商务厅信息系统等保测评及安全服务项目采购文件 一、供应商基本要求 1、供应商须知 1.1 供应商资格要求 (1)符合《中华人民共和国政府采购法》第二十二条规定的条件;并提供《中华人民共和国政府采购法实施条例》第十七条所要求的材料。
(2)必须在中华人民共和国境内注册报名的法人或其他组织;供应商须由法定代表人或其委托代理人(须有法定代表人签署的授权函)携带身份证原件参加谈判,并解答相关质询。
(3) 投标商单位必须提供国家等级保护工作协调小组办公室出具的网络安全等级保护测评机构推荐证书和中国信息安全认证中心颁发的信息安全风险评估服务资质证书(证书复印件)。
(4)采购文件中要求的其他资质(提供有关证明材料复印件。)
(5)本项目不接受联合体投标。
1.2 采购响应文件编制要求 (1)法定代表人授权函(附件 1)
(2)报价一览表(附件 2)
(3)等级保护测评服务资质和风险评估服务资质 1.3 采购响应文件交付时间:2018
年
11 月
2
日 1.4 采购响应文件交付地点:AA 省商务厅信息中心(1117 室)
联系电话:(0931)******* 2、项目服务清单及内容:
序号 系统名称 服务内容 数量 1 网站系统 等保测评服务、风险评估服务 1 套
3、知识产权 3.1 供应商应保证在本项目使用的任何产品和服务(包括部分使用),不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷,如因专利权、商标权或其它知识产权而引起法律和经济纠纷,由成交供应商承担所有相关责任。
3.2 采购人享有本项目实施过程中产生的知识成果及知识产权。
3.3 供应商如在项目实施过程中采用自有知识成果,需在采购响应文件中声明,并提供相关知识产权证明文件。使用该知识成果后,供应商需提供开发接口和开发手册等技术文档,并承诺提供无限期技术支持,采购人享有永久使用权。
3.4 如采用供应商所不拥有的知识产权,则在采购报价中必须包括合法获取该知识产权的相关费用。
二、采购人基本需求
1、总体要求 根据等级保护测评和风险评估的总体要求,AA 省商务厅对门户网站系统,采购风险可控的信息安全等级保护测评、风险评估服务。检测和发现系统中存在的安全漏洞和安全隐患,提出安全整改建议,从而有效降低系统遭受具有政治目的、经济目的等恶意攻击的可能性,以提高安全保障能力和防护水平;同时,测评结论作为进一步完善系统安全防护措施的依据。
2、主要内容 本次等级保护测评及风险评估主要是基于《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《GA/T 390-2002 计算机信息系统安全等级保护通用技术要求》、《GA/T 391-2002 计算机信息系统安全等级保护管理要求》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护测评过程指南》中的相关内容和要求进行评估,并参考其它等级保护的相关标准。测评主要包括技术和管理两个方面的内容:技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等;管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等。
2.1 测评内容 测评的内容包括但不限于以下内容:
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评; 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
2.1.1、物理安全 根据“AA 商务”网站 2 个重要信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
2.1.2、网络安全 根据重要信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等
网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
2.1.3、主机安全 主机安全现场测评包括对重要信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。
2.1.4、应用安全 应用安全现场测评包括对重要信息系统的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。
2.1.5、数据安全及备份恢复 重要信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。
2.1.6、安全管理制度 根据现场安全测评记录,针对重要信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
2.1.7、安全管理机构 根据现场安全测评记录,针对重要信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
2.1.8、人员安全管理 根据现场安全测评记录,针对重要信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
2.1.9、系统建设管理 根据现场安全测评记录,针对重要信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、
“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
2.1.10、系统运维管理 根据现场安全测评记录,针对重要信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、 “网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
2.2 信息系统风险评估 供应商人必须根据《信息安全技术信息安全风险评估规范(GB/T 20984-2007)》的要求,完整开展各项安全服务并给出风险评估报告。
信息系统风险评估具体实施内容以《信息安全技术信息安全风险评估规范(GB/T 20984-2007)》中所规定的检测项目。最终提交《信息系统风险评估报告》,报告中包括被评估对象的系统信息、按风险等级列明所发现的漏洞信息等,以及由此所引起的危害程度等,并针对发现的问题提供相应的安全加固建议方案。
2.3 项目实施要求 2.3.1、保密要求 在项目实施过程中,供应商承诺对所获得的数据及文档等保密信息,承担以下保密义务:
(1)供应商应按要求与采购人签署保密协议。
(2)主动采取加密措施对上述所列及保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。
(3)不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的关于该项目的商业秘密。
(4)不得向不承担同等保密义务的任何第三人披露关于该项目的商业秘密。
(5)不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用关于该项目的商业秘密。
(6)不论何种原因终止参与采购人关于该项目的工作后,都不得利用该项目之商
业秘密为其他与采购人有竞争关系的企业(包括自办企业)服务。
(7)该项目的商业秘密所有权始终全部归属采购人,供应商不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前供应商已依法具有某些所有权者除外。
(8)如发现采购人关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向采购人报告。
2.3.2、实施要求 (1)在项目实施过程中,供应商应做好计划与安排,不影响采购人正常业务的开展。供应商要给予承诺,并承担由此引起的损失。
(2)在等保测评过程中,每周五下午实施方需提交工作周报,内容应包括本周工作内容和下周工作安排等内容。
(3)等保测评工作应严格按照双方确认的工作方案开展,如遇任何变动,须在工作周报中及时提出,经采购人批准后方可变更。
(4)测评过程中实施测评人员须记录在途经路径上涉及的可被利用存在漏洞的相关主机等设备的信息,以便于被测单位对相关漏洞进行全面修补。
(5)测评工作全部结束后实施测评人员须卸载安装在目标机器或途径机器上的各类工具、脚本、文件等,还原各机器和系统的原始状态。
(6)测评结果中应包括测评过程中发现的所有漏洞,不能遗漏。
(7)在测评过程中若发现重大安全问题(如已被控制或存在严重安全隐患等),测评机构应在 24 小时之内以书面形式通知采购人,以便第一时间做出处理。
(8)测评过程中,实施测评人员在进入被测单位办公网络后若发现测评范围之外的未知信息系统,须列出系统名称、服务器 IP 地址、操作系统类型、数据库系统类型等信息,并与采购人协商是否继续进行测评。
(9)测评过程中不得获取测评范围以外的数据,获取的数据不得用于本次测评以外的其他用途。
(10)测评过程中应控制风险,防止测试对网络及系统运行造成影响,因测试造成系统运行问题应及时报告。
(11)测评过程中,测评机构应该针对被测系统发现的漏洞提交可行性的解决方案。
(12)需对被测系统进行全面、专业的渗透测试,发现应用系统存在的安全隐患,并出具渗透测试报告,测评机构有义务告知并协助开发厂商分析漏洞的成因及补救措施。
(13)测评机构在测评过程中必须保证系统稳定运行,由于测评机构人员能力、不当操作等造成系统、网络或者服务宕机的,评测机构应承担相应责任。
2.3.3、项目服务需求 (1)服务范围和期限:(最终交付报告视为完成服务,具体服务要求见采购人基本需求)
(2)本技术要求提出的是最低限度的技术需求,并未对一切技术细节做出规定,供应商应保证提供符合采购人要求的技术服务规范。
(3)采购人保留对本要求提出补充要求和修改的权利,供应商应允诺予以配合。如提出修改,具体项目和条件由双方商定。
(4)供应商对采购人实施环境进行实地考察,并制定出技术服务方案和应急服务方案。
(5)方案确定后,供应商应严格按照方案要求进行项目实施、技术服务和应急响应服务,并按合同规定时间进行技术实施和服务。
(6)双方应在签订合同的同时签订保密协议书,保密协议书作为合同不可分割的一部分。
(7)采购人将在项目实施过程中提供项目实施所需的场地及实施条件,积极协调各部门配合供应商实施工作。
3、测评服务要求 3.1、测评工作应遵循原则 本次安全保护等级保护测评工作方案设计与具体实施应遵循以下原则:
(1)保密性原则:对测评的过程数据和结果数据要严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则采购人有权追究投标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:供应商工作过程和文档整理,应具有很好的规范性,便于项目的跟踪。
(4)可控性原则:测评工作进度要按照计划安排进行,保证采购人对于测评工作的可控。测评工作应尽可能减小对现有信息系统和网络的正常运行,不能影响正常业务的开展。
(5)整体性原则:测评工作范围和内容应当全面完整,包括国家等级保护相关要求涉及的各个层面。
3.2、测评工作总体要求 (1)供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。在测评准备、方案制定、现场测评、分析与报告编制等各个阶段都严格把关,杜绝走过场。在测评工作期间,实施单位应具有应急响应预案,妥善处理突发事件。测评工作完成后,应提出相应的整改意见建议。
(2)供应商应提交本次等级保护测评工作的整体方案,包括项目概述、测评技术方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(3)执行本项目实施服务的主要人员不得少于 3 人,且必须具备从事等级保护测评工作资格,具有参加等级保护测评服务项目的经验。供应商应提交测评组成人员情况、资质及各自职责的划分,应配置相对固定的测评团队进行本次等级保护测评工作,不能临时替补或经常更换。
(4)本次等级保护测评实施过程中所使用到的各种工具软硬件均由供应商提供,经采购人确认后在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险分析等。
(5)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等均由中标人提供,经采购人确认后在测评中使用。
3.3、安全测评报告 供应商在测评工作结束后,应出具符合 AA 省公安厅信息安全等级保护管理部门要求的系统测评报告。
3.4、项目验收 项目完成后应提交验收方案,供采购人参考。采购人将依据项目管理要求,组织相关部门或单位的技术专家对项目成果进行验收。
三、评审原则和评审方法 1、评审原则 评审小组将依据有关采购法规及采购文件规定,遵循“公开、公平、公正”低价中标的原则进行评审。如各评委结论不一致时,评审结论以少数服从多数原则确定。
2、评审方法 评审小组对采购响应文件进行审查(内容主要是对报价方案的响应条件、价格进行确认核实。评审文件有实质性变动的,评审小组应以书面形式通知供应商),确定是否成交。
附件 1: 法定代表人授权函
__________________(采购人名称):
本授权声明:(供应商名称)(法定代表人姓名、职务)授权(被授权人姓名、职务)为我方 “ ” 项目采购活动的合法代表,以我方名义全权处理该项目有关响应、签订合同以及执行合同等一切事宜。
特此声明。
法定代表人身份证 复印件(正反面)
委托代理人身份证 复印件(正反面)
供应商(盖章):
法定代表人(签字):
委托代理人(签字):
日
期:年月日
附件 2:
报价一览表 供应商名称:
项目名称:
币种:人民币 序 号 项目 名称 测评系统 名称 数量 单价 (万元)
总价 (万元)
服务细则
总价
供应商(盖章):
法定代表人或委托代理人(签字):
日
期:年月日
说明:1. 报价应是最终用户验收合格后的总价,包括设备运输、保险、代理、安装调试、培训、税费等和采购文件规定的其它费用。