任何未事先提出的配合要求，由此產生的損失由供應商負全責。
2)本項目中可能需要的硬件平臺(如筆記本電腦、PC、工作站等)均由供應商提供，采購人將按照相關要求對設備進行必要的處理。供應商在服務期間未經采購人許可不得將設備帶離采購人指定場所，也不得使用任何未經采購人確認的存儲設備對測評數據進行復制。
3)供應商需要給出采購人在進行調查和測評時所需要提供的信息列表。經采購人確認后提供給供應商。采購人有權利拒絕提供任何信息列表以外的采購人資產信息。
4)安全測評應按照分層的原則，包括但不限于以下對象：物理環境、網絡結構、網絡服務、主機系統、數據庫系統、應用系統、安全相關人員、處理流程、安全管理制度、安全策略等。
5)供應商應提供本項目的測評方案，包括技術部分和實施部分。技術部分包括整體流程、技術方法和服務方案設計等，需要對每項技術方法的應用位置進行詳細描述，技術方案中應詳細描述本次測評采用的測評方式及標準、漏洞測試和應用分析的方法；
6)實施部分包括人員組織、時間安排、階段性文檔提交、驗收標準、質量保證和風險規避措施等，需要明確每項工作的時間安排、操作時間和操作人員。安全調查和測評過程中，如需使用安全工具，請在實施方案中詳細描述所使用的安全工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環境和平臺的要求等。
7)供應商應詳細描述安全調查和測評的組織方式，包括組成的人員及分工、測評的過程組織、實施時間安排、測評方式所遵循的標準等。
2.付款方式：在合同簽訂前中標供應商應提供合同總金額5%的履約保證金，完成全部設備供貨和系統的安裝、調試、培訓、試用后如一切正常，經驗收合格后，付合同總價的100%，并無息退還100%履約保證金。
四、注意事項：
1、供應商應提供的有關資料：資質證明、報價單（必須注明品牌和型號）、售后服務承諾書（分別加蓋公章）及產品介紹書。
2、中標供應商商所提供的設備，其質量及售后服務須符合國家規定的有關標準。
3、評標方法：在滿足采購需求，質量與服務的前提下，首選浙江政府采購網正式注冊供應商,比照最低評標價法確定成交供應商。如中標商有串標、惡意報價等行為，本次議價將作廢，并將該供應商列入黑名單（本次采購設預算價，超過預算采購方有權重新組織采購）。
4、付款方式：所需設備貨到驗收合格后付款。
5、請于2020 年10月27日下午14：30之前將上述服務最終報價，以信封密封（加蓋公章）的形式交給溫州科技職業學院（溫州市農業科學研究院）（溫州市六虹橋路1000號行政樓706室），逾期作廢。
6、密封信封上請注明議價項目、公司名稱及聯系人電話***
7、請使用EMS、順豐快遞公司，如用其他快遞公司請事先聯系。
如對本次議價有疑問，可電話進行聯系：
聯系人***
電話、傳真：***

此業主發布的其它公告

地區導航: 華東: 上海　江蘇　浙江　安徽　福建　江西　山東

華北: 北京　天津　河北　山西　內蒙古

東北: 遼寧　吉林　黑龍江

華南: 廣東　廣西　海南

西北: 陜西　甘肅　青海　寧夏　新疆

西南: 重慶　四川　貴州　云南　西藏

華中: 河南　湖北　湖南