网络信息系统安全服务采购招标doc.docx
《网络信息系统安全服务采购招标doc.docx》由会员分享,可在线阅读,更多相关《网络信息系统安全服务采购招标doc.docx(18页珍藏版)》请在冰豆网上搜索。
网络信息系统安全服务采购招标doc
网络信息系统安全服务采购招标要求
一、投标要求
1.投标人须是在人民境内合法的具有合法经营资格的法人(证明文件:
营业执照副本、税务登记证、组织机构代码证,或上述三证合一证件,复印件加盖人公章).
2.具备信息安全等级保护协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》(提供证书复印件加盖人公章).
3.投标人不得将本项目招标内容以任何方式进行分包、转包,不接受联合体投标.
4.投标人应有良好的商业信誉和健全的财务状况(提供书)。
5.最近三年内投标人没有骗取中标和严重违约及重大违法、违规受处罚问题(提供书).
6.投标人在近三年内(至发布之日止)没有处于被责令停业、财产被接管、冻结、状态,无骗取中标、严重违约及重大工程安全及质量问题之一(提供书)。
7.投标截止时间前,投标人未被列入失信被执行人、重大税收违法案件当事人名单、府采购严重违法失信行为记录名单(将通过“信用"()、府采购网()渠道相关主体信用记录)。
投标人必须是经营设在广省内的企业或单位,并且有广省内实施的等保测评项目的案例。
二、服务要求
1.评测服务
对关键信息系统进行信息安全检查和等保测评(提交信息安全检查报告和整改建议),并提供等保测评报告。
等级测评工作包括技术上的物理安全、网络安全、主机系统安全、应用安全、数据安全等层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等五个方面的内容。
。
等级保护测评服务内容
。
定级备案
中标人对招标人信息系统的现状进行调研、资产统计、系统识别,辅助招标人完成信息系统定级,帮助招标人准备相关备案资料,针对系统定级专家评审会,修改备案资料,并对定级结果进行审核和批准,保证定级结果的准确性。
对定级过程中产生的文档进行整理,信息系统定级结果报告,完成系统定级备案工作。
。
测评内容
等级测评工作包括技术上的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复层面和管理上的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面的内容,并使用安全分析工具(至少包含专业的主机、网络、应用系统安全析工具),在与招标人深入沟通的基础上,综合采用访问控制、入侵防御、恶意代码法防范、安全审计、防病毒、传输加密、集中数据备份等多种技术和措施,保证业务应用的可用性、完整性和保密性保护的基础上,实现综合集中的安全管理,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内一个纵深的安全防御体系报告,保障信息系统整体的安全保护能力。
.物理安全
物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。
主要涉及对象为机房.
在内容上,物理安全层面测评包含不限于如表所示实施过程涉及个测评单元。
表物理安全单元测评实施内容
序号
测评指标
测评内容描述
物理位置的选择
通过访谈物理安全负责人,检查主机房等过程,测评屏蔽机房和主机房等信息系统物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
物理访问控制
通过访谈物理安全负责人,检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。
防盗窃和防破坏
通过访问物理安全负责人,检查主机房的主要设备、介质和防盗报警系统等过程,被测系统是否采取必要的措施预防设备、介质等丢失和被破坏
防雷击
通过访谈物理安全负责人,检查主机房的设计验收文档,被测系统是否采取相应的措施预防雷击.
防火
通过访谈物理安全负责人,检查主机房的设计验收文档,检查机房防火设备等过程,测评被测系统是否采取必要的措施防止火灾的发生.
防水和防潮
通过访谈物理安全负责人,检查主机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。
防静电
通过访谈物理安全负责人,检查主机房等过程,测评被测系统是否采取必要措施防止静电的产生。
温湿度控制
通过访谈物理安全负责人,检查主机房的恒温恒湿系统等过程,测评被测系统是否采取必要的措施对机房内的温湿度进行控制。
电力供应
通过访谈物理安全负责人,检查主机房的供电线路、设备等过程,测评被测系统是否具备提供一定的电力供应的能力.
电磁防护
通过访谈物理安全负责人,检查主机房的屏蔽设施等过程,测评被测系统是否具备一定的电磁防护能力。
. 网络安全
网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。
主要涉及对象为接入交换机、核心交换机、网络安全设备,以及网络结构的检查。
在内容上,网络安全层面测评包含不限于如表实施过程涉及个测评单元。
表 网络安全单元测评实施内容
序号
测评指标
测评内容描述
网络结构安全
通过访谈员,检查网络拓扑情况、核心交换机、接入交换机及安全设备,测试系统访问路径和网络带宽分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。
网络访问控制
通过访谈安全员,检查防火墙、核心交换机、接入交换、路由器等访问控制设备,测试系统对外暴露安全漏洞情况等过程,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力.
网络安全审计
通过访谈审计员,检查核心交换机、接入交换机、防火墙、路由器、等设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。
网络边界完整性检查
通过访谈安全员,检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析信息非法接入和非法外联等网络行为。
网络入侵防范
通过访谈安全员,检查网络边界处的入侵检查设备等过程,测评分析信息系统对攻击行为的识别和处理情况
网络设备防护
通过访谈员,检查核心交换机、接入交换机、防火墙、路由器、等网络设备,查看其配置情况,包括身份鉴别、权限分离、登录失败处理、限制非法连接等,考察网络设备自身的安全防护情况。
.主机安全
主机系统安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。
在内容上,主机系统安全层面测评包含不限于如表实施过程涉及个测评单元.
表主机系统安全单元测评实施内容
序号
测评指标
测评内容描述
身份鉴别
对各主机服务器和终端设备相应操作系统或数据库的身份鉴别情况进行配置检查,测评分析被测系统主机的身份鉴别能力。
访问控制
检查各主机服务器和终端设备相应操作系统或数据库的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等,测评分析被测系统主机的访问控制能力。
安全审计
检查各主机的审计功能开启情况,查看审计范围、审计内容和格式,查看是否对审计进程、记录进行保护,是否对审计记录进行分析并能生成报表。
入侵防范
对各主机服务器和终端设备入侵防范情况进行检查,包括入侵记录、程序完整性、系统最小化安装方面,测评分析被测系统主机的入侵防范能力。
恶意代码防范
对各主机服务器和终端设备恶意代码防范情况进行检查,包括恶意代码防范软件的安装、更新、统一管理、是否和网络恶意代码防范软件一致方面,测评分析被测系统主机的恶意代码防范能力。
资源控制
对关键服务器资源控制情况进行检查,包括终端访问方式、地址范围,用户使用限度,访问超时锁定方面,测评分析被测系统主机的资源控制能力.
. 应用安全
应用安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的应用安全保障情况.
在内容上,应用安全层面测评包含不限于如表实施过程涉及个测评单元.
表应用安全单元测评实施内容
序号
测评指标
测评内容描述
身份鉴别
访谈系统管理员,检查业务应用系统的身份标识与鉴别功能设置和使用配置情况;检查业务应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等,测评分析应用系统的身份鉴别能力。
访问控制
访谈系统管理员,检查业务应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等,测评分析应用系统的访问控制能力。
安全审计
访谈系统管理员(审计员),检查应用系统安全审计功能、配置、保护和审计信息分析、报表的情况,测评分析应用系统的安全审计能力。
通信完整性
访谈安全管理员,检查设计验收文档,查看被测系统是否应用密码技术保证通信过程中数据的完整性,并通过测试验证通信数据包是否进行加密。
通信保密性
访谈安全管理员,测试通信双方数据包是否进行加话初始化验证和通信加密功能。
软件容错
访谈系统管理员,检查应用系统对输入的有效性检查,并通过测试输入不同长度、格式数据情况下系统的输入检查的有效性,测评分析系统的软件容错能力.
资源控制
访谈系统管理员,检查应用系统自动结束非活动会话、最大并发会话连接数限制、单个帐户的多重并发会话的限制功能,测评应用系统的资源控制能力.
。
数据安全
数据安全测评将通过访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等.
在内容上,数据安全层面测评分散在网络安全、主机安全和应用安全等方面进行实施。
网络分的“数据安全"测评包含不限于表内容。
表网络安全中“数据安全"测评实施内容
序号
测评指标
测评内容描述
数据完整性
数据保密性
备份和恢复
网络拓扑的冗余性,单点依赖等方面的检查等.
主机分的“数据安全”测评包含不限于表内容。
表主机安全中“数据安全”测评实施内容
序号
测评指标
测评内容描述
数据完整性
检查主机系统的数据完整性保护情况,包括传输完整性、存储完整性保护措施等;
数据保密性
检查主机系统的数据保密性保护情况,包括传输保密性和存储保密性保护措施等。
备份和恢复
主机系统数据的备份情况、数据处理设备的冗余情况等。
应用分的“数据安全”测评包含不限于表内容。
表应用安全中“数据安全”测评实施内容
序号
测评指标
测评内容描述
数据完整性
数据保密性
备份和恢复
生产现场数据的备份情况。
。
管理安全
管理分为全局性问题,涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。
其中,安全管理制度测评实施过程涉及个测评单元,安全管理机构测评实施过程涉及个测评单元,人员安全管理测评实施过程涉及个测评单元,系统建设管理测评实施过程涉及个测评单元,系统运维管理测评实施过程涉及个测评单元等。
。
安全管理制度
安全管理制度方面的测评对象主要为安全主管人员、安全管理人员等,包含不限于如表内容。
表 安全管理制度单元测评实施内容
序号
测评指标
测评内容描述
管理制度
通过访谈安全主管,检查有关管理制度体系文档等过程,测评管理制度体系在内容覆盖上是否全面、完善。
制定与发布
通过访谈安全主管,检查有关制度制定要求文档等过程,测评管理制度的制定和发布过程是否遵循一定的流程。
评审和修订
通过访谈安全主管,检查管理制度评审记录等过程,测评管理制度定期评审和修订情况。
。
安全管理机构
安全管理机构方面的测评对象主要为安全主管人员、安全管理人员等,具体包含不限于如表内容。
表 安全管理机构单元测评实施内容
序号
测评指标
测评内容描述
岗位设置
通过访谈安全主管,检查有关岗位设置的完整性、岗位职责和分工是否明确、检查相应文件规定、授权书和工作记录是否完整、齐备。
人员配备
通过访谈安全主管,检查人员配备情况、有关制度制定要求文档等过程,检查重要岗位人员信息并去而安全管理员是否专职。
授权和审批
通过访谈安全主管,检查审批制度、程序和审批记录等过程,测评授权和审批的规范情况。
沟通和合作
访谈安全主管,检查沟通协调定期会议、安全工作会议文件及记录,检查安全顾问聘用情况、内部人员联系表、外联单位联系表等文档记录。
审核和检查
访谈安全主管,检查定期安全检查的执行情况、安全检查报告等文档,安全审核和安全检查制度等文档,检查相应制度的执行情况。
。
人员安全管理
人员安全管理方面的测评对象主要为安全主管人员、安全管理人员、文档记录等,具体包含不限于如表内容。
表人员安全管理单元测评实施内容
序号
测评指标
测评内容描述
人员录用
通过访谈安全主管,检查人员录用要求管理文档、协议和记录,测评人员录用方面是否遵循相应制度规定并具有严格的流程和记录。
人员离岗
通过访谈安全主管,检查人员离岗要求管理文档、协议和记录,测评人员离岗方面是否遵循相应制度规定并具有严格的流程和记录。
人员考核
通过访谈安全主管,检查人员考核要求管理文档、记录,测评人员考核方面是否遵循相应制度规定并具有严格的流程和记录。
安全意识教育和培训
通过访谈安全主管,检查安全教育和培训要求管理文档、计划、奖惩措施和记录,测评安全意识教育和培训方面是否遵循相应制度规定并具有严格的流程和记录。
外部人员访问管理
通过访谈安全主管(管理员),检查外部人员访问管理文档、记录,测评人员录用方面是否遵循相应制度规定并具有相应的审批文档和记录。
。
系统建设管理
系统建设管理方面的测评对象主要为安全主管人员、安全管理人员、文档记录等,具体包含不限于如表内容。
表系统建设管理单元测评实施内容
序号
测评指标
测评内容描述
系统定级
通过访谈安全主管,检查系统定级相关的文档和审批、论证记录,测评系统定级方面是否遵循相应制度规定并具有严格的流程和记录。
安全方案设计
通过访谈安全主管,检查系统安全策略、技术框架、总体建设规划和祥设方案等相关的文档和专家论证文档,测评安全方案设计方面是否进行了维护、修订并具有严格的流程和记录。
产品采购和使用
通过访谈安全主管和系统建设负责人,检查产品采购管理文档和审批、论证记录,检查选型测试结果记录、候选产品名单等,测评产品采购和使用方面是否遵循国家有关制度规定并具有严格的流程和记录.
自行软件开发
通过访谈系统建设负责人,检查系统开发相关的设计、操作文档和验收测试、代码审查记录,测评自行软件开发方面是否遵循相应制度规定。
外包软件开发
通过访谈系统建设负责人,检查系统开发相关的设计、操作文档和验收测试、代码审查记录,测评外包软件开发方面是否遵循相应制度规定.
工程实施
通过访谈系统建设负责人,检查系统工程实施相关的文档和记录及工程实施单位的资质和能力保证文档,测评系统工程实施方面是否符合相应制度规定并具有相应记录.
测试验收
通过访谈系统建设负责人,检查系统测试验收相关的验收方案、验收记录、安全测试、验收测试报告,测评系统测试验收方面是否遵循相应制度规定并具有严格的流程。
系统交付
通过访谈系统建设负责人,检查系统交付相关的文档和记录,测评系统交付方面是否遵循相应制度规定并具有严格的流程。
安全服务商选择
通过访谈系统建设负责人,检查系统安全服务商的资质、协议和服务合同,测评系统安全服务商选择方面是否符合要求.
。
系统运维管理
系统运维管理方面的测评对象主要为安全主管人员、安全管理人员、文档记录等,具体包含不限于如表内容。
表系统运维管理单元测评实施内容
序号
测评指标
测评内容描述
环境管理
通过访谈物理安全负责人,检查系统环境管理相关的制度措施、文档和记录,测评系统环境管理方面是否遵循相应制度规定并具有严格的流程和记录。
资产管理
通过访谈安全主管,检查系统资产管理相关的制度措施、文档和记录,测评系统资产管理方面是否遵循相应制度规定。
介质管理
通过访谈资产管理员,检查系统介质管理相关的制度措施、文档和记录,检查介质及存储情况,测评系统介质管理方面是否遵循相应制度规定。
设备管理
通过访谈资产管理员(设备管理员),检查系统设备管理相关的制度、文档和记录,测评系统设备管理方面是否遵循相应制度规定并具有严格的流程和记录。
网络安全管理
通过访谈安全主管、员,检查系统网络安全管理相关的制度、文档、授权书、记录和报告,测评系统网络安全管理方面是否遵循相应制度规定并具有严格的流程和记录。
系统安全管理
通过访谈安全主管、系统管理员,检查系统安全管理相关的制度、文档、记录和报告,测评系统安全管理方面是否遵循相应制度规定并具有严格的流程和记录。
恶意代码防范管理
通过访谈运维负责人、安全管理员,检查系统恶意代码防范管理相关的制度、文档、记录和分析报告,测评系统恶意代码防范管理方面是否遵循相应制度规定并具有严格的流程和记录.
密码管理
访谈安全管理员,检查系统密码技术和产品的使用是否遵循国家密码管理规定,检查相应的管理制度。
变更管理
通过访谈系统运维负责人,检查系统变更管理相关的制度、审批文档、流程文档和记录,测评系统变更管理方面是否遵循相应制度规定并具有严格的流程和记录。
备份和恢复管理
通过访谈系统管理员、员和数据库管理员,检查系统备份和恢复管理相关的制度、策略文档和记录,测评系统备份和恢复管理方面是否遵循相应制度规定并具有严格的流程和记录.
安全事件处置
通过访谈系统运维负责人,检查系统安全事件处置相关的管理制度、程序、分析文档和记录,测评系统安全事件处置方面是否遵循相应制度规定并具有严格的流程和记录。
应急预案管理
通过访谈系统运维负责人,检查系统应急预案管理相关的机构设置、应急预案文档和培训、演练、审查记录,测评系统应急预案管理方面是否遵循相应制度规定并具有严格的流程和记录。
2.服务方式
.在项目采购合同签订之日起一年内,协助用户单位在重大信息安全检查工作或重大网络安全安保工作中,投标人需向用户提供远程或现场相关的技术支撑服务。
. 中标人在售后服务期提供免费技术咨询服务,方式包括:
、邮件,,等远程方式,如有必要可以提供现场咨询。
对需要整改的系统提供整改咨询。
3.职责要求
.中标人须在项目实施的各阶段开始之前,主动向招标人说明本阶段的工作内容、流程和方法.
。
中标人须主动完成各阶段资料的收集和整理,并确保资料完整性、准确性和有效性。
。
中标人须根据项目实施的实际情况,如实告知招标人因项目实施可能对带来的不利影响,并提出风险规避的建议。
.中标人须在不危害测评对象的前提下,根据项目实施需要提供具有合法使用权的软、硬件工具或信息资源。
.中标人须与招标人的沟通、协调,主动向招标人通报项目进展情况,及时向招标人汇报项目实施的阶段成果.
.针对项目实施过程中发现的问题,中标人必须及时向招标人进行通报,中标人有义务向招标人提出整改建议,并协助招标人解决问题.
。
中标人须建立严格的工作台帐制度,确保实施过程记录的完整性和可追溯性。
。
中标人必须严格规范内部人员、设备和信息的管理,切实履行保密义务.
.中标人针对招标人提供咨询建议,对软件(如操作系统、驱动、通用软件等)补丁升级提供协助服务.
。
合同期内的各项目测评价格,不因《人民网络安全法》、《网络安全等级保护条例》和《信息安全技术网络信息安全等级保护基本要求》中规定的等保评测技术标准变动而变动.
。
中标人应遵守《国家电子务工程建设项目信息安全风险评估工作的》(高技[]号)文件要求。
升级会员 