《增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务需求书.docx》由会员分享,可在线阅读,更多相关《增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务需求书.docx(5页珍藏版)》请在第壹文秘上搜索。
1、增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务需求书一、工作背景为响应国家政策要求,提高单位信息化整体水平,持续应对新型的安 全风险和威胁,增城经济技术开发区企业筹建服务中心(以下简称:我单 位)参照网络安全法,根据单位现有信息系统安全实际情况,依据国 家网络安全等级保护相关规范与标准的要求,对我单位重要信息系统进行 网络安全等级保护测评。通过统一的网络安全等级保护管理规范和技术标 准,对信息系统分等级实行安全保护,并对等级保护工作的实施进行监督、 管理,使落实网络安全等级保护工作后的系统网络安全防御能力得到提升 并且符合国家网络安全等级保护验收要求。项目名称及概况1、项目名称:
2、增城区产业项目筹建工作管理和服务系统平台项目等 级保护测评服务。2、建设单位:增城经济技术开发区企业筹建服务中心。3、采购内容:确定一家供应商,为采购人提供增城区产业项目筹建 工作管理和服务系统平台项目等级保护测评服务。4、项目最高限价:50000元(人民币:伍万元整)。三、投标人的资格要求1、投标人须是具有独立承担民事责任能力的,在中华人民共和国境 内注册的法人(不接受联合体投标,须提交企业法人营业执照副本或 注册登记证书副本复印件);2、投标人具有“网络安全等级保护测评与检测评估机构服务认证证 书”资质。四、项目地点及服务期限1、本项目服务期限为:1年。2、项目实施地点:增城经济技术开发区
3、企业服务局。五、工作内容及工作需求1、本项目需测评的信息系统清单:序号名称系统级别备注1增城区产业项目筹建工作管理和服务系统二级/2、具体服务事项1)定级备案按照信息系统安全等级保护定级指南以及信息安全等级保护管 理办法等文件的要求,协助完成信息系统安全等级保护定级工作。2)差距测评依据国家等级保护2. O的相关标准,结合被测系统安全等级保护定级 情况,制定信息系统安全等级保护测评方案,对信息系统涉及的机房、网 络/安全设备、主机设备、应用系统、安全管理体系等进行等级保护差距 测评,并提交不符合项表和整改建议。3)漏洞检测对被测信息系统涉及的服务器、应用系统进行漏洞检测,列出被测信 息系统中存
4、在的主要问题以及可能造成的后果,并提出整改建议。4)渗透测试根据扫描结果进行漏洞分析及说明,对信息系统开展渗透测试,进行 弱口令测试及其他手工测试,并提交修复建议。5)验收测评我单位完成相关整改工作后,中标单位依据信息系统安全等级保护 基本要求及相关标准和要求进行信息安全等级保护验收测评工作,并按 照等保2. O的相关要求出具网络安全等级保护测评报告。六、服务人员要求测评人员实行项目经理负责制,全面负责测评服务合同履行、负责项 目测评全过程工作。项目经理应具有网络安全等级测评师证书或信息安全 等级测评师证书中级或以上、具有注册信息安全专业人员证书,注册信息 安全工程师(即(CISP-CISE)
5、证书)、具有注册信息安全专业人员证书, 注册渗透测试工程师(即(CISP-PTE)证书)、具有信息安全保障人员风 险管理方向专业级认证证书(即(ClSAW)证书)、具有信息安全保障人 员应急服务方向专业级认证证书(即(CISAW)证书)、具有信息系统项 目管理师证书、具有项目管理专业人员资格认证证书(即PMP证书);项 目组成员不少于2人,测评工程师应具备数据隐私保护专家证书资格证书 (即ISACA CDPSE证书)、具有网络安全人员能力认证证书(即CPAe证 书)、具有网络安全等级测评师证书或信息安全等级测评师证书和计算机 技术与软件专业技术资格网络工程师中级或以上、具有重要信息系统安全 等
6、级保护培训证书(即CIIP-A证书)。(备注,如有需要,中选供应商 应提供所需资质原件备查)七、项目目标以等级保护标准要求为依据,选择一家测评机构对我单位本次项目 “增城区产业项目筹建工作管理和服务系统平台”进行网络安全等级保护 测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式, 分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护 差距分析列表;并为确立安全策略、制定安全规划、开展安全建设提供整 改建议;协助我单位完成本次项目网络安全等级保护验收测评工作,提交 网络安全等级保护测评报告。具体目标如下:(1)依据信息安全技术网络安全等级保护基本要求以及信息 系统安全等
7、级保护测评指南的要求,对需定级的系统进行等级保护基本 要求符合性的调查,采用人工访谈、工具检测、登录系统检测、文档分析 的方式分析信息系统在等级保护方面与标准要求的差距,形成信息系统等 级保护差距分析报告;(2)依据信息系统安全保护等级所应达到的防护要求,结合信息系 统等级保护差距分析结果,对在技术、管理层面不符合等级保护标准要求 的环节,采取适当的纠正措施,以达到等级保护基本要求为目的,设计信 息系统等级保护体系建设方案,为后续信息系统的信息安全等级保护安全 建设提供依据;(3)依据国家等级保护2.0的相关标准发现现有信息系统存在的信息 安全问题,确保信息系统在技术防护和安全管理体系方面均达
8、能到等级保 护2.0的防护要求,能够防护系统免受来自外部小型组织的(如自发的三 两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特 定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生 的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁 (无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全 漏洞和安全事件,在系统遭到损害后,能够在第一时间恢复部分功能。 八、注意事项1、本项目最高限价:50000元(人民币:伍万元整)(报价含测评 费、税金等费用)。2、成交供应商的评定规则:本项目采用定点竞价方式,以符合资质要 求的供应商中报价来确定项目的服务商。增城经济技术开发区企业服务局2023 年 4 月 21 0