中国工程物理研究院公共事务管理部拟对中物院住房公积金信息系统三级等保测评服务采用调研比价方式进行采购,中物院公共事务管理部服务保障中心特邀请符合要求的供应商参加该项目的采购活动。
一、采购项目基本情况
㈠项目名称:中物院住房公积金信息系统三级等保测评服务
㈡采购人:中国工程物理研究院公共事务管理部
㈢预算金额/最高限价:人民币80000.00元。
二.采购需求及要求
㈠采购需求
1.工作目标
根据国家和公积金行业信息安全的相关标准,全面了解和掌握中物院住房公积金信息系统安全状况,找出其与《信息系统安全等级保护基本要求》对应级别的差距,及时发现系统存在的安全问题,针对等级保护测评中发现的各种安全风险,测评项目组提出适宜的安全整改建议,并最终提交该系统等级保护测评报告。
2.测评内容
测评内容包括技术和管理测评:
(1)技术安全性测评包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
(2)管理安全测评包括但不限于:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
3.测评对象及范围
本次等级保护测评系统包括:
序号 | 系统名称 | 安全保护等级 |
1 | 中物院住房公积金信息系统系统 | 第3级 |
4.测评要求
对信息系统安全等级保护状况进行测试评估,应包括三个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性;三是对信息系统进行验证测试。
(1)对安全控制的测评,应使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
(2)系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
(3)按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内:
渗透测试:验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在SQL、Cookie注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
注入 | 失效的身份认证 |
敏感信息泄露 | XML外部实体(XXE) |
失效的访问控制 | 安全配置错误 |
跨站脚本(XSS) | 不安全的反序列化 |
使用含有已知漏洞的组件 | 不足的日志记录和监控 |
性能测试:通过模拟手段对网络(包括丢包、时延、带宽等)、软件系统(包括负载、响应)、负载下硬件占用(包含CPU、内存)等进行全面的测评评估验证系统的可靠性、可用性,通过对测试结果的分析,给出相应的整改建议。
漏洞扫描:据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
5.实施要求
(1)系统梳理
协助完成待测信息系统梳理工作。
(2)初测
对本项目所涉及信息系统进行现场测评,初次测评完成后提交初评的整改意见报告。
(3)整改加固协助
协助对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的回归测评。
(4)成果递交
整理测评结果,提交被测信息系统安全等级保护测评报告电子档案1份、纸质报告2份及过程资料1份。
㈡技术和服务要求
1.技术要求
此次测评依据的标准包括但不限于以下内容:
(1)《中华人民共和国网络安全法》
(2)GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
(3)GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》
(4)GB/T28449-2018《信息安全技术 网络安全等级保护测评过程指南》
(5)GB/T36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》
(6)《信息安全等级保护管理办法》公通字 [2007] 43号
(7)《住房公积金信息系统技术规范》JGJ/T388-2016
(8)《住房公积金信息化建设导则》
2.服务要求
参与此次等级保护测评的供应商其测评人员应具备并符合以下要求:
(1)开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
(2)供应商的岗位配置要至少配置项目经理(或总测评师)、技术负责人、质量负责人、保密安全员和档案管理员,其中项目经理(或总测评师)、技术负责人、质量负责人、保密安全员和档案管理员应独立配置,不能有兼任的情况。
3.服务保障与承诺
(1)供应商应严格按照测评人员执业守则,按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评,在保证质量、安全的前提下,确保在项目规定的期限内按期完成。
(2)供应商应协助、配合与主管、监管部门的沟通协调。
(3)供应商应在项目开始前,应签订保密协议,严格遵守法律法规,对委托单位的商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密,未经同意,严禁将上述内容与任何第三方透露或用于其他商业用途,并承担由此产生的一切损失。
(4)帮助业主单位完成相应备案文档制作,配合完成本次定级备案。
(5)提供培训服务,对业主单位信息安全管理相关人员进行安全意识教育,指导信息安全管理制度的落实,并针对信息安全事故进行应急处置培训。
㈢商务要求
1.合同签订
依照国家招标投标法和实施条例的相关规定,签订书面合同,合同的标的、价款、质量、履行期限等主要条款与招标文件和中标人的投标文件的内容一致。合同双方不得再行订立背离合同实质性内容的其他协议。
2.项目完成期限
自合同签订之日起90天内完成测评任务,并出具《网络安全等级保护等级测评报告》。
3.付款条件及方式
乙方完成系统等级保护测评,并形成最终测评报告,验收合格后按合同约定支付测评服务费用。
4.组织验收
(1)项目验收方式:完成测评服务后组织项目验收,验收方式为书面验收。
(2)项目验收内容:服务内容中测评服务对象的《网络安全等级保护等级测评报告》、《信息系统安全问题汇总及整改建议》(含测试记录等)。
(3)项目验收结果:符合上述验收程序,测评组提供的测评服务符合《信息系统安全等级保护基本要求》等国家标准规范,双方应签署《项目验收报告》,确定项目验收合格。
(4)甲方在收到乙方出具的《网络安全等级保护等级测评报告》后10日内组织验收。如甲方无正当理由拒绝验收,自甲方收到乙方出具的《网络安全等级保护等级测评报告》和验收报告后20日内自动视为验收合格。
5.履约保证金:无。
三.供应商资格条件
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加采购活动前3年内在经营活动中没有重大违法记录;
6.单位负责人为同一人或存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动;
7.被国家监管部门列入政府采购严重违反失信记录及被院处以禁入处罚的供应商,在禁止期内不得参加我部采购活动;
8.法律、行政法规规定的其他条件;
9.特定资质条件:具有网络安全等级保护测评机构推荐证书。
四.采购文件获取及确认
请贵公司于2024年9月23日下午17:00前将是否参加比价的《确认函》(格式详见附件)以邮件形式回复。邮箱:ggbbzzx@163.com。
五.比价响应资料递交方式
请贵公司在2024年9月24日上午11:00前将比价响应资料(1正本2副本1电子文档)密封送达至科学城办事处办公大楼310室。
比价文件收取联系人:徐女士
联系电话:0816-2483261
地址:科学城办事处办公大楼310室
绵阳市城区外和科学城辖区外的供应商请邮寄。
邮寄地点:四川省绵阳市游仙区绵山路64号中国工程物理研究院公共事务管理部 徐女士 0816-2483261(不接受到付),因邮寄导致响应文件递交截止时间以后收到的响应文件,响应文件将被拒绝,逾期寄到或邮寄原因未到,责任供应商自负。
六.联系方式
采购人:中国工程物理研究院公共事务管理部
地址:四川省绵阳市游仙区绵山路64号
联系人:张丽娟
电话:0816-2497251
统一采购实施部门:中国工程物理研究院公共事务管理部服务保障中心
地 址:四川省绵阳市游仙区绵山路64号
联系人:徐锐钒
电 话:0816-2483261
传 真:0816-2483261
邮 箱:ggbbzzx@163.com。
注:请有意参加且符合要求的供应商下载附件,按照要求的时间地点递交资料。
附件:中物院住房公积金信息系统三级等保测评服务 比价文件 发售版.doc
2024年9月14日
