扬州市电化教育馆YZDJGXJ202013
公司:
我馆现对扬州市智慧教育应用服务平台系统等级测评项目进行询价采购,请按下表格式报价并请注意如下事项:
1、预算控制价3万元,最高限价同预算价。(报价超过最高限价的为无效报价,按照无效响应处理)。
2、报价单请于2020年11月19日上午10:00前密封盖章送达或快递至(以到达时间为准)扬州市电化教育馆307办公室,逾期将不予接收。
3、请将要求提供的资质证明文件填全报全,否则以废单处理。
4、供应商如提供假、冒、伪、劣商品或服务的,3年内不得进入扬州市政府采购市场,并根据《政府采购法》的规定予以处罚。
5、项目技术联系人: 戴老师 联系电话: 0514-87934567
供应商名称(公章):
|
扬州市智慧教育应用服务平台系统等级测评项目清单 |
||||||||
|
序号 |
名称型号 |
主要配置或技术参数 |
单位 |
数量 |
单价 |
合价 |
备注 |
|
|
1 |
扬州市智慧教育应用服务平台系统等级测评项目 |
见附件 |
套 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
说明: |
||||||||
|
1、本次询价采购欢迎具备有相关资质的供应商参与投标。供应商须具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐书》。 2、请在规定时间内一次性报出不得更改的价格。 3、供应商在投标报价时,请提供标书1份。 4、所有报价均为人民币,报价含所有测评所产生的费用。 5、付款方式为系统在测评结束后一次性付清。 6、地址: 扬州市邗江区史可法东路34号,戴老师,电话0514-87934567,邮编225002 |
||||||||
|
合 计 |
人民币(大写) ¥: |
|||||||
报价联系人: 联系电话:
扬州市电化教育馆
2020年11月16日
扬州市智慧教育应用服务平台系统等级测评项目需求
根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》(公通字[2007]43号)等法律法规要求,扬州市电化教育馆拟对扬州市智慧教育应用服务平台系统开展网络安全等级保护测评工作,验证被测系统是否具备相应等级的安全防护能力,分析信息系统面临的安全风险,提出安全问题处置建议,出具《信息系统网络安全等级测评报告》和《电子政务工程建设项目非涉密信息系统信息安全风险评估报告》。
一、 测评依据
1、《中华人民共和国网络安全法》
2、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)
3、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019)
4、《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627—2018)
5、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449—2018)
二、测评原则
1、客观性原则
测评人员应当没有偏见,在最小主观判断情形下,按照双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
2、保密原则
在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购人利益。
3、互动原则
在整个测评过程中,强调采购人的互动参与,每个阶段都能够及时根据采购人的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行测评工作。
4、最小影响原则
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
5、规范性原则
信息安全测评的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
三、测评内容
本次需要开展等级测评的系统共1个,系统名称及安全保护等级如下表所示:
|
序号 |
信息系统名称 |
安全保护等级 |
|
1 |
扬州市智慧教育应用服务平台系统 |
二级 |
供应商需完成以下服务内容:
1、网络安全等级保护现状分析
根据国家对网络安全等级保护工作的相关法律和技术标准要求,结合被测系统安全保护等级开展网络安全等级保护现状分析工作,明确系统安全防护现状与等级保护基本要求之间的差距,明确安全需求,出具《安全问题汇总及整改建议》。
具体工作内容如下:
(1)信息收集: 对项目涉及的所有信息系统开展调研工作,明确所有系统的物理环境及机房基础设施情况,网络架构,网络设备、安全设备部署情况,服务器分布及操作系统、数据库系统使用情况,应用系统业务流程、数据流向、用户群体情况,数据传输及存储备份情况,系统的高可用性需求情况,安全管理制度建设及执行情况。
(2)方案编制: 根据收集的基础信息,识别各信息系统网络结构及其网络覆盖范围、系统构成,明确测评目的及流程、明确测评对象及指标、明确测评方法及工具扫描接入点、明确测评实施步骤及配合需求、明确测评实施计划。并据此编制《测评方案》。
(3)现场实施: 依据《测评方案》,通过访谈、检查、测试、实地查看等方法开展现场测评活动,详细记录每个测评对象的安全现状,形成《现场测评记录表》。
(4)根据现场测评记录,按照安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个安全层面,汇总各安全层面测评对象的安全现状,形成《安全问题汇总及整改建议》。
(5)问题交流: 通过交流会的形式,对《安全问题汇总及整改建议》中的内容进行沟通交流,明确安全问题是否真实存在,如有遗漏或不确定项需进行补充测评并详细记录结果。
2、安全建设整改支持
本着“以评促改”的原则,在网络安全等级保护现状分析工作完成后,供应商需针对被测系统提供安全建设整改支持服务,从技术和管理两方面指导采购人完成信息系统的安全建设整改工作。
3、网络安全等级保护测评服务
在采购人建设整改工作完成后,供应商需提供网络安全等级保护测评服务,验证被测信息系统的安全等级保护状况是否达到相应等级的基本要求。并根据对测评结果的分析、汇总,给出测评结论,出具《网络安全等级保护测评报告》和《电子政务工程建设项目非涉密信息系统信息安全风险评估报告》。,为信息系统进一步完善安全保护措施提供依据。
五、项目要求
1)项目配合: 项目实施过程中,供应商如需采购人配合,供应商需要详细描述需要配合的内容。如需要采购人填写各种表单,需要详细描述表单的名称、功能及主要表项等等。采购人有权利拒绝提供任何信息列表以外的资产信息。
2)设备要求: 本项目中可能需要的软硬件平台均由供应商提供,采购人可按照相关要求对设备进行必要的处理。供应商须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件的可用性和可靠性,由此产生的一切责任由供应商负完全责任。
3)质量要求: 供应商须向采购人提供详细的测评材料、各种表单及结果报告。测评服务的范围、内容、形式、标准等应符合国家及行业的有关标准及规范要求。
4)风险控制: 所有服务工作必须保证不影响采购人业务系统的正常运行,供应商须制定科学、有效的风险分析与控制措施。
5)安全保密: 供应商须与采购人签订保密协议,服务人员须遵循采购方各项规章制度,服务中所接触到的各种资料、文档等一切信息,未经采购人同意,不得向任何第三方泄露。
6)合同期内所有服务所涉及的一切费用,包括人工费、食宿差旅费等均由供应商承担。
7)本项目须由中标供应商独立完成,不得转包或分包。
8)网络安全等级保护现状分析工作须在公安部项目登记管理系统中登记审核通过后30个工作日内完成,出具《安全问题汇总及整改建议》;最终《网络安全等级保护测评报告》和《电子政务工程建设项目非涉密信息系统信息安全风险评估报告》需在采购人完成安全建设整改后 15个工作日内提供。