一、招标内容
(一)项目概况
1、项目名称:2023年艺术与传媒学院二级等保测评项目(虚拟仿真实验项目)
2、项目工期: 合同签订后60个日历日内完成要求的等级保护测评(2级)工作和安全整改建设方案,2023年6月20日前协助湖北商贸学院艺术与传媒学院获取湖北省公安厅等保办出具的备案证书。
(二)项目需求
1 |
湖北商贸学院艺术与传媒学院虚拟仿真实验教学课程 |
按照等保2.0的标准完成湖北商贸学院艺术与传媒学院要求的虚拟仿真实验教学课程系统测评。根据相关文件及标准要求,对湖北商贸学院艺术与传媒学院需要进行测评的虚拟仿真实验教学课程实施网络安全等级保护定级、备案、测评、协助整改等工作,根据“关于传发《信息安全等级保护测评报告模版(2015年版)》的通知(公信安[2014]2866号)”文件的精神,出具符合格式要求的等级测评报告。
1、工作内容
1.1定级备案服务
协助湖北商贸学院艺术与传媒学院对需要进行测评的信息系统进行定级、备案材料的编写,协助采购方到湖北省公安厅办理备案手续,确保信息系统安全保护等级定级准确、备案完整。
1.2信息系统安全等级保护测评服务
依据《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019、《信息安全技术 网络安全等级保护测评要求》GB/T8448-2019、《信息安全技术 网络安全等级保护安全设计技术要求》GB/T25070-2019、《信息安全技术 网络安全等级保护测评过程指南》GB/T28449-2018等标准的要求,对湖北商贸学院需要进行测评的信息系统进行等级测评,出具符合国家网络安全等级保护格式要求的等级测评报告。测评范围为项目目标所涉及的机房基础设施、网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。
1.3安全整改建设方案编制
安全整改建设方案应严格依据《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全保护实施指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求制定《湖北商贸学院信息系统安全整改建设方案》,并在后续提供安全整改咨询服务,协助客户完善信息系统的安全防护措施,使系统达到等级保护相应级别的相关要求。
1.4二次测评
采购方完成信息系统安全整改后,对整改后的信息系统进行复测,出具正式的测评报告,送公安部门办理备案手续。
1.5标准和规范
《GB 17859—1999 计算机信息系统 安全等级保护划分准则》
《GBT 20269—2006 信息安全技术 信息系统安全管理要求》
《GBT 20271—2006 信息安全技术 网络系统安全通用技术要求》
《GBT 20272—2006 信息安全技术 操作系统安全技术要求》
《GBT 20273—2006 信息安全技术 数据库管理系统安全技术要求》
《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》
《GBT 22239—2019 信息安全技术 网络安全等级保护基本要求》
《GB/T25070—2019 信息安全技术 网络安全等级保护设计技术要求》
《GB/T28448—2019 信息安全技术 网络安全等级保护测评要求》
《信息安全等级保护备案实施细则》(公信安[2007]1360 号)
《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》
《GB-T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》
《公通字[2007]43号 信息安全等级保护管理办法》
1.6整体要求
(1)投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(2)投标人应完成信息系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作。
(3)投标人应详细描述测评人员的组成、资质(★投标人参与测评人员不少于4人,必须提供高级测师资质证明或CISP证书种类含盖CISO、CISE和CISP-PTE等)。应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(4)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在信息系统等级保护测评中使用。
(5)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供,投标人应详细描述需要的运行环境的具体要求。
(6)投标人应提供本次信息系统安全等级保护整改的整体实施方案,包括项目时间安排、阶段性文档提交等,并负责实施整改。
(7)供应商测评后输出的整改方案应按照湖北商贸学院的实际情况和要求给出合理的整改建议。
1.7专用工具要求
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。
1.8安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
(1)等级保护测评前
1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
2)签订安全保密协议。
(2)等级保护测评中
1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
4)对测评设备、介质进行严格的保密管理;
5)工作过程中对人员要实施封闭式集中管理;
6)对进场人员遵守被测单位的相关管理规定。
(3)等级保护测评后
1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可执行程序;
3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
1.9售后服务
项目验收后免费提供两年的安全服务,包括网站安全防护、漏洞修复、网络优化、配置加固、安全建设方案编写、安全管理制度完善、安全培训等安全咨询服务。测评机构必须提供7X24小时应急服务工作,特殊重大事件发生,需要2小时到现场进行支撑。
2、整改实施内容
投标方严格按照差距分析报告内容,落实相关的等级保护建设整改工作,等级保护整改实施具体内容包括安全管理制度修订、安全技术整改、形成安全配置基线、进行安全增强配置和调试工作、实施等保相关培训、安全风险管理工作落实等工作内容,提升信息系统的安全防护能力,确保信息系统满足国家等级保护相应等级要求。
3、汇总项目材料并验收
投标方对整改后的内容进行最终确认,并汇总信息系统等级保护测评报告,完成公安机关的材料报备,取得信息系统备案证明。
投标方汇总等级保护测评阶段性文档(不限于定级备案材料、差距分析报告、整改实施方案、测评报告、备案证明等),保证通过评审及验收。
二、投标资质
1、供应商应具备《政府采购法》第二十二条第一款规定的条件,提供下列材料:
(1)法人或者其他组织的营业执照等证明文件,如供应商是自然人的提供身份证明材料;
(2)财务状况报告,依法缴纳税收和社会保障资金的相关材料;
(3)具备履行合同所必需的设备和专业技术能力的证明材料;
(4)参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明;
(5)具备法律、行政法规规定的其他条件的证明材料。
2、未被列入“信用中国”、“中国政府采购网”失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的网页打印件。
3、具有公安部第三研究所(国家认证认可委员会批准的认证机构)认证发放的《网络安全等级测评与检测评估机构服务认证证书》。
4、投标人须具有本地化服务能力,如为异地机构在参与本项目过程中严格落实异地测评备案手续,必须提供省级网络安全等级保护领导小组办公室出具盖章版的《等级测评机构异地测评项目备案表》,本地化分支机构证明材料和本地化常驻人员近一年的社保证明。
三、报名资料
报名资料须载明如下内容(包含但不仅限于):
1.公司简介;
2.公司营业执照;
3.相关资质证明文件;
4.相关案例;
5.近两年度财务报表。
四、报名资料递交及咨询
1.报名资料须盖公章后扫描为PDF格式电子档发送至邮箱:hbsmzcc@163.com(邮件请注明参标项目名称,公司名称,联系人和联系方式),报名截止日期2023年6月12日;
2.咨询电话:艺术与传媒学院办公室王老师027-87786865(工作日)。
