2023年工控、营管系统等级测评项目公告
· 2023-05-30
1、项目简介
1.1、项目名称: 2023年工控、营管系统等级测评项目
1.2、比选范围:本次招标采购服务内容为重庆市渝南自来水有限公司工业控制系统(三级) 、自来水营业管理系统(三级)安全等级保护测评服务,对渝南自来水等保相关规章制度进行修订完善、对渝南自来水网络安全应急预案进行新增完善、上门进行一次网络安全相关知识讲座(培训)。
1.3、工期:2023年9月30日前出具正式测评报告(报告须盖有投标人持有的《CNAS中国认可检验》专用章)。
1.4、结算方式:完成上述采购服务内容、出具正式测评报告并向相关机关备案后,由乙方开具合法合规的增值税普通发票,并按甲方要求完善相关手续后,甲方在30个日历天内向乙方支付全额的合同款项。
1.5、本项目为总价包干项目,投标费用包含但不限于定级备案、测评、培训服务和与甲方信息系统维护维保单位沟通协调等相关服务费用(整改费用除外),中标方提供全程的服务支持。
2、比选申请人资格条件与测评要求
一、投标申请人资格条件
(一)基本条件
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必需的设备和专业技术能力;
4、有依法缴纳税收和社会保障资金的良好记录;
5、参加政府采购活动前三年内,在经营活动中无重大违法记录。
(二)特定资格条件
(1)投标人应具有网络安全等级测评资质(提供公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书)。
(2)测评机构能够在公安部网络安全等级保护网www.djbh.net推荐目录中查询到。
以上资格审查材料提供复印件加盖单位公章,原件备查。
3、供应商经营范围不得涉及网络安全产品开发、销售或计算机信息系统集成等可能影响测评结果公正性的业务。供应商需要有本地服务团队,当发生突发网络安全公共事件时,能在第一时间派出技术团队协助处置突发事件。
二、测评要求
(一)项目依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《信息安全等级保护管理办法》(公通字[2007]43号)
《中华人民共和国国家标准 GB/T 17859-1999 计算机信息系统安全保护等级划分准则》
《中华人民共和国国家标准 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
《中华人民共和国国家标准 GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
《中华人民共和国国家标准 GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》
《中华人民共和国国家标准 GB/T 20984-2007信息安全风险评估规范》
(二)具体测评内容
为提升系统的安全保护能力,加强信息安全管理,对我单位信息系统开展等级保护测评服务,测评机构能够利用测评、评估、漏洞扫描等方法发现系统安全隐患并提出合理的整改建议,对系统漏洞能够及时定位,并对后续修复的情况进行验证,最终出具信息系统等级保护测评报告。在项目服务周期内,成交供应商应提供相关的安全咨询服务,提供的安全咨询建议、策略、规范和整改建议要切合招标单位实际情况,满足GBT22239-2019《信息安全技术-网络安全等级保护基本要求》等标准、规范的相关要求。
测评范围主要包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。
1、技术测评
(1)安全物理环境测评(物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护);
(2)安全通信网络测评(网络架构、通信传输、可信验证);
(3)安全区域边界测评(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证);
(4)安全计算环境测评(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护);
(5)安全管理中心测评(系统管理、审计管理、安全管理、集中管控)。
2、管理测评
(1)安全管理制度测评(安全策略、管理制度、制定和发布、评审和修订);
(2)安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和合作、审核和检查);
(3)安全管理人员测评(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理);
(4)安全建设管理测评(定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择);
(5)安全运维管理测评(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。
3、工业控制系统扩展测评:
(1)安全物理环境测评(室外控制设备物理防护);
(2)安全通信网络(网络架构、通信传输)
(3)安全区域边界测评(访问控制、拨号使用控制、无线使用控制);
(4)安全计算环境测评(控制设备安全);
(5)安全建设管理测评(产品采购和使用、外包软件开发)。
3、工具扫描
使用专业的安全分析工具对待测系统进行安全分析。在与我方深入沟通的基础上,对系统进行检测,发现系统缺陷,对过程进行记录并最终形成工具扫描。服务方须承诺本项目中所使用的网络安全检测产品(包括设备和软件系统)的正版授权及相应产品的销售许可证,需满足国家相应标准规范。
4、技术要求及规范
(1)测试主要流程:测评分预测评和回归测试,预测评提供差距分析报告和整改建议方案,并指导采购人完成三级等保安全整改,完成整改后进行不符合项回归性测试,并通过三级等保测评。
(2)风险控制:为保证项目的顺利实施,服务方应充分讨论并明确实施过程中对系统可能带来的风险和隐患。测评工作本身也会引入安全风险,必须加强测评过程中的风险控制。测评实施前,双方应充分讨论并明确测评对系统可能带来的风险和隐患,确定测评对象、测评方法和工具,并制定应急恢复措施。
(3)项目进度控制:需对项目进行规范化管理,要有项目管理组织、项目管理计划、服务资产管理等。同时,供应商应根据项目内容制定技术方案和时间计划,严格按照项目方案及计划开展工作,确保项目顺利推行。
(4)在项目实施过程中,需对项目进行规范化管理,要有项目管理组织、项目管理计划、服务资产管理等。为顺利完成本次项目,服务单位应具有完善的项目和质量管理体系,按照计划推动项目工作,并确保项目过程规范以及项目过程文档完整。
(5)为确保服务期间各类技术突发紧急事件得到及时有效的处置,供应商在本地须有常设机构或售后服务机构,提供在渝10人(测评师)及以上连续3个月以上的在渝社保缴纳证明。
5、保密原则
(1)、成交供应商必须对本项目所涉及的公安工作秘密、业务需求、协议、系统设计、技术成果等内容和相关事务保密。
(2)、供应商应加强本项目资料的保密管控,必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施,记录资料由生成到销毁整个生命周期内的使用日志,并根据实际工作情况及时对制度进行调整。供应商应加强本项目在用户工作场所使用设备,特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备,必须遵守该系统关于终端安全管理、移动存储介质管理等要求。
6、项目成果
项目成果应包含:系统测评记录、技术测评和管理测评的
其他文档、系统等级测评报告等。
3. 比选文件的获取
本项目的投标人可于2023年5月29日起可自行在重庆水务集团电子商务平台(https://www.cqswjt.cn/ebidding/login)上下载比选文件电子版,以及答疑、补遗等投标截止时间前公布的所有相关资料。各投标人应随时关注网上(https://www.cqswjt.cn/ebidding/login)发布的比选文件及相关修改内容。
投标人须在重庆水务集团电子商务平台(https://www.cqswjt.cn/ebidding/login)进行供应商注册,填写相关信息,审批过后成为平台供应商。
此项目将在重庆水务集团电子商务平台系统上进行电子开、评标。投标人需提前在重庆水务集团电子商务平台(https://www.cqswjt.cn/ebidding/login)上注册、报名,下载标书,上传参选文件电子档并报价。
4. 投标文件的递交
4.1投标文件递交:投标文件盖章后将以电子档(PDF格式)上传至系统平台。
4.2投标截止时间:2023年6月2 日16时00分(北京时间)。
5. 发布公告的媒介
本次比选文件在重庆水务集团电子商务平台(https://www.cqswjt.cn/ebidding/login)上发布。
6. 联系方式
比选人: 重庆市渝南自来水有限公司
地 址: 重庆市渝南自来水有限公司对外综合楼2楼
联系人: 王老师
电话:15902372054
文章推荐:
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
