《贵州省疾控中心信息系统计算机等级保护测评服务项目.docx》由会员分享,可在线阅读,更多相关《贵州省疾控中心信息系统计算机等级保护测评服务项目.docx(8页珍藏版)》请在第一文库网上搜索。
1、贵州省疾控中心信息系统计算机等级保护测评服务项目I技术要求一、项目概况按照中华人民共和国网络安全法、公安部关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)、依据网络安全等级保护测试评估技术指南、网络安全等级保护定级指南等标准规范,开展贵州省疾控中心信息系统网络安全等级保护(以下简称“等保”)定级、测评和备案工作。二、测评系统基本情况本次网络安全等级保护测评系统共2个。其中,等保3级测评系统1个,等保2级测评系统1个,系统部署于省疾控中心机房,承载网络为虚拟专网(VPN)。三、项目服务要求(一)系统定级工作要求中标人需按照等保规范要求,配合招标人完成测评系统定级工作
2、,要负责与公安部门的联系,并组织开展测评系统定级评审,承担定级评审所需的各类费用。(二)系统预评估工作要求测评系统定级工作完成后,中标人需按照等保规范要求,对本项目中要求测评的信息系统进行备案前的预评测,协助招标人查找不符合性问题,并出具信息系统等保符合性报告。(三)系统等保备案工作要求招标人将根据中标人出具的信息系统等保符合性报告开展符合性整改工作,整改完成后,中标人需按照等保测评要求,开展正式评测,直至招标人系统等保测评通过,并完成到公安机关的备案,取得定级备案证明。四、等保评测依据等级测评是标准符合性活动,依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全保护能力进行
3、科学公正的综合评判过程。本次开展测评活动所依据的文件及标准如下(不仅限于以下标准和规范,测评必须按照国家最新标准规范要求执行):1. 关于信息安全等级保护工作的实施意见(公通字(2004)66号)2. 信息安全等级保护管理办法(公通字(2007)43号)3. 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技(2008)2071号)4. GB17859-1999计算机信息系统安全保护等级划分准则5. GB/T22240-2023信息安全技术网络安全等级保护定级指南6. GB/T22239-2019信息安全技术信息系统安全等级保护基本要求7. GB/T28448-2019信息安
4、全技术网络安全等级保护测评要求8. GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求9. GB/T20983-2007信息安全技术信息安全风险评估规范10. GB/Z24363-2009信息安全风险管理指南H.GB/T22080-2008信息安全管理体系要求12. GB/T22081-2008信息安全管理实用规则13. GB/T20269-2006信息系统安全管理要求14. GB50173-2008电子信息系统机房设计规范15. GB/T25062-2010信息安全技术服务器测评要求16. GB/T20010-2005信息安全技术包过滤防火墙评估准则17. GB/T20
5、011-2005信息安全技术路由器安全评估准则18. GA/T672-2006信息安全技术终端计算机系统安全等级评估准则19. GA/T712-2007信息安全技术应用软件系统安全等级保护通用测试指南五、测评内容等级测评的现场实施过程由单元测试和整体测评两部分构成。单元测试是对应各安全控制点的测评称为,主要包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全制度管理、安全管理机构、安全管理人员、安全建设管理和安全运维管理等测评任务(不限于以下内容)。整体测评是在单元测评的基础上,通过进一步的分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。测评工程
6、师在进行各单元测评之前,需获得被测评方的授权,并签署安全保密协议,在现场测评过程中,需要对设备和系统进行一定验证测试工作,部分测试内容需要上机查看一些信息,可能会影响系统的正常运行。因此,在进行验证测试和工具测试时,应尽量避开业务高峰期,同时还应对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案。上机验证测试原则上应是测评人员提出需要查看或验证的内容,由测评委托单位的相关技术人员进行操作,测评人员根据操作结果进行记录。测评工程完成后,测评人员应交回测评过程中获取的所有特权,归还测评过程中借阅的相关资料文档,并严格清理测评过程中植入被测评系统中的相关代码/程序。安全物理环境:物理位置的
7、选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护;安全通信网络:网络架构、通信传输、可信验证;安全区域边界:边界防护、访问控制、入侵防范、恶意代码防范和垃圾邮件防范、安全审计、可信验证;安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护;安全管理中心:系统管理、审计管理、安全管理、集中管控;安全制度管理:安全策略、管理制度、制定与发布、评审和修订;安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查;安全管理人员:人员录用、人员离岗、安
8、全意识教育培训、外部人员访问管理;安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、服务供应商选择、等级测评;安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。六、项目工期要求(一)系统定级完成要求合同签订后20个工作日内完成公安部门系统定级评审。(二)系统预评估完成要求测评系统定级工作完成后,中标人至少需派遣2名或以上具备等保测评资格技术人员开展现场预评估工作,确保30个工作日内完成测
9、评的信息系统的备案前预评测工作,协助招标人查找不符合性问题,并出具信息系统等保符合性报告。(三)系统等保备案工作要求完成等保符合性整改后,30个工作日内按照公安部门定级结果进行系统等保测评,系统必须全部通过等保测评,并出具测评报告,同时向公安部门提交评测报告,申请进行备案。七、验收依据本项目建设费用采取总价包干方式,直至招标人的2个系统按照公安部门定级结果,通过等保测评,出具测评报告,并完成公安机关的备案,取得定级备案证明,视为验收通过。II评审形式第一步:资格性审查本项目由谈判小组综合审查供应商资格情况,是否符合采购文件的基本资格要求,符合者将作为有效谈判采购,并进入第二步评审。不符合,其谈
10、判采购作为无效谈判采购,不能进入第二步评审。审查内容如下表:序号评审因素评审标准备注1谈判采购函符合采购文件要求按采购文件提供格式填写2授权书提供法定代表人(单位负责人)身份证明或授权委托书。按采购文件提供格式填写3营业执照提供法人或其他组织的营业执照等证明文件响应供应商按采购文件要求提供资格审查资料4未列入失信被执行人名单响应供应商不得为“信用中国网站(.cn)中列入失信被执行人和重大税收违法案件当事人名单的供应商。信用信息截止时点为采购公告时间段内,提供网页截图。截图加盖公章5经营活动中没有重大违法犯罪记录的书面声明提供参加采购活动前三年内,在经营活动中没有重大违法犯罪记录的书面声明(自行
11、声明)加盖公章6保密承诺书提供按照采购人要求签署的保密承诺书按采购文件提供格式填写7项目廉政承诺书响应供应商须签署项目廉政承诺书按采购文件提供格式填写8联合体审查本项目不接受联合体报名无9推荐证书具有国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书响应供应商提供相关证明材料加盖公章第二步:符合性审查由本项目谈判小组综合审查供应商符合性情况,是否符合采购文件的符合性要求,符合者将作为有效谈判采购,并进入第三步评审。不符合,其谈判采购作为无效谈判采购,不能进入第三步评审。审查内容如下表:序号符合性宙查备注1没有违反第二部分供应商须知23.8无效谈判采购条款的要求无2符合
12、第五部分项目技术及商务要求(承诺满足所有要求)承诺函加盖公章3响应文件有效期符合要求无第三步:确定成交供应商1 .报价部分(满分15分)按以下方案计算:投标报价分=(最低有效投标报价/有效投标报价)15最低有效投标报价:有效响应供应商报价中的最低报价有效投标报价:各有效响应供应商的报价2 .技术部分(总分55分)序号评分要素评分标准分值备注1项目实施计划方案(1)正确理解网络安全等级测评,测评思路清晰、测评内容完整、测评重点突出。优秀得8-10分,一般得5-7分,差得0-4分。(2)根据项目质量控制、风险控制、进度控制方法得当,计划合理。优秀得8-10分,一般得5-7分,差得54分。2()2项
13、目实施团队(1)项目实施团队配备3名或以上信息安全等级测评师,得15分(2)项目经理具有信息安全高级测评师证书得5分,项目经理具有正高级技术职务任职资格得5分(3)团队人员2016年以来获公安部颁发的等级保护测评工作先进个人或受到表彰,提供一项得5分,最多10分,没有得。分。提供证书复印件须提供本项目全部服务人员近3个月贵州本地缴纳社保证明353 .商务部分(总分30分)序号评分要素评分标准分值备注1业绩响应供应商具有2016年以来政府单位或大型信息系统的安全测评案例,每提供1项实施案例合同关键页复印件(加盖鲜章)得2分:累计总分不超过IO分。102测评机构能力响应供应商入选贵州省委网信办、贵
14、州省公安厅批准的贵州省网络安全应急技术支撑队伍,入选得15分,未入选得0分。153技术支持服务响应供应商注册地在贵州得5分;响应供应商在贵州省内有分支机构(分公司或办事处)得2分提供证明材料得分,不提供不得分,本项满分5分。5四、评审总分计算方法评标总得分=(F1+F2+F3+Fn)/nFKF2Fn分别为各项评分因素的汇总得分;n为评标委员会成员人数;注:以上打分均为整数,计算最终得分保留小数一位。五、排序原则按评审得分由高到低顺序排序。得分相同的,按谈判采购报价由低到高顺序排列。得分且谈判采购报价相同的,按技术指标优劣顺序排列。六、成交原则由谈判小组根据计算各有效供应商的最终得分排名向采购人推荐得分最高的前三名,原则上由采购人依序确定成交供应商。