为进一步落实《网络安全法》及国家信息安全主管部门有关要求, (略) 络安全风险应 (略) 络安全防护水平, (略) 场监管局电子监管系统安全运行,开展2024-2025年度“智慧食安”电子监管系统三级等级保护测评及整改项目采购,现进行如下询价公告,请符合条件的单位积极参与本项目的投标。1.项目名称: (略) “智慧食安”电子监管系统三级等级保护测评及整改项目 林芝“智慧食安”电子监管系统三级等级保护,按照三级等级保护的要求,结合测评内容、测评方法、测评对象进行“智慧食安”电子监管 (略) 络安全各项保护,需要专业技术团队提供日常运维保障(详见附件)。3.项目控制价:本项目预算金额*(***万元整)。投标人不得高于此报价,否则按无效处理。投标人将相关资料密封投标。密封需按正规投标要求密封(封条),在密封口加盖鲜章,报价需包括单价及总价。报价超过项目限价的视为投标文件无效作废。投标报名单位须对提供的材料真实性负责,如有隐瞒或弄虚作假行为的,一经发现将被取消资格。三、本次询价投标单位需具备《中华人民共和国政府采购法》规定的条件1.具有独立法人资格,能够承担民事责任能力的单位;资质证照齐全,具备符合本次采购的经营范围;2.具有履行合同必需的设备和专业技术能力(根据项目需求提供履行合同所必需的设备和专业技术能力的证明材料);4.自询价响应文件递交截止时间前三年,未被“信用中国”网站(http://**.cn)列入政府采购严重违法失信行为记录名单( (略) 页截图证明),也未被国家企业信用信息公示系统列入经营异常名录或标注为经营异常状态( (略) 页截图证明);4.质量保证:履行合同所必需的设备、专业技术能力、质量保证措施的证明材料;5.“信用中国”“中国 (略) ”“国家企业信用信息公示系统”证明截图,以及企业基础信息截图;1.投标报名时间:2024年8月15日至2024年8月21日,每天上午9:30至13:00,下午15:30至18:30(北京时间,法定节假日除外);2.投标报名截止日期:2024年8月21日18:30;3.投标报名地点: (略) 场监督管理局401室( (略) 巴宜区八 (略) 14号);附件: (略) “智慧食安”电子监管系统三级等级保护测评及整改项目参数。一、严格遵守国家法律法规规定和企业有关廉洁从业的各项规章制度,做到遵纪守法、诚实守信、行为规范、廉洁从业;二、坚决抵制商业贿赂,不向国家公职人员行贿、赠送礼品,不利用各种关系谋求不正当利益;三、如违反承诺,自觉接受行业主管部门或单位的处罚,同意被行业主管部门或单位列入“黑名单”。 (略) “智慧食安”电子监管系统三级等级保护测评及整改项目参数 (略) “智慧食安”电子监管系统三级等级保护测评及整改项目建设内容包括: (略) “智慧食安”电子 (略) 络安全。为进一步落实《网络安全法》及国家信息安全主管部门有关要求, (略) 络安全风险应 (略) 络安全防护水平, (略) 场监管局“智慧食安”电子监管系统安全运行,为更好地提高“智慧食安”系统安全防护体系的强壮性和有效性,需将原来的“智慧食安”电子监管系统二级等级保护升级为三级等级保护,需引入专业的信息安全服务团队,进行“智慧食安”信息安全三级等级保护现状测评,并深入排查信息系统存在的安全隐患, (略) 络安全防护水平和未来建设发展的安全要求。安全物理环境现场测评包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等物理安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 (略) 络现场测评包括信息系统的各类通信设备, (略) 络结构、通信传输、可信验证等方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。安全区域边界现场测评包括边界防护、访问控制、入侵防范、恶意代码防范等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。安全计算环境现场测评包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。安全管理中心现场测评包括系统管理、审计管理、安全管理、集中管控等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。安全管理制度现场测评包括安全策略、管理制度、制定和发布、评审和修订等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。安全管理机构现场测评包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。安全管理人员现场测评包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。安全建设管理现场测评包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。安全运维管理现场测评的内容包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等方面所采取的措施进行检查,判定出与其相对于的各项测评的测评结果。包括身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性、数据保密性、数据备份恢复、剩余信息保护采取的措施进行检查,判定出与其相对于的各项测评的测评结果。现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。检查《信息安全等级保护基本要求》中规定的、必须具有的制度、策略、操作规程等文档是否齐备,如安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、机房建设相关资料、机房出入记录等;检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、系统的各种运行记录文档、高等级系统的关键设备的使用登记记录等。对所有文档进行审核与分析,检查文档的完整性和这些文件之间的内部一致性。利用上机验证的方式检查应用系统、主机系统、数据库 (略) 络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等)。根据测评方案,利用技术工具对系统进行测试, (略) 络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测等,并备份测试结果。根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相等级的安全要求。根据等级保护的相关规范和标准,采用风险风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。 (略) “智慧食安”信息系统的等级测评,测评对象种类上基本覆盖、数据进行抽样,重点要抽查主要的设备、设施、人员和文档等,抽查的测评对象种类主要是以下几个方面:1、主机房(包括其环境、设备和设施等)和部分辅机房;6、 (略) 络设备(包含安装设备), (略) 由器、防火墙、 (略) 关和边界接入设备(如接入交换机)等;7、对整个信息系统或其局部的安全性 (略) 络互联设备,如核心交换机、汇聚层交换机、路由器等8、承载业务处理系统主要业务或数据的服务器(包括其操作系统和数据库)12、信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;(一)安全管理要求:实施安全威胁情报收集和分析,开展安全测试和评估。(二)工程建设要求:实施防沉迷、反网络欺凌等技术保障,等级保护初测工作完成之后,若发现相关等保测评问题,由测评单位 (略) 市场监管局相关负责人,并根据反馈问题进行后续整改,直至等级保护复测合格。(三)储存安全要求:实施多重加密、审计和访问控制等技术控制。(四)网络安全要求:实施虚拟化安全、远程接入安全、网络钓鱼防御等技术防护。(五)应用安全要求:实施应用容器隔离、防篡改技术、应急漏洞修复等技术保障。
附件2
(略) 场监督管理局“智慧食安”电子监管系统三级等级保护测评和整改项目概算表
序号 | 产品名称 | 功能描述 | 数量 | 单位 | 预算 (元) | 备注 |
1 | “智慧食安”电子监管系统三级等级保护测评及整改 | 详见方案 | 1 | 年 | * |
|
| 合计 | * |
|
写留言
留言
暂无留言