一、招标项目名称及编号:综合业务信息系统项目 JSSXFS2020-0316-03
二、项目概况
为了提升江苏省血吸虫病防治研究所综合业务信息系统的安全保护能力,加强信息安全管理,根据《信息安全等级保护管理办法》、《网络安全等级保护基本要求》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等法规和标准的要求,需对“江苏省血吸虫病防治研究所综合业务信息系统”按安全等级第二级的相应指标进行测评。
通过风险评估、安全扫描和渗透测试等测评手段,准确反映江苏省血吸虫病防治研究所待测信息系统的安全防护能力现状,对发现的问题进行深入分析,提出安全整改建议,指导完成安全技术与管理的整改,最终出具信息系统等级保护测评报告、整改报告建议及全套安全管理制度。
三、项目主要内容
1系统描述
本次参与安全保护等级测评的信息系统如下:
|
序号 |
品 名 |
单位 |
数量 |
等级 |
预算 |
|
1 |
江苏省血吸虫病防治研究所综合业务信息系统 |
1个 |
1 |
二级 |
5.5万元 |
2依据标准
投标人应依据国家等级保护相关标准开展工作。
GB/T 22239-2019信息安全技术 网络安全等级保护基本要求
GB/T 22240-2018 信息安全技术 网络安全等级保护定级指南
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南
3测评内容
根据国家等级保护相关标准,投标人对江苏省血吸虫病防治研究所信息系统安全等级保护二级测评的内容包括:
|
序号 |
测评内容 |
|
1 |
技术测评 |
(1)安全物理环境:通过访谈、文档审查和实地察看的方式测评信息系统的物理安全情况。
(2)安全通信网络:通过访谈、配置检查和工具测试的方式测评信息系统的网络通信安全保障情况。
(3)安全区域边界:通过访谈、配置检查和工具测试的方式测评信息系统的网络区域边界安全保障情况。
(4)安全计算环境:通过访谈、配置检查和工具测试的方式测评信息系统的网络设备、安全设备、服务器、数据库、应用系统及数据安全方面的安全保障情况。 |
|
2 |
管理测评 |
(1)安全管理制度测评(管理制度、制定和发布、评审和修订);
(2)安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和合作、审核和检查);
(3)人员安全管理测评(人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理);
(4)系统建设管理测评(系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统交付、安全服务商选择);
(5)系统运维管理测评(环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理)。 |
|
3 |
整改加固指导服务 |
根据测评结果和风险分析结果,提供技术整改加固指导服务,其内容包含物理安全、网络安全、主机安全、应用安全、工具扫描和数据安全及备份恢复。 |
|
4 |
项目成果 |
文档资料:工具扫描报告、系统风险分析、等级测评报告、系统整改加固建议书、全套江苏省血吸虫病防治研究所信息系统安全管理制度等。 |
4测评应该满足的原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
5本次等级测评的整体要求
(1)投标人应详细提供本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2)投标文件应提供测评人员的组成、资质及各自职责的划分的材料。投标人应配置有经验的测评人员进行本次等级保护测评工作。
(3)在项目现场实施周期内,投标人须为本项目成立等级保护测评小组,安排包括项目经理和核心技术人员等人员的驻场服务;驻场人员未经采购方同意项目实施途中不得随意更换;项目组成人员资历情况;项目小组成员不少于8人,需在90个工作日内完成测评工作(不含招标方整改工作时间)。
(4)本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在测评中使用。在投标文件中应详细说明所使用的安全测评工具(软硬件型号、功能和性能)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
(5)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标人推荐,经招标人确认后由投标人提供并在测评中使用。
(6)安全测评需要的运行环境(如场地、网络环境等)由招标人提供,投标人应详细说明需要的运行环境的具体要求。
6安全测评报告和制度
(1)中标人应对招标人的各个信息系统进行等级保护测评,形成相应的报告;
(2)中标人在测评后出具符合无锡市公安局要求格式的系统安全等级测评报告;
(3)中标人在测评的基础上,完成江苏省血吸虫病防治研究所全套的安全管理制度。
四、投标人资格要求
1投标人应具有独立法人资格,具备有效的企业法人营业执照、税务登记证和组织机构代码(或标注统一社会信用代码的营业执照)。
2投标人出具有效的法人授权委托书。
3本项目不接受联合体投标。
五、投标注意事项:
1 符合投标条件单位、拟参加投标的单位必须在2020年03月24日前到江苏省血吸虫病防治研究所(招标人)全面熟悉招标人需求情况,以便合理优惠的进行投标报价和响应服务承诺。
2 投标人须按要求完成投标文件。
3 投标文件送达时间:2020年03月24日16:30时截止。
4 投标文件送达地点:江苏省血吸虫病防治研究所(梅园杨巷117号)行政楼一楼行政科。
联系人:杨女士 电话:0510-68781026 传真:0510-85510263
