南通市大數據發展集團有限公司網絡安全 等級保護測評項目
2020-11-23 累計點擊:
我單位決定對南通市大數據發展集團有限公司所開發和維護的公共基礎數據庫和公共信息平臺以及數據整合與共享系統、南通市云數據中心系統進行等級保護測評,以明確信息系統現狀,發現系統內部存在的安全隱患和不足,明確整改方向,降低系統被攻擊的風險。 本次測評服務預算:拾萬貳仟元; 一、本項目測評范圍
二、測評單位要求 1、投標人具有公安部門網絡安全等級保護評估中心頒發的《網絡安全等級保護測評機構推薦證書》,提供證書復印件(加蓋公章); 三、測評內容 1、總體要求: A.完成上述系統安全等級測評工作,測評后經用戶方確認,出具符合網絡安全等級保護測評要求的測評報告; B.對上述系統不符合網絡安全等級保護有關管理規范和技術標準的,提出可行性整改方案,提供相應的安全整改建議書。 2、質量要求: A.等級測評及服務原則:符合性原則、標準性原則、規范性原則、可控性原則、整體性原則。 B.網絡安全等級保護定級及測評服務依據: 《中華人民共和國網絡安全法》 《GB/T22239-2019信息安全技術 網絡安全等級保護基本要求》, 《GB/T28448-2019 信息安全技術 網絡安全等級保護測評要求》, 《GB/T 28449-2018 信息安全技術 網絡安全等級保護測評過程指南》, 《GB/T 25058-2019 信息安全技術 網絡安全等級保護實施指南》。 3、網絡安全等級保護測評內容: A.安全技術測評:包括物理安全、網絡安全、主機系統安全、應用安全和數據安全等五個方面的安全測評; B.安全管理測評:安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全控制測評 4、提供整改咨詢服務,根據所測系統的最終測評報告,對系統現狀提出安全整改建議并協助整改工作,以期達到整改目的。 四、測評原則: 1、客觀性和公正性原則: 測評人員應當沒有偏見,在最小主觀判斷情形下,按照評估雙方相互認可的評估方案,基于明確定義的測評方式和解釋,實施評估活動。 2、可重復性和可再現性原則: 依照同樣的要求,使用同樣的評估方式,對每個評估實施過程的重復執行應該得到同樣的結果??稍佻F性和可重復性的區別在于,前者與不同評估者評估結果的一致性有關,后者與同一評估者評估結果的一致性有關。 3、連續性原則: 確保在高速變化的信息安全環境中,在有效的服務期間內,保證采購方風險評估結論的準確性和及時性,對于采購方單位新增設的信息資產和服務,或新建立的信息化項目,進行局部系統的重新評估。從經濟上,降低了采購方單位的成本,從信息安全性上,保證信息安全測評的動態穩定性。 4、擴展性原則: 在評估過程結束后,信息安全測評過程要保持擴展性,從擴展的屬性上進一步加強測評結束后采購方的安全管理有效性和可用性。 5、保密原則: 在測評過程中,需嚴格遵循保密原則,雙方簽訂保密協議,對服務過程中涉及到的任何用戶信息未經允許不向其他任何第三方泄漏,以及不得利用這些信息損害采購方利益。 6、互動原則: 在整個測評過程中,強調采購方的互動參與,每個階段都能夠及時根據采購方的要求和實際情況對測評的內容、方式做出相關調整,進而更好的進行風險評估工作。 7、最小影響原則: 測評工作應該盡可能小地影響系統和網絡的正常運行,不能對業務的正常運行產生明顯的影響(包括系統性能明顯下降、網絡阻塞、服務中斷等),如無法避免,則應做出說明。 8、規范性原則: 網絡安全等級保護測評服務的實施必須由專業的測評服務人員依照規范的操作流程進行,對操作過程和結果要有相應的記錄,并提供完整的服務報告。 9、質量保障原則: 在整個測評過程中,須特別重視項目質量管理。項目的實施將嚴格按照項目實施方案和流程進行,并由項目協調小組從中監督,控制項目的進度和質量。 五、測評人員和時限要求: 1、測評駐場人員要求:本次測評至少需要1名高級測評師,1名中級測評師, 2名初級測評師。本次等保測評項目不得轉包或者分包,所有駐場測評師必須是中標公司自己的正式員工,所有駐場測評師必須持證上崗,響應文件中應提供項目組成員名單、社保主管部門出具的響應單位為其繳納社保的證明、相關證書復印件等,未經采購方同意,項目組成員不得更改。 2、測評時間要求:按照被測單位要求,合同簽訂完畢一周內啟動測評工作。 3、測評期限要求:簽訂合同后60天內完成網絡安全等級保護測評并出具蓋章報告,并完成備案。 4、本項目不接受聯合體投標。 六、服務地點 采購方指定地點。 七、付款時間和條件 1.本項目所涉及的測評費用,在每個系統完成測評提交測評報告的10個工作日內,由采購方一次性付清全款。 2.如遇集團突發情況調整導致項目不能做完或無法出具報告的:所涉及系統測評予以終止。 八、評分標準 采用綜合評分法,按照供應商資質、技術能力、服務能力和報價均能滿足采購招標需求要求且綜合評分最高的為中標第一候選人,如得分有相同的,則技術商務分高的單位排名在前,如技術商務分得分也相同,則通過抽簽方式確定排序。若中標單位放棄資格,由中標第二候選人單位中標,以此類推。
其它詳細內容詳見附件 |