绵阳市疾病预防控制中心关于招标OA系统信息安全等级保护测评供应商的公告(第二次)
我中心拟对OA系统进行信息安全等级保护测评,请各潜在供应商前来报名,预算价格5万元。现将相关事项公布如下,欢迎符合条件的供应商参与竞争。报名截止时间:2019年10月15日下午5点。
一、供应商应具备的资格条件:
1、具有独立承担民事责任的能力(营业执照复印件);
2、具有良好的商业信誉和健全的财务会计制度(承诺函);
3、具有履行合同所必须的设备和专业技术能力;
4、具有依法缴纳税收和社会保障资金的良好记录(承诺函);
4、供应商及其现任法定代表人/主要负责人不得具有行贿犯罪记录(承诺函);
5、参加本次采购活动前三年内,在经营活动中没有重大违法记录(承诺函);
6、具有有效的国家网络安全等级保护工作协调小组颁发的“网络安全等级保护测评机构推荐证书”;
7、报价清单(此为一次报价,最终报价以现场二次报价为准)
8、法律、行政法规规定的其他条件;
9、相关业绩证明。
以上提供材料装订成册一式五份,需加盖鲜章。
报名供应商如提供虚假承诺或证明,一经发现,将取销其投标资格或中标资格。
二、评审
符合上述条件的供应商可以参与价格竞争,经绵阳市疾病预防控制中心评审,最后确定中标供应商。
三、报名联系方式
资料邮寄地址:绵阳市高新区绵兴东路50号后勤科516室张老师收,联系电话6037286,报名资料外包装袋上请注明报名供应商联系人电话号码,邮编:621000
咨询电话:黄老师 13980137855
附件1
项目技术、商务及其他要求
项目需求
按照《中华人民共和国网络安全法》要求“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”以及《信息安全等级保护管理办法》要求“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评”。
绵阳市疾病预防控制中心拟对中心OA系统进行信息安全等级保护测评,测评内容包括信息系统技术安全性测评及信息系统管理安全测评:
1.信息系统技术安全性测评包括但不限于:物理安全、网络安全、主机安全、应用安全、数据安全。
2.信息系统管理安全测评包括但不限于:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。
测评对象及范围
本次等级保护测评系统包括:
序号 |
系统名称 |
安全保护等级 |
1 |
OA系统 |
二级 |
依据标准
[1] 《中华人民共和国网络安全法》
[2] GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》
[3] GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》
[4] GB/T28449-2012《信息系统安全等级保护测评过程指南》
[5] 《信息安全等级保护管理办法》公通字 2007 [43]号
资质要求
公司具有国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书。
测评原则
客观性和公正性原则:
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
经济性和可重用性原则:
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
可重复性和可再现性原则:
不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
结果完善性原则:
测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
项目具体要求
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
投标方根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查、访谈、测试工作。
测评要求
(1)物理安全
序号 |
工作单元名称 |
工作单元描述 |
1 |
物理位置的选择 |
通过访谈物理安全负责人,检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。 |
2 |
物理访问控制 |
通过访谈物理安全负责人,检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 |
防盗窃和 防破坏 |
通过访谈物理安全负责人,检查机房的主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 |
防雷击 |
通过访谈物理安全负责人,检查机房的设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 |
防火 |
通过访谈物理安全负责人,检查机房的设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 |
防水和防潮 |
通过访谈物理安全负责人,检查机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 |
防静电 |
通过访谈物理安全负责人,检查机房是否采取必要措施防止静电的产生。 |
8 |
温湿度控制 |
通过访谈物理安全负责人,检查机房温、湿度情况,是否采取必要措施对机房内的温湿度进行控制。 |
9 |
电力供应 |
通过访谈物理安全负责人,检查机房供电线路、设备等过程,是否具备提供一定的电力供应的能力。 |
10 |
电磁防护 |
通过访谈物理安全负责人,检查是否具备一定的电磁防护能力。 |
(2)网络安全
序号 |
工作单元名称 |
工作单元描述 |
1 |
结构安全 |
通过访谈网络管理员,检查网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络宽带分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2 |
访问控制 |
通过访谈安全员,检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等过程,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。 |
3 |
网络安全审计 |
通过访谈审计员,检查核心交换机和接入交换机等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。 |
4 |
边界完整性 检查 |
通过访谈安全员,检查边界完整性检查设备,测评分析信息系统对内部用户自联到外部网络的行为进行检测阻断的能力。 |
5 |
网络入侵防范 |
通过访谈安全员,检查网络边界处的入侵检测设备等过程,测评分析信息系统对攻击行为的识别和处理情况。 |
6 |
网络设备防护 |
通过访谈网络管理员,检查核心交换机、接入交换机和接入路由器等网络互联设备;入侵检测、防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、权限分离、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。 |
(3)主机安全
序号 |
工作单元名称 |
工作单元描述 |
1 |
身份鉴别 |
检查对登录操作系统和数据库系统的用户进行身份标识和鉴别,是否具有不易被冒用的特点,口令应有复杂度要求并定期更换等内容 |
2 |
访问控制( |
是否启用访问控制功能,依据安全策略控制用户对资源的访问;是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限等内容 |
3 |
安全审计 |
检查安全审计范围及内容 |
4 |
入侵防范 |
是否能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警等内容 |
5 |
恶意代码防范 |
是否安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 |
6 |
资源控制 |
是否通过设定终端接入方式、网络地址范围等条件限制终端登录;是否对重要服务器进行监视包括资源的使用情况等 |
(4)应用安全
序号 |
工作单元名称 |
工作单元描述 |
1 |
身份鉴别 |
对登录的用户进行身份鉴别,以确保用户在规定的权限内进行操作,测评该功能的使能性、安全性、复杂度。 |
2 |
访问控制 |
对系统访问控制的控制策略进行测评,保证应用系统在受控范围内使用。 |
3 |
安全审计 |
测评应用系统对运行情况以及系统用户行为的记录,主要涉及用户登录情况、系统功能执行等重要事件。 |
4 |
通信完整性 |
测评应用系统对通信过程中数据的完整性的保护。 |
5 |
通信保密性 |
测评应用系统对通信过程中数据的保密性的保护。 |
6 |
抗抵赖 |
测评应用系统抗抵赖功能。 |
7 |
软件容错 |
测评应用系统对错误的检查和恢复能力。 |
8 |
资源控制 |
测评应用系统的资源控制措施。 |
(5)数据安全与备份恢复
序号 |
工作单元名称 |
工作单元描述 |
1 |
数据完整性 |
测评信息在传输和保存过程中的完整性保护情况 |
2 |
数据保密性 |
测评信息在传输和保存过程中的保密性保护情况 |
3 |
备份和恢复 |
测评信息系统备份恢复情况,如重要信息的备份恢复、硬件和线路的冗余等 |
(6)安全管理机构
测评内容主要包括:安全管理机构设置、人员配备及职责、安全授权和审批、安全沟通和合作、安全审核和检查等。
(7)安全管理制度
测评内容主要包括:安全管理制度内容、制度的制定与发布、制度的评审和修订等。
(8)人员安全管理
测评内容主要包括:人员岗位管理、人员培训与考核、人员安全意识教育、外部人员访问管理等。
(9)系统建设管理
测评内容主要包括:安全设计管理、产品采购使用管理、自行软件开发管理、外包软件开发管理、安全工程实施管理、安全测试验收管理、安全系统交付管理、安全服务选择管理等。
(10)系统运维管理
测评内容主要包括:运行环境管理、资产管理、存储介质管理、设备管理、安全审计管理、入侵防范管理、网络安全管理、主机系统安全管理、用户授权管理、备份与恢复管理、恶意代码防范管理、安全事件处置管理、应急响应管理等。
(11)其他相关要求:
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内:
1.验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在SQL、Cookie注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
注入 |
失效的身份认证 |
敏感信息泄露 |
XML外部实体(XXE) |
失效的访问控制 |
安全配置错误 |
跨站脚本(XSS) |
不安全的反序列化 |
使用含有已知漏洞的组件 |
不足的日志记录和监控 |
2.性能测试
通过模拟手段对网络(包括丢包、时延、带宽等)、软件系统(包括负载、响应)、负载下硬件占用(包含CPU、内存)等进行全面的测评评估验证系统的可靠性、可用性,通过对测试结果的分析,给出相应的整改建议。
3.漏洞扫描
据相关标准、规范要求对我单位重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
测评工作步骤
等级保护测评工作流程,受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异,初次等级测评和再次等级测评的工作活动及流程也不完全相同,而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。受委托测评机构对信息系统的初次等级测评可以分为四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。投标方应对等级保护测评各阶段具体工作内容进行描述。
1.准备活动阶段:对被测系统进行调研分析,明确测评对象、测评方法等工作。
2.方案编制阶段:制定信息安全等级保护测评项目计划书、测评实施方案,并提交委托方确认。
3.现场测评阶段:按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具《整改意见》,并在整改过程中提供技术咨询服务。
4.分析与报告编制:向委托方提交被测信息系统安全等级保护测评报告以及相应文档。
实施要求
1.系统梳理
协助绵阳市疾病预防控制中心完成待测信息系统梳理工作,出具相应安全保护等级定级建议。
2.初测
对本项目所涉及信息系统进行现场测评,初次测评完成后提交初评的整改意见报告。
3.整改加固协助
协助绵阳市疾病预防控制中心对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的回归测评。
4.成果递交
整理测评结果,提交被测信息系统安全等级保护测评报告以及相应文档。
5.工期要求
项目计划工期为:5个工作日
项目管理与实施保障
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
1.供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
2.应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力;
3.供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
4.供应商的岗位配置要至少配置测评技术员、项目经理(总测评工程师)、技术主管、质量主管、保密安全员和档案管理员,其中项目经理、技术主管、质量主管、保密安全员和档案管理员应独立配置,不能有兼任的情况;
5.测评人员要求
参与此次等级保护测评的供应商其测评人员应具备并符合以下要求:
(1)开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(2)开展此次等级保护测评工作的人员应由取得等级测评师证书(等级测评人员应由初级、中级和高级)的人员组成;
(3)开展此次等级保护测评工作的人员应具备从事信息系统安全测评相关工作三年以上工作经验,开展等级保护测评工作不少于一年,参与同类行业信息安全测评项目;
(4)针对软件、网络、安全等方面的测评技术人员除具有信息安全等级保护测评师证书以外,还应该持有相关技术资格证书;
(5)测评项目组人员在对开展等级保护测评工作之前需签订保密协议。
6.测评工具要求
(1) 采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障;
(4)测评机构所使用的测评工具不会对系统产生破坏或负面影响。
7.由于测评工作存在一定的风险,包括但不限于:数据丢失、配置参数丢失、网络中断、服务中断等隐患,供应商应当充分识别测评工作可能带来的风险并告知委托方,委托方应当就测评工作存在潜在风险采取必要措施进行确认后方可开展测评。
附件2
评分要求
序号 |
评分项目 |
分值 |
评分标准 |
|
1 |
报价 |
20 |
1.经评审有效报价的最低价作为评标基准价,投标报价得分=(评标基准价/投标报价)×20。 2.根据《政府采购促进中小企业发展暂行办法》(财库[2011]181号)的规定,对小型和微型企业产品和服务的价格(如涉及)给予10%的价格扣除,用扣除后的价格参与评审。(参加政府采购活动的中小企业应当提供《中小企业声明函》原件)。 3.对记入诚信档案的且在有效期内的供应商,在参加政府采购活动中实行10%的报价加成,以加成后报价作为该供应商报价评审,供应商失信行为惩戒可以实行无限制累加制,因其失信行为进行报价加成惩戒后报价超过政府采购预算的,其投标、响应文件按照无效处理。 |
|
2 |
信誉及能力 |
15 |
1.具有ISO9001质量管理体系认证证书、OHSAS18001职业健康安全管理体系认证证书、ISO14001环境管理体系认证证书、ISO/IEC20000信息技术服务管理体系认证证书、ISO/IEC27001信息安全管理体系认证证书(所有证书认证范围包含信息系统测评)的每项证书得0.5分,最多得2.5分; 2.具有省级或省级以上质量技术监督部门颁发的检验检测机构资质认定证书和中国合格评定国家认可委员会(CNAS)颁发的实验室认可证书(证书认可范围包含:软件产品)的得2.5分; 3.具有信息化咨询能力,具备政府行政主管部门颁发的信息化类咨询或设计资质的得2.5分; 4. 连续两年获得行政主管单位颁发的全国信息安全等级保护测评机构先进单位的得7.5分;其中一年获得的得4分。 注:提供各类证书、证明材料复印件加盖单位鲜章。 |
|
3 |
业绩 |
10 |
1.具有信息安全等级保护测评项目案例的,每有一个得2分,最多得10分;提供合同复印件及验收报告复印件加盖单位鲜章。 |
|
4 |
投入本项目的专业技术力量 |
35 |
总评测工程师(15) |
总测评工程师必须具有“信息安全等级测评师(高级)”证书。 1.总测评师具有注册信息安全工程师(CISE)、信息安全保障人员(CISAW)、ISTQB国际软件测试工程师、软件性能测试高级工程师、CCSSP国际注册云安全系统专家资格证书的每有一个得2分,最多得10分:。 2.获得过国家信息安全等级保护工作协调小组办公室颁发的等级保护测评先进个人荣誉的得5分。 注:1.提供各类证书、证明材料复印件加盖单位鲜章。2.提供在投标单位近6个月连续缴纳社会保险的证明材料。 |
5 |
技术团队(20) |
1.项目技术负责人须具有信息安全等级测评师(中级)及以上证书,同时具有信息系统项目管理师、注册云安全系统认证专家证书(CCSSP)、信息系统高级咨询师证书的每项得2分,最多得6分。 2. 项目质量负责人须具有信息安全等级测评师(中级)及以上证书,同时具有软件测试工程师、信息安全保障人员(CISAW)证书、CISP注册信息安全工程师证书的每项得2分,最多得6分。 3、项目测评工程师须具有信息安全等级测评师(初级)及以上证书。同时具有以下证书分别加分,不重复计分。 (1)具有软件性能测试工程师证书得2分; (2)具有CCSSP国际注册云安全系统专家证书得2分; (3)具有CISAW信息安全保障人员证书得2分; (4)具有信息系统项目管理师证书得2分。 |
||
6 |
测评方案 |
10 |
1.对等级保护测评方案的完整性、可行性、先进性和合理性进行综合评分,优秀的得5分,良好的3分,一般的得1分,其他不得分。 2.对本项目的理解及建议、组织管理的合理性、测评计划安排的完整性综合评分,优秀的得5分,良好的得3分,一般的1分,其他不得分。 |
|
7 |
测评工具仪器 |
8 |
测评涉及到系统安全性、可靠性等验证性测试,因此要求具有相应的工具、仪器设备提供科学的测试参考。 1.具有相应的网络性能测试、分析平台/工具得2分,没有不得分。 2.具有软件性能测试、分析平台/工具得2分,没有不得分。 3.具有网络安全扫描、分析平台/工具得2分,没有不得分。 4.具有信息安全等级保护管理平台/工具得2分,没有不得分。 注:需提供相应工具、仪器设备购买发票复印件 |
|
7 |
投标文件的规范性 |
2分 |
投标文件制作规范,没有细微偏差情形的得2分;有一项细微偏差扣0.2分,扣完为止。 |