《医院网络安全等级保2.0系统测评招标文件.docx》由会员分享,可在线阅读,更多相关《医院网络安全等级保2.0系统测评招标文件.docx(76页珍藏版)》请在课桌文档上搜索。
1、公开招标采购文件项目名称:网络安全等级保2.0系统测评第一章招标公告3供应商须知前附表5第二章采购内容及需求9第三章供应商须知20第四章评标办法32第五章采购合同38第六章投标文件格式38第一章招标公告项目概况浙江医院网络安全等级保2.0系统测评招标项目的潜在投标人应在政府采购云平台()获取(下载)招标文件,并于2023年6月27日14:00(北京时间)前递交(上传)投标文件。一、项目基本情况项目编号:ZJ-2331380-01项目名称:浙江医院网络安全等级保2.0系统测评预算金额(元):175000最高限价(元):175000采购需求:标项一:标项名称:网络安全等级保2.0系统测评数量:1项
2、预算金额(元):175000简要规格描述或项目基本概况介绍、用途:网络安全等级保2.0系统测评建设备注:/合同履约期限:按采购文件要求本项目(是)接受联合体投标。二、申请人的资格要求:1 .满足中华人民共和国政府采购法第二十二条规定:未被信用中国()、中国政府采购网(WWW)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。2 .落实政府采购政策需满足的资格要求:供应商为中小企业/小微企业,本项目专门面向中小企业采购(监狱企业及残疾人福利性单位视同小型、微型企业)。3 .本项目的特定资格要求:无。三、获取招标文件时间:/至2023年6月27日,每天上午00:00至
3、12:00,下午12:00至23:59(北京时间,线上获取法定节假日均可,线下获取文件法定节假日除外)地点(网址):政府采购云平台(WWW)方式:在线获取售价(元):0四、提交投标文件截止时间、开标时间和地点提交投标文件截止时间:2023年6月27日14:00(北京时间)投标地点(网址):线上(政府采购云平台()开标时间:2023年6月27日14:00(北京时间)开标地点(网址):线上(政府采购云平台()五、公告期限自本公告发布之日起5个工作日。六、其他补充事宜1 .浙江省财政厅关于进一步发挥政府采购政策功能全力推动经济稳进提质的通知(浙财采监(2022)3号)、浙江省财政厅关于进一步促进政府
4、采购公平竞争打造最优营商环境的通知(浙财采监(2021)22号)已分别于2022年1月29日和2022年2月1日开始实施,此前有关规定与上述文件内容不一致的,按上述文件要求执行。2 .根据浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知(浙财采监(2021)22号)文件关于“健全行政裁决机制”要求,鼓励供应商在线提起询问,路径为:政采云-项目采购-询问质疑投诉-询问列表:鼓励供应商在线提起质疑,路径为:政采云-项目采购-询问质疑投诉-质疑列表。质疑供应商对在线质疑答复不满意的,可在线提起投诉,路径为:浙江政府服务网-政府采购投诉处理-在线办理。3 .供应商认为采购文件使自己的权
5、益受到损害的,可以自获取采购文件之日或者采购公告期限届满之日(公告期限届满后获取采购文件的,以公告期限届满之日为准)起7个工作日内,对采购文件需求的以书面形式向采购人提出质疑,对其他内容的以书面形式向采购人和采购代理机构提出质疑。质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的,可以在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。质疑函范本、投诉书范本请到浙江政府采购网下载专区下载。4 .其他事项:(1)采购项目需要落实的政府采购政策:政府采购促进中小企业发展管理办法(财库(2020)46号)、关于促进残疾人就业政府采购政策的通知(财库(
6、2017)141号)、关于政府采购支持监狱企业发展有关问题的通知(财库201468号)、关于调整优化节能产品环境标志产品政府采购执行机制的通知(财库20199号)。(2)根据浙江省财政厅关于规范政府采购供应商资格设定及资格审查的通知(浙财采监201324号)第6条规定接受金融、保险、通讯等特定行业的全国性企业所设立的区域性分支机构,以及个体工商户、个人独资企业、合伙企业,且己经依法办理了工商、税务和社保登记手续,并且获得总机构授权或能够提供房产权证或其他有效财产证明材料,证明其具备实际承担责任的能力和法定的缔结合同能力。(3)单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参
7、加同一合同项下的投标。(4)为项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得参加该项目的投标。(5)本项目采购文件公告期限为本公告发布之日起5个工作日。七、对本次采购提出询问、质疑、投诉,请按以下方式联系供应商须知前附表序号名称内容1采购人2采购代理机构3踏勘现场自行踏勘5资金来源己落实6环境标志产品节能产品(1)严格执行财政部发展改革委生态环境部市场监管总局关于调整优化节能产品、环境标志产品政府采购执行机制的通知(财库(2019)9号)。(2)采购人拟采购的产品属于品目清单范围的,采购人及其委托的采购代理机构将依据国家确定的认证机构出具的、处于有效期之内的节能产品、环
8、境标志产品认证证书,对获得证书的产品实施政府优先采购或强制采购。供应商须按采购文件要求提供相关产品认证证书。(3)采购人拟采购的产品属于政府强制采购的节能产品品目清单范围的,供应商未按采购文件要求提供国家确定的认证机构出具的、处于有效期之内的节能产品认证证书,投标无效。(4)属于政府优先采购产品类别的,须按照要求提供依据国家确定的认证机构出具的、处于有效期之内的节能产品或环境标志产品认证证书,否则不予认定。口适用G)不适用7投标产品主体口适用不适用8投标保证金口适用GI不适用9投标文件有效期自投标截止时间起90天10投标截止时间按“招标公告”规定11投标地点按“招标公告”规定12开标时间和地点
9、按“招标公告”规定13投标答疑供应商如认为采购文件表述不清晰的,请于2023年6月12017:00之前将疑问发送至该电子邮件(邮箱)。答疑回复内容是采购文件的组成部份,并将以更正公告的形式在本采购公告发布的同一媒体发布,请供应商密切关注更正公告。14采购文件的澄清与修改采购人或者采购代理机构可以对己发出的采购文件进行必要的澄清或者修改。澄清或者修改的内容可能影响投标文件编制的,采购人或者采购代理机构应当在投标截止时间至少15日前,将以更正公告的形式在采购公告发布的同一媒体发布。采购文件的修改和澄清(答疑)答复的文件作为采购文件的补充和组成部分,对所有供应商均有约束力。若后续仍有更正内容,将继续
10、以更正公告形式在本网站发布,请供应商密切关注更正公告。15投标文件形式本项目实行电子投标。供应商应准备2种形式的投标文件:电子加密投标文件、以介质存储的数据电文形式的备份投标文件。(1)电子加密投标文件:投标文件制作完成并生成加密文件,在投标截止时间前,供应商需将加密的投标文件上传至浙江政府采购网,到达开标时间后,供应商自行解密。(具体操作指南:详见政采云平台“服务中心-帮助文档-项目采购-操作流程-电子招投标-政府采购项目电子交易管理操作指南-供应商”。)供应商未能在投标截止时间前成功上传电子加密投标文件的投标无效。(2)备份投标文件:投标截止时间前,供应商应将备份投标文件递交至,以便电子加
11、密投标文件解密异常时应急使用。备份投标文件递交要求:供应商须将备份投标文件以U盘形式单独放在密封袋中,密封后并在密封袋上注明投标项目名称、投标单位名称并加盖公章。未密封包装或者逾期送达的“备份投标文件”将不予接收。供应商若选择非开标当天递交,请确保在2023年6月26日17:00之前,将备份投标文件通过快递形式或直接送达采购代理机构处,以便标书解密异常时应急使用(地址:)16询标澄清在评标过程中,如评审小组对投标文件有疑问,由评审组长或代理机构代为将问题汇总后发起询标澄清函,供应商应在规定截止时间前回复相关内容并提交。17质疑根据中华人民共和国政府采购法第五十二条的规定,供应商认为采购文件、采
12、购过程和中标、成交结果使自己的权益受到损害的,可以在知道或者应知其权益受到损害之日起七个工作日内,以书面形式向采购人、采购代理机构提出质疑。政府采购法第五十二条规定的供应商应知其权益受到损害之日,是指:对可以质疑的采购文件提出质疑的,为收到采购文件之日或者采购文件公告期限届满之日;(二)对采购过程提出质疑的,为各采购程序环节结束之日;(三)对中标或者成交结果提出质疑的,为中标或者成交结果公告期限届满之日。根据政府采购质疑和投诉办法第十三条,采购人、采购代理机构不得拒收质疑供应商在法定质疑期内发出的质疑函,应当在收到质疑函后7个工作日内作出答复,并以书面形式通知质疑供应商和其他有关供应商。18投
13、诉根据中华人民共和国政府采购法第五十五条的规定,质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的,可以在答复期满后十五个工作口内向同级政府采购监督管理部门投诉。19样品Ql不要求20演示M不要求21支持中小企业1.说明(1)中小企业中小企业是指在中华人民共和国境内依法设立,依据国务院批准的中小企业划分标准确定的中型企业、小型企业和微型企业,但与大企业的负责人为同一人,或者与大企业存在直接控股、管理关系的除外。符合中小企业划分标准的个体工商户,在政府采购活动中视同中小企业。在政府采购活动中,供应商提供的货物、工程或者服务符合下列情形的,享受本办法规定
14、的中小企业扶持政策:(一)在货物采购项目中,货物由中小企业制造,即货物由中小企业生产且使用该中小企业商号或者注册商标;(二)在工程采购项目中,工程由中小企业承建,即工程施工单位为中小企业;(三)在服务采购项目中,服务由中小企业承接,即提供服务的人员为中小企业依照中华人民共和国劳动合同法订立劳动合同的从业人员。在货物采购项目中,供应商提供的货物既有中小企业制造货物,也有大型企业制造货物的,不享受本办法规定的中小企业扶持政策。以联合体形式参加政府采购活动,联合体各方均为中小企业的,联合体视同中小企业。其中,联合体各方均为小微企业的,联合体视同小微企业。投标文件中须同时出具政府采购促进中小企业发展管
15、理办法【财库(2020)46号】规定的中小企业声明函,否则不得享受价格扣除。(2)残疾人福利性单位符合关于促进残疾人就业政府采购政策的通知(财库(2017)141号)规定的条件并提供提供残疾人福利性单位声明函的残疾人福利性单位视同小型、微型企业;(3)监狱企业根据关于政府采购支持监狱企业发展有关问题的通知(财库201468号)的规定,供应商提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业证明文件的,视同为小型和微型企业。2 .价格扣除:本项目对符合规定的小微企业(含小型企业)报价给予10%的扣除。3 .本项目采购标的为:网络安全等级保2.O系统测评4 .所属行业为:
16、其他未列明行业22联合体和分包(1)对于联合协议约定小微企业(货物由小微企业制造)的合同份额占到合同总金额30%以上的,其报价给予4%的扣除,用扣除后的价格参加评审。组成联合体的小微企业与联合体内其他企业之间存在直接控股、管理关系的,不享受价格扣除优惠政策。(2)对于分包意向协议约定小微企业(货物由小微企业制造)的合同份额占到合同总金额30%以上的,其报价给予4%的扣除,用扣除后的价格参加评审。接受分包的小微企业与分包企业之间存在直接控股、管理关系的,不享受价格扣除优惠政策。23联合体投标说明(1)以联合体形式投标的,联合体各方的业绩证明材料均认可。(2)以联合体形式投标的,联合体中有一方或者
17、联合体成员根据分工按采购文件评标细则要求提供材料的,视为符合评审要求。24其他(1)采购文件中凡标注“”的条款均为实质性要求,不响应的投标文件将作无效标处理。(2)供应商未上传电子加密投标文件,其投标无效。(3)供应商上传了电子加密投标文件,未提供备份投标文件,解密出现问题后,由此导致对该供应商投标无法评审的,其后果由该供应商自行承担。(4)各供应商自行在浙江政府采购网下载或查阅采购文件和相关更正公告等,不另行通知,如有遗漏采购人、采购代理机构概不负责。(5)两家或两家以上供应商提供的投标文件出自同一终端设备的,或在相同Internet主机分配地址(相同IP地址)报名或网上投标的,后果由供应商
18、自行承担。第二章采购内容及需求一、概述供应商应根据采购文件所提出的货物技术规格和服务要求,综合考虑货物的适应性,选择具有最佳性能价格比的货物前来投标。希望供应商以优良的产品、服务和优惠的价格参与竞争。二、项目概况1、项目背景为贯彻落实国家信息安全等级保护制度,进一步完善浙江医院信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高浙江医院系统信息安全防护能力,同时加强对浙江医院信息系统安全的指导和检查工作,特拟请独立、专业的第三方测评机构对浙江医院信息系统进行等级保护测评服务。2、项目依据投标供应商应依据国家等级保护相关标准开展工作,依据标准
19、(包括但不限于)如下国家标准:GB/T22239-2019:信息安全技术网络安全等级保护基本要求GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T28448-2019:信息安全技术网络安全等级保护测评要求GB/T28449-2018:信息安全技术网络安全等级保护测评过程指南GB/T25058-2019信息安全技术网络安全等级保护实施指南3、项目建设必要性信息安全等级保护管理办法规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法
20、人和其他组织的合法权益的危害程度等因素确定。4、项目原则本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标供应商的责任。标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。规范性原则:投标供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。最小影响原则
21、:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。三、招标技术要求1、测评系统清单依据相关技术规范,对现有的2个三级系统、2个二级系统进行等级保护测评工作。具体测评系统名称及等级见下表:序号系统名称系统等级1医院门户网站二级2内部办公系统二级3基础支撑系统三级4面向患者服务系统三级2、服务内容通过等级保护测评应全面分析应用系统的安全保护措施与等级保护相应级别之间的差距,进行合规性分析,为系统等级保护加固整改提供客观依据,测评的内容包括但不限于以下内容:一是安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、
22、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)。二是现场测评完成后的整改建议服务。具体如下:(1)安全物理环境安全物理环境测评主要关注机房在物理位置选择、物理访问控制、供电等方面的安全保护能力,具体测评指标描述如下表所示。序号安全子类测评指标描述1物理位置的选择测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。2物理访问控制测评信息系统在物理访问控制方面的安全保护能力。3防盗窃和防破坏测评信息系统是否采取了必要的安全措施预防设备、介质等丢失和被破坏。4防雷击测评信息系统是否采取相应的措施预防雷击。5防火测评信息系统是否采取必要的措施防
23、止火灾的发生6防水和防潮测评信息系统是否采取必要措施来防止水灾和机房潮湿。7防静电测评信息系统是否采取必要措施防止静电的产生。8温湿度控制测评信息系统是否采取必要措施对机房内的温湿度进行控制。9电力供应测评是否具备为信息系统提供一定电力供应的能力。10电磁防护测评信息系统是否具备一定的电磁防护能力。(2)安全通信网络安全通信网络测评主要关注网络架构、通信传输、可信验证3方面的安全保护能力,具体测评指标描述如下表所示。序号安全子类测评指标描述1网络架构通过访谈网络管理员,检查网络设计/验收文档,检查网络拓扑图、检查交换机等网络互联设备,测试系统网络拓扑结构,访问路径,路由控制策略和网络带宽分配情
24、况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。2通信传输检查是否提供密码技术的设备或组件,核查是否能够保证通信过程的保密性和完整性。3可信验证检查是否提供可信验证的设备或组件,检查相关设备或组件是否实现可信验证,并在可信性受到破坏后进行报警。(3)安全区域边界主要涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证6个个方面的安全保护能力,具体的测评指标描述如下表所示。序号安全子类测评指标描述1边界防护访谈网络管理员,查看网络拓扑和实际部署情况,是否通过边界设备的受控接口进行通信,是否部署终端管理系统对非法内外联行为进行检查或限制,是否对无线网络的使
25、用进行限制等2访问控制访谈网络管理员,查看网络拓扑和实际部署情况,是否部署了访问控制设备,检查访问控制规则配置情况。3入侵防范访谈网络管理员,查看网络拓扑和实际部署情况,是否部署了入侵防范产品,核查产品运行情况和检测库更新情况,核查能够检测的攻击类型、范围等。4恶意代码和垃圾邮件防范访谈网络管理员,查看网络拓扑和实际部署情况,是否部署了网络层的防恶意代码产品,核查产品运行情况和恶意代码库更新情况;是否部署了防垃圾邮件产品,核查产品运行情况和规则库更新情况。5安全审计访谈网络管理员,查看网络拓扑和实际部署情况,是否部署了综合安全审计系统或类似功能的系统平台,安全审计范围是否覆盖到每个用户,审计记
26、录是否充分完整,是否对审计记录进行保护。6可信验证检查是否提供可信验证的设备或组件,检查相关设备或组件是否实现可信验证,并在可信性受到破坏后进行报警。(4)安全计算环境安全计算环境主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、通信完整性、通信保密性、数据备份恢复、剩余信息保护以及个人信息保护11个方面的安全保护能力,具体的测评指标描述如下表所示。序号安全子类测评指标描述1身份鉴别检查终端和服务器的操作系统(宿主机和虚拟操作系统)、移动终端管理系统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感知节点设备、网关节点设备和控制设备等,核查身份标识与鉴别功能设
27、置和使用配置情况,核查对用户登录各种情况的处理,如登录失败处理、登录连接超时等。2访问控制检查终端和服务器的操作系统(宿主机和虚拟操作系统)、移动终端管理系统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感知节点设备、网关节点设备和控制设备等,核查访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。3安全审计检查终端和服务器的操作系统(宿主机和虚拟操作系统)、移动终端管理系统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感知节点设备、网关节点设备和控制设备等,是否启用安全审计功能,安全审计范围是否覆盖到每个用户,审计记录是否充分完整,是否对审计记录
28、和审计进程进行保护。4入侵防范检查终端和服务器的操作系统(宿主机和虚拟操作系统)、移动终端管理系统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感知节点设备、网关节点设备和控制设备等,是否遵循最小安装原则,是否关闭不必要的服务和端口,是否限制管理方式和管理地址,是否采取入侵防范措施等。5恶意代码防范检查终端和服务器的操作系统、移动终端管理系统、控制设备等是否安装了防恶意代码软件或相应功能的软件,是否定期升级恶意代码库。6可信验证检查是否提供可信验证的设备或组件,检查相关设备或组件是否实现可信验证,并在可信性受到破坏后进行报警。7数据完整性检查业务应用系统、数据库管理系统、中间件和
29、系统管理软件及系统设计文档等,核查重要数据在传输和存储过程中完整性保护情况。8数据保密性检查业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等,核查重要数据在传输和存储过程中保密性保护情况。9数据备份恢复检查数据备份情况,如备份方式、备份策略、异地备份等;检查重要数据处理系统的冗余情况。10剩余信息保护检查操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档,核查鉴别信息和敏感数据所在的存储空间被释放或重新分配前是否得到完全清除。(5)安全管理中心安全管理中心测评将通过访谈和检查的方式评测集中安全管理系统的情况。在内容上,安全管理中心测评实施过程涉及4个方
30、面,具体的测评指标描述如下表所示。序号安全子类测评指标描述1系统管理检查安全管理中心的身份鉴别和口志记录情况,检查是否对系统管理的操作进行审计,是否只允许系统管理员进行系统管理操作。2审计管理检查安全管理中心的身份鉴别和日志记录情况,检查是否对安全审计操作进行审计,是否只允许审计管理员进行安全审计操作。3安全管理检查安全管理中心的身份鉴别和日志记录情况,检查是否通过安全管理员对系统中的安全策略进行配置。4集中管控检查安全管理中心及部署情况,是否对各类设备运行状况进行集中监测,是否对各类设备的审计数据进行集中收集和分析,是滞对安全策略、恶意代码、补丁升级等事项进行集中管理。(6)安全管理制度安全
31、管理制度测评主要关注安全策略、理制度体系、制定与发布以及评审和修订4个方面,具体测评指标描述如下表所示。序号安全子类测评指标描述1安全策略主要核查:总体方针策略类文件2管理制度主要核查:各类安全管理制度及操作手册的制定情况。3制定和发布主要核查:管理制度的制定与发布流程。4评审和修订主要核查:管理制度的评审和修订流程。(7)安全管理机构测评安全管理机构测评主要涉及安全主管、相关管理制度以及相关工作/会议记录等测评对象。安全管理机构测评主要关注岗位设置、人员配备、授权和审批等5个方面,具体测评指标描述如下表所示。序号安全子类测评指标描述1岗位设置主要核查:各类安全管理制度及操作手册的制定情况。2
32、人员配备主要核查:管理制度的制定与发布流程。3授权和审批主要核查:管理制度的评审和修订流程。4沟通与合作主要核查:各类安全管理制度及操作手册的制定情况。5审核与检查主要核查:管理制度的制定与发布流程。(8)安全管理人员测评安全管理人员测评实施过程涉及人员录用、人员离岗、人员考核等4方面,具体测评指标描述如下表所示。序号安全子类测评指标描述1人员录用主要核查:人员录用的标准与流程。2人员离岗主要核查:人员离岗的流程。3安全意识教育和培训主要核查:安全意识教育和培训的计划与安排、安全责任的惩罚措施情况。4外部人员访问管理主要核查:外部人员访问重要区域的控制手段。(9)安全建设管理测评安全建设管理测
33、评涉及系统定级、安全方案设计和产品采购和使用等10方面,具体测评指标描述如下表所示。序号安全子类测评指标描述1系统定级通过访谈安全主管,检查系统定级相关文档等过程,测评信息系统是否按照一定要求确定其等级。2安全方案设计通过访谈系统建设负责人,检查系统安全建设计划等文档,测评被测评单位对系统整体的安全规划设计是否按照一定流程进行。3产品采购和使用通过访谈安全主管、系统建设负责人,检查相关采购制度等过程,测评被测评单位是否按照一定的要求进行信息系统的产品采购。4自行软件开发通过访谈系统建设负责人,检查相关软件开发文档和管理制度文档,测评被测评单位对自行开发的软件是否采取必要的措施保证开发过程的安全
34、性。5外包软件开发通过访谈系统建设负责人,检查相关文档,测评被测评单位对外包开发的软件是否采取必要的措施保证开发过程和日后的维护工作能够正常开展。6工程实施通过访谈系统建设负责人,检查相关制度文档和实施文档,测评被测评单位对系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。7测试验收通过访谈系统建设负责人,检查相关制度文档和测试验收文档,测评被测评单位在信息系统运行前是否对其进行测试验收工作。8系统交付通过访谈系统运维负责人,检查系统交付清单和系统交付管理制度等过程,测评被测评单位是否采取必要的措施对系统交付过程进行有效控制。9等级测评通过访谈系统运维负责人,检查相关报告和记录文
35、件,测评被测评单位是否定期进行等级测评,选择的测评机构是滞符合国家有关规定等。10安全服务商选择通过访谈系统运维负责人,测评被测评单位是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。(IO)安全运维管理测评安全运维管理测评主要涉及安全主管、各类运维人员、各类管理制度、操作规程文件和执行过程记录等测评对象。安全运维管理测评主要关注环境管理、资产管理和介质管理等14方面,具体测评指标描述如下表所示。序号安全子类测评指标描述1环境管理通过访谈安全物理环境负责人,检查主机房安全管理制度和办公环境管理文档等过程,测评被测评单位是否采取必要的措施对主机房的出入控制和办公环境的人员行为等方面进
36、行安全管理。2资产管理通过访谈资产管理员,检查资产清单和系统、网络设备等过程,测评被测评单位是否采取必要的措施对信息系统资产进行分类标识管理。3介质管理通过访谈资产管理员,检查介质管理记录、介质安全管理制度以及各类介质等过程,测评被测评单位是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。4设备维护管理通过访谈资产管理员、系统管理员,检查设备使用管理文档和设备操作规程等过程,测评被测评单位是否采取必要的措施确保设备在使用、维护和销毁等过程安全。5漏洞和风险管理通过访谈系统运维负责人,检查安全报告或记录,测评被测评单位是否采取必要的措施对漏洞进行识别和修补.6网络和系统安全管理通
37、过访谈安全主管、系统管理员、网络管理员,检查各管理员角色分工情况及权限,查看网络和系统安全管理制度,是否覆盖安全策略、帐户管理、权限审批和分配、配置文件的生成及备份、变更审批、日志管理等内容。7恶意代码防护管理通过访谈系统运维负责人,检查恶意代码防范管理制度和恶意代码检测、分析记录等过程,测评被测评单位是否采取必要的措施对恶意代码进行集中管理,确保信息系统具有恶意代码防范能力。8配置管理通过访谈系统管理员,检查基本配置信息保存情况,检查配置变更流程记录文件。9密码管理通过访谈安全员,检查密码管理制度等过程,测评被测评单位是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。IO变更管
38、理通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评被测评单位是否采取必要的措施对系统发生的变更进行有效管理。11备份和恢复管理通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评被测评单位是否采取必要的措施对数据、设备和系统进行备份,并确保必要时能够对信息系统进行有效地恢复。12安全事件处置通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处置管理制度等过程,测评被测评单位是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。13应急预案管理通过访谈系统运维负责人,检查应急响应预案文档,应急预案培训记录等过程,测评被测
39、评单位是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。14外包运维管理通过访谈运维负责人,检查是否有外包运维服务情况;检查外包运维服务单位是否符合国家有关规定,检查外包运维服务协议等。3、测评方法测评方法必须符合GB/T28448-2019信息系统安全等级保护测评要求,满足国家等级保护备案相关标准规范,在开展等级测评工作时,从管理和技术两个层面,通过多种方法来采集测评证据,以确定被测系统与基本要求之间的符合性。采集测评证据的方式分为“人员访谈”、“文件审核”、“现场观察”、“技术测试”等手段。人员访谈:测评人员与被测单位信息技术人员进行面谈,测评人员可以了解其职责
40、范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。文件检查:测评人员对被测单位与信息安全管理活动相关的所有文件进行审查,包括安全方针和目标、程序文件、作业指导文件和记录文件等。现场观察:测评人员通过到现场参观,观察并获取关于被测系统现场的物理环境、信息系统的安全操作和各类安全管理活动的第一手资料0技术测试:测评人员通过对测评对象采用各种技术手段,获得被测系统在技术性控制的效力及符合性方面的证据。这些技术性措施包括:自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。本次等级保护测评实施过程中所使用到的各种工具软件由供应商推荐,经采购人确认后由供应商提供并在测评中使用。供应商应
41、详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。等级保护测评应有详细的实施方案和严格的操作步骤,采取的措施应是经过测试、稳定可靠的。安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由供应商推荐,经采购人和采购人确认后由供应商提供并在测评中使用。安全测评需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。4、网络安全等级测评报告等要求(1)投标供应商应对采购人的信息系统进行等级保护测评,形成相应的测评报告;(2)投标供应商在测评后出具符合公
42、安主管部门要求的系统安全保护等级测评报告;(3)对上述系统不符合信息安全等级保护有关管理规范和技术标准的,投标供应商出具可行的整改建议方案,并为采购人提供整改咨询服务;(4)投标供应商协助采购人完成信息系统安全保护等级测评的相关备案手续。四、商务要求(一)工期要求:要求签订合同后10天内进场测评。(二)交货地点:采购单位指定地点。(三)付款方式:合同签订生效后30个工作日,支付50%,乙方提交测评报告后,30个工作日内,支付50%;(四)服务要求:(1)本次等级保护测评的招标要求1、投标供应商应提交本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设
43、备清单、时间安排、阶段性文档提交和验收标准等。2、投标人应详细描述测评人员的组成、资质及各自职责的划分。承担本次项目的项目总负责人必须具有10年以上的测评工作经验,且具有高级测评师、软件性能测试高级工程师、商用密码应用安全性评估人员、云计算技术和标准培训合格等证书,项目实施过程中的所有参与人员都必须具有大型复杂测评项目的实施经验,确保项目的顺利实施。在投标文件中提供相应的资格证书复印件。4、项目实施过程中所使用到的测评工具,应包括国密局认可的密码专用检测工具、漏洞扫描工具、基于TLV编码的数字证书数据格式合规性分析检测系统等获得许可的检测工具,对系统数据进行分析,并以分析结果辅证评估报告。5、
44、为保证被测评系统的安全,项目实施单位如具有自主研发的测评数据采集辅助工具,则提供自主知识产权证明文件。6、安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。7、安全测评需要的运行环境(如场地、网络环境等)由采购人提供,投标供应商应详细描述需要的运行环境的具体要求。(2)本次等级保护测评实施要求1、实施方应根据采购方工作需求、进度要求、实际情况进一步完善信息系统整体测评实施方案,对项目目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,并通过采购方审核,以确
45、保项目实施按时保质的完成;2、实施方在项目实施过程中应服从采购方的统一领导和协调,采购方有权裁决实施方的责任范围,实施方必须执行,在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容,采购方有权中止项目、索赔或拒付款项;3、实施过程中形成的阶段性成果文件须指定相关责任人,明确相关职责;(3)项目服务承诺1、投标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。2、保密性要求:投标供应商必须和采购人签订保密协议和非侵害性协议,投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签定时一并提供给采购人。3、投标供应商具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,投标供应商不得带离该地点。4、投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标供应商中标与否,其对上述内容的保密责任将长期存在。5、等级保护测评的品质保证:投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。(五)项目培训要求:1、投标人须提出详细的项目