为切实提升信息系统安全防护能力,保障我单位信息系统的安全运行,符合国家网络安全等级保护2.0标准,严防发生网络安全事件,渝中区文化旅游委拟开展“一键游”渝中智能服务项目网络安全等级保护测评。现诚邀符合条件的公司参与比选。
一、项目名称
“一键游”渝中智能服务项目网络安全等级保护测评服务
二、采购人
重庆市渝中区文化和旅游发展委员会
三、项目概况
(一)测评要求
|
服务类型 |
工作要求 |
|
项目依据 |
本项目信息安全等级保护测评目的和测评内容,必须与信息安全等级保护要求相一致。严格按照GB/T 28449-2018《网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。 本项目测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。除按照现行国家和行业信息安全相关规定进行外,主要规范性文件依据有: 《中华人民共和国网络安全法》 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 《信息安全等级保护管理办法》(公通字[2007]43号) 《GB/T 17859-1999 计算机信息系统安全保护等级划分准则》 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》 《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》 《GB/T 20984-2007信息安全技术 信息安全风险评估规范》 |
|
测评内容 |
1.安全技术测评 主机安全测评:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等; 应用安全测评:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等; 数据备份与恢复测评:数据完整性、数据保密性、备份和恢复等; 物理安全测评:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等; 网络安全测评:结构安全、访问控制、安全审计、边界完整性检测、入侵防范、网络恶意代码防范、网络设备防护等; 2.安全管理测评 安全管理制度评估:管理制度、制定和发布、评审和修订等; 安全管理机构评估:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等; 人员安全管理评估:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等; 系统建设管理评估:系统定级、安全方案设计、产品询价和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统交付、安全服务商选择等; 系统运维管理评估:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等。 |
|
安全咨询 |
1.针对检测出的安全风险问题,提供信息安全规划、方针、策略和管理制度体系咨询服务,为被测信息系统安全整改和加固提供咨询和技术服务。 2.提供网络安全技术咨询服务 |
|
应急响应 |
协助用户处置网络安全事件应急处置,开展溯源工作,出具最终应急响应事件处置报告。 |
|
网络安全制度汇编 |
提供一套网络安全制度汇编,协助用户建立相关管理制度。 |
|
安全漏扫及渗透测试服务 |
使用web安全扫描工具、主机系统漏洞扫描工具对待测系统进行安全检测和分析,测评过程中,应针对关键设备、重点网段和高危漏洞进行渗透测试,形成相应的实施和分析报告。 |
|
测评对象 |
“一键游”渝中微信小程序 |
(二)实施及保密要求
1.供应商必须承诺对本项目技术文件以及由用户提供的所有内部资料、技术文档和信息予以保密。签署保密协议,对测评工作相关的业务数据、商业信息、客户信息和被测信息系统不可分割的组成部分的相关信息等进行保护,不得以任何形式向第三方泄露本项目相关内容。
2.供应商应加强本项目资料的保密管控,必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施,记录资料由生成到销毁整个生命周期内的使用日志,并根据实际工作情况及时对制度进行调整。供应商应加强本项目在用户工作场所使用设备,特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备,必须遵守该系统关于终端安全管理、移动存储介质管理等要求。
3.测评方必须为本项目成立等级保护测评小组,测评人员均具有公安部认证的测评师证书,持证上岗。测评小组至少3-4人构成,为保证项目实施质量,测评服务提供方应为本项目指定一名高级或中级测评师为该项目负责人并到现场主持测评工作。现场测评人员必须为测评小组成员,持证上岗。
4.法律、行政法规规定的其他实施及保密要求。
(三)项目安全等级。2级
(四)项目周期。工作周期60个工作日,服务周期为一年。
(五)报价要求。最高限价为6万元。
(六)比选方式。采用低价中标法,如出现中标报价多家一致的情况,采用现场二次报价的方式确定中标单位。
四、比选资格
(一)基本资格条件
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
(二)特定资格条件
1.供应商应为国家网络安全等级测评与检测评估机构(提供网络安全等级测评与检测评估机构服务认证证书)。
2.供应商具备中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS),认可的检验能力范围为“网络安全等级保护测评”。
3.供应商经营范围不得涉及网络安全产品开发、销售或计算机信息系统集成等可能影响测评结果公正性的业务。供应商需要有本地服务团队,当发生突发网络安全公共事件时,能在2小时内派出技术团队到达现场协助处置突发事件。
4.供应商应为重庆市网络与信息安全信息通报机制成员单位或重庆市网络与信息安全信息通报中心支撑单位,依照渝网通[2016]11号文《重庆市网络与信息安全信息通报工作规范》之要求,协助采购人进行网络安全事件应急处置机制建设工作和网络安全应急处置通报工作。
五、比选说明
(一)比选时间
2023年6月9日(星期五)14:30
(二)比选地点
重庆市渝中区金汤街74号6楼615会议室
(三)比选材料
1.营业执照副本复印件、网络安全等级保护测评机构推荐证书复印件、等级保护官方www.djbh.net截图、人员技术资格证书复印件加盖鲜章;
2.法定代表人身份证明,法定代表人委托他人参加比选活动的,还应提交法定代表人授权委托书(附件1);
3.参加比选活动前三年内在经营活动中没有重大违法记录的诚信证明(附件2);
4.报价一览表(附件3)。
(四)报送要求
1.以上比选资料均为一式叁份,其中正本壹份,副本贰份。并标注“正本”、“副本”字样(正副本如不一致,以正本为准)。装订成册后密封,正本每页法定代表人或授权代表签字并加盖鲜章,副本可为正本复印件。报送资料封面上应有单位名称、法定代表人或授权代表姓名及联系方式,封口处须加盖公章。
2.比选通过电话报名,时间为即日起至2023年6月9日上午11:00,超过规定时间报名的不予受理。
3.比选资料送达时间为2023年6月9日14:00-14:30,超过规定时间送达的资料不予受理。未按要求密封的资料不予受理。
重庆市渝中区文化和旅游发展委员会
2023年6月1日
(联系人:张老师 联系电话:023-63813067)
