一、工作背景
为积极贯彻落实2017年6月1日施行的《中华人民共和国网络安全法》,第二十一条规定“国家实行网络安全等级保护制度”,以及《关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等文件,做好信息系统安全防护工作。结合实际情况,汕尾市商务局(以下简称:我单位)依据信息安全技术 网络安全等级保护基本要求、信息安全风险评估等相关规范与标准的要求,对汕尾口岸物流协同平台实施网络安全等级保护测评,同时落实技术、管理两方面安全措施,综合提升信息系统的网络安全防御水平和人员安全管理水平,使其达到相应的安全等级保护级别要求。提高信息系统的安全防护能力,保障业务的安全性和可用性。
二、项目名称及概况
1、项目名称:汕尾市商务局汕尾口岸物流协同平台网络安全等级保护测评项目。
2、建设单位:汕尾市商务局。
3、采购内容:确定一家供应商,为采购人提供汕尾市商务局网络安全等级保护测评服务。
三、投标人的资格要求
1、投标人须是具有独立承担民事责任能力的,在中华人民共和国境内注册的法人(不接受联合体投标,须提交企业法人《营业执照》副本或注册登记证书副本复印件);
2、投标人具有“网络安全等级保护测评与检测评估机构服务认证证书”资质。
四、项目地点及服务期限
1、本项目服务期限为:壹年。
2、项目实施地点:汕尾市。
五、工作内容及工作需求
1、本项目需测评的信息系统清单:汕尾市商务局汕尾口岸物流协同平台
2、具体服务事项
1)差距测评
依据国家等级保护2.0的相关标准,结合汕尾口岸物流协同平台(被测信息系统)网络安全等级保护定级情况,制定汕尾口岸物流协同平台网络安全等级保护测评方案,对该信息系统涉及的机房、网络/安全设备、主机设备、应用系统、安全管理体系等进行开展网络安全等级保护差距测评,并提交不符合项表和整改建议。
2)漏洞检测
对汕尾口岸物流协同平台(被测信息系统)涉及的服务器、应用系统进行漏洞检测,列出对汕尾口岸物流协同平台中存在的主要问题以及可能造成的后果,并提出整改建议。
3)渗透测试
根据扫描结果进行漏洞分析及说明,对汕尾口岸物流协同平台(被测信息系统)开展渗透测试,进行弱口令测试及其他手工测试,并提交修复建议。
4)验收测评
我单位完成相关整改工作后,中标单位依据《信息安全技术 网络安全等级保护基本要求》及相关标准和要求进行网络安全等级保护验收测评工作,并按照等保2.0的相关要求出具《网络安全等级保护测评报告》。
六、项目目标
以信息安全技术 网络安全等级保护基本要求为依据,选择一家测评机构对我单位本次“汕尾口岸物流协同平台”项目进行网络安全等级保护测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式,分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析列表;并为确立安全策略、制定安全规划、开展安全建设提供整改建议;协助我单位完成本次项目网络安全等级保护验收测评工作,提交网络安全等级保护测评报告。
具体目标如下:
(1)依据《信息安全技术网络安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求,对需定级的系统进行等级保护基本要求符合性的调查,采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析报告;
(2)依据信息安全技术 网络安全等级保护基本要求应达到的防护,结合信息系统等级保护差距分析结果,对在技术、管理层面不符合等级保护标准要求的环节,采取适当的纠正措施,以达到等级保护基本要求为目的,设计信息系统等级保护体系建设方案,为后续信息系统的信息安全等级保护安全建设提供依据;
(3)依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题,确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求,能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在第一时间恢复部分功能。
七、中标方式
成交供应商的评定规则: 本项目采用直接选取方式, 以符合资质要求的供应商中报名来确定项目的服务商。
