?
为落实市委网信办、市***网监支队关于执行信息系统安全等级保护测评工作要求,确保“海口农业大脑”(海口市数字农业试点建设项目)信息系统三级等保测评及应急演练技术服务工作顺利完成,为做好“海口市农业大脑”(海口市数字农业试点建设项目)信息系统三级等保测评及应急演练技术服务工作的落实,现将该技术服务项目询价采购事项公告如下:
?? ? ? ? ? ??一、项目名称
????“海口市农业大脑”(海口市数字农业试点建设项目)信息系统三级等保测评及应急演练技术服务。
二、项目背景
依据《信息安全等级保护管理办法》(公通字[(略)](略)号)、《海南省深化信息安全等级保护工作方案》(琼等保办[(略)]3号)和《海南省信息化条例》文件的要求规定和建议,需委托具备资质的等保测评机构,对信息系统进行等级测评,以确保信息系统是否在符合相对应的信息安全等级下运行。招标人将依照海口市农业农村局信息系统开展信息系统三级等保测评及应急演练技术服务工作,通过本次招标聘请具备相关资质的单位提供测评及相关支持服务。
三、项目内容
通过委托专业信息安全等级测评服务机构,根据网络安全等级保护2.0等相关文件及标准要求,针对正在运行的信息系统实施信息安全等级保护测评,明细如下:
序号 |
信息系统/服务项目 |
级别 |
重要程度 |
1 |
海口市农业大脑 |
三级 |
非常重要 |
2 |
应急预案编制 |
结合海口市农业农村局信息系统的实际情况,分析评估现有的安全管理体系,包括安全制度执行审核、安全事件的响应处理、安全维护工作的组织管理、项目建设的安全审核等,分析存在的安全管理缺陷。评估重点针对各个安全事件场景的应急管理工作,编制《信息安全事件应急预案》,并对信息系统相关人员进行应急预案、应急技巧及对典型的信息安全事件进行预防等方面的培训。 |
3 |
应急演练 |
结合海口市农业农村局信息系统的实际情况,编制《应急演练实施方案》,经用户单位确认后,组织开展海口市农业农村局海口市农业大脑系统的应急演练,应急演练工作流程应包含:(略) |
4 |
整改指导 |
测评结束后,按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,向用户进行报告解读,并将技术措施和管理措施有机结合,建立信息系统综合防护体系,提供整改方案,指导用户进行整改,以达到提高信息系统整体安全保护能力。 |
5 |
测评实施过程及结果输出 |
实施过程:(略)
结果输出:(略) |
?
四、服务实施
(一)服务目标
(1)通过信息安全等级保护测评服务,对本单位运行的信息系统开展符合性测评,衡量信息系统的安全保护管理措施和技术防护措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。找出问题,针对性的制定整改措施,推进信息安全防护体系不断完善。
(2)通过应急预案编制服务,建立健全我局网络安全事件应急工作机制,明确应急相关指挥体系和工作流程,提高对网络安全突发事件的应对能力,减少重大网络安全突发事件造成的损失和危害,保障业务系统运行平稳、安全、有序、高效。
(3)通过开展应急演练服务
1、检验预案,查找应急预案中存在的问题,进而完善应急预案,提高应急预案的实用性和可操作性;
完善准备,通过开展应急演练,检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作。
2、锻炼队伍,通过开展应急演练,增强演练组织单位、参与单位和人员等对应急预案的熟悉程序,加强配合,提高其应急处置能力。
3、磨合机制,通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导。
4、宣传教育,通过开展应急演练,普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识。
(二)测评依据
项目主要依据但不限于以下相关的法规政策、标准及规范:
l?《中华人民共和国网络安全法》(第十二届全国人大常委会(略)年(略)月7日通过,自(略)年6月1日起施行。)
l?《海南省信息化管理条例》(海南省第五届人大常委会(略)年9月(略)日通过,自(略)年(略)月1日起施行。)
l?《计算机信息系统安全保护等级划分准则》(GB (略)-(略))
l?《信息安全技术 网络安全等级保护定级指南》(GB/T (略)-(略))
l?《信息安全技术 网络安全等级保护基本要求》(GB/T (略)-(略))
l?《信息安全技术 网络安全等级保护测评要求》(GB/T (略)-(略))
l?《信息安全技术 网络安全等级保护测评过程指南》(GB/T (略)-(略))
l?《信息技术?安全技术 信息技术安全评估准则》(GB/T (略).2-(略))
l?《信息安全技术?信息安全风险评估规范》(GB/T (略)-(略))
l?《信息安全技术?信息安全风险评估实施指南》(GB/T (略)-(略))
l?《信息安全技术?信息安全风险管理指南》(GB/Z (略)-(略))
l?……
(三)实施团队要求
投标人在投标文件中应提供完整的测评实施团队名单及职责分工,所有人员必须属于投标单位在册员工(以社保缴纳证明为认定依据)。实施测评工作的技术人员必须具备公安部信息安全等级保护评估中心颁发的《信息安全等级测评师证书》或中关村信息安全测评联盟颁发的《网络安全等级测评师证书》。测评实施团队名单中所列人员的社保缴纳证明和测评师证书复印件须在投标文件中提供,并加盖公章。
(四)服务内容
服务期内,投标人须向招标人提供以下服务。
1、等级保护咨询服务
1)等级保护政策/标准咨询
随着国家信息安全等级保护的推进工作,信息安全等级保护政策、法律法规和标准体系也会相应的发布和更新,投标人应针对本项目设立信息安全等级保护咨询平台,明确较为固定的咨询服务人员,并根据咨询要求提供正式的答复资料和文档。咨询内容包括但不限于信息安全等级保护国内外发展动态、等级保护政策、法律法规和标准体系咨询服务。
2)信息系统等级变更咨询
在信息系统出现等级变更时,投标人须协助招标人对信息系统进行分析,明确信息系统边界和定级对象,对信息系统的子系统进行划分,确定信息系统以及子系统的安全等级。
3)等级保护建设整改咨询
按照信息系统安全总体方案要求,投标人须结合信息系统安全建设项目计划,根据信息安全等级保护相关标准和规定,对招标人等级保护建设整改工作提供全面的安全方案的详细设计咨询,结合招标人的实际情况,协助招标人进行分布或分期地落实安全技术与管理措施,并根据预期实现的安全目标,全程提供在建安全设备和系统的测试、验收工作等咨询服务。
4)信息系统安全检查咨询
在招标人开展信息系统安全检查时,全程提供咨询服务,包括检查范围、检查方法、检查结果分析以及整改措施制定等。
5)等级保护测评咨询
测评过程中,投标人应协助用户单位参照《信息系统安全等级保护测评要求》中评估内容和方法,对测评过程中所涉及到的评估项及测评过程中所编制相关表格、填写项提供全程咨询服务,确保测评工作的顺利开展。
2、等级保护测评服务
依据《网络安全等级保护基本要求》,对招标人各信息系统的安全技术体系和安全管理体系等进行合规性检查,出具《网络安全等级保护测评报告》,并提出具有针对性的整改建议。
1)测评内容
(1)对本单位已备案信息系统进行摸底、分析和梳理,提出详细的等保测评方案。
(2)逐一对信息系统进行安全等级保护测评,测评的内容包括但不限于以下内容:
① ?安全技术测评:(略)
② ?安全管理测评:(略)
(3)完成测评工作后,提出整改建议;最后出具符合公安部门要求的信息系统安全保护等级测评报告,并在后期整改实施过程中提供全程咨询服务。
2)测评实施
信息安全测评项目过程需按照《信息系统安全等级保护测评过程指南》开展工作,等级测评过程分为四个基本测评活动:(略)
(1)测评准备活动
测评准备工作包括编制项目启动、信息收集和分析、工具和表单准备。详细要求见下表:
项目内容 |
工作内容 |
成果输出 |
项目启动 |
1.组建测评项目组 |
向用户提交 《项目计划书》 《提供资料清单》 |
2.编制《项目计划书》 |
3.确定招标人应提供的资料 |
信息收集分析 |
定级报告及整改方案分析 |
《系统基本情况分析报告》 |
1.整理调查表单 |
2.发放调查表单给招标人 |
3.协助招标人填写调查表 |
4.收回调查结果 |
5.分析调查结果 |
工具和表单准备 |
1.调试测评工具 |
确定测评工具(测评工具清单) 《现场测评授权书》 《测评结果记录表》 《文档交接单》 |
2.模拟被测系统搭建测评环境 |
3.模拟测评 |
4.准备打印表单 |
?
(2)方案编制活动
方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编制等六项主要任务。详细要求见下表:
工作内容 |
工作详细任务 |
输出成果 |
一、测评对象确认 |
识别被测系统等级
识别被测系统的整体结构
识别被测系统的边界
识别被测系统的网络区域
识别被测系统的重要节点和业务应用
确定测评对象 |
《测评方案》的测评对象部分 |
二、测评指标确定 |
识别被测系统业务信息和系统服务安全保护等级 |
《测评方案》的测评指标部分 |
选择对应等级的ASG三类安全要求作为测评指标 |
就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标 |
三、工具测试点确定 |
确定工具测试的测评对象
选择测试路径
确定测试工具的接入点 |
《测评方案》的测试工具接入点部分 |
四、测试内容确定 |
识别每个测评对象的测评指标 |
《测评方案》的单项测评实施和系统测评实施部分 |
识别每个测评对象对应的每个测试指标的测试方法 |
五、测评指导书开发 |
从已有的测评指导书中选择与测评对象对应的手册 |
《测评方案》的测评实施手册部分 |
针对没有现成测评指导书的测评对象,开发新的测评指导书 |
六、测评方案编制 |
描述测评项目基本情况和工作依据 |
向用户提交 《测评方案》 |
描述被测系统的整体结构、边界和网络区域 |
描述被测系统的重要节点和业务应用 |
描述测评指标 |
描述测评对象 |
描述测评内容和方法 |
?
(3)现场测评活动
现场测评活动通过与测评委托单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项主要任务。详细要求见下表:
工作内容 |
工作详细任务 |
输出 |
1.现场测评准备 |
现场测评授权书签署 |
会议记录、确认的授权委托书、更新后的测评计划和测评方案 |
召开现场测评启动会 |
双方确认测评方案 |
双方确认配合人员、环境等资源 |
确认信息系统已经备份 |
测评方案、结构记录表格等资料更新 |
2.现场测评和结构记录 |
依据测评指导书实施测评 |
访谈结果:(略) |
记录测评获取的证据、资料等信息 |
汇总测评记录,如果需要,实施补充测评 |
3.结果确认和资料归还 |
召开现场测评结束会 |
测评委托单位确认测评过程中获取的证据和资料的正确性,并签字认可 |
测评人员归还借阅的各种资料 |
?
(4)报告分析及编制活动
在现场测评工作结束后,应对现场测评获得的测评结果(或称测评证据)进行汇总分析,形成等级测评结论,并编制测评报告。
测评人员在初步判定单元测评结果后,还需进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成等级测评结论。分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制六项主要任务。详细要求见下表:
工作内容 |
工作详细任务 |
工作依据(模版) |
1.单项测评结果判定 |
分析测评项所对抗威胁的存在情况 |
等级测评报告的单项测评结果部分 |
分析单个测评项是否有多方面的要求内容,依据“优势证据”法选择优势证据,并将优势证据与预期测评结果相比较 |
综合判定单个测评项的测评结果 |
2.单元测评结果判定 |
汇总每个测评对象在每个测评单元的单项测评结果 |
等级测评报告的单项测评结果汇总分析部分 |
判定每个测评对象的单元测评结果 |
3.整体测评 |
分析不符合和部分符合的测评项与其他测评项(包括单元内、层面间、区域间)之间的关联关系及对结果的影响情况 |
等级测评报告的系统整体测评分析部分 |
分析被测系统整体结构的安全性对结果的影响情况 |
4.风险分析 |
整体测评后的单项测评结果再次汇总 |
等级测评报告的风险分析部分 |
分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性 |
分析威胁利用安全问题后造成的影响程度 |
为被测系统面临的风险进行赋值 |
评价风险分析结果 |
5.等级测评结论形成 |
统计再次汇总后的单项测评结果为部分符合和不符合项的项数 |
等级测评报告的等级测评结论部分 |
形成等级测评结论 |
6.测评报告编制 |
概述测评项目情况 |
等级测评报告 提交用户 |
描述被测系统情况 |
描述测评范围和方法 |
描述整体测评情况 |
汇总测评结果 |
描述风险情况 |
给出等级测评结论和整改建议 |
3、应急预案编制服务
(一)预案修编调研
安全管理制度调研:(略)
信息安全现状调研:(略)
应急安全管理流程调研:(略)
①网站遭受DDOS攻击;
②网站页面被篡改或挂马;
③网站SQL注入攻击;
④网站XSS跨站攻击;
⑤信息设备故障处理。
(二)预案修编工作
在预案修编调研基础上,针对目前的应急总预案和各单项应急预案进行编制,确保符合最新的安全情况。
4、应急演练服务
(一)演练沟通会。(确定演练时间、地点、人员)
通过双方召开的演练沟通会,确定本次演练相关人员:
角色 |
姓名 |
电话 |
备注 |
实时监测人员 |
|
|
|
应急保障人员 |
|
|
|
管理协调人员 |
|
|
|
系统维护人员 |
|
|
|
应急管理人员 |
|
|
|
上级协调人员 |
|
|
|
同一工作人员可担任多个角色,同一角色亦可由多人担任。
演练地点:(略)
演练时间:(略)
(二)确定需要备份的系统
由于本次演练环境为专门搭建,不存在需要备份的系统。
(三)确定其它影响
由于本次演练环境为专门搭建,不会对其它任何系统造成影响。
(四)演练环境搭建
演练可以包括环境演练或实际环境演练。 根据演练的要求搭建环境,并自行提供相关设备。如果在时机环境中演练,我方会在实际环境中完成相关演练的准备工作。
(五)演练脚本编写
将从为招标人规定的场景修编应急预案中,根据场景编写演练脚本,搭建演练环境并进行演练工作。
演练脚本:(略)
步骤 |
演练脚本内容(示例) |
一
(略)
1 |
模拟网站服务器遭受攻击:
(a)、假定Internet主机xxx.xxx.xxx.xxx对网站服务进行攻击(端口扫描、DoS、洪流等)。
(b)、假定Internet多个地址对该网站服务进行攻击。 |
2 |
事件报告:
网管人员通过用户报告或监控发现对该网站的攻击行为,马上报告南网公司信息安全联络员。 |
3 |
应急处理:
立即保存网络设备、安全设备、主机设备的系统日志记录;
安全审计及事故分析;
通过分析IDS日志、防火墙日志、路由器日志、链路优化器日志等,如:(略)
根据攻击特征,调整防火墙、IDS、流量控制系统、主机安全策略,过滤攻击源地址;
及时修补系统被利用的弱点或缺陷;
重新对目标网站主机进行部署;
在相关部门的协助下,尽快恢复系统正常运行;
将此事件情况通知上级部门,提示注意类似的技术隐患;
损失评估;
责任确定;
事件归档;
流程和预案的修订。 |
4 |
测试安全措施是否生效:
对处置结果进行检验,确认信息已删除。 |
5 |
备份现场证据:
备份系统日志等。 |
6 |
网络恢复:
攻击事件消除,删除之前做的临时调整,测试可用性。 |
(六)应急响应演练
在演练环境中,按照脚本执行应急操作。
(七)演练收场工作
移除演练环境,测试网络是否正常;
总结演练成果。
(五)服务要求
1、等级保护测评服务
按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告,报告中必须明确相应信息系统是否满足等级保护要求。
2、应急预案编制
投标人需根据招标单位现状及调研结果,应针对性的提出应急预案。应急预案应具有可操作性,符合招标人实际情况,且能够切实解决问题。
3、应急演练
应急演练活动需确保不因演练影响信息系统稳定运行,具体演练科目与采购人商议确定。
应急演练工作流程如下:(略)
4、交付成果和报告
中标方需在(略)天内交付成果和报告,包括(但不限于以下内容):
《海口市农业大脑等级测评报告》
《海口市农业大脑等级保护安全整改建议方案》
《海口市农业大脑网络安全应急预案制度》
《海口市农业大脑应急演练实施方案》
《海口市农业大脑网络安全事件应急演练总结评估报告》
提供测评过程相关文件,包括调研表、技术测评记录、会议纪要等
4、服务验收标准
服务通过验收须满足以下所有条件:
l?完成信息系统测评,并出具《测评报告》;
l?针对性的制定整改方案,并出具《整改建议方案》;
l?制定适用于本单位的《网络安全应急预案制度》;
l?提交适用于本单位的《应急演练实施方案》;
l?演练完成后提交《网络安全事件应急演练总结评估报告》;
l?提交调研表、技术测评记录、会议纪要等服务过程材料;
l?符合省级以上公安部门提出的信息安全等级保护测评相关要求。
五、售后服务及其它要求
投标人必须提供详细的技术支持和服务方案,技术支持和服务方案包括(但不限于):
(1)如在测评中出现不符合项,中标人需要提供相应的整改建议及相关方案。对于测评中发现的主机和网络设备漏洞,投标方应提供项目验收后一年的跟踪服务,对本次评估范围内的问题提供远程技术咨询,对于漏洞的修补、问题的排除给出建议和指导,自项目验收通过之日起计算。
(2)提供及时有效的售后服务,中标人在本地有服务机构或承诺如果中标则在海南省设置有不少2名技术人员的售后服务技术支持团队,并承诺提供的售后保障计划应包含7*(略)小时的技术支持服务,重大活动期间提供现场的技术支持服务,针对突发应急事件提供4小时内到现场处置的服务响应保障,问题解决后(略)小时内,提交问题处理报告,说明问题种类、问题原因、问题解决中使用的方法及造成的损失等情况。提供承诺函。
六、预算及付款方式
(一)项目预算金额控制在(略)万元以下(超出预算控制价的报价为无效报价)
(二)中标后按合同约定具体方式付款。
七、投标资格要求
(一)具有独立承担民事责任的能力,持有有效的营业执照、税务登记证、组织机构代码证(或三证合一);
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书
(四)法定代表人或单位负责人为同一人或者存在直接控股、管理关系的不同投标单位,不得同时参加本项目的投标。(提供承诺函)
(五)、供应商必须对本项目内所有的内容进行响应,不允许只对其中部分内容进行响应,否则视为无效报价;
(六)、本项目不接受联合体投标。
八、报名所需提供材料及要求
(一)报名单位营业执照、税务登记证、组织机构代码证(三证合一的提供营业执照)、被授权人身份证等复印件;
(二)提供(略)年至今任意一个月或一个季度的财务报表及(略)年至今任意一个月的纳税及社保凭证
(三)公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书
(四)单位简介、相关资质、相关工作业绩材料;
(五)本项目工作实施方案;
(六)单位详细报价函。
(七)其他需要补充说明的材料。
参加询价单位应对所提交的资料真实性负责,且必须准确、详细、清晰可以辨认,其资质不得使用其他法人单位资料,若未按要求提交资料或所提交的资料弄虚作假,将取消报名资格。
注:(略)
九、投标、开标时间和地点
(一)材料递交截止时间:(略)
(二)投递地点:(略)
(三)开标时间暂定(略)年5月9日上午(略):(略)
??(四)联系人:(略)
十、评定规则
(一)完成工作目标任务响应原则;
(二)具备的资质及业绩审查;
(三)报价择低原则。综合评定按得分高低确定中标候选人序位。
十一、验收方式
采购人委托第三方机构或业务单位对服务项目进行跟踪审计或现场验收,成交供应商须无条件全程配合跟踪审计单位或验收单位执行服务项目全过程跟踪审计或现场验收,按要求提交所需跟踪审计或验收资料和文件。跟踪审计服务费用由采购人另行支付。
十二、其他
(一)本项目不统一组织踏勘现场,供应商自行安排现场踏勘,供应商递交的谈判响应文件,视为已充分考虑了项目实际情况、技术标准及要求、工期、交付场地等特点和相关风险。
(二)合同履约过程中,根据项目实际情况需对检测的内容、数量或相关技术和服务要求进行调整或变更的,由采购人和成交供应商进行协商,具体内容在合同条款中进行约定。
??
? ???????????????????????? ? ? ? ? ? ? ?海口市农业农村局
????????? ???????????????? ? ? ? ? ? ? ? (略)年4月(略)日
报价一览表
?
项目名称:(略)
交货时间:(略)
报价人名称:(略)
单位:(略)
序号 |
信息系统/服务项目 |
级别 |
重要程度 |
单价 |
1 |
海口市农业大脑测评 |
三级 |
非常重要 |
|
2 |
应急预案编制 |
结合海口市农业农村局信息系统的实际情况,分析评估现有的安全管理体系,包括安全制度执行审核、安全事件的响应处理、安全维护工作的组织管理、项目建设的安全审核等,分析存在的安全管理缺陷。评估重点针对各个安全事件场景的应急管理工作,编制《信息安全事件应急预案》,并对信息系统相关人员进行应急预案、应急技巧及对典型的信息安全事件进行预防等方面的培训。 |
|
3 |
应急演练 |
结合海口市农业农村局信息系统的实际情况,提交《网络安全应急预案制度》和《应急演练实施方案》,经用户单位确认后,组织开展海口市农业农村局海口市农业大脑系统的应急演练,应急演练工作流程应包含:(略) |
|
4 |
整改指导 |
测评结束后,按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,向用户进行报告解读,并将技术措施和管理措施有机结合,建立信息系统综合防护体系,提供整改方案,指导用户进行整改,以达到提高信息系统整体安全保护能力。 |
|
5 |
测评实施过程及结果输出 |
实施过程:(略)
结果输出:(略) |
?
总价合计:(略)
?
总价大写:(略)
?
报价人代表签名:(略)
?
注:(略)
2、大写金额与小写金额不一致的,以大写金额为准。