我单位拟询价采购以下项目:
一、项目名称:国家病原微生物资源库网络安全等级保护三级测评项目
二、主要内容:中国疾病预防控制中心于2021年初进行病原微生物保藏信息管理系统项目建设工作,根据相关要求,项目需通过中心组织的网络安全等级保护三级测评工作。即通过实施等级测评工作,以人工和自动化方式对项目建设的信息系统进行详细的调研和技术测试,发现并总结信息系统安全现状与等级保护要求的差距,整改后出具等级测评报告。本次测评对项目建设的国家病原微生物资源库(NPRC)信息系统进行三级等级保护测评,服务周期为一年。
三、合格投标人要求:
(一)符合《中华人民共和国政府采购法》第二十二条的有关规定;
(二)独立企业法人资格;
(三)应答文件完整,服务满足文件要求。
四、贵单位如有意参加,请严格按照如下次序及格式要求提供所需应答文件。
(一)企业法人营业执照复印件(加盖公章);
(二)本文件技术需求中所要求的资质证明材料、合同材料(加盖公章);
(三)所投项目对技术需求的应答情况;
(四)报价单(加盖单位公章);
(五)法人授权委托书;
(六)所递送文件需自行密封,否则不予受理;
(七)以上文件将作为最终询价响应文件提请专家评审;
(八)以上文件须装订成册并盖骑缝章。
(九)请提供正本一册,副本二册,并在封面左上角注明。
(十)资质及业绩证明文件。
五、报送文件时间、地点:
(一)报送时间:2021年3月24日至 2021年3月26日9:00
(二)报送地点:北京市昌平区昌百路155号主楼112房间,鉴于疫情防控要求,请以快递方式寄送(以寄出时间为准)。
(三)送达截止时间:2021年3月30日9:30
(四)联系单位: 中国疾控中心基建处
(五)联系人: 王老师 联系电话:58900112
六、采购预算:13.04万元
附件:网络安全等级保护三级测评技术需求
网络安全等级保护三级测评技术需求
一、测试对象及范围要求
中国疾病预防控制中心于2021年初进行病原微生物保藏信息管理系统项目建设工作,根据相关要求,项目需通过中心组织的网络安全等级保护三级测评工作。即通过实施等级测评工作,以人工和自动化方式对项目建设的信息系统进行详细的调研和技术测试,发现并总结信息系统安全现状与等级保护要求的差距,整改后出具等级测评报告。本次测评对项目建设的国家病原微生物资源库(NPRC)信息系统进行三级等级保护测评,服务周期为一年。
二、需求分析
(一)等保测评业务目标
通过本项目的开展,不断提升系统的安全性,降低系统网络安全事件发生的概率,减少信息系统中断风险,保证业务系统的高可用性,提升业务工作效率,不断完善业务和信息资源的管理。总的来说具有如下业务目标:
1)总体提升系统的安全防护能力;
2)保证系统的运行安全和业务稳定性;
3)深入贯彻落实国家、网络安全政策法规要求,从管理和技术上保证各项网络安全措施的落地执行。
4)通过项目的实施,为业务的开展和后续规划建设提供有力的技术支撑;
(二)技术目标
本次网络安全等级保护项目需要达到以下技术目标:
1)保证信息安全技术体系,在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理方面能够符合等级保护要求;
2)保证信息安全管理运维体系能够有效维护信息安全技术体系和信息安全管理体系的动态运行,逐步完善信息安全运维管理体系,推动信息安全保障体系的全面建设。
3)提升信息安全事件响应水平和应急处置能力,快速解决各类信息安全事件,保证信息系统的健康、稳定运行。
三、测试实施方案及要求
完成项目建设内容中的等级保护安全测评。具体要求为:
(一)测试要求总则
1、应遵循“面向应用、保证质量、客观公正、诚信守诺”的原则,并依据相关国家标准、行业标准开展第三方测试工作。
2、本测试要求提供的是最低限度的要求,应保证提供符合本测试要求和有关标准的优质服务。
3、本测试要求所使用的标准和规范如与执行的标准不一致时,按较高标准执行。
(二)相关标准
- 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
- 《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令)
- 《信息安全等级保护管理办法》(公通字[2007]43号)
- GB/T 36627-2018 网络安全等级保护测试评估技术指南
- GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
- GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
- GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
- 《公安机关信息安全等级保护检查工作规范(试行)》
- 《网络安全等级保护条例(征求意见稿)》
(三)测试内容具体要求
三级等保测试内容
安全通用要求
1)安全物理环境
具体测评内容包括:
(1)物理位置选择
(2)物理访问控制
(3)防盗窃和防破坏
(4)防雷击
(5)防火
(6)防水和防潮
(7)防静电
(8)温湿度控制
(9)电力供应
(10)电磁防护
2)安全通信网络
具体的测评内容如下所示:
(1)网络架构
(2)通信传输
(3)可信验证
(4)安全区域边界
3)安全区域边界
具体的测评内容如下所示:
(1)边界防护
(2)访问控制
(3)入侵防范
(4)恶意代码和垃圾邮件防范
(5)安全审计
(6)可信验证
4)安全计算环境
具体的测评内容如下所示:
(1)身份鉴别
(2)访问控制
(3)安全审计
(4)入侵防范
(5)恶意代码防范
(6)可信验证
(7)数据完整性
(8)数据保密性
(9)数据备份恢复
(10)剩余信息保护
(11)个人信息保护
5)安全管理中心
具体的测评内容如下所示:
(1)系统管理
(2)审计管理
(3)安全管理
(4)集中管控
6)安全管理制度
具体的测评内容如下所示:
(1)安全策略
(2)管理制度
(3)制定和发布
(4)评审和修订
7)安全管理机构
具体的测评内容如下所示:
(1)岗位设置
(2)人员配备
(3)授权和审批
(4)沟通和合作
(5)审核和检查
8)安全管理人员
具体的测评内容如下所示:
(1)人员录用
(2)人员离岗
(3)安全意识教育和培训
(4)外部人员访问管理
9)安全建设管理
具体的测评内容如下所示:
(1)定级和备案
(2)安全方案设计
(3)产品采购和使用
(4)自行软件开发
(5)外包软件开发
(6)工程实施
(7)测试验收
(8)系统交付
(9)等级测评
(10)服务供应商选择
10)安全运维管理
具体的测评内容如下所示:
(1)环境管理
(2)资产管理
(3)介质管理
(4)设备维护管理
(5)漏洞和风险管理
(6)网络和系统安全管理
(7)恶意代码防范管理
(8)配置管理
(9)密码管理
(10)变更管理
(11)备份与恢复管理
(12)安全事件处置
(13)应急预案管理
(14)外包运维管理
(四)测试实施要求
1.等级保护测评实施总体要求
- 应针对本项目提供完整、详细的信息系统安全等级测评方案和项目实施计划。计划包括工程进度表、人员配备,实施说明等。
- 应依据合同条款及相关标准分阶段向用户方提交测试文档,如系统安全风险报告、系统安全漏洞扫描报告、系统安全整改建议等
- 应按管理方要求提交信息系统安全等级保护测评报告,测评报告格式必须符合《信息安全技术 网络安全等级保护测评报告模版》。
- 应成立合理的组织机构,严格按照项目管理制度保证测试工作按质、按量、按时实施。
2测评方案要求
针对项目总体情况和测评工作要求,指定整体测评工作方案,方案内容包括但不限于:
- 测评背景
- 测评标准
- 测评流程
- 采用的测评方法
- 参与各方的职责
3 测评计划要求
针对项目总体情况,指定整体测评工作计划。测评计划中需规定被测评的对象、明确测评需求、被测评项目的特性、应完成的测评任务、人员职责及风险等,确定要完成的测评活动,评估完成活动所需要的时间和资源,设计测评组织和岗位职权,进行活动安排和资源分配,安排跟踪和控制测评过程的活动。
4 测评人员要求
- 测评工作必须成立合理的组织机构,建立健全保障项目顺利实施的各项管理制度和质量保证体系;建立测试方、开发方、管理方专人接口、实时沟通的处理机制。明确各岗位的职责、任职资格及成果,确保工程顺利实施。
- 参与此项目的安全测评技术人员必须具有强烈的服务意识和高度的责任感,必须具有丰富的安全测评经验,能够与用户进行良好的沟通;具备知识产权意识,确保有关利益和机密不被泄漏。
1)项目团队结构要求
- 项目团队人员配置科学合理、分工明确,至少应包括项目负责人、测评负责人、测评组长、测评工程师、配置管理员、质量保证员等角色。
- 项目团队需保持稳定,制定具体管理措施,以确保具体工作得到有效落实。
2)项目团队人员要求
- 必须指定一名项目负责人(项目经理),全程负责本测试工作。项目负责人必须具有1年以上的安全测试工作经验。
- 应明确项目负责人等角色在实际测评工作中的岗位职责、任职资格及管理权限,以确保工程顺利实施。
- 根据项目业务性质,应分别配备经验丰富的项目负责人、核心技术人员承担本项目工作。
- 应承诺配置足够的人员组织实施项目,确保按项目进度完成建设工作;招标方提供办公场所后。
- 对于最终确定的项目组成员,核心成员除离职外,应保证在系统建设期间内不得变动。
- 技术服务人员技能不足情况下,应该在甲方提出人员替换要求后一周内安排具备足够技能的人员代替。
- 承诺未经甲方同意,不得以任何方式把服务转包给第三方。
(五)测试环境要求
- 甲方提供被测试的应用系统安全测试环境。如果是生产环境必须给出合理的使用计划,该计划不会对生产环境造成任何影响。
- 必须在文件中详细说明用于本次测试的测试内容、测试方法、测试工具及其使用计划。
- 应对测试过程中使用的各种软件的版权负责。如果因此引起版权纠纷,由乙方承担相应责任。
(六)测试工具要求
为保证测试的公正和准确,测试所采用的测试工具均需为第三方测试工具,需写出具体的工具介绍和使用计划。
(七)测评产出物
等级保护测评方案、安全整改建议、网络安全等级保护测评报告。
(八)保密要求
- 应与委托方签订保密协议。如果参与测试的人员在规定的保密期内发生失泄密行为,应承担全部责任。
- 必须在文件中对测试过程中引用或产生的所有资料做出明确的保密承诺,包括但不限于纸质文档、电子文档、数据、软件、程序等。保密责任最终以正式签署的保密协议为准。
- 在未经采购人书面同意的情况下,不得将本项目、与项目中相关的任何内容、资料(包括所涉及的书面和磁介质资料,下同)透露给任何人。否则,必须承担因此给采购人造成的一切经济损失,采购人保留追究法律责任的权力。必须在对外保密的前提下,对从事本项目的供应商应提供有关情况的说明,所提供的情况说明仅限于执行投标必不可少的范围。
四、本项目服务地点为招标人指定地点。
五、本项目服务期为一年。
六、资质要求及业绩等要求
6.1资质要求
具有信息安全等级保护测评机构推荐证书、CNAS检验机构认可证书、CMA检验检测机构资质认定证书、ISO 27001信息安全管理体系认证证书。
6.2项目团队要求
项目成员具有等保测评师证书、信息安全专业人员证书(CISP、CISSP)、信息安全保障人员(CISAW)认证证书。
6.3业绩要求
近三年至少有3个网络安全等级保护三级测评业绩;有参与起草或修订国家网络安全等级保护标准的经历。
七、产出成果数量要求
乙方负责按上述有关要求向甲方提交各类测评报告及方案,以上成果纸质版各2份,电子版各1份(光盘)。
八、结算要求
本项目结算价为中标价,不再另行追加费用。