根据《陕西省地震局自行采购管理办法》,现对陕西省地震局两个三级系统信息安全等级保护测评及安全服务项目进行公开采购,具体事项说明如下:
一、项目概况
项目名称:陕西省地震局等级保护测评及安全服务项目
采购单位:陕西省地震局信息中心
项目预算:20万元整
二、工作内容
根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》(公通字[2007]43号)、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)、《陕西省信息安全等级保护安全建设整改工作指导意见》(陕等保办2011 2号)等相关文件要求,此次项目拟对以下信息系统开展等级测评及安全检测,并提供测评报告。信息系统名称及安全保护等级如下表:
序号 |
系统名称 |
系统等级 |
服务 |
1 |
陕西省地震局门户网站信息系统 |
三级 |
等级测评服务 |
2 |
陕西省地震烈度速报与预警系统 |
三级 |
等级测评服务 |
三、项目服务内容
系统调研:在系统相关人员的协助下,对信息系统进行调研和梳理,了解系统当前信息系统资产现状。
现场测评:根据国家等级测评的相关标准及已编制的相关等级保护测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果,出具相关系统测评报告。
分析整改:根据前述工作内容,分析信息系统安全情况与等级保护基本要求的差距,提供差异化测评服务,并进行风险分析,可根据现场情况出具科学合理的整改建议及整改方案,配合采购单位开展安全整改工作。
系统复测:根据整改情况重新进行系统测评,记录复测结果,根据复测结果出具相关系统复测报告。
配合验收:整理项目过程中所有相关的过程文档,提交系统相关人员,做好验收汇报和整改工作。
重保驻场:按照采购方需求,年度服务期内提供不少于投标天数的重保期安全驻场服务,每天驻场时长及驻场具体时间由采购方根据重保要求确定。
四、资质要求
营业执照副本(事业单位法人证书副本)、税务登记证副本(非盈利性事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);
法定代表人委托授权书,法定代表人或事业单位法人参加招标只需提供其身份证;
具有国家信息安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》;
通过“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)等截图证明。若投标人信用记录,列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单,刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚的,其投标无效。
本项目不接受联合体投标。
备注:以上资质文件提供复印件加盖公章查验。
五、其他要求
1. 测评人员要求:本项目的全部测评人员需具有1年或1年以上测评工作经验,项目经理和质量负责人必须具备丰富的安全服务经验及相关资质认证,并提供人员管理及配备方案,并确保人员稳定。如需更换测评人员,须由采购单位同意。
2. 人员配备:投标方参与此项目组人员不少于6人(其中高级测评师不少于1人,中级测评师不少于2人),提供现场服务的测评师不少于3人(至少2名中级)。投标人必须为本项目成立本地化等级保护测评小组,由测评小组组长统一负责,测评小组组长具有一定的技术及管理知识和经验,能容易地与客户沟通,能很好的执行与完成测评工作,并根据适当情况增加测评人员。
3. 投标人应按等级保护测评要求制定测评过程中产生的文档,做到科学、规范、详尽、统一。
六、服务交付内容
在本次等级保护测评项目中,服务商须提交主要成果文档包含如下:
1.《信息系统安全等级保护项目计划书》;
2.《信息系统安全等级保护测评方案》(两个系统各一份);
3.《信息系统安全等级保护测评报告》(两个系统各一份);
4.《信息系统整改建议报告》(两个系统各一份);
5.《信息系统安全等级保护复测报告》(两个系统各一份);
6.《安全咨询报告》,总结安全现状,指导后续安全建设;
7.对服务期内出现的网络安全事件或问题提供溯源和解决;
8.服务期内依据采购方需求提供不少于投标天数的安全驻场服务;
9.提供不少于2次全局范围关于网络安全的培训内容。
七、项目技术标准及要求
(一)总体要求
根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》(公通字[2007]43号)与《信息安全技术 网络安全等级保护基本要求》GB/T22239-2019要求,等级测评工作须覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容,并根据现场实际情况完成风险分析工作,最终为完善等级保护安全防护体系提供指导依据。
具体工作内容:
1. 陕西省地震烈度速报与预警系统三级等保测评,陕西省地震局门户网站信息系统(包含门户网站子系统、数据服务网子系统和安评子系统)三级等保测评,需公司依据等保三级要求进行信息系统测评,形成测评方案、测评报告、整改报告等。
2. 根据等保要求以及陕西省地震局需求,提供制度完善、网络安全预案修正以及网络安全相关方案的编制等服务。包含但不限于陕西省地震局现有安全相关各项规章制度进行细化、完善、整改等编制,网络安全相关方案或报告如安全自查报告、安全保障方案等资料的编制。
3. 提供日常及重要安保时期的网络安全事件处置和溯源服务。
4. 提供全局范围内针对终端用户、以及针对管理部门有关法律法规等的公开培训,不少于两次。
5. 梳理现有信息化安全资产,协助完善安全管理制度及流程,分析安全问题及应急措施,最终提交安全咨询报告,总结安全现状,指导后续安全建设。
6. 提供不少于投标天数的安全驻场服务。
从合同签订时间起30个工作日完成等保测评和报告提交的所有工作;同时从合同签订时间起一年内提供制度完善与方案编制、应急响应与安全事件处置、配合检查、电话支持、安全咨询、安全驻场、安全培训等服务在内的安全维保服务。
(二)第一阶段:等级保护
信息安全等级保护工作共分为五步,分别是:“定级、备案、建设整改、等级测评、监督检查”。该项目主要完成系统的安全测评工作,依据安全技术和安全管理两个方面的测评要求,分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个安全类别进行安全测评。
1.等级保护测评要求
服务商在测评过程中要求按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)、《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018)等相关的标准规范开展等级测评工作,对系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共10个层面进行安全等级保护测评。
2.等级保护测评流程及内容
等级保护测评过程中要求服务商严格按照下列流程开展工作,具体工作流程如下:
测评准备阶段:是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
(2) 方案编制阶段:是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书,形成测评方案。
(3) 现场测评阶段:是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格按照测评指导书执行,分步实施所有测评项目,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
(4) 分析与报告编制阶段:是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《等级测评过程指南》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成《信息系统安全等级测评报告》文本。
(三)第二阶段:渗透检测
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机信息系统是否安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,通常该分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机信息系统是否安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,通常该分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
(四)第三阶段:代码审计
对系统进行代码审计。内容包括但不限于:
1.审核应用流程中是否存在可被绕过的隐患;
2.审核应用代码中是否有一般性的漏洞类型;
3.审核应用代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞;
4.审核应用系统中三方组件及产品的漏洞隐患;
5.结合黑盒渗透测试方法,对应用代码审计结果验证;
6.发现安全隐患,确定后给出加固解决方案;
7.对应用代码中不符合安全规范的部分进行规范;
8.对今后应用代码编写的安全措施给出指导意见。
(五)第四阶段:漏洞扫描与分析
针对系统进行漏洞扫描,涉及漏洞包括OWASP TOP 10等主流安全漏洞,包括:SQL注入、XSS跨站脚本、伪造跨站点请求(CSRF)、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、其他各类CGI漏洞。
(六)第五阶段:安全检测
安全检测采用专业工具扫描(漏洞扫描采用产品必须为商业化产品)、人工评估、渗透测试三种相结合的方式,对目标系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面。其他评估内容应至少包括网络设备与防火墙、Web服务、文件服务、Mail服务、数据库问题、跨站脚本攻击、其他服务、其他问题等。
(七)第六阶段:建设整改咨询及安全加固(不涉及硬件)
建设整改咨询工作以等级测评和渗透检测发现的安全问题为工作重点,编写《信息系统安全建设整改建议》;将信息系统的安全建设整改需求落实到可操作的安全技术和管理上,提出能够实现的技术参数或制度及其具体规范。
(八)第七阶段:安全培训服务
1.政策、安全意识培训
对网络安全知识进行宣传培训。内容包括:网络安全法律法规知识普及、典型信息安全事件知识案例讲解、安全保密意识建立以及前沿信息安全技术知识培训等。
2.安全技术能力培训
针对主机安全、应用安全、网络安全、数据库安全相关的检查方法进行培训,确保项目建设完成后技术人员可以独立完成检测项目的工作内容并完成报告的输出。
(九)第八阶段:服务与售后
为期一年的服务与售后工作中,服务方将向陕西省地震局提供包括制度完善与方案编制、应急响应与安全事件处置、配合检查、电话支持、安全咨询等服务在内的安全维保服务。具体服务时效如下:
制度完善与方案编制服务
服务方提供制度完善与方案编制等服务。服务时效5X8小时,同时按需提供现场服务,得到通知后4小时内到现场。
应急响应与安全事件处置服务
针对本次项目,服务方提供7X24的常规应急响应及灾难恢复专家服务。在接到用户故障报修电话10分钟内响应。对客户信息网络应用系统突发的信息安全事件进行响应、处理、恢复、取证、跟踪、事后分析的方法及过程。对于网络安全事件处置按需提供现场服务,得到通知后1小时到现场。
配合检查服务
服务方免费协助陕西省地震局响应公安机关、单位内部以及第三方机构针对信息系统安全等级保护工作的检查工作。服务内容包括协助陕西省地震局准备、完善各类资料文档,配合检查过程中的答疑及技术支持及其他现场检查的响应。
电话支持服务
每周7天/每天24小时不间断的电话支持服务,解答陕西省地震局在使用过程中遇到的问题,及时提出解决问题的建议和操作方法。电话响应时间不小于10分钟,根据不同响应需求到达现场,解决问题不超过24小时。
安全咨询服务
服务方为陕西省地震局免费提供一年技术咨询服务,包括信息系统整改建设咨询服务以及其他相关安全咨询服务,一旦接到用户的服务请求,技术服务工程师将立即开始提供服务,帮助客户解决信息安全相关技术问题,全面配合陕西省地震局做好业务系统全保障工作。
安全驻场服务
服务方提供有一年以上安全驻场、安全事件处置、问题追溯等经验的工程师提供安全驻场服务,对出现的问题及时处置。
八、采购响应方式
采购响应时间:2024年11月20日至2024年11月22日
采购响应文件递交地点:西安市碑林区边家村水文巷4号防震减灾科技大楼9楼
联系人:程燕
电话:029-88465343
采购响应文件一式两份,本次采购接受邮寄,供应商可将资质材料复印件加盖公章连同采购响应文件一并邮寄。
九、付款方式
合同签订后7个工作日内,由乙方向甲方支付10%的履约保证金,甲方收到履约保证金及发票后向乙方支付合同款50%;乙方完成系统初测工作,甲方收到发票后向乙方支付合同款50%;10%的履约保证金待完成全部服务并提交申请后返还。
十、采购响应文件要求
采购响应文件应严格按照采购需求做出实质性响应,包含以下内容:
1.对测评准备(现状调研)、方案编制、现场测评、报告编制等内容进行详细描述;
2.对安全检测方案及内容进行详细描述;
3.明确服务内容及方法;
4.明确合理的实施周期和进度表;
5.提供整个测评项目实施过程中的风险防范措施,并明确保密责任与赔偿承诺;
6.服务承诺及保障措施;
7.其他认为需要补充的合理化建议。
备注:以上资质文件现场提供复印件加盖公章查验
十一、评标
本项目评审使用综合评分法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、项目实施方案、项目人员从业经验、业务开展情况等多个因素为评价指标,依据评标办法,进行分项评审,评审得分计入总得分。
(一)商务及技术标评分办法表
评审内容 |
评分标准 |
分值 |
汇总 |
报价 |
价格 |
综合评分法中的价格分采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格分为满分10分。 投标报价每高于基准价5%扣1分,每低于基准价5%扣0.5分,扣完为止。 |
10 |
10 |
技术 |
服务方案及措施评审 |
供应商结合采购单位实际需求,提供完整的项目工作流程和实施方案,对等级测评各个工作阶段的工作内容、工作方法及工作成果具有详细说明,且对项目组成员工作分配、工作职责及项目实施进度具有科学合理安排。 优计20-18分,良计17-13分,差计12-0分。 |
20 |
30 |
具有明确保密责任与承诺;具有严格的项目质量管理方案、过程控制及监控手段;具有严格的风险管理方案。优计5分,良计4-2分,差计1-0分。 |
5 |
针对本项目具有可行的安全培训方案,培训内容应包括针对全局范围内各类制度及安全规范的宣讲,以及针对专业技术人员的安全技术培训等,培训大纲和内容安排合理,计3-5分;培训方案设计较差,计1-3分;未提供不得分。 |
5 |
团队技术能力 |
项目组人员不少于6人(其中高级测评师不少于2人),保证提供现场服务的测评师不少于3人(其中中级测评师不少于2人),满足得5分,其他情况不得分。 注:以上人员需提供近三个月社保缴纳证明,资质证书证明材料复印件加盖供应商公章。 |
5 |
15 |
项目组技术负责人具备等保高级测评师证书,同时具备CISP证书,满足的得5分;项目组成员具备中级及以上测评师证书的,同时具备CISAW证书,满足的得5分,其他情况不得分。 注:以上人员需提供近三个月社保缴纳证明,资质证书证明材料复印件加盖供应商公章。 |
10 |
售后 |
售后服务 |
提供针对安全问题处理和溯源的售后服务方案,方案详尽得4-5分,方案简单的0-3分; 提供重保驻场不少于20天得10分,10-15天得5分,其他情况不得分。 梳理现有信息化安全资产,协助完善安全管理制度及流程,分析安全问题及应急措施,最终提交安全咨询报告,总结安全现状,指导后续安全建设,提供分析报告模版,根据模版内容详实程度,得0-2分。 |
17 |
17 |
商务及业绩 |
公司实力 |
在测评期间,供应商需提供风险评估及应急处理服务,供应商提供《信息安全服务资质认证证书》(信息安全风险评估)得5分,提供《信息安全服务资质认证证书》(信息安全应急处理)证书得5分;没有不得分。 注:需提供证书复印件加盖供应商公章。 |
10 |
28 |
为保障测评服务质量,供应商应具备: 信息安全管理体系认证ISO27001证书得3分;信息技术服务管理体系认证ISO20000证书得2分; 质量管理体系认证ISO9001证书得5分; 注:需提供证书复印件加盖供应商公章。 |
10 |
业绩 |
供应商提供自公开报价日起近3年内同类项目业绩合同(以合同签订时间为准,需提供合同复印件至少应包括合同首页、服务内容页、合同价格页及合同盖章页并加盖供应商公章,其他情况不得分)。每份计3分,3份以上得满分8分。 |
8 |
(二)评标规则
各评委必须按照本办法据实评分。凡评分不符合本办法规定者,为无效评分。
评标过程中,各种数字计算均精确至小数点后两位。
评标委员会根据总分由高到低对供应商进行排名;得分相同的,按投标报价由低到高进行排名;得分且报价相同的,按技术标得分由高到低排名。按照上述排名办法由评标委员会推荐前三名供应商为中标候选人。
评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,有关情况待评标委员会研究确定后,再行评定。
评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。
本评标办法解释权归采购人。
十二、定标
陕西省地震局根据评标结果确定成交单位,对未成交单位不做未中标原因解释。
陕西省地震局
2024年11月20日