您现在的位置: 首页 > 学校信息 > 校务公开校务公开
福建省邮电学校信息安全等级保护技术咨询服务采购招标公告
发布时间:2019-12-19 来源:总务科点击:
我校需采购信息安全等级保护技术咨询服务,现进行公开招标,欢迎具备相关资质的投标公司于2019年 1月 3 日8:30—10:30携带投标文件到福建省邮电学校(福州市仓山区上渡路李厝山60号)行政办公楼总务科204室投标。联系人:陈老师,联系方式:0591-83597259。现将有关事项公告如下:
一、本项目最高控制价为人民币70000元。
二、投标材料
1.投标人有效的营业执照复印件;
2.投标代表应执有企业法人代表的授权书原件;
3.售后服务的承诺;
4.投标代表有效身份证复印件(注明联系电话);
5.信息安全等级保护技术咨询服务报价表;
注:上述复印文件需注明与原件一致、并加盖公章。
三、投标保证金
投标保证金:3500元人民币,于2019年1月2日15:00 前以银行转帐方式交给福建省邮电学校财务科(备注:福建省邮电学校信息安全等级保护技术咨询服务投标保证金),帐户(名称:福建省邮电学校开户行:工行福州市仓山支行帐号1402024109008921255),时间以银行业务日戳为准(节假日不顺延),联系人:林老师、程老师,联系电话:83597445。送投标文件时,现场提供缴交投标保证金的并有加盖银行业务日戳的转账回单复印件一份给总务科陈老师(不必密封),未交保证金的投标不予受理。中标人未按规定时间到招标方签订合同的,投标保证金不予退还。未中标人的投标保证金在中标人签定协议之日起10个工作日内无息退还。中标人的投标保证金直接转为履约保证金,项目完成经验收合格后无发现质量或售后服务问题一次性无息退还。
四、投标文件份数、样品说明
投标人应将投标文件正本一份、副本一份和报价文件分别单独密封在3个内封套内,再同时密封在一个外封套中;在内层、外层封套口处均应加贴密封条并加盖投标人公章及法定代表(或授权委托人)签章。内层封套上应标明正本、副本,并写明项目名称和投标人名称。外层封套上应写明项目名称、投标人的名称、地址、联系电话、邮政编码并注明“开标时间以前不得开封”。
五、开标方式、评标方法
投标人完全实质性响应招标文件内容和招标人提供的现场技术交底要求,采用最低价评标办法(最低价不作为中标保证);若至投标截止期,投标人不足三家,则重新招标。若采购工作小组认为投标人的报价明显低于其他通过符合性审查投标人的报价,使得其投标报价可能低于其个别成本的,有可能影响本项目工程质量或不能诚信履约的,投标人应按采购工作小组要求作出书面说明并提供相关证明材料,不能合理说明或不能提供相关证明材料的,采购工作小组可将其作无效投标处理。
六、投标货物规格、数量、质量标准
采购货物数量、技术要求一览表:
|
序号 |
类别 |
名称 |
数量 |
单位 |
|
1 |
信息安全服务 |
信息安全等级保护技术咨询服务 |
1 |
项 |
技术要求:
1.资产分析:对参与安全等级保护的系统进行资产信息调查、网络结构调查、安全系统调查等,形成最终的资产报告。
(1)资产调查:调查和统计服务范围内的信息资产,其中必须包括但不限于物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等,明确其现有状况、配置情况和管理情况,并对所有信息资产按照一定标准进行资产赋值,绘制各业务系统的数据流图。正式开展调查时调查内容须经过单位审核后方可实施。
(2)网络调查:包括对所有网络的拓扑结构进行调查,并按统一标准绘制成图。
(3)安全系统调查:包括但不限于明确现有安全设备包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况,编制安全区域图。
提交成果:《信息系统资产调查表》
2.定级咨询:在招标方信息系统自行定级的基础上,中标方参照国家和地方对信息系统安全等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,撰写信息系统定级报告,明确信息系统的边界和安全保护等级,说明定级的方法和理由。并收集整理定级系统参与福建省网络与信息安全测评中心安全等级测评所需的资料和文档。
提交成果:《信息系统安全等级保护定级报告》
3.协助备案:根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应到公安部网站下载《信息系统安全等级保护备案表》,中标方需要协助招标方填写《信息系统安全等级保护备案表》,同时协助到公安机关完成备案工作。如需反复多次修改,须按照单位和市公安局要求修正。
提交成果:《信息系统安全等级保护备案表》
4.风险评估:
(1)根据《信息系统安全等级保护定级报告》和信息系统安全等级保护要求,采用的技术手段、人工方法和使用的工具,明确评估的具体内容,制订《安全评估方案》,《安全评估现场计划》,《安全评估作业指导书》,方案和作业指导书中必须明确采用的技术手段、人工方法和使用的工具,明确评估的具体内容。方案和作业指导书须经过单位批准后方可实施。
(2)根据信息系统安全等级保护基本要求,开展物理环境、网络安全、服务器安全、应用系统安全现状评估。
(3)通过现场评估、脆弱性评估以及渗透测试等技术手段进行信息系统安全风险评估分析,编制风险评估报告。
进行网络入侵检测,在入侵预警日志中能够明确定位入侵事件类别等。
对信息系统进行安全风险评估,评估系统的漏洞与脆弱性,采用的服务工具应提供网站风险列表和漏洞信息等功能。
进行渗透测试,采用工具扫描+手工验证的方式,模拟黑客攻击的方法进行非破坏性质的攻击性测试。渗透测试的内容包括但不限于以下几个方面:
a.伪造跨站请求
b.跨站脚本
c.注入攻击测试:SQL注入、指令注入
d.恶意文件执行:文件包含、上传漏洞
e.直接对象不安全:参数分析、越权访问
f.信息泄漏或错误处理不当:应用错误消息、目录遍历
g.加密存储不安全:HTML中的敏感数据、敏感信息存储、鉴别信息加密传输
h.认证和会话管理不完善:会话令牌的质量、鉴别旁路、缺省帐号、口令重置、鉴别失败锁定功能、空口令
i.通信不安全
j.URL强力浏览
k.应用层DOS
l.工具扫描测试
提交成果:《安全评估方案》、《信息系统安全等级保护风险分析报告》
5.差距分析:在安全评估和信息系统定级的基础上,根据《信息系统安全保护等级基本要求》将定级信息系统安全等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行分析。
对于需要增加投资,部署新的信息安全产品和技术的整改措施,双方根据整改方案另行协商和实施。
(1)进行安全差距分析,从物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理深入识别现状与指标库之间的差距情况。
(2)进行网络安全域分析,将运维管理、开发测试、办公网络以及生产区域进行逻辑划分和访问控制策略。
(3)进行安全管理制度分析,从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入识别安全管理制度与指标库的差距情况。
(4)安全建设规划:根据上述风险评估结果,结合信息系统安全等级保护要求,等保规划方案和整改方案。
a)确立保护对象b)保护计算环境c)保护区域边界d)保护通信网络e)建设安全管理体系。
提交成果:《信息系统安全等级保护差距分析报告》
6.管理制度辅助建设:
安全管理制度建设,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度。管理制度包括但不限于:《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《机安全管理员岗位职责》、《信息系统安全培训管理》、《安全管理日常维护细则》、《安全审计管理制度》、《第三方人员管理制度》、《防病毒紧急响应流程》、《机房监控与管理流程》、《机房运行管理规范》、《服务器运维管理规范》、《软件开发环境使用管理要求》、《系统交付管理规范》、《资产安全管理规范》、《安全事件报告和处置管理规范》、《信息系统安全应急处理体系》、《人员安全管理规范》、《信息系统安全运维管理规范》……等。
7.策略复查:
(1)派遣专业工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
(2)复查范围包括:1)技术层面:物理安全、网络安全、主机安全、应用安全、数据安全;2)管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
(3)复查结束后,形成加固前后对比复查报告。
8.等保测评现场辅助:在服务期内,招标人如有申请测评,则必须协助测评方完成测评数据采集等工作,直至备案系统通过等级测评。
服务要求:
1.投标人或者所投服务厂商应具备等级保护建设的能力,具备公安部信息安全等级保护安全建设服务机构能力评估合格证;提供有效证明材料复印件并加盖投标单位公章。
2.投标人或者所投服务厂商应具备风险评估的能力,需具有信息安全服务资质认证证书(风险评估一级资质)、国家信息安全测评信息安全(风险评估二级);提供有效证明材料复印件并加盖投标单位公章。
3.投标人或者所投服务厂商应具备一定的应急响应能力,并能快速响应;投标人或者所投服务厂商需为省级或省级以上网络与信息安全信息通报中心技术支撑单位以及省级或省级以上网络安全应急服务支撑单位,提供有效证明材料复印件并加盖投标单位公章。
4.投标人或者所投服务厂商需具备完善的售后支撑服务体系,能够为招标人提供较好的信息安全服务、解决方案设计服务,需获得ISO20000服务管理体系认证证书,认证范围需覆盖“向外部客户提供整体安全解决方案、安全相关的SaaS及运营服务”,提供有效证明材料复印件并加盖投标单位公章。
5. 投标人或者所投服务厂商应具有WEB应用安全测试的能力,须为互联网安全研究中心应用安全联盟成员,提供有效证明材料复印件并加盖投标单位公章。
6.检测过程所采用服务工具如配置核查系统、漏洞扫描工具或远程安全评估系统应是投标人或者所投服务厂商自主开发,为了保证所使用的漏洞扫描工具不具有所有权和知识产权纠纷,需提供计算机软件著作权登记证书作为佐证。
其他要求:
(1)本项目最高控制价为人民币70000元,报价超过控制价的为废标。
(2)投标报价包含安装、运输、装卸、搬运、整理、卫生、税金等一切费用。
(3)按上表制作报价文件,需写清单价项目合计金额、总合计报价。材料及制作要求如与招标文件不符需在技术规格和商务偏离表注明差异。
七、结算及付款方式
中标人按招标人要求到货安装后,经检验合格,按中标价凭正式发票结算,招标人在一个月内以转账方式一次性支付全部货物款。中标人投标时缴交的投标保证金叁仟伍佰元整(¥3500元)一并一次性无息退还。
八、售后服务要求
投标人应对本次采购的货物按招标文件要求提供产品质量保证服务,确保提供的产品符合招标文件要求。
九、不正当竞争与纪律监督:
1.严禁投标人向参与招标、评标工作的有关人员行贿,使其泄露一切与招标、评标工作有关的信息。在招标、评标期间,不得邀请与招标、评标工作有关的人员到投标人单位参观考察或出席投标人主办或赞助的任何活动。
2.投标人在投标过程中严禁互相串通、结盟或以其他方式损害招标的公正性和竞争性,或以任何手段影响其他投标人参与正当投标。
3.如发现投标人有上述不正当竞争行为,将取消其投标资格或中标资格并没收其投标保证金。
十、开标时间、地点:
时间:将以短信形式另行通知,请投标企业派代表于指定时间到达开标现场,迟到视为放弃投标。
地点:第二会议室。
福建省邮电学校
2019年12月19日