《XX省XX局第三方网络与信息安全服务项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX省XX局第三方网络与信息安全服务项目采购需求.docx(8页珍藏版)》请在课桌文档上搜索。
1、XX省XX局第三方网络与信息安全服务项目采购需求一、等级保护测评服务(一)业务系统清单序号系统名称1XX省食品药品安全监管大数 据项目XX省食品安全监管与社会共 治系统(一期)项目)(含药械 综合监管系统、考试系统、监管 辅助、特药监管系统)2XX省XX局网站等级(测评或评 估)数量(系统数)三级(等级测评)2二级(风险评估)1(二)等级保护测评服务依据标准供应商需依据国家等级保护相关标准开展工作。GB/T17859-1999计算机信息系统安全保护等级划分准则GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求
2、GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T28449-2018信息安全技术网络安全等级保护测评过程指南信息安全等级保护管理办法(公通字(2007)43号)测评要求需符合国家最新要求(三)技术服务内容1 .信息系统评估与测评服务通过风险评估、安全扫描、渗透测试、现场访谈和资料查阅等测评手段,准确了解采购人待测信息系统的安全防护能力现状,对发现的问题进行深入分析,提出安全整改建议,最终出具信息系统等级保护测评报告和安全风险评估报告。2 .等级保护测评服务内容根据国家等级保护相关标准,供应商对采购人信息
3、系统安全等级保护测评的内容包括:序号测评内容1技术测评(1)安全物理环境(物理位置选择,物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,防静电,温湿度控制,电力供应,电磁防护);(2)安全通信网络(网络架构,通信传输,可信验证);(3)安全区域边界(边界防护,访问控制,入侵防范,恶意代码和垃圾邮件防范,安全审计,可信验证);(4)安全计算环境(身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,可信验证,数据完整性,数据保密性,数据备份恢复,剩余信息保护,个人信息保护);(5)安全管理中心(系统管理,审计管理,安全管理,集中管控);2管理测评(1)安全管理制度(管理制度,制定和发布,
4、评审和修订);(2)安全管理机构(岗位设置,人员配备,授权和审批,沟通和合作,审核和检查);(3)安全管理人员(人员录用,人员离岗,安全意识教育和培训,外部人员访问管理);(4)安全建设管理(定级和备案,安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,等级测评,服务供应商选择);(5)安全运维管理(环境管理,资产管理,介质管理,设备维护管理,漏洞和风险管理,网络与系统安全管理,恶意代码防范管理,配置管理,密码管理,变更管理,备份与恢复管理,安全事件处置,应急预案管理,外包运维管理);3扩展测评云计算(1)安全物理环境(基础设施位置);(2)安全通信网络(
5、网络架构);(3)安全区域边界(访问控制,入侵防范,安全审计);(4)安全计算环境(身份鉴别,访问控制,入侵防范,镜像和快照保护,数据完整性和保密性,数据备份恢复,剩余信息保护);(5)安全管理中心(集中管控);(6)安全建设管理(云服务商选择,供应链管理);(7)安全运维管理(云计算环境管理);4项目成果文档资料:2个三级信息系统的网络安全等级保护测评报告和1个二级系统的风险评估报告。3.测评原则本次安全保护等级保护测评实施应满足以下原则:(1)保密原则:成交人对测评的过程数据和结果数据须严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究其
6、责任。(2)标准性原则:测评方案的设计与实施须依据国家等级保护的相关标准进行。(3)规范性原则:评测工作中的过程和文档,须具有很好的规范性,便于采购人对项目的跟踪和控制。(4)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。4 .等级测试的整体要求(1)等级保护测评实施过程中所使用到的各种工具软件均由成交人推荐,经采购人确认后由成交人提供并在
7、测评中使用。(2)安全测评工具软件运行需要的所有硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等均由成交人推荐,经采购人确认后由成交人提供并在测评中使用。(3)安全测评需要的运行环境(如场地、网络环境等)由采购人提供,成交人应根据项目需要向采购人说明需要的运行环境的具体要求。5 .安全等级保护测评报告要求上述系统需根据采购人要求在规定时间内完成等级测评或风险评估,并由成交人出具等级保护测评报告或风险评估报告。根据公安部第十一局关于印发网络安全等级保护测评机构管理办法(公信安(2018)765号)的要求,成交人属于非XX属地的测评机构,合同签订后需要在项目实施期间在XX省等保办对测评项目
8、进行填报登记和审核确认,供应商属于非XX属地的测评机构应提供专项书面承诺。二、政务云安全服务(一)服务范围针对XX省药监局部署在省级电子政务云平台上的4个信息系统、36台服务器(其中:27台虚拟机、9台物理机)和7个数据库实例提供安全保障服务。(二)服务内容类别序号服务项目编号服务内容服务频次交付输出交付频次云上核心安全服务1统女全资产与漏洞管理服务1业务资产梳理全年全年全年1次/年业务资产报告业务安全漏洞通告每季度1次2全方位漏洞监测与跟踪服务按需3安全漏洞通告服务2云主机入侵检测服务4主机入侵检测服务(提供HlDS主机入侵检测系统)主机安全监测与巡检报告每季度1次5主机病毒、木马、后门监测
9、6主机风险跟踪服务3安全纵深和主动防御服务7协助业务构建欺骗防御体系主机安全处置报告按需8实时攻击处置服务9专家人工渗透测试服务业务渗透测试报告1次/年4定制化安全大数据分析服务10深度威胁/异常流量大数据监测与分析服务全年业务系统网络安全运营报告每季度1次11实施业务风险通告与告警服务5业务安全态势展示服务12业务安全态势展示服务全年安全态势大屏展示无基础安全服务6主机安全13主机漏洞扫描4次/年主机漏洞扫描报告每季度1次7应用安全14web漏洞扫描4次/年应用漏洞扫描报告每季度1次8安全值守15远程7*24小时值守/重要时期网络安全保障服务报告按需16政务云机房现场7*8小时值守/17政务
10、云机房现场7*24小时值守(重保期间)/9应急响应18安全事件应急处置全年应急响应报告按需10应急演练19应急演练服务1次/年应急演练方案及总结报告1次/年(三)服务实施要求1 .服务交付地点数字XX云计算中心(政务云)机房。2 .服务期自合同签订之日起提供本项目约定的安全服务,所提供的安全服务期为一年,若因原服务范围主体责任发生转变或政府部门职责分工发生变化等原因,未能继续执行合同的,合同审结金额按实际服务月份计算(未满一个月的按一个月计)。3 .服务团队供应商应提供具有丰富的安全防护经验专业技术团队服务于该项目,团队人员规模不少于2人:(1)项目经理:具有网络安全相关工作经验,项目经理必须
11、为供应商正式员工。(2)安全工程师:提供不少于1名的安全工程师,提供本项目范围内的相关服务。安全工程师必须为供应商正式员工。4 .服务响应(1)远程支持:供应商提供7*24小时事件响应和处置服务,随时进行故障响应与技术支撑,并提供本项目范围内的相关服务。(2)现场支持:采购人需要供应商提供现场支持的,供应商应在4个小时内到达业主指定现场,并提供本项目范围内的相关服务。5 .现场驻点要求为确保XX省药监局业务系统安全保障到位、安全事件应急处置高效,除了安全服务团队成员之外,要求本项目服务商承诺提供至少2名技术服务人员7*24小时驻点XX省福州市长乐区文武砂镇数字XX产业园东湖一路1号数字XX云计
12、算中心(政务云)机房现场并提供现场安全保障服务。6 .基础保障能力要求供应商须承诺:免费配套网络边界安全隔离、主机防病毒、网络入侵检测、动态口令认证、安全运维审计等服务,确保XX省药监局相关业务系统基础安全(提供书面承诺函)。7 .服务承诺(1)供应商须承诺在合同服务期内持续提供服务,在提供服务过程中不得未经授权控制服务资源、不使用有恶意代码或假冒产品、不非法收集用户数据。本项目涉及业务系统的任何形式的数据、文件的所有权均属于采购人,供应商无权处置。(2)供应商须承诺不利用用户对所采购服务的依赖性谋取不正当利益或者迫使用户更新换代、额外购买等。(3)供应商应保证本项目所提供的技术、产品、服务或
13、任何一部分不会产生因第三方提出侵犯其专利权、商标权或其他知识产权而引起的法律和经济纠纷;如因第三方提出其专利权、商标权或其他知识产权的侵权之诉,则一切法律责任及采购人的损失(包括但不限于重新招投标的费用、律师费、诉讼费等),由供应商承担。(4)供应商须承诺与采购人签订有关本项目的信息安全保密责任承诺书,或直接在合同中签订相应的保密条款。8 .服务质量考核考核方式及内容:服务期满进行考核,考核项目、分值及说明具体如下。项目分值考核说明技术保障60分1、未按约定时间开展网络安全保隙工作的,一次扣1分,扣完为止。2、未按约定时间提交服务报告,每少一次扣1分,扣完为止。3、服务报告出现以下错误:内容不符、描述不清、前后不一致的,扣3分,扣完为止。4、故障响应不及时、人员安排不及时,每出现一次扣3分,扣完为止;人员安排40分1、技术支持服务中心至少配备1名CISP(注册信息安全专业人员)水平相当资质的安全专员。未配备扣5分,扣完为止。2、技术人员专业性不强,态度不积极者,扣3分,扣完为止。