
南通市大數(shù)據(jù)發(fā)展集團(tuán)有限公司網(wǎng)絡(luò)安全 等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目
2020-11-23 累計(jì)點(diǎn)擊:
我單位決定對(duì)南通市大數(shù)據(jù)發(fā)展集團(tuán)有限公司所開(kāi)發(fā)和維護(hù)的公共基礎(chǔ)數(shù)據(jù)庫(kù)和公共信息平臺(tái)以及數(shù)據(jù)整合與共享系統(tǒng)、南通市云數(shù)據(jù)中心系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng),以明確信息系統(tǒng)現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的安全隱患和不足,明確整改方向,降低系統(tǒng)被攻擊的風(fēng)險(xiǎn)。 本次測(cè)評(píng)服務(wù)預(yù)算:拾萬(wàn)貳仟元; 一、本項(xiàng)目測(cè)評(píng)范圍
二、測(cè)評(píng)單位要求 1、投標(biāo)人具有公安部門(mén)網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)估中心頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》,提供證書(shū)復(fù)印件(加蓋公章); 三、測(cè)評(píng)內(nèi)容 1、總體要求: A.完成上述系統(tǒng)安全等級(jí)測(cè)評(píng)工作,測(cè)評(píng)后經(jīng)用戶(hù)方確認(rèn),出具符合網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求的測(cè)評(píng)報(bào)告; B.對(duì)上述系統(tǒng)不符合網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,提出可行性整改方案,提供相應(yīng)的安全整改建議書(shū)。 2、質(zhì)量要求: A.等級(jí)測(cè)評(píng)及服務(wù)原則:符合性原則、標(biāo)準(zhǔn)性原則、規(guī)范性原則、可控性原則、整體性原則。 B.網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)及測(cè)評(píng)服務(wù)依據(jù): 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》 《GB/T22239-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》, 《GB/T28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》, 《GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》, 《GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》。 3、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)內(nèi)容: A.安全技術(shù)測(cè)評(píng):包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng); B.安全管理測(cè)評(píng):安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng) 4、提供整改咨詢(xún)服務(wù),根據(jù)所測(cè)系統(tǒng)的最終測(cè)評(píng)報(bào)告,對(duì)系統(tǒng)現(xiàn)狀提出安全整改建議并協(xié)助整改工作,以期達(dá)到整改目的。 四、測(cè)評(píng)原則: 1、客觀性和公正性原則: 測(cè)評(píng)人員應(yīng)當(dāng)沒(méi)有偏見(jiàn),在最小主觀判斷情形下,按照評(píng)估雙方相互認(rèn)可的評(píng)估方案,基于明確定義的測(cè)評(píng)方式和解釋?zhuān)瑢?shí)施評(píng)估活動(dòng)。 2、可重復(fù)性和可再現(xiàn)性原則: 依照同樣的要求,使用同樣的評(píng)估方式,對(duì)每個(gè)評(píng)估實(shí)施過(guò)程的重復(fù)執(zhí)行應(yīng)該得到同樣的結(jié)果??稍佻F(xiàn)性和可重復(fù)性的區(qū)別在于,前者與不同評(píng)估者評(píng)估結(jié)果的一致性有關(guān),后者與同一評(píng)估者評(píng)估結(jié)果的一致性有關(guān)。 3、連續(xù)性原則: 確保在高速變化的信息安全環(huán)境中,在有效的服務(wù)期間內(nèi),保證采購(gòu)方風(fēng)險(xiǎn)評(píng)估結(jié)論的準(zhǔn)確性和及時(shí)性,對(duì)于采購(gòu)方單位新增設(shè)的信息資產(chǎn)和服務(wù),或新建立的信息化項(xiàng)目,進(jìn)行局部系統(tǒng)的重新評(píng)估。從經(jīng)濟(jì)上,降低了采購(gòu)方單位的成本,從信息安全性上,保證信息安全測(cè)評(píng)的動(dòng)態(tài)穩(wěn)定性。 4、擴(kuò)展性原則: 在評(píng)估過(guò)程結(jié)束后,信息安全測(cè)評(píng)過(guò)程要保持?jǐn)U展性,從擴(kuò)展的屬性上進(jìn)一步加強(qiáng)測(cè)評(píng)結(jié)束后采購(gòu)方的安全管理有效性和可用性。 5、保密原則: 在測(cè)評(píng)過(guò)程中,需嚴(yán)格遵循保密原則,雙方簽訂保密協(xié)議,對(duì)服務(wù)過(guò)程中涉及到的任何用戶(hù)信息未經(jīng)允許不向其他任何第三方泄漏,以及不得利用這些信息損害采購(gòu)方利益。 6、互動(dòng)原則: 在整個(gè)測(cè)評(píng)過(guò)程中,強(qiáng)調(diào)采購(gòu)方的互動(dòng)參與,每個(gè)階段都能夠及時(shí)根據(jù)采購(gòu)方的要求和實(shí)際情況對(duì)測(cè)評(píng)的內(nèi)容、方式做出相關(guān)調(diào)整,進(jìn)而更好的進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。 7、最小影響原則: 測(cè)評(píng)工作應(yīng)該盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行,不能對(duì)業(yè)務(wù)的正常運(yùn)行產(chǎn)生明顯的影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等),如無(wú)法避免,則應(yīng)做出說(shuō)明。 8、規(guī)范性原則: 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)的實(shí)施必須由專(zhuān)業(yè)的測(cè)評(píng)服務(wù)人員依照規(guī)范的操作流程進(jìn)行,對(duì)操作過(guò)程和結(jié)果要有相應(yīng)的記錄,并提供完整的服務(wù)報(bào)告。 9、質(zhì)量保障原則: 在整個(gè)測(cè)評(píng)過(guò)程中,須特別重視項(xiàng)目質(zhì)量管理。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行,并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督,控制項(xiàng)目的進(jìn)度和質(zhì)量。 五、測(cè)評(píng)人員和時(shí)限要求: 1、測(cè)評(píng)駐場(chǎng)人員要求:本次測(cè)評(píng)至少需要1名高級(jí)測(cè)評(píng)師,1名中級(jí)測(cè)評(píng)師, 2名初級(jí)測(cè)評(píng)師。本次等保測(cè)評(píng)項(xiàng)目不得轉(zhuǎn)包或者分包,所有駐場(chǎng)測(cè)評(píng)師必須是中標(biāo)公司自己的正式員工,所有駐場(chǎng)測(cè)評(píng)師必須持證上崗,響應(yīng)文件中應(yīng)提供項(xiàng)目組成員名單、社保主管部門(mén)出具的響應(yīng)單位為其繳納社保的證明、相關(guān)證書(shū)復(fù)印件等,未經(jīng)采購(gòu)方同意,項(xiàng)目組成員不得更改。 2、測(cè)評(píng)時(shí)間要求:按照被測(cè)單位要求,合同簽訂完畢一周內(nèi)啟動(dòng)測(cè)評(píng)工作。 3、測(cè)評(píng)期限要求:簽訂合同后60天內(nèi)完成網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)并出具蓋章報(bào)告,并完成備案。 4、本項(xiàng)目不接受聯(lián)合體投標(biāo)。 六、服務(wù)地點(diǎn) 采購(gòu)方指定地點(diǎn)。 七、付款時(shí)間和條件 1.本項(xiàng)目所涉及的測(cè)評(píng)費(fèi)用,在每個(gè)系統(tǒng)完成測(cè)評(píng)提交測(cè)評(píng)報(bào)告的10個(gè)工作日內(nèi),由采購(gòu)方一次性付清全款。 2.如遇集團(tuán)突發(fā)情況調(diào)整導(dǎo)致項(xiàng)目不能做完或無(wú)法出具報(bào)告的:所涉及系統(tǒng)測(cè)評(píng)予以終止。 八、評(píng)分標(biāo)準(zhǔn) 采用綜合評(píng)分法,按照供應(yīng)商資質(zhì)、技術(shù)能力、服務(wù)能力和報(bào)價(jià)均能滿(mǎn)足采購(gòu)招標(biāo)需求要求且綜合評(píng)分最高的為中標(biāo)第一候選人,如得分有相同的,則技術(shù)商務(wù)分高的單位排名在前,如技術(shù)商務(wù)分得分也相同,則通過(guò)抽簽方式確定排序。若中標(biāo)單位放棄資格,由中標(biāo)第二候選人單位中標(biāo),以此類(lèi)推。
其它詳細(xì)內(nèi)容詳見(jiàn)附件
|