为落实市委网信办、市**局网监支队关于执行信息系统安全等级保护测评工作要求,确保“**农(略)(**市数字农业试点建设项目)信息系统三(略),为做好“**市农业大脑”(**市数字(略))信息系统三级等保测评及应急演练技术服务工作的落实,现将该技术服务项目询价采购事项公告如下:
一、项目名称
“**市农业大脑”(**市数字农业试点建设项目)信息系统三级等保测评及应急演练技术服务。
二、项目背景
依据《信息安全等级保护管理办法》(公通字[(略)、《**省深化信息安全等级保护工作方案》(琼等保办[2010]3号)和《**省信息化条例》文件的要求规定和建议,需委托具备资质的等保测评机构,对信息系统进行等级测评,以确保信息系统是否在符合相对应的信息安全等级下运行。招标人将依照**市农业农村局信息系统开展信息系统三级等保测评及应急演练技术服务工作,通过本次招标聘请具备相关资质的单位提供测评及相关支持服务。
三、项目内容
通过委托专业信息安全等级测评服务机构,根据网络安全等级保护2.0等相关文件及标准要求,针对正在运行的信息系统实施信息安全等级保护测评,明细如下:
序号 |
信息系统/服务项目 |
级别 |
重要程度 |
|
1 |
**(略) |
三级 |
非常重要 |
|
2 |
应急预案编制 |
结合**市农业农村局信息系统的实际情况,分析评估现有的安全管理体系,包括安全制度执行审核、安全事件的(略)的安全管理缺陷。评估重点针对各个安全事件场景的应急管理工作,编制《信息安全事件应急预案》,并对信息系统相关人员进行应急预案、应急技巧及对典型的(略) |
||
3 |
应急演练 |
结合**市农业农村局信息系统的实际情况,编制《应急演练实施方案》,经用户单位确认后,组织开展**(略),应急演练工作流程应包含:预案修编调研、预案修编、演练准备、环境搭建、脚本编写、应急演练、演练收场。演练完成后提交《网络安全事件应急演练总结评估报告》。 |
||
4 |
整改指导 |
测评结束后,按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,向用户进行报告解读,并将技术措施和管理措施有机结合,建立信息系统综合防护体系,提供整改方案,指导用户进行整改,以达到提高信息系统整体安全保护能力。 |
||
5 |
测评实施过程及结果输出 |
实施过程:根据《GB/T 22239-(略) 网络安全等级保护基本要求》和《GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》等相关文件及标准要求,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面,按照网络安全保护等级的基本要求进行测评。 结果输出:《网络安全等级保护测评报告》及提出具有针对性的整改方案。 |
四、服务实施
(一)服务目标
(1)通过信息安全等级保护测评服务,对本单位运(略),衡量信息系统的安全保护管(略),是否具备了相应的安全保护能力。找出问题,针对性的制定(略),推进信息安全防护体系不断完善。
(2)通过应急预案编制服务,建立健全我局网络安全事件应急工作机制,明确应急(略),提高对网络安全突发事件的应对能力,减少重大网络安全突发事件造成的损失和危害,保障业务系统(略)。
(3)通过开展应急演练服务
1、检验预案,查找应(略),进而完善应急预案,提高应急预案的实用性和可操作性;
完善准备,通过开展应急演练,检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作。
2、锻炼队伍,通过开展应急演练,增强演练组织单位、参与单位和人员等对应急预案的熟悉程序,加强配合,提高其应急处置能力。
3、磨合机制,通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺(略),完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导。
4、宣传教育,通过开展应急演练,普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识。
(二)测评依据
项目主要依据但不限于以下相关的法规政策、标准及规范:
l 《中华人民**国网络安全法》(第十二届**人大常委会(略)过,自(略)施行。)
l 《**省信息化管理条例》(**省第五届人大常委会2013年9月25日通过,自2013年(略)。)
l 《计算机信息系统安全保护等级划分准则》(GB (略)
l 《信息安全技术 网络安全等级保护定级指南》(GB/T (略)
l 《信(略) 网络安全等级保护基本要求》(GB/T 22239-2019)
l 《信(略)网络安全等(略)(GB/T 28448-2(略))
l 《信息安全技术 网络安全等级保护测评过程指南》(GB/T (略)
l 《信息技术 安全技术 信息技术安全评估准则》(GB/T 18336.2-2015)
l 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
l 《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)
l 《信息安全技术 信息安全风险管理指南》(GB/Z 243(略))
l ……
(三)实施团队要求
投标人在投标文件中应提供完整的测评实施团队名单及职责分工,所有人员必须属于投标单位在册员工(以社保缴纳证明为认定依据)。实施测评工作的技术人员必须具备**部信息安全等级保护评估中心颁发的《信息安全等级测评师证书》或中关村信息安全测评联盟颁发的《网络安全等级测评师证书》。测评实施团队名单中所列人员的社保缴纳证明和测(略)
(四)服务内容
服务期内,投标人须向招标人提供以下服务。
1、等级保护咨询服务
1)等级保(略)
随着国家信息安全等级保护的推进工作,信息安全等级保护政策、法律法规和标准体系也会相应的发布和更新,投标人应针对本项目设立信息安全等级保护咨询平台,明确较为固定的咨询服务人员,并根据咨询要求提供正式的答复资料和文档。咨询内容包括但不限于信息安全等级保护国内外发展动态、等级保护政策、法律法规和标准体系咨询服务。
2)信息系统等级变更咨询
在信息系统出现等级变更时,投标人须协助招标人对信息系统进行分析,明确信息系统边界和定级对象,对信息系统的子系统进行划分,确定信息系统以及子系统的安全等级。
3)等级保护建设整改咨询
按照信息系统安全总体方案要求,投标人须结合信息系统安全建设项目计划,根据信息安全等级保护相关标准和规定,对招标人等级保护建设整改工作提供全面的安全方案的详细设计咨询,结合招标人的实际情况,协助招标人进行分布或分期地落实安全技术与管理措施,并根据预期实现的安全目标,全程提供在建安全设备和系统的测试、验收工作等咨询服务。
4)信息系统安全检查咨询
在招标人开展信息系统安全检查时,全程提供咨询服务,包括检查范围、检查方法、检查结果分析以及整改措施制定等。
5)等级保护测评咨询
测评过程中,(略)容和方法,对测评过程中所涉及到的评估项及测评过程中所编制相关表格、填写项提供全程咨询服务,确保测评工作的顺利开展。
2、等级保护测评服务
依据《网络安全等级保护基本要求》,对招标人各信息系统的安全技术体系和安全管理体系等进行合规性检查,出具《网络安全等级保护测评报告》,并提出具有针对性的整改建议。
1)测评内容
(1)对本单位已备案信息系统进行摸底、分析和梳理,提出详细的等保测评方案。
(2)逐一对信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
① 安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据备份及恢复等五个方面的安全测评;
② 安全管理测评:安全管理机构、安全管理制度、人员安全(略)
(3)完成测评工作后,提出整改建议;最后出具符合**部门要求的信息系统安全保护等级测评报告,并在后期整改实施过程中提供全程咨询服务。
2)测评实施
信息安全测评项目过程需按照《信息系统安全等级保护测评过程指南》开展工作,等级测评过程(略):测评(略)制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
(1)测评准备活动
测评准备工作包括编制项目(略)表:
项目内容 |
工作内容 |
成果输出 |
项目启动 |
1.组建测评项目组 |
向用户提交 《项目计划书》 《提供资料清单》 |
2.编制(略) |
||
3.确定招标人应提供的资料 |
||
信息收集分析 |
定级报告及整改方案分析 |
《系统基本情况(略) |
1.整理调查表单 |
||
2.发放调查表单给招标人 |
||
3.协助招标人填写调查表 |
||
4.收回调查结果 |
||
5.分析调查结果 |
||
工具和表单准备 |
1.调试测评工具 |
确定(略)(测评工具清单) 《现场测评授权书》 《测评结果记录表》 《文档交接单》 |
2.模拟被测系统搭建测评环境 |
||
3.模拟测评 |
||
4.准备打印表单 |
(2)方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。详细要求见下表:
工作内容 |
工作详细任务 |
输出成果 |
一、测评对象确认 |
识别(略) 识别被测系统的整体结构 识别被测系统的边界 识别被测系统的网络区域 识别被测系统的重要节点和业务应用 确定测评对象 |
《测评方案》的测评对象部分 |
二、测评指标确定 |
识别被测系(略) |
《测评方案》的测评指标部分 |
选择对应等级(略) |
||
就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标 |
||
三、工具测试点确定 |
确定工具测试的(略) 选择测试路径 确定测试工具的接入点 |
《测评方案》的测试工具接入点部分 |
四、测试内容确定 |
识别每个测评对象的测评指标 |
《测评方案》(略) |
识别每个测评对象对应的每个测试指标的测试方法 |
||
五、测评指导书开发 |
从已有的测评指导书中选择与测评对象对应的手册 |
《测评方案》的测评实施手册部分 |
针对没有现成测评指导书的测评对象,开发新的测评指导书 |
||
六、测评方案编制 |
描述测评项目基本情况和工作依据 |
向用户提交 《测(略) |
描述被测系统的整体结构、边界和网络区域 |
||
描述被(略) |
||
描述测评指标 |
||
描述测评对象 |
||
描述测评内容和方法 |
(3)现场测评活动
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的(略),然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。详细要求见下表:
工作内容 |
工作详细任务 |
输出 |
1.现场(略) |
现场测评授权书签署 |
会议记录、确认的授权委托书、更新后的测评计划和测评方案 |
召开现场测评启动会 |
||
双方(略) |
||
双方确认配合人(略) |
||
确认信息系统已(略) |
||
测评方案、结构记录表格等资料更新 |
||
2.现场测评和结构记录 |
依据测评指导书实施测评 |
访谈结果:技术安全和管理安全测评的测评结果记录或录音 文档审查结果: 管理安全测评的测评结果记录 配置检查结果: 技术安全测评的网络、主机、应用测评结果记录表格 工具测试结果: 技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件 实地察看结果: 技术安全测评的物理安全和管理安全测评结果记录 测评结果确认: 现场核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件 |
记录测评获取的证据、资料等信息 |
||
汇总测评记录,如果需要,实施补充测评 |
||
3.结果确认和资料归还 |
召开(略) |
|
测评委托单位确认测评过程中获取的证据和资料的正确性,并签字认可 |
||
测评人(略) |
(4)报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初(略),还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。详细要求见下表:
工作内容 |
工作详细任务 |
工作依据(模版) |
1.单项测评结果判定 |
分析测评项所对抗威胁的存在情况 |
等级测评报告的单项测评结果部分 |
分析单个测评项是否有多方面的要求内容,依据“优势证据”法选择优势证据,并将优势证据与(略) |
||
综合判定单个测评项的测评结果 |
||
2.单元测评结果判定 |
汇总每个(略) |
等级测评报告的单项测评结果汇总分析部分 |
判定每个测评对象的单元测评结果 |
||
3.整体测评 |
分析不符合和部分符合的测评项与其他测评项(包括单元内、层面间、区域间)之间的关联关系及对结果的影响情况 |
等级测评报告的系统整体测评分析部分 |
分析被测系统整体结构的安全性对结果的影响情况 |
||
4.风险分析 |
整体测评后(略) |
等级测评报告的风险分析部分 |
分析部(略) |
||
分析威胁利用安全问题后造成的影响程度 |
||
为被测系统面临的风险进行赋值 |
||
评价风险分析结果 |
||
5.等级(略) |
统计再次汇总后的单项测评结果为部分符合和不符合项的项数 |
等级测评报(略) |
形成等级测评结论 |
||
6.测评报告编制 |
概述测评项目情况 |
等级测评报告 提交用户 |
描述(略) |
||
描述测评范围和方法 |
||
描述整体测评情况 |
||
汇总测评结果 |
||
描述风险情况 |
||
给出等级测评结论和整改建议 |
3、应急预案编制服务
(一)预案修编调研
安全管理制度调研:分析评估现(略),包括安全制度执行审核、安全事件的响应处理、安全维护工作的组织管理、项目建设的安全审核等,分析存在的安全管理缺陷。评估重点针对各个安全事件场景的应急管理工作,如应急响应相关的管理制度。
信息安全现状调研:对信息系统运行、维护的IT基础设施进行调研。如物理安全情况、网络安全情况、主机安全情况、应用安全情况、数据安全情况等。调研的目的是为制定应(略)资料。
应急安(略):应急响应是信息安全所有保障措施中的最后一道防线,有效的应急响应可以最**抑制安全事件的发展,将影响控制在可以接受的范围。做为安全防范体系的重要组成部分,需要重点调研以下主要安全事件的操作指**相关安全策略:
①网站遭受DDOS攻击;
②网站页面被篡改或挂马;
③网站SQL注入攻击;
④网站XSS(略)
⑤信息设备故障处理。
(二)预案修编工作
在预案修编调研基础上,针对目前的应急总预案和各单项应急预案进行编制,确保符合最新的安全情况。
4、应急演练服务
(一)演练沟通会。(确定演练时间、地点、人员)
通过双方召开的(略),确定本次演练相关人员:
角色 |
姓名 |
电话 |
备注 |
实时监测人员 |
|||
应急保障人员 |
|||
管理协调人员 |
|||
系统维护人员 |
|||
应急管理人员 |
|||
上级协调人员 |
同一工作人员(略),同一角色亦可(略)。
演练地点:(略)
演练时间:(略)
(二)确定需要备份的系统
由于本次演练环境为专门搭建,不存在需要备份的系统。
(三)确定其它影响
由于本次演练环境为专门搭建,不会对其它任何系统造成影响。
(四)演练环境搭建
演练可以包括环境演练或实际环境演练。 根据演练的要求搭建环境,并自行提供相关设备。如果在时机环境(略),我方会在实际环境中完成相关演练的准备工作。
(五)演练脚本编写
将从为招标人规定的场景修编应急预案中,根据场景编写演练脚本,搭建演练环境并进行演练工作。
演练脚本:描述每个演练场景的具体操作流程,示例如下:
步骤 |
演练(略)(示例) |
一 111 1 |
模拟网站服务(略): (a)、假定Internet主机(略)xxx.xxx对网站服务进行攻击(端口扫描、DoS、洪流等)。 (b)、假定Internet多个地址对该网站服务进行攻击。 |
2 |
事件报告: 网管人员通过(略),马上报告南网公司信息安全联络员。 |
3 |
应急处理: 立即保存网络设备、安全设备、主机设备的系统日志记录; 安全审计(略) (略)链路优化器日志等,如:发现网络中出现大量DOS攻击事件、网络带宽利用率升高、数据包源地址不正常、不对称的网络流量模式(大量流量流向主机,很少流量从主机出来)等现象,确定攻击源; 根据(略),调整防火墙、IDS、流量控制系统、主机安全策略,过滤(略) 及时修补系统被利用的弱点或缺陷; 重新对目标网站主机进行部署; 在相(略),尽快恢复系统(略) 将此事(略),提示注意类似的技术隐患; 损失评估; 责任确定; 事件归档; 流程和预案的修订。 |
4 |
测试安全措施是否生效: 对处置结果进行检验,确认信息已删除。 |
5 |
备份现场证据: 备份系统日志等。 |
6 |
网络恢复: 攻击事件消除,删除之前做的临时调整,测试可用性。 |
(六)应急响应演练
在演练环境中,按照脚本执行应急操作。
(七)演练(略)
移除演练环境,测试网络是否正常;
总结演练成果。
(五)服务要求
1、等级保护测评服务
按照**部制订的信息系统安全(略)相应信息系统是否满足等级保护要求。
2、应急预案编制
投标人需(略),应针对性的提出应急预案。应急预案应具有可操作性,符合招标人实际情况,且能够切实解决问题。
3、应急演练
应急演练活动需确保不因演练影响信息系统稳定运行,具体演(略)。
应急演练工作流程如下:预案修编调研、预案修编、演练准备、环(略)
4、交付成果和报告
中标方需在60天内交付成果和报告,包括(但不限于以下内容):
《**市农(略)
《**市农业大脑等级保护安全整改建议方案》
《**市农(略)
《**市农业大脑应急演练实施方案》
《**市农业大脑网络安全事件应急演练总结评估报告》
提供测评过程相关文件,包括调研表、技术测评记录、会议纪要等
4、服务验收标准
服务通过验收须满足以下所有条件:
l 完成信息系统测评,并出具《测评报告》;
l 针对性的制(略),并出具《整改建议方案》;
l 制定适用于本单位的《网络安全应急预案制度》;
l 提交适用于本单位的《应急演练实施方案》;
l 演练完成后提交《网络安全事件应急演练总结评估报告》;
l 提交调研表、技术测评记录、会议纪要等服务过程材料;
l 符合省级以上**部门提出的信息安全等级保护测评相关要求。
五、售后服务及其它要求
投标人必须(略),技术支持和服务(略)(但不限于):
(1)如在测评中出现不符合项,中标人需(略)。对于测评中(略),投标方应提供项目验收后一年的跟踪服务,对本次评估范围内的问题提供远程技术咨询,对于漏洞(略),自项目验收通过之日起计算。
(2)提供及时有效的售后服务,中标人在本地有服务机构或承诺如果中标则在**省设置有不少2名技术人员的售后服务技术支持团队,并承诺提供的售后保障计划应包含7*24小时的技术支持服务,重大活动期间提供现场的技术支持服务,针对突发应急事件提供4小时内到现场处置的服务响应保障,问题解决后24小时内,提交问题处理报告,说明问题种类、问题原(略)。
六、预算及付款方式
(一)项目预算金额控制在18万元以下(超出预算控(略))
(二)中标后按合同约定具体方式付款。
七、投标资格要求
(一)具有独立承担民事责任的能力,持有有效的营业执照、税务登记证、组织机构代码证(或三证合一);
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有**部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书
(四)法定代表人或单位负责(略)加本项目的投标。(提供承诺函)
(五)、供应商必须(略),不允许只对其中部分内容进行响应,否则(略)
(六)、本项目不接受联合体投标。
八、报名所需提供材料及要求
(一)报名单位营业执照、税务登记证、组织机构代码证(三证合一的提供营业执照)、被授权人身份证等复印件;
(二)提供2023年至今任意一个月或一个季度的财务报表及2023年至今任意一个月的纳税及社保凭证
(三)**部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书
(四)单位简介、相关资质、相关工作业绩材料;
(五)本项目工作实施方案;
(六)单位详细报价函。
(七)其他需要补充说明的材料。
参加询价单位应对所提交的资料真实性负责,且必须准确、详细、清晰可以辨认,其资质不得使用其他法人单位资料,若未按要求提交资料或所提交的资料弄虚作假,将取(略)。
注:所有材料均加盖公章、装订成册、装袋密封提交,于文件封面提供联系人姓名及手机号码,一式三份。
九、投标、开标时间和地点
(一)材料递交截止时间:2024年5月8日17:30前,逾期不予受理。
(二)投递地点:**市**长滨路市政府第二办公区17栋南楼4楼4044室。
(三)开标时间暂定(略)午10:00在**市**长滨路市政府第二办公区17栋南楼4楼4043会议室。开标时间若有变动则另行通知参加询价单位联系人。
(四)联系人:(略)
十、(略)
(一)完成工作目标任务响应原则;
(二)具备的资质及(略)
(三)报价择低原则。综合评定按得分高低确定中标候选人序位。
十一、验收方式
采购人委托第三方机构或业务单位对服务项目进行跟踪审计或现场验收,成交供应商须无条件全程配合跟踪审计单位或验收单位执行服务项目全过程跟踪审计或现场验收,按要求提交所需跟踪审计或验收资料和文件。跟踪审计服务费用由采购人另行支付。
十二、其他
(一)本项目不统一组织踏勘现场,供应商自行(略),供应商递交的谈判响应文件,视为已充分考虑了项目实际情况、技术标准及要求、工(略)
(二)合同履约过程中,根据项目实际情况需对检测的内容、数量或相关技术和服务要求进行调整或变更的,由采购人和成交供应商进行协商,具体内容在合同条款中进行约定。
**市农业农村局
2024年4月29日
报价一览表
项目名称:**市农业农村局信息安全等级测评及应急演练技术服务
交货时间:(略)
报价人名称:
单位:元
序号 |
信息系统/服务项目 |
级别 |
重要程度 |
单价 |
|
1 |
**(略) |
三级 |
非常重要 |
||
2 |
应急预案编制 |
结合**市农业农村局信息系统的实际情况,分析评估现有的安全管理体系,包括安全制度执行审核、安全事件的响应处理、安全维护工作的组织管理、项目建设的安全审核等,分析存在的(略)。评估重点针对各个安全事件场景的应急管理工作,编制《信息安全事件应急预案》,并对信息系统相关人员进行应急预案、应急技巧及对典型的信息安全事件进行预防等方面的培训。 |
|||
3 |
应急演练 |
结合**市农业农村局信息系统的实际情况,提交《网络安全应急预案制度》和《应急演练实施方案》,经用户单位确认后,组织开展**市农业农村局**市农业大脑系统的应急演练,应急演练工作流程应包含:预案修编调研、预案修编、演练准备、环境搭建、脚本编写(略)总结评估报告》。 |
|||
4 |
整改指导 |
测评结束后,按照国家有关(略),坚持管理和技术并重的原则,向用户进行报告解读,并将技术措施和管理措施有机结合,建立信息系统综合防护体系,提供整改方案,指导(略),以达到(略)。 |
|||
5 |
测评实施过程及结果输出 |
实施过程:实施过程:依据《网络安全技术信息系统安全等级保护基本要求GB/T22239(略)、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面,按照网络安全保护等级的基本要求进行测评。 结果输出:《网络安全等级保护测评报告》及提出具有针对性的整改方案。 |
总价合计:
总价大写:
报价人代表签名: (略)
注:(略)
2、大写金额与小写金额不一致的,以大写金额为准。
关于 2024年**市农业农村局**市农业大脑(**市数字农业试点建设项目)信息系统三级等保测评及应急演练技术服务项目询价公告(2024).docx