采 购 公 告
一、采购项目基本情况
1.项目名称:长沙市城建档案馆“数字城建档案管理平台”系统等保测评服务采购公告
2.项目控制价:¥7万元
3.采购服务:依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准,以及采购人对信息系统等级保护工作的有关规定和要求,对采购人的“数字城建档案管理平台”系统进行1次三级等保测评。
二、采购流程
本次采购按以下流程实施:
1.城建档案馆在官网上公示采购需求(3个工作日)。
2.供应商报名并现场提交报名资料,城建档案馆现场核验资质证书、工商登记证、法人证书、法人授权委托书、法人和被委托人身份证复印件等资料。
3.供应商提交报价须知、报价承诺及售后服务方案。
4.城建档案馆支委会拆封报价书并确定中标单位。
5.城建档案馆内部审批流程后签订合同。
三、投标供应商需提供资料
1.提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》(有效期内), (略) 公安厅备案,具备在长沙开展等保测评的许可和能力。
2.提供被委托人和拟投入本项目的工作人员近三个月的社保缴纳证明。
3.提供 (略) 政采信息网“不良行为记录名单”、全国范围内受到行政处罚、民事诉讼记录查询结果。
四、服务具体内容
编制定级报告及进行定级备案,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等安全技术和安全管理方面进行具体测评,并进行风险评析及评价,将信息系统安全等级保护工作落实到位。
1.安全物理环境
安全物理环境测评应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
2.安全通信网络
安全通信网络测评主要包含:结构安全、访问控制、网络安全审计、网络入侵防范、恶意代码防范、网络设备防护等。
3.安全区域边界
安全区域边界测评主要包含:被测网络边界防护情况,对进出网络的数据流的访问控制情况,关键节点是否进行入侵防范的检测分析和报警,远程用户及互联网用户的行为是否进行单独审计和数据分析,应用程序的关键执行环节进行动态可信验证等。
4.安全计算环境
安全计算环境测评主要针对被测信息系统的应用安全保障情况,应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、数据完整性、数据保密性、数据备份和恢复、软件容错、资源控制等。
5.安全管理中心
安全管理中心测评主要包含:系统管理、审计管理、安全管理及集中管控。
6.安全管理制度
安全管理制度测评应当包含:管理制度、制定与发布、审批和修订。
7.安全管理机构
安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8.安全管理人员
安全管理人员测评应当包含:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。
9.安全建设管理
安全建设管理测评应当包含:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。
10.安全运维管理
安全运维管理测评应当包含:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。
11.工具测试
根据工具测试过程管理表单,使用漏洞扫描工具对信息系统的设备进行扫描,扫描结束后,根据目标设备的具体情况,判断漏洞验证的风险程度。
12.漏洞扫描
漏洞扫描是发现安全漏洞的快捷方式,本地测试过程中将会从主机系统层面和应用层面进行漏洞扫描,全面发现系统发现的安全漏洞,针对扫描工具发现的安全漏洞进行人工测试确认,以消除工具扫描误报和漏洞影响。
13.渗透测试
SQL注入类:测试人员通过自动化工具或手工编写SQL语句方式,构造特殊的SQL代码传入到应用程序中,从而通过执行非设计预期的SQL代码,检测其是否能够被非法攻击者窃取数据或破坏。
跨站脚本类:测试人员利用自动化工具或手工编写Script脚本代码,将其提交到对被测系统的每个动态页面上,通过返回信息判断其是否存在跨站脚本漏洞。
文件上传类:测试人员将对提供上传服务的页面进行模拟上传测试,用以检测目标系统对上传文件的处理、放置和过滤等限制措施。
弱口令类 :测试人员通过构建的密码本,利用自动化工具尝试登录应用程序。
目录浏览类:测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
未授权访问类:测试人员利用漏洞扫描工具发现可能存在的管理后台或其他可访问信息。
信息未加密类:检查用户口令等鉴别信息的存储是否加密,包括主机操作系统用户鉴别信息以及应用程序的用户鉴别信息
认证会话管理类:测试人员利用工具或经验,会检查Cookie与Session的令牌是否是由一种安全的、不可逆推的方法生成,提交过期的Cookie访问已知页面,验证目标网站是否存在认证管理失败等问题。
文件包含类:测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
不安全的 URL 访问类:测试人员利用漏洞扫描工具发现可能存在该漏洞的URL,之后通过构造特殊的URL请求,验证扫描工具的准确性并获得配置文件、密码文件等信息。
溢出漏洞类:溢出测试可以对服务器端所有的存在输入的应用程序进行验证。
信息泄露类:使用漏洞扫描工具对目标系统进行测试。
五、项目服务要求
(一)测评要求
按照有关等保测评要求完成相应系统的等保三级测评,报送相关部门审核并通过备案,出具采购人认可的测评报告。对测评发现的问题提出有效解决方案并协助解决。对确认无法完成的整改,须提供书面证明。中标人须在服务期内为已完成整改的被测系统提供复测服务,直到项目顺利通过等保测评。
(二)保密要求
1.中标人在履行合同要求测评服务之前需与采购人单位签订保密协议,需对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标人的责任。
2.测评过程中向采购人借阅的文档资料应在测评工作结束后全部归还采购人,未经采购人允许,不得擅自复制、保留。
3.保密期限不受本项目期限的限制,在本项目履行完毕后,中标人仍应承担保密义务。
(三)服务响应要求
1.中标人应严格按照测评人员执业守则,按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评,在保证质量、安全的前提下,确保在项目按期按量完成。
2.中标人针对本项目提供技术服务咨询及信息安全应急支持服务,以确保被测系统整改到位和及时解决整改中出现的问题,配备专业安全技术人员随时与采购人保持联系,对采购人的服务请求必须提供7×24小时响应。在出现安全事件时,中标人须在接到通知后1小时内有专人回复;若电话不能解决,中标人须保证在2小时内派专业技术人员到现场进行处理。
3.中标人应协助、配合采购人与上级监管部门、公安机关的沟通协调。在测评过程中和测评完成后,协助、配合采购人进行相关的信息系统安全整改,确保已定级系统达到等级保护的相关要求,并通过上级监管部门和公安机关的审核验收。
4.中标人为执行本合同而使用的网络分析、漏洞扫描、渗透测试等可能影响网络性能的工具应符合公安部门备案要求或经采购人授权后方可使用。
(四)投入项目人员要求
1.拟投入本项目的岗位人员包含但不限于项目经理、项目组长、质量监督员、测评技术员,且至少含2名以上具备等级保护测评资质的工程师。
2.拟定本项目人员须为中标人在职员工,并保证在承担本项目任职期间工作稳定,不得随意更换。
(五)知识产权要求
中标人为执行本项目而提供的资料、设备、工具或软件不得侵犯第三方的知识产权,如发生知识产权纠纷,由中标人负全责。项目完成后,中标人应将项目有关的全部资料移交采购人。
(六)质量要求
1.基于国家信息系统安全等级保护相关标准和文件的要求,针对所有应用系统,结合用户方的组织架构、业务要求、系统实际情况,通过一套规范的等保整改评估过程,帮助用户方进行等级保护符合性检查,明确等级保护差距,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对网络及应用系统基本安全保护状态的分析给出等级测评结论(结论为符合、基本符合、不符合)。
2.测评工作和《等级保护整改建设方案》的编制需结合采购人的实际运行情况,并满足国家及主管部门对等级保护的要求和各项技术标准。
六、验收标准和方法
1.项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证。
2.验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
3.采购人验收前要求中标人提供相应的测评报告。
4.验收时由验收小组对所提交的测评报告检验,并出具最终的验收报告。
5.凡验收不合格,由中标人返工直至合格,有关返工、再行验收。连续两次项目验收不合格的,招标人可终止合同,由此带来的一切损失由中标人承担。
6.采取简易程序验收方式进行验收工作。
七、考核
采购人将根据项目实施的工作效率、服务质量、实际效果等标准,对中标人测评服务工作进行验收考核评分、定档,并以此为依据支付考核金额。考核金额最高为中标金额的20%。
考核标准实行100分扣分制,考核结果按考核标准分为优、良、差三档,其中90分-100分评分定档为优,按照考核最高金额的100%支付;70(含)-89分评分定档为良,按照考核最高金额的50%支付;70分以下评分定档为差,按照考核最高金额的0%支付。
考核标准:
考核指标 | 内容定义 | 分值 |
工作效率 | 充分理解项目要求,工作计划按质按量完成,在规定时间内完成项目。未按规定时间完成工作扣2分/次,拒不配合工作扣5分/次。 | 30分 |
服务质量 | 能够不折不扣按上级要求执行,配合采购单位完成等保测试等安全测评工作。对工作十分积极主动,能积极主动地完成好本职工作。未按要求完成工作扣2分/次;服务质量不合格扣2分/次,并整改到位。 | 30分 |
实际效果 | 中标人须保证采购人被测系统安全稳定,按服务响应要求提供技术服务咨询及信息安全应急支持服务,能较好提高采购人被测系统项目整体安全水平。服务响应未到位,导致信息安全事故扣2分/次,导致较大信息安全事故扣10分/次,导致重大信息安全事故该项计0分。 | 40分 |
八、其他需要说明的事项
(一)服务地点
采购人指定地点。
(二)付款方式
1.付款人: (略) 建设档案馆(国库集中支付)。
2.等保测评报告经验收合格、获得被测系统备案证明后,自中标人开具正规发票且财政资金核拨到位后20个工作日内,采购人向中标人支付80%的合同费用和对应的考核费用(考核金额最高为合同费用的20%)。
3.结算时,中标人需附上述资料的移交证明。
(三)其他要求
1.投标人承诺中标后,严格遵守国家有关保密规定,承担保密义务,并提供保密承诺书(保密承诺书内容需包括:项目所有参与人员签订的保密协议,严禁向任何第三方泄露、公布),中标人在采购合同签订后与采购人签订保密协议。
2.本项目采用费用包干方式建设。投标人应根据项目要求和现场情况,详细列明项目所需的费用,如一旦中标,在项目实施中出现任何遗漏,均由成交中标人人免费提供,采购人不再支付任何费用。除采购人已有的安全设备、工具或软件外,如中标人向采购人提供安全服务还需要其它资料、设备、工具或软件,由中标公司免费提供,采购人不再另行支付费用。
3.投标人在投标前,如需踏勘现场,有关费用自理,踏勘期间发生的意外自负。
九、供应商报名相关事项
1.公示及接受报名时间:2023年7月14日12时至2023年7月18日17时。
2.供应商提供资料:见第“三”项要求。
3.投标供应商应为独立法人,本项目不接受联合体投标。
4.报名地点: (略) 雨花区曙光中路1 (略) 城市 (略) 内办公楼301室。
5.联系电话:*
(略) 建设档案馆
2023年7月12日