当前位置:
一、项目编号:****
二、项目名称:信息系统安全等级保护测评及密码应用安全性评估服务项目
三、采购结果
合同包1(信息系统安全等级保护测评):
| 供应商名称 | 供应商地址 | 评审方法 | 是否价格扣除 | 中标(成交)金额 | 评审总得分 |
|---|---|---|---|---|---|
| 陕西省网络与信息安全测评中心 | 陕西省西安市**** | 综合评分法 | 否 | 380,000.00元 | 86.00 |
合同包2(信息系统密码应用安全性评估服务):
| 供应商名称 | 供应商地址 | 评审方法 | 是否价格扣除 | 中标(成交)金额 | 评审总得分 |
|---|---|---|---|---|---|
| 成都市信息系统与软件评测中心 | 成都市**** | 综合评分法 | 否 | 385,000.00元 | 84.10 |
四、主要标的信息
合同包1(信息系统安全等级保护测评):
服务类(陕西省网络与信息安全测评中心)
| 品目号 | 品目名称 | 采购标的 | 服务范围 | 服务要求 | 服务时间 | 服务标准 | 金额(元) |
|---|---|---|---|---|---|---|---|
| 1-1 | 其他信息技术服务 | 点击登录查看信息系统安全等级保护测评 | 对陕西省特种设备智慧监管平台(三级)、数智市监大数据支撑体系建设项目(三级)、计量业务综合管理信息平台(三级)、陕西省小个专党建综合服务管理平台(三级)、点击登录查看智慧云中心(统一门户)(三级)、食品安全抽样检验数据统计分析系统陕西二级站(二级)、全国12315平台(陕西受理端)(二级)、市场监管行政执法办案系统(二级)等8个信息系统开展等级保护测评服务工作 | 测评服务要求: 依据《基本要求》(GB/T 22239-2019)、《测评要求》(GB/T 28448-2019)和《测评过程指南》(GB/T 28449-2018)等国家关于网络安全等级保护2.0的相关标准和规范要求,通过静态分析、渗透测试、综合评估等程序对采购人信息系统的安全保护状况进行测评,找出其与《网络安全等级保护基本要求》对应级别的差距,及时发现系统存在的安全问题,针对等保测评中发现的各种安全风险,提出适宜的安全整改建议,提供整改技术支持。 等级测评分安全技术及安全管理两大方面共十个层面的单元测评,以及在此基础上进行的系统整体测评和后续的风险分析。 (1)单元测评: 1)物理环境测评:包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。 2)网络系统测评:包括网络架构、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。 3)主机与数据库测评:包括主机与数据库身份鉴别、主机与数据库访问控制、主机与数据库安全审计、主机与数据库入侵防范、主机恶意代码防范、信息资源安全、资源控制等内容。 4)应用系统测评:包括应用系统身份鉴别、应用系统访问控制、应用系统安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。 5)数据及备份恢复测评:包括数据完整性、数据保密性、备份和恢复等内容。 6)安全管理制度测评:包括管理制度、制定和发布、评审和修订等内容。 7)安全管理机构测评:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查、资金保障等内容。 8)人员安全管理测评:包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等内容。 9)系统建设管理测评:包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、供应商选择等内容。 10)系统运维管理测评:包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等内容。 (2)整体测评: 整体测评是对单元测评中发现的问题进行系统整体测评分析,包括从安全控制点间、层面间、区域间和系统结构等方面进行安全测评。 3.2.2渗透测试服务要求: 渗透性测试是通过模拟恶意黑客的攻击方法,来对计算机网络的安全性进行检测评估的过程。对系统和网络进行非破坏性质的攻击性测试,尝试侵入系统,获取系统控制权并将入侵的过程和细节产生报告给采购人,由此证实采购人所存在的安全威胁和风险,及时提示开发人员修复安全漏洞,提醒安全管理员完善安全策略,提升系统安全防护能力。 3.2.3售后服务要求 (1)应急响应及应急处理要求:供应商在测评项目结束后,要提供至少一年的信息安全应急处理保障。一旦被测系统出现紧急重大安全事件,收到采购人的服务请求,测评单位工程师在3 小时内到达采购人现场,提供服务。 (2)安全咨询服务:供应商在测评项目结束后,要提供至少一年的安全咨询服务,包括但不限于安全技术咨询、安全整改建设咨询、管理制度及国家法规等,供应商需提供咨询建议和方案建议。 (3)网络与信息安全信息通报服务要求:供应商需要在测评结束后,提供至少的一年网络信息安全通报服务,要与采购人建立完善的通报和沟通机制,及时按照国家标准提供对应服务。 (4)电话支持服务:每天24小时不间断的电话支持服务,解答采购人在系统运行过程中遇到的安全问题,及时提出解决问题的建议和操作方法。电话响应时间不超过10分钟,到达现场时间不超过3小时,解决问题不超过24小时。 3.2.4 其他要求 (1)供应商须与采购人签订项目合同、保密协议和现场评测授权书、风险预判告知书,核实驻场测评师资质与投标时对本项目配备的测评师是否一致。确因工作调配需更换测评师,需提前10 个工作日向采购人信息部门负责人员书面报备,并供更换测评师资质证明。 (2)供应商需在中标后,协助采购人开展备案资料梳理工作,并协助采购人取得公安部门办理的等级保护备案证。 (3)供应商须提供完善的测评实施方案和计划、测评方案,经采购人审核通过后实施,完成采购人对安全管理制度的补充完善和整理工作,配合对采购人信息系统进行整改测评服务。 (4)供应商须服从采购人业务信息系统的统一协调,且必须在项目实施期间由供应商派驻有丰富实施经验的测评师为项目实施团队,全程参与项目实施,现场检测工时必须符合国家相关标准。 | 自采购人通知入场评测之日起 30 个自然日内出具《信息系统等级保护测评报告》和《整改建议书》,售后服务器3年 | 在项目实施过程中严格按照GB/T22239-2019、GB/T28448-2019、GB/T28449-2018、GB/T36627-2018等标准中规定的评测要求、评测方法等进行项目实施。测评完成后出具《信息安全等级保护测评报告》(每个系统一套)并协助采购人取得未备案系统的《信息系统安全等级保护备案证明》。 | 380,000.00 |
合同包2(信息系统密码应用安全性评估服务):
五、评审专家(单一来源采购人员)名单:
汪晶(采购人代表)、李明昊、魏金桥
六、代理服务收费标准及金额:
| 代理服务收费标准及金额 | 按照采购文件规定 | ||
|---|---|---|---|
| 合同包号 | 合同包名称 | 代理服务费金额(万元) | 收取对象 |
| 1 | 信息系统安全等级保护测评 | 0.6 | 中标(成交)供应商 |
| 2 | 信息系统密码应用安全性评估服务 | 0.6 | 中标(成交)供应商 |
七、公告期限
自本公告发布之日起1个工作日。
八、其他补充事宜
九、凡对本次公告内容提出询问,请按以下方式联系。
1.采购人信息
名称:点击登录查看
地址:西安市****
联系方式:点击登录查看 ****
2.采购代理机构信息名称:点击登录查看
地址:西安市****
联系方式:****转8025
3.项目联系方式项目联系人:张婷 马演 曹婷 王宇轩 蔡丹
电话:****转8025
****
