天津产权交易中心有限公司等级保护测评项目采购公示
一、项目概况
按照《信息安全等级保护管理办法》(公通字〔2007〕43号)第十四条规定,第三级信息系统应每年至少开展一次安全等级测评。目前,我公司共有五个三级系统需完成等级测评及网络安全检查,分别为:门户网站、综合交易平台、科技成果转化平台、天津阳光采购平台和阳光采购在线监管平台。
二、服务要求
1、 网络安全检查要求
(1)网络设备安全检查具体要求:以应用系统定义网络边界,针对互联网暴露面、不安全接口和不合规网络配置、及可用性等内容开展风险识别。生成详细的安全检查报告。报告中应包括基本的网络信息,以便读者能够快速定位和解决问题,资产详细信息应记录在资产清单中,以便读者快速找到资产。报告中应包括名称、细节、证据、风险水平、影响、根本原因、发现的建议和补救措施,并与管理团队和其他利益相关者进行确认。
(2)主机安全检查具体要求:包含但不限于账号管理合规性检查、口令安全性检查、权限配置合理性检查、身份识别和身份验证失败,安全配置错误,地址信息泄露和不安全的应用程序配置、访问控制失效、不安全的设计、数据泄露风险等并根据检查结果提出整改建议,并将其记录在最终报告中。报告中应包含发现问题名称、详细信息、影响、根本原因和补救措施。
(3)漏洞扫描具体要求:利用自动化漏洞扫描工具配合人工复核方式,全面识别信息系统中存在的高危漏洞、配置缺陷和未授权访问路径,提前发现可能被攻击者利用的安全隐患;完善信息资产与脆弱性管理流程,通过漏洞评估帮助建立覆盖全生命周期的信息资产安全管理机制,包括编制资产漏扫台账、生成资产漏洞归档梳理清单、定义资产风险分级识别、协助整改闭环等全流程。
(4)护网行动期间协助驻场防守:在专项攻防演练期间,采用驻场方式提供安全协助防守服务。利用防火墙及流量监测设备,对从边界到内部的网络流量进行实时监控;定期巡检设备状态,及时调整安全策略与系统更新,防止漏洞被利用。建立快速响应机制,在发生安全事件时迅速执行检测、隔离、恢复及事后分析,确保业务系统的安全性与连续性,将事件影响降至最低。技术人员要求为具有天津本地社保人员,驻场人员至少2名。
2、 等级保护测评技术要求
(1)在不影响系统正常运行的前提下,根据国家标准对各系统进行等级保护测评。由测评机构根据《网络安全等级保护测评过程指南》编写项目计划书,系统等级保护测评实施方案、测评方法,测评指导书,编写各种测评表单、测评报告、系统整改建议书等。
(2)测评机构以及组建的测评组需在入场前签署时效性在1年以上的保密协议,在现场测评环节过程中不能影响采购人的各项系统正常运行,针对工具测试等环节需要做好相应的应急预案以及操作规范。
(3)测评机构应具有完善的测评方案,包括但不仅限于物理安全、主机安全、网络安全、应用安全、数据备份与恢复,管理安全等内容。等级保护测评的实施方案、工作计划等文档内容应与采购人被测评系统结构相符合,编写测评实施保障措施,应急处理预案等,应体现对采购人系统运行的理解能力,测评组人员要有三级系统的等保测评项目经验,可有效保障测评安全,及时有效处理测评中出现的问题。
(4)供应商应具备完善的******管理中心、安全管理等。
(5)测评机构在等级保护项目中必须提交国家规定格式的等级保护测评报告,并以此作为验收标准。
(6)测评机构应具备后续服务支持能力,要对测评结论提出整改建议并提供整改设计方案。在测评实施期间要提供7*24小时技术支持,要指定专业工程师提供5*8现场运行技术保障。全部测评文档装订成册,建立测评档案。
(7)为确保测评完成后的安全知识传递,测评机构应在测评结束后,提供重要信息系统等级保护安全培训。
(8)测评机构为我单位提供一年的新信息系统的等级保护定级、备案咨询等相关服务,不另收取费用。
三、服务周期:于2025年12月31日前出具已完成定级备案的软件系统等级保护测评报告,若未能如约交付报告,应向采购方支付相当于合同总价款【20%】的违约金。其他网络安全检查要求期限为合同签订后一年。
四、服务标准:符合国家规范、规程和有关技术规定。
五、项目内容
1、网络安全检查 |
序号 | 阶段 | 项目 | 实施内容 |
|
1 | 一、项目前期准备阶段(项目调查) | 工作启动 | 组建检查项目组、召开启动会 |
2 | 信息收集
和分析 | 现场调研已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为开展现场检测工作奠定基础。 |
3 | 工具和表单
准备 | 项目组成员在进行现场检测之前,熟悉与被测系统相关的各种组件、调试检测工具、准备各种表单等。 |
4 | 二、项目现场实施阶段 | 主机安全检查 | 根据业务需要和安全合规要求对产权交易中心应用系统主机进行安全检查;包含账号管理合规性检查、口令安全性检查、权限配置合理性检查、并根据检查结果提出整改建议并出具检查报告。 |
5 | 网络设备安全检查 | 根据业务需要和安全合规要求对产权交易中心的网络安全进行核查,对安全策略的合理性、逻辑性进行分析,对策略有效性进行测试,提出整改建议,并协助客户进行整改,在整改完成后进行复核,并出具复核报告。 |
6 | 漏洞扫描 | 根据业务需要和安全合规要求对产权交易中心的网络设备、安全设备、服务器、应用系统、终端进行漏洞扫描,提供修复建议,在整改完成后进行复扫,并出具复扫报告。 |
7 | 三、重保执守 | 驻场服务 | 根据产权交易中心重保******有限公司重保的网络信息安全隐患排查。 |
8 | 四、报告输出阶段 | 报告编制 | 形成项目服务各阶段报告 |
2、等级保护服务
序号 | 阶段 | 项目 | 实施内容 |
|
1 | 测评准备 | 项目启动 | 组建等级测评项目组 |
2 | 信息收集和分析 | 通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。
(机房、区域边界、网络/网关设备、安全设备、业务应用软件/平台、系统管******管理中心、密码产品、安全相关人员、安全管理文档) |
3 | 工具和表单准备 | 测评项目组成员在进行现场测评之前,熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。 |
4 | 方案编制 | 测评对象确定 | 根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。 |
5 | 测评指标确定 | 根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。 |
6 | 测试工具接入点确定 | 工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。 |
7 | 测评内容确定 | 确定现场测评的具体实施内容,即单元测评内容。 |
8 | 测评指导书开发 | 测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。 |
9 | 测评方案编制 | 测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。 |
10 | 现场测评 | 现场测评准备 | 启动现场测评 |
11 | 访谈测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动 | 安全物理环境 |
12 | 安全通信网络 |
13 | 安全区域边界 |
14 | 安全计算环境 |
15 | ******管理中心 |
16 | 安全管理 |
17 | 文档审查 | 检查制度、策略、操作规程、制度执行记录等文档 |
18 | 配置检查 | 根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实。 |
19 | 工具测试 | 根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。 |
20 | 实地查看 | 根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。 |
21 | 结果确认 | 汇总现场测评的测评记录测评现场结束会 |
22 | 分析与报告编制 | 单项测评结果判定 | 针对测评指标中的单个测评项,结合具体测评象,客观、准确地分析测评证据,形成初步单项测评结果 |
23 | 单元测评结果判定 | 将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果 |
24 | 整体测评 | 针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。 |
25 | 风险分析 | 测评人员依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。 |
26 | 等级测评结论形成 | 在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。 |
27 | 测评报告
编制 | 形成测评报告 |
28 | 总结 | 报告总结会 | 项目报告总结会议 |
六、团队与资质要求
1.投标人应根据招标人成立项目小组,要求项目组人员不少于 10人,项目组人员需具备2名网络安全等级测评高级测评师、6名网络安全等级测评中级测评师、2名网络安全等级测评初测评师。其中,项目经理应当满足①、②、③中的其中一项。①网络安全等级测评高级测评师证和信息安全保障人员认证证书CISAW、②网络安全等级测评高级测评师证和PMP资格证书、③网络安全等级测评高级测评师证注册网络安全渗透评估专业人员证书NSATP-A。
2.投标人应提供测评团队人员构成,以及团队人员的详细履历、资质和在本项目中所承担的具体任务说明。项目组人员须为投标单位正式员工,提供项目人员身份证扫描件、开标前近3个月的由投标单位为其缴纳社会保险证明材料。
3.项目实施期间,项目组至少有10人提供5*8小时的现场服务,现场人员必须与投标文件一致,且未经招标人书面同意,投标人不得更换项目组人员。
4.项目组人员必须按招标人要求签署保密协议和保密承诺书并严格遵守。
5.提供2023年至今三级或三级以上信息系统测评成果案例5个,提供案例合同及验收报告复印件并加盖公章。
6.投标人必须具备有效期内公安部第三研究所认证发放的《网络安全服务认证证书等级保护测评服务认证》,提供证书复印件加盖公章。
7.重保驻场技术人员为本单位员工至少2名,且要求具有天津本地社保,需提供项目人员身份证扫描件、开标前近3个月的缴纳社会保险证明材料。
8.企业须承诺具备对等级保护测评的能力,不存在影响项目实施的未决诉讼或仲裁。
七、联系方式
******有限公司
地址:天津市河西区琼州道103-1号
电话:******
联系人:高老师
各供应商请于2025年12月12日17:00前将响应文件按要求提交至天津阳光采购平台,不接受现场递交资料。
查看信息(30条/天)
信息订阅(5组)
来源跳转验证(30次)
附件下载(部分正文涵盖)
企业推荐
