《XX大学网络与信息技术中心等级保护2.0测评服务(202X年)采购方案(2024年).docx》由会员分享,可在线阅读,更多相关《XX大学网络与信息技术中心等级保护2.0测评服务(202X年)采购方案(2024年).docx(9页珍藏版)》请在优知文库上搜索。
1、XX大学网络与信息技术中心等级保护2.0测评服务(202X年)采购方案一、采购方式:竞争性磋商方式二、服务期及付款方式:服务期:壹年校方收到供应商提供的信息系统等级保护测评报告后20个工作日支付合同额的30%,提交校方信息系统的定级备案、等级测评报告等相关资料经校方终验合格审定后20个工作日内付合同金额的70%。三、服务要求1、交付期限:合同有效期一年内。2、服务期限:等级保护测评完毕并出具测评结果。3、服务地点:校方指定地点。四、其他商务条款:(一)售后服务1、服务响应时间:免费质量保证期间提供7*24小时的故障服务受理,必要时提供现场支援,一般故障1小时解决,重大故障2小时解决。若问题、故
2、障在检修后仍无法解决,供货单位免费提供不低于故障货物规格型号档次的备用货物供采购人使用,直至故障货物修复;2、技术服务:自最终验收合格之日起3个日历日内,中选供应商必须将所有相关技术资料(包含并不仅限于:所提供产品的布局图、走:线图、使用说明书、合格证、服务手册等)交采购人留存备案。3、中选供应商必须对其所提供的设备及采用的相关技术进行免费现场培训,以满足使用单位在日常存储、使用、操作等方面的需求。因培训而产生的一切费用均由中选供应商承担。(二)交货地点IXX大学内指定地点。(三)安装要求1、供应商在履行本合同时,应遵守校方各项管理制度,服从校方的安排和管理,安全操作,文明施工,保持环境卫生整
3、洁,项目验收前要做好卫生清理工作,做好安全防范措施,如供应商因违反上述约定造成甲方人身、财产损害的,由供应商承担赔偿费任,同时供应商在合同履行过程中发生的任何人身伤亡事故,均由供应商承担一切法律贡任及赔偿费任。2、其他要求(四)项目验收1、中选供应商在交货及验收活动中必须遵守采购人的有关规定。2、中选供应商负责本次采购产品的运抵采购人指定的交货地点后由采购人严格按照比选文件、响应文件及答疑记录进行验收。3、最终验收:在收到中选供应商书面验收通知后,由采购人尽快组织相关人员依照相关标准、规范、要求、合同及有关附件要求进行验收。4、相关检验检测和验收责用全部由中选供应商承担。(五)培训要求1、中选
4、供应商应派遣其精通业务的、健康的、合格的技术人员到合同货物的安装现场提供技术服务。2、中选供应商将根据H身的培训政策和使用方的具体的要求,直接向采购人或使用单位提供培训,包括中选供应商提供的设备管理培训、技术培训和使用方要求的其他培训内容。3、以上培训内容的培训费用由中选供应商承担。五、设备名称及数量序号名称数量1等级保护2.0测评服务1六、等级保护2.0测评服务采购项目技术参数与评分标准(一)项目概述2017年6月1日,中华人民共和国网络安全法正式实施,其中第二十条明确规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务”。确定r信息系统第位“谁
5、主管谁负货,谁经营谁负贪”的信息安全保障贵任制。关于信息安全等级保护工作的实施意见(公通字200466号)和*信息安全等级保护管理办法(公通字200743号),明确了等级保护是我国开展网络安全保障工作的基本制度、基本国策和基本方法,确定了系统定级、备案、等级测评、安全建设整改、监督检查等工作流程及要求,为开屣网络安全等级保护工作提供了规范保障,注IR主动防御,从被动防御到事前、事中、事后全流程的安全可.信、动态感知和全面审计,实现f对传统信息系统、基础信息网络、云计算,大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。4国家信息化领导小组关于加强信息安全保障工作的意见(中办发2
6、00327号)对重点单位重要信息系统等级保护工作部署和组织实施、信息系统定级、备案、等级测评、安全建设整改等工作明碑了监督管理要求。(二)项目范围序号泅评系统名称服务内容服务期限1XX大学等级保护测评服务项目等级保护差距分析及整改建议分析和最终测评服务1年(三)项目内容与具体要求1 .等级保护测评内容与要求1.1 服务对象教务管理系统(三级)、人事系统(二级)、科研系统(二级)、学工系统(二级)1.2 等保测评技术依据4中华人民共和国网络安全法B网络安全等级保护实施指南(GB/T25058-2019)网络安全等级保护基本要求(GB/T22239-2019)信息系统安全保护等级定级指南(GB/T
7、22210-2008)网络安全等级保护测评过程指南B(GB/T28449-2018)网络安全等级保护测评要求(GB/T28448-2019)信息安全技术网络安全等级保护安全设计技术耍求R(GBT25070-2019)1.3 服务周期服务周期:1次。1.4 具体要求(1)定级备案信息系统的定级是开展网络安全等级保护工作的首要环节和基础,测评机构将派遣中级测评师(或以上)协助用户单位完成等级保护定级和公安备案工作。为了准确、科学的开展信息系统定级工作,开展进行摸底调杳,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,进下一步明确要求、落实货任奠定基础。
8、定级工作将严格遵循信息安全技术信息系统安全等级保护定级指南(GB/T22240-2008),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制定级报告3和备案表,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,使顺利获得监管机关颁发的信息系统安全等级保护备案证明。工作过程文件及项目交付成果(包括但不限于),公安监管机知发的信息系统安全等级保护备案证明;(2)等级保护测评制定测评工作方案、工作阶段、流程、内容、及成果交付严格遵循d网络安
9、全等级保护测评要求“GB/T28448-2019和网络安全等级保护测评过程指南(GB/T28449-2018)文件,根据系统等级开展相应级别的单项测评和整体测评,项目团队应组织高级测评师负责项目组管理,测评报告内容及格式严格遵照学网络安全等级保护测评报告模版2021年版)。按照信息安全等级保护管理办法、网络安全保护等级实施指南,遵循网络安全等级保护鞋本要求(GB/T222392019)等技术标准,从每个信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个层面进行测评,并参考被测堆位自身信息安
10、全管理要求,从安全控制间、层面间、区域间的综合分析进行整体测评。应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临网络安全的威胁。安全物理环境U面应在采用专用测试工具测试和人工现场复核方式对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。安全通信网络U面应通过上机配置验证的方式对网络和安全设备的安全配置及设置逐项进行检测验证,以发现网络架构、通信传输、可信验证等方面的安全陷患。安全区域边界应通过上机配置收证的方式对网络和安全设备的安全配应及设置逐项进行检测物证,以发现边界防护、访问控制、入侵防
11、范、恶意代码和垃圾邮件防范等措施的安全隐患“安全计算环境应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全哙患:并通过口令破解、越权测限、注入测成、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。安全管理中心应通过上机配巴验证的方式对安全管理中心平台的安全配置及设置逐项进行检测验证,以发现系统管理、审计管理、安全管理、集中管控等措施得安全隐患.安全管理层面应对被测单位网络安全管理现状进行需求分析,确定
12、安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的安全运维管理制度、人m安全管理制度、安全建设管理制度、定期检查制度.通过采用恶意代码检测工具、漏洞扫描工具、XEB日志安全分析工具、预警检测系统、渗透测试工具系统、网络流量分析工具等对网络、主机等进行检查、渗透测试分析.在收集充足数据之后,对现场测评获得的数据进行汇总分析,形成等级测评项目的最终结论,并编制最终的网络安全等级保护等级测评报告.工作过程文件及项目交付成果(包括但不限于),网络安全等级保护等级测评报告.(3)应急响应服务服务期内,一旦XX大学突发重大信息安全事件,对包括计算机运行在内的业务运行进行维持或恢乩在服务周期范
13、围内,依据安全事件情况及时提供现场或远程应急响应服务,安排信息系统安全资深人员和应急响应工作经验丰富技术人员完成实施工作,最短时间内使网络信息系统恢更正常工作,帮助杳找入侵来源,进行入侵分析。根据每次应急响应的情况,必要时提供软、硬件设备参与应急响应工作,并进行分析.评分标准:本项目总分值50分,其中价格部分10分,技术部分30分,商务部分10分.(一)价格部分(10分):评标指标评议内容分值价格评议价格分采用低价优先法计兑,即满足磋商文件要求且最后报价最低的供应商的价格为磋商基准价,其价格分为满分。其他供应商的价格分统一按下列公式计算:磋商报价得分=(磋商基准价/最后磋商报价)ooo,计算分
14、数时四舍五人取小数点后两位。10分-)技术评议分(30分):序号名称评审内容分值1技术符合性评审符合性审查,投标人响应并满足招标文件“技术部分”实质性条款要求的全部内容,如有任意一项不满足,作无效投标处理0评审依据I投标文件中提供的技术条款响应表.2项目服务团队1、项目经理应具有公安部信息安全测评中心或中关村测评然盟颁发的高级信息安全等缎测评师证书得3分、在此基础上,每满足以下一项加3分,最高加9分。本项共计12分1.1 具有工信部电子标准化研究院颁发的IT服务项H经理(ITSS项目经理)证书的加3分:1.2 具有中国信息安全测评中心颁发的CISP证书(注册信息安全专业人员资格)加3分1.3
15、具有国家人社部和工信部联合颁发的网络工程师证书加3分。评审悔g供应商在响应文件中提供项目经理相应证书复印件及开标前半年任一个月的社保徽纳证明并加H1.供应商公章佐证,未提供不加分.否则不加分.2、项目实施团队获得了注册数据安全治理专业人员(CISPDSG)证书的,每提供一名加3分,最高加6分。评审他提供项目组成员相应证书复印件佐证及开标前半年任一一b月的社保微纳证明并加盖供应商公章佐证,否则不加分。3、项目实施团队具有网络安全防护技术能力,能终对网络系统有效的开展防护工作,具有公安部网防技术认证工程师3阴认证证书每名加2分,最多加6分“评审制8:提供项目蛆成员网防技术认证!普Pffi书爱印件并加餐供应商公章佐证及开标前半年任一一个月的社保缴纳证明,未提供不得分.1、拟派至本项目的人员具备专业的渗透能力技术,能有效保障项目实施质量,每提供一名加3分,II6分。评审!播提供项目8成员由中的S息安湖评中心频发的注册渗透浦试工程如(即C1.SAPrE证格)证书扫描件加盖供应商公章及开标前半年任一个月的社保藏纳证明,未提供不加分.(三)商务评议分
免费区 