项目内容: 四川汇合源招投标代理有限公司受四川省财政信息中心的委托,就“四川省财政厅信息系统安全等级保护定级备案、等级保护测评及风险评估服务采购项目”项目(项目编号:HHYZ2018002)组织采购,评标工作已经结束,中标结果如下: 一、项目信息项目编号:HHYZ2018002项目名称:四川省财政厅信息系统安全等级保护定级备案、等级保护测评及风险评估服务采购项目项目联系人:黄力皋联系方式:028-85256537 二、采购单位信息采购单位名称:四川省财政信息中心采购单位地址:成都市锦江区南新街16号 采购单位联系方式:魏老师;028-86663480 三、项目用途、简要技术要求及合同履行日期:一、项目概述为保障四川省财政厅信息系统安全、稳定、可靠、高效的运行,按照《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等制度要求和“信息安全等级保护三级系统应当每年至少进行一次等级测评、省级政务云新迁移系统必须进行等级保护测评”等工作原则,四川省财政厅将对12套等保三级信息系统实施信息安全等级保护三级测评,在等保二级信息系统中抽取12套系统进行信息安全等级保护二级测评,对17套未进行等级保护定级备案的系统实施等级保护定级备案。测评内容包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等层面。通过测评,对照安全等级保护要求进行差距分析,排查系统安全漏洞和隐患,分析安全风险,制订整改措施,出具测评报告,并按照公安部等级保护相关要求调整保护等级,增删系统数量,完成信息系统等级保护定级备案。项目具体实施内容包括:(一)按照国家相关标准要求对四川省财政厅重要信息系统的定级提供技术指导意见,并协助四川省财政厅完成在四川省公安厅的信息系统等级保护定级备案工作。(二)对四川省财政厅被测信息系统的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等层面通过访谈、检查、评测等方法进行初测评,排查安全漏洞和风险隐患,分析问题原因,制订并提交整改方案。(三)按照《GB/T22240-2008 信息系统安全等级保护定级指南》、《GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求》等标准,结合初测评整改方案,配合四川省财政厅完成被测信息系统技术方面的安全修复、系统加固等工作。(四)对四川省财政厅经过整改后的信息系统进行复测,并正式形成《信息系统安全等级保护测评报告》。(五)定期对四川省财政厅信息化整体建设情况进行信息安全风险评估,出具《信息安全风险评估报告》。(六)提供网络安全整改、突发性网络安全事件的咨询服务和技术支持,通过修补漏洞、升级补丁、完善管理、配置策略库、优化配置参数等方式,配合四川省财政厅对网络、系统、数据库、管理策略进行安全控制。(七)参与对市(州)、县(市、区)财政信息系统等级保护工作的现场调研和技术指导,提供远程渗透测试服务,帮助市(州)、县(市、区)财政提出整改方案。(八)依据公安部门等级保护相关标准要求,按照四川省财政厅需求,调整定级系统等级,增删定级系统数量,完成未定级系统的等级保护定级备案工作。本次服务期限共计三年(2018年度—2020年度),合同每年一签。在每年合同期满后,采购方对中标方的履约情况进行考核,若考核不合格采购方有权终止本项目合同。 本项目核心产品为:(一)四川省财政厅信息系统安全等级保护测评服务;(二)四川省财政厅信息系统安全等级保护定级备案服务;(三)四川省财政厅信息安全风险评估服务;(四)四川省财政厅信息安全技术、管理咨询支持服务;(五)四川省财政厅信息安全应急响应服务。二、采购项目的技术需求(一)测评内容对12套等保三级信息系统实施信息安全等级保护三级测评,在等保二级信息系统中抽取12套系统进行信息安全等级保护二级测评。测评内容包括信息系统技术安全性检测和信息系统管理安全检查等。1.信息系统技术安全性检测包括但不限于:物理安全、网络安全、主机安全、应用安全、数据安全。2.信息系统管理安全检查包括但不限于:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。3.安全漏洞扫描包括但不限于:应用系统漏洞扫描、应用服务器漏洞扫描、数据库服务器漏洞扫描。(二)测评技术要求1.信息系统技术安全性检测服务(1)物理安全检测物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防震、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十一个单元。(2)网络安全测评网路安全测评应当包含:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。(3)主机安全测评主机安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。(4)应用安全测评应用安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖性、软件容错性、资源控制。(5)数据安全及备份恢复测评数据安全及备份恢复测评应当包含:数据完整性、数据保密性、数据可用性备份和恢复。2.信息系统安全管理检查服务(1)安全管理制度测评安全管理制度测评应当包含:管理制度、制定与发布、审批和修订。(2)安全管理机构测评安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。(3)人员安全管理测评人员安全管理测评应当包含:人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。(4)系统建设管理测评系统建设管理测评应当包含:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全服务商选择。(5)系统运维管理测评系统运维管理测评应当包含:环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。3.风险分析和评价服务依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》,采用风险分析方法分析信息系统测评结果中存在的安全问题可能对信息系统安全造成的影响,并列出发现的安全问题、问题风险分析及评价情况。4.安全漏洞扫描服务安全漏洞扫描应当依据GB/T 18336-2015《信息技术 安全技术 信息技术安全性评估准则》、GB/T 20274-2008《信息安全技术 信息系统安全保障评估框架》对四川省财政厅被测信息系统的安全漏洞、应用服务器的安全漏洞、数据库的安全漏洞三个内容进行测评。5.整改加固服务按照《GB/T22240-2008 信息系统安全等级保护定级指南》、《GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求》等标准,结合初测评整改意见,配合四川省财政厅完成被测信息系统技术方面的安全修复、系统加固等工作。6.根据测评结果,按照国家信息安全等级保护的相关要求,根据四川省财政厅信息系统实际情况,提供信息系统的优化、整改方案,并协助四川省财政厅进行整改。7.信息安全风险评估服务(1)基本情况调研对四川省财政厅信息化整体建设情况进行基础情况调研,获取系统所属软硬件资产情况,确定系统的测评范围,测评对象的选取和所需配合,并根据《信息安全风险评估规范》对资产进行风险赋值,形成《资产类型与赋值表》、《威胁赋值表》等文档。(2)软硬件资产全面梳理、资产重要性与风险赋值对四川省财政厅信息化整体建设情况所涉及软硬件资产进行全面梳理,梳理系统软硬件关联关系,形成《软硬件资产台账》、《软硬件设备关系对应表》。(3)物理安全评估对四川省财政厅信息系统的物理环境进行测评,形成《物理安全测评记录》。(4)网络安全评估对四川省财政厅信息系统的承载网络进行测评,从网络整体结构、访问控制、网络边界完整性(包括外部和内部边界)及网络设备本身等方面对系统网络进行测评,形成《网络安全测评记录》。(5)主机安全评估对四川省财政厅信息系统所涉及主机的操作系统、数据库系统、应用中间件系统进行测评,形成《主机安全测评记录》。(6)应用安全评估对四川省财政厅信息系统的应用系统安全进行测评,形成《应用安全测评记录》。(7)数据安全与备份恢复评估对四川省财政厅信息系统的数据安全与数据备份恢复进行测评,形成《数据安全与备份恢复测评记录》。(8)安全管理评估针对四川省财政厅信息系统安全的管理制度体系及运作进行测评,包括对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大类测评形成《安全管理测评记录》。(9)系统总体风险分析根据获取的四川省财政厅信息化整体建设软硬件资产和分项测评中发现的风险情况,根据风险评估相关标准和规范进行总体分析,形成《系统信息安全风险评估报告》。(10)信息安全整改建议与四川省财政厅和各系统承建方、运维方沟通协调,根据四川省财政厅信息化整体建设现有问题和风险情况,结合系统未来的发展建设规划,提出切实可行的整改建议,形成《信息安全整改建议报告》。8.安全管理和安全技术咨询支持服务为四川省财政厅信息化提供安全管理咨询和安全技术咨询服务,通过修补漏洞、完善管理、配置策略库等方式,对四川省财政厅网络、系统、数据库、管理策略进行安全控制,并有针对性地对现有安全产品的配置进行优化,提交网络安全整改方案。(1)安全管理咨询应包括但不限于:安全管理机构组织架构(岗位设置、人员配备、授权审核等)、管理制度完善与合理性(制度发布、评审修订等),人员安全(人员录用、考核、离岗、培训教育等)、安全建设(定级备案、方案设计、外包管理、测试验收等)、安全运维管理(环境、监控、资产、介质、变更、应急等)等体制评估分析。(2)安全技术咨询应包括但不限于:物理层(位置、防潮防火、防雷防静电等)、网络层(网络架构、边界安全、通信安全、策略安全等)、系统层(补丁、口令、策略、服务、审计、日志、身份鉴别等)、应用层(补丁、口令、策略、审计等)、数据层(备份、安全、补丁、策略、身份鉴别等)等安全风险评估分析。(3)参与四川省财政厅对市(州)、县(市、区)财政信息系统等级保护工作的现场调研和技术指导,提供远程渗透测试服务,帮助市(州)、县(市、区)财政提出整改方案。(三)定级备案服务依据公安部门信息安全等级保护相关标准要求,按照四川省财政厅需求,对四川省财政厅重要信息系统的定级提供技术指导意见,调整定级系统等级,增删定级系统数量,完成重要信息系统在公安部门的信息安全等级保护定级备案。(四)项目实施和保障要求1.项目进度要求本项目实施要求同步实施、重点先行、阶段性成果展现相结合。具体实施进度要求如下:本次信息系统安全测评服务工作分为:定级备案、测评准备、方案编制、现场测评、问题整改、回归测评、报告编制等几个阶段。(1)第一阶段:组建项目组,制定信息安全等级保护测评项目计划书、测评实施方案以及人员安全培训计划,并提交四川省财政厅审核。(2)第二阶段:进行现场测评,同时对四川省财政厅信息安全相关人员进行安全技术培训。初次测评完成后,提交初评的整改意见报告。(3)第三阶段:协助四川省财政厅针对测评过程中发现的安全问题进行系统整改加固工作,并进行整改后的回归测评。(4)第四阶段:整理测评结果,向四川省财政厅提交被测信息系统安全等级保护测评报告、定级备案证书、信息安全风险评估报告以及相应文档。2.项目实施要求依据国家各项相关标准法规和四川省财政厅现有的规范、制度,结合项目实际需要,对项目工作中的定级、备案、测评(包括测评范围、测评方法等)、整改(包括整改方法、范围等)过程中,所需的产品、技术、制度、流程、建设要求和实施规范等方面,提供咨询、测评、整改建议以及整个建设过程的监督和管理等服务。所提供的整体方案需包括技术方案和实施方案。技术方案包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,对系统进行详细的测评,发现系统不足,明确安全风险隐患和差距,提出整改意见,配合四川省财政厅信息安全管理人员进行整改;实施方案包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。服务提供商负责提供的服务内容至少应包括,但不限于以下各项:(1)服务提供商在信息安全等级保护测评和风险评估前应制定详细的技术方案,包括测评项目计划书、测评实施方案以及人员安全培训计划等,并提交四川省财政厅审核。(2)信息安全等级保护测评包括但不限于以下对象:网络结构、网络服务、主机系统、存储备份系统、数据库、中间件、应用系统、数据安全、安全系统、系统安全策略等。(3)服务提供商应描述测评服务的技术方案内容,包括准备工作、技术措施、人员安排、时间进度、可能对系统造成的影响等。(4)安全测评工作应尽量选择在非业务繁忙时段进行,将对被测系统可能带来的影响减至最小。(5)测评完后,协助四川省财政厅整理备案材料和进行安全主管部门备案工作。(6)服务提供商应书面承诺能够积极与四川省财政厅协作,共同完成本项目的测评工作,项目实施过程中出现问题不得互相推诿,双方应主动进行沟通,并及时解决问题,确保项目顺利实施。3.项目管理要求对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,服务提供商必须提供完整的项目管理方案,项目的方案设计与具体实施应满足以下原则:(1)最小影响原则:服务提供商在工作开展时应尽可能小的影响系统和网络的正常运行,不能对网络的运行和业务的正常运行产生显著影响(包括系统性能明显下降、网络拥塞、服务中断)。(2)标准性原则:服务提供商服务方案的设计与实施应依据国家相关标准进行,包括但不限于《GB/T 20984-2007信息安全技术 信息安全风险评估规范》,符合《信息安全等级保护管理办法(公通字﹝2007﹞43号)》、《计算机信息系统安全保护等级划分准则(GB 17859-1999)》、《信息系统安全等级保护基本要求(GB/T 22239-2008)》、《信息系统安全等级保护实施指南(GB/T 25058-2010)》、《信息安全技术 信息安全风险评估规范(GB/T 20984-2007)》等国家标准。(3)规范性原则:服务提供商在工作中的过程和文档,应具有较好的规范性,便于项目的跟踪和控制。(4)可控性原则:测评方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表安排实施,保证四川省财政厅对于服务工作的可控性。(5)整体性原则:评估内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。(6)保密原则:服务提供商对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则四川省财政厅有权追究服务提供商的责任。服务提供商需根据上述要求,提供项目详细的项目管理方案,并予以详细解释。4.服务保障与承诺(1)服务提供商应严格按照测评人员执业守则,按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评,在保证质量、安全的前提下,确保在项目规定的期限内按期完成。(2)服务提供商应协助、配合四川省财政厅与上级监管部门、公安机关的沟通协调。在测评过程中和测评完成后,协助、配合四川省财政厅进行相关的信息系统安全整改,确保已定级系统达到等级保护的相关要求,并通过上级监管部门和公安机关的审核验收。(3)服务提供商应在项目期内向采购方提供7*24小时电话咨询服务,按采购方通知要求提供2小时内上门服务。跟踪信息安全等级保护的最新发展情况,及时告之采购方,提供相应解决方案及建议,协助其持续符合信息系统信息安全等级保护工作的要求。(4)服务提供商应在项目实施过程中,对采购方相关人员进行安全方面的技术培训,明确项目实施的思路、方案、技术路线,提升技术人员的安全意识,可以独立的对信息安全等级保护的国家安全政策和法规进行把握,了解测评整改手段,掌握测评整改方法。(5)服务提供商应在项目开始前,与采购方签订保密协议,严格遵守法律法规,对采购方商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密,未经四川省财政厅同意,严禁将上述内容与任何第三方透露或用于其他商业用途,并承担由此产生的一切损失。5.项目实施团队要求要求针对本项目的项目实施团队至少由10名成员构成,必须包括项目负责人、测试分析工程师、测试设计工程师、测试程序员、测试执行工程师、测试系统管理员、配置管理员等角色。在项目的实施过程中,服务提供商根据项目所处的阶段,配置各阶段的驻场人员和参与人员数量。 三、服务要求(一)提供相关的信息安全培训。(二)提供测评相关仪器设备3年期的共享服务。(三)提供7×24小时电话咨询服务,2小时内上门服务。四、履约时间,付款方式履约地点:成都市锦江区南新街37号四川省财政厅。履约时间:2018年度至2020年度。付款方式:按合同约定1.按年度支付费用;2.合同生效后30个工作日内,甲方支付合同总价的70%给中标方,通过公安机关的定级备案并测评的所有项目通过验收后,甲方支付合同总价的30%给中标方。投标报价:投标人以单年度合同费用进行报价和评分(项目总价=单年度合同费用×3)。注意:1、若技术要求中指定或变相指定品牌、型号、产地等均不作为招标文件要求。 四、采购代理机构信息采购代理机构全称:四川汇合源招投标代理有限公司采购代理机构地址:成都市高新区天府二街138号1期2号楼1103号 采购代理机构联系方式:黄力皋;028-85256537 五、中标信息招标公告日期:2018年04月09日中标日期:2018年04月03日总中标金额:49.0 万元(人民币)中标供应商名称、联系地址及中标金额: 序号 中标供应商名称 中标供应商联系地址 中标金额(万元) 1 四川省电子产品监督检验所 成都市龙泉驿区文明东街 49.000000 本项目招标代理费总金额:0.75 万元(人民币)本项目招标代理费收费标准:按照采购预算的1.5%收取。 评审专家名单:晏星;高正平;尚利;李家贵;周勇 中标标的名称、规格型号、数量、单价、服务要求:详见附件。 六、其它补充事宜
发布时间:2018-04-03
投标开始时间:
投标截止时间:
开标日期:
项目名称:四川省财政信息中心四川省财政厅信息系统安全等级保护定级备案、等级保护测评及风险评估服务项目
项目分类:招标结果-中标
招标单位:四川省财政厅
招标单位联系人:
招标单位联系电话:
代理机构:四川汇合源招投标代理有限公司
代理机构联系人:
代理机构联系电话:
项目编号:HHYZ2018002)
资金来源:
投资额:0
招标预算:0
中标单位:四川省电子产品监督检验所
中标金额 :0
中标联合单位:
省份:四川省
地市:四川省
区县:
行业分类:信息技术
行业细分:系统集成,软件开发
参与投标厂商:
评标办法:
网站名称:中国政府采购网
原文链接:http://www.ccgp.gov.cn/cggg/dfgg/zbgg/201804/t20180403_9739545.htm
网站域名:ccgp.gov.cn
转载请注明原文地址:https://www.youmifa.com/read-5020.html