尊敬的供应商:
您好!我公司就一卡通系统进行等级测评事宜向社会公开询价,诚邀贵公司参加,现将有关事项说明如下:
一、基本需求
后附《**公共交通控股(集团)有限公司网络安(略)
二、注意事项
1、本次询价为整体测评工作,供应商报价时须写明单价及总价(价税分离),合同期内,测评公司应不定期按甲方要求,针对相应的测评(略),满足**部信息安全等级三级要求,并结合甲方实际情况(如相应系统的升级、改版等)免费配合甲方完成后续整改和相关部门检查等工作,满足国家信息化、网信办、**局等相关部门的标准和要求。
2、成交原则:在符合询价需求、资质和服务相等的前提下,以提出报价最低的供应商作为成交供应商。供应商报价和承诺一经认可,即为成交合同价格。
3、供应商如对本询价函报价,即不可撤回,报价有效期90(略)。否则,供应商将在一年内不再(略)
4、供货期:(略)
5、供货地点:(略)
6、(略):签订合同,出具测评方案及测评报告并提交**部门支付合同金额80%,满一年后支付剩余20%。供应商收款需提供全额增值税发票,价税分离。
7、本次询价采取邀请函询价,被询价供应商须于2020年10月 28日17时携带密封的《报价函》一式两份至双塔西街55号公交集团大楼15层信息中心。
询价单位联系电话:(略)
采 购 监 督 电话: (略)
2020年10(略)
**公共交通控股(集团)有限公司
网络安全等级保护测评技术参数
2020年10月
1 采购内容
根据《中华人民**国网络安全法》、《信息安全技术 信息系统安全等级保护定级指南》、《信息安全技术 网络安全等级(略),为**公共交通控股(集团)有限公司的公交一卡通系统提供网络安全等级保护测评工作,本次测评的系统为三级系统。测评内容涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等信息安全的各个层面。
2 资质条件 2.1 供应商应符合《中华人民**国政府采购网》第二十二条规定条件(1) 具有独立承担民事责任的能力;
(2) 本项目不接受联合体投标;
(3) 具有良好的商业信誉和健全的财务会计制度;
(4) 具有履行合同所必需的设备和专业技术能力;
(5) 有依法缴纳税收和社会保障资金的良好记录;
(6) 参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(7) 具有信息安全等级保护测评机构推荐证书;
(8) 法律、行政法规规定的其他条件;
(9) 投标人须在中国**政府采购网等级测评机构公示名单范围。
2.2 相关要求(1)供应商必须具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》,符合晋公通字【(略)件要求。
(2)对在“信用中国”网站((略)gov.cn)、中国政府采购网((略)gov.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合《中华人民**国政府采购法》第二十二条规定条件的供应商,不得参与此次政府采购活动。
3 技术要求 3.1 等级保护测评服务 3.1.1 目的根据中华人民**国《网络安全法》的第二十一条及等级保护政策要求,网络运营者履行等级保护制度要求,为保障**公共交通控股(集团)有限公司信息系统的安全性,提高对安全事件的应急处置能力,根据《信息安全等级保护管理办法》(公通字[2007]43号)文件要求,对**公共交通控股(集团)有限公司的(略),并交付相应报告。
3.1.2 测评依据l 《信息(略)(公通字〔2007〕43号)
l 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2(略))
l 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T (略)
l 《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2019)
l 《信息系统安全等级保护体系框架》(GA/T 708-2007)
l 《信息系统安全等级保护基本模型》(GA/T 709-2007)
l 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
l 《信息安全技术 网络安全等级保护测评过程指南》(GB/T (略)
3.1.3 测评内容和方法本次信息系统测评内容主要为:从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个层面分别进行。
1.安全物理环境测评需通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况;涉及的安全控制点包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护;
2.安全通信网络测评需通过核查和(略)验证对象为广域网、城域网(略)
3.安全区域边界测评需通过核查和验证测试的方式验证网络区域边界的安全性,主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证等;
4.安全计算环境测评需通过核查、验证测试、渗透测试等方式(略)备、安全设备、服务器设(略)
5.安全管理中心测评需通过核查和验证测试(略)中管控平台、集中运维平台、日志审计系统等。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控等;
6.安全管理制度测评将通过访谈和检查的方式测评信息系统的安全管理制度建立情况。主要涉及对象为:信息安全(略)程及相关执行记录等;
7.安全管理机构测评将通过访谈和检查的方式测评信息系统的安全管理机构建立情况。主要(略):(略)位说明书等文档及执行记录;
8.安全管理人员测评将通过访谈和检查的方式测评信息系统的人员安全管理方面情况。主要涉及对象为:人事管理制度、外部人员访问要求等安全管理制度及执行记录;
9.系统建设管理测评将通过访谈和检查的方式测评信息系统的系统建设管理方面情况。主要涉及对象为:系统建设过程中涉及的相关文档,如:系统定级报告、安全设计方案、测试验收报告等文(略)
10.系统运维管理测评将通过访(略)况。主要涉及对象为:系统运(略)
3.1.4 测评过程根据国家标准《信息安全技术—网络安全等级保护测评过程指南》的规定,测评过程分为四个阶段:
(一)测评准备活动:主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
(二)方案编制活动:主要任务是确定与被测信息系统相适(略)
(三)现场测评活动:主要任务是按照测评方案的总体要求,严格执行测评指导书,分步实施所有(略),包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
(四)报告编制活动:主要任务是根据现场测评结果和GB/T (略)关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
3.1.5 等保测评文件输出测评机构需在测评工作结束后,依据《网络安全等级保护测评报告模板2019版》出具符合等保2.0测评要求的测评报告。