为了便于供应商 (略) 采购信息, (略) 工作安排及采购计划规划,做 (略) 场调研论证工作, (略) 等级保护测评及商用密码应用安全性评估服务采购意向公开如下:
序号 | 系统名称 | 数量 | 服务内容 |
1 | 都安瑶族自 (略) 网络安全等级保护测评及商用密码应用安全性评估服务 | 1 | ▲一、网络安全等级保护测评 1、总的要求 依据《网络安全等级保护基本要求》(GB/T *-2019) (略) 信息系统(三级) (略) 络安全等级保护测评工作, (略) 络安全等级保护测评报告。 2、标准依据 《计算机信息系统安全保护等级划分准则》(GB *-1999) 《网络安全等级保护基本要求》(GB/T *-2019) 《网络安全等级保护测评要求》(GB/T *-2019) 《网络安全等级保护测评过程指南》(GB/T *-2018) 《网络安全等级保护设计技术要求》(GB/T *-2019) 《网络安全等级保护测试评估技术指南》(GB/T *-2018) 3、测评内容 (1)安全通用要求 安全通用要求测评内容应包括安全技术和安全管理两大类。技术类应包括对安全物理环境、 (略) 络、安全区域边界、安全计算环境、安全管理中心五个方面的测评。安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。 安全扩展要求 本项目涉及等级保护对象涉及测评标准安全扩展要求(云计算、 (略) 、 (略) 、大数据、工业控制)方面内容的,投标人应该满足对被测评系统两 (略) 络环境的测评,需根据实际情况选定适用的安全扩展要求测评内容开展本项目测评工作。 4、测评方法 在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。 访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程; 检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程; 测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程; 渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。 5、服务成果 测评完成后,对相应系统出具符合等保2.0相关技术标准要求、 (略) 络安全等级保护管理部门规范要求且公安机关 (略) 络安全等级保护测评报告。 ▲二、商用密码应用安全性评估 1、总的要求 依据《信息安全技术信息系统密码应用基本要求》( GB / T *—2021)、《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等标准、规范, (略) 信息系统(三级)开展商用密码应用安全性评估,全面评估其是否符合商用密码应用安全性评估的要求。 本次密评旨在对受测系统的商用密码应用的合规性、正确性和有效性进行评估。根据实际评估结果,对受测系统进行安全风险分析并给出改进建议,出具密评报告。 2、评估依据 (1)评估过程中主要依据的标准或规范性文件 GBT *—2021《信息安全技术 信息系统密码应用基本要求》 《政务信息系统密码应用与安全性评估工作指南》 《信息系统密码应用测评要求》 《信息系统密码应用测评过程指南》 《信息系统密码应用高风险判定指引》 《商用密码应用安全性评估量化评估规则》 (2)参考标准及规范 评估过程中其它参考性标准或规范性文件: GM / T 0024—2014 SSL VPN 技术规范 GM / T 0029—2014签名验签服务器技术规范 3、评估原则 本次密评工作中严格遵循以下原则 (1)客观公正原则:密评人员在最小主观判断情况下,按照双方认可的密评方案,基于明确定义的评估方式和解释实施密评活动。 (2)经济及重用性原则:密评工作可重用包括商用密码安全产品评估结果和信息系统密码评估结果在内的已有评估结果。重用结果应适用于受测系统,并且能够反应出当前系统的安全状态。 (3)可重复、可再现性原则:任何密评人员,依照同样的要求,使用同样的评估方法,对每个密评实施过程的重复执行均应得到相同的密评结果。 (4)规范性原则:项目实施过程中,在人员、质量和时间进度等方面进行严格管控,在保证测试质童的前提下,按计划进度执行。评估工具、方法和过程要在双方认可的范围之内合法进行。 (5)完整性原则:密评过程中,确保密评数据、过程记录的完整性。 (6)最小影响原则:应充分考虑密评活动对受测系统的影响,采取必要的措施,避免影响受测系统正常运行。 (7)保密原则:应确保密评项目涉及的所有信息,不会泄露给第三方单位或个人,不擅自利用这些信息。 4、评估内容 商用密码应用安全性评估要求依据国家有关最新标准和规范对包括(但不限于)物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等方面进行评估。 (1)物理和环境安全包括身份鉴别、电子门禁记录数据完整性、视频记录数据完整性、密码服务、密码产品等评估项。 (2)网络和通信安全包括身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证、密码服务、密码产品等评估项。 |
本次公开是本单位近期采购工作的初步安排,现诚邀各供应商 (略) 以上项目的询价活动。
一、报价供应商资格要求:
1、国内注册(指按国家工商管理有关规定要求注册的)生产或经营范围达到本项目招标要求,在人员、设备、资金等方面具备承担本项目能力的独立法人企业(提供原件或者复印件加盖公章)。
2、在“信用中国”网站(http://**.cn)、中国 (略) (http://**.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合《中华人民共和国政府采购法》第二十二条规定条件的供应商,不得参与本次询价谈判(提供截图打印件并加盖公章)。
3.法定代表人身份证明书及有效的身份证复印件正反面(必须提交,加盖公章)。
4.有效的法人授权委托书原件和有效委托代理人身份证(委托代理时必须提供,否则视为谈判无效)。
5.参加本次采购活动前三年内在经营活动中没有重大违法记录的声明(格式自拟,必须提供,否则视为谈判无效)。
6.供应商参加本次采购活动前3个月单位依法缴纳养老保险证明(如有委托代理人其姓名必须在缴纳养老保险人员名单内)(必须提供,加盖公章)。
7.供应商有效的经营许可证及等保认证证书+密评资质(医疗器械项目必须提供,加盖公章)
二、报名时间:2024年05月17日至2024年05月29日下午5时30分,逾期不再受理
三、报名方式:
现场报名:将资格证明文件、服务方案及报价表等材料装订成册以密封的形式于2024年05月29日下午5时30分前现场提交 (略) 都安瑶族自治县学荣街87号(都安瑶族自 (略) 网络信息科)。逾期不受理。联系人:阮科长*。
四、网上查询:都安瑶族自 (略) (http://**)。
都安瑶族自 (略)
2024年05月17日
注:所提供的资料必须真实有效,一经发现造假,将取消报价资格,并追究法律责任。