信 息  中 心

  • 新疆准东经济技术开发区管理委员会中心机房等级保护测评、商用密码测评服务项目

              项目名称:新疆准东经济技术开发区管理委员会中心机房等级保护测评、商用密码测评服务项目

    采购方式:竞争性磋商;

    预算金额:43万元;

    最高限价:43万元。

    简要规格描述:对新疆准东经济技术开发区管理委员会中心机房6个系统的网络安全等级保护测评服务1个应用系统开展商用密码应用安全性评估分析面临的风险,为提升平台安全奠定基础,形成相关报告等。

    合同履约期限:合同签订后40日内完成相关项目服务工作。

    本项目不接受联合体投标。

    申请人的资格要求:

    1.满足《中华人民共和国政府采购法》第二十二条规定;

    2.落实政府采购政策需满足的资格要求:本项目专门面向中小企业采购;

    3.本项目的特定资格要求:

    1)服务商需在中华人民共和国境内注册;

    2)服务商须具备由公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》;

    (3)服务商须具备国家密码管理局认证发放的《商用密码检测机构资质证书》;

    4)服务商须提供现场勘察证明文件(业主盖章或签字);

    5)服务商须需提供两名网络安全等级保护测评师(中级)及(初级),驻场8个月的履约保证书(加盖公章及附人员证书及近半年社保记录)。

    一、项目背景及详细要求

    1.1 项目背景

    为进一步加强新疆准东经济技术开发区管理委员会中心机房网络安全防护能力,切实做好2024年度新疆准东经济技术开发区管理委员会中心机房安全等级保护测评工作,根据《中华人民共和国网络安全法》、《新疆维吾尔自治区贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的实施意见》等相关规定,为认真贯彻和执行自治区党委网信办和公安厅等监管单位的网络安全等级保护求,切实做好我单位等级保护测评和商用密码应用性安全评估工作,结合单位业务系统实际情况,结合我单位实际,制定本办法。

    1.2 项目目的

    通过等级保护测评工作发现信息系统在安全方面的不足之处,找出新疆准东经济技术开发区管理委员会中心机房各信息系统与国家和行业等级保护及商用密码标准要求和之间的差距,可以有效地提高新疆准东经济技术开发区管理委员会中心机房网络安全建设的整体水平,并且指明方向,有利于在信息化建设过程中同步建设网络安全设施,保障网络安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施。为信息系统的安全提供合理化建议,并协助新疆准东经济技术开发区管理委员会中心机房设计详细和合理的等级保护整改方案,通过安全建设整改工作

    能够使各信息系统达到相应安全保护等级的能力要求。具体如下:

    1)通过等级保护预测评,对新疆准东经济技术开发区管理委员会中心机房信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,协助进行整改,全面达到国家网络安全等级保护相关要求;

    2)对新疆准东经济技术开发区管理委员会中心机房信息系统的安全状态做出判断,验证其是否符合等级保护要求,提出安全防护相关合理化建议,提升安全防护水平。同时,将测评结论作为进一步完善系统安全防护措施的依据;

    3)提升新疆准东经济技术开发区管理委员会中心机房网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解信息系统安全状况,提升人员安全威胁处置能力;

    4)遵循国家等级保护有关规定的要求,对信息系统安全建设进行符合性测评,出具网络安全等级保护测评报告。

    1.3 项目内容

    按照等级保护2.0相关要求开展信息系统网络安全等级保护测评工作,并对差距项提出整改建议方案。

    序号

    测试内容

    系统级别

    系统数量

    1

    等级保护测评

    第三级

    6

    1.4 测评依据

    《中华人民共和国网络安全法》

    《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)

    《计算机信息系统 安全保护等级划分准则(GB17859-1999)

    《信息系统安全等级保护实施指南》(GB/T25058-2010)

    《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

    《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)

    《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)

    《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T25070-2019)

    《信息安全技术 网络安全等级保护测评过程指南》(GBT 28449-2018)

    《网络安全等级保护测评报告模板(2021 版)》

    委托测评协议书等

    1.5 项目要求

    1)自项目合同签订之日起,新疆准东经济技术开发区管理委员会中心机房个工作日内完成系统梳理和测评工作并出具测评相关报告。

    2)现场测评活动中,必须使用漏洞扫描、渗透测试等验证性测试方法,对新疆准东经济技术开发区管理委员会中心机房的信息系统进行全面的工具测试,确保全面的找出系统的漏洞薄弱点,并协助建设方完成漏洞修复或风险降低工作。

    3)在合同服务期内,中标方须提供应急事件处理及应急响应服务。一旦被测系统出现紧急重大安全事件,中标方应在收到单位服务请求30分钟内提供远程协助;确定需要现场服务的,2小时内到达现场提供服务。

    二、等级保护测评工作内容

    2.1 等级测评内容

    测评的内容包括但不限于以下内容:

    (1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;

    (2)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

    2.1.1安全物理环境

    根据新疆准东经济技术开发区管理委员会中心机房信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。

    2.1.2安全通信网络

    安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。

    2.1.3安全区域边界

    安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。

    2.1.4安全计算环境

    安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、 “数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。

    2.1.5安全管理中心

    安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。

    2.1.6安全管理制度

    根据现场安全测评记录,针对新疆准东经济技术开发区管理委员会中心机房信息系统在安全管理制度方面的 “安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。

    2.1.7安全管理机构

    根据现场安全测评记录,针对新疆准东经济技术开发区管理委员会中心机房信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。

    2.1.8安全管理人员

    根据现场安全测评记录,针对新疆准东经济技术开发区管理委员会中心机房信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。

    2.1.9安全建设管理

    根据现场安全测评记录,针对新疆准东经济技术开发区管理委员会中心机房信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、 “外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评” 以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。

    2.1.10安全运维管理

    根据现场安全测评记录,针对新疆准东经济技术开发区管理委员会中心机房信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。

    2.2 项目实施要求

    (一)保密要求

    投标方对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:

    1.中标方应按要求与新疆准东经济技术开发区管理委员会中心机房签署保密协议。

    2.主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。

    3.不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的甲方关于该项目的商业秘密。

    4.不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。

    5.不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。

    6.不论何种原因终止参与甲方关于该项目的工作后,都不得利用该项目之商业秘密为其他与甲方有竞争关系的企业(包括自办企业)服务。

    7.该项目的商业秘密所有权始终全部归属甲方,乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前乙方已依法具有某些所有权者除外。

    8.如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向甲方公司报告。

    2.3 交付物

    根据《网络安全等级保护测评机构管理办法》要求,成果交付物为:

    1、所有登记备案的信息系统出具由测评机构法人审签的正式纸质测评报告2套。

    2、所有登记备案的信息系统出具纸质安全整改建议方案2套。

    3、测评活动原始记录材料1份。

    2.4 质量保证

    1、为保证网络安全等级测评项目质量,要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。

    2、等级测评结果必须通过新疆准东经济技术开发区管理委员会中心机房组织的评审和审批。


    三、密码测评项目说明和采购需求

    一、项目内容及预算

    序号

    测试内容

    系统级别

    系统数量

    1

    商用密码应用性安全评估

    第三级

    1

    二、项目需求

    依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)《信息系统密码测评要求》《商用密码应用安全性评估测评过程指南》和系统自身的安全性需求分析,对对 新疆准东经济技术开发区管理委员会中心机房系统的商用密码应用方案进行评估,并对上线后的系统商用密码应用的合规性,正确性,有效性进行安全性评估项目,提供相应《商用密码应用方案评估意见》、《密码应用安全性评估报告》,通过密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升信息系统安全奠定基础。

    交付物:

    出具加盖检测机构印章的《商用密码应用方案评估意见》、《密码应用安全评估报告》纸质一式三份。

    三、项目要求 

    (一)商用密码应用方案评估

    供应商对新疆准东经济技术开发区管理委员会的中心机房系统密码应用方案进行评估审查。主要依据中心机房系统具体业务情况,中心机房系统的密码应用方案是否涵盖了所有需要采用密码保护的核心资产及敏感信息,以及釆取的密码保护措施是否均能够达到相应等级的密码使用要求或规定。

    密码应用方案评估的重点工作包括两部分:

    对所有自查符合项进行评估,确保设计的方案可以达到《信息安全技术 信息系统密码应用基本要求》GB/T39786-2021的对应条款要求。

    对所有自查不适用项和对应论证依据进行逐条核查、评估。

    密码应用方案评估的内容,主要包括密码应用解决方案评估、实施方案评估和应急处置方案评估等三个部分。

    (二)信息系统商用密码应用安全性评估

    1.信息系统商用密码应用安全性评估总体要求

    1)密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

    2)密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

    3)密码产品合规性测评:信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

    4)密码服务合规性测评:信息系统中使用的密码服务是否通过国家密码管理部门许可。

    2.密码技术应用测评

    从物理和环境、网络和通信、设备和计算、应用和数据 4 个层面对信息系统中应用的密码技术进行分析与评估。

    物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素:重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。

    网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素:安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性, 网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。

    设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性 功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重 信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。

    应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。

    3.密钥管理测评:对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节:密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。

    4.安全管理测评

    对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。

    1)安全管理制度:包括但不限于下列内容与措施:密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。

    2)人员管控:包括但不限于下列内容与措施:了解并遵守密码相关法律法规密码产品使用, 关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。

    3)信息系统实施:包括但不限于下列内容与措施:信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。

    4)应急预案:包括但不限于下列内容与措施:应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。

    5. 其它要求

    1)报价供应商对有关采购单位信息化建设项目的资料和信息保密。

    2)报价供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系,不得利用所处地位通过上述单位直接或间接获益处。

    原文链接:http://www.ccgp-xinjiang.gov.cn/site/detail?categoryCode=ZcyAnnouncement&parentId=3661&articleId=IcRJ03ZOe3EQAN1NVT6sEA==&utm=site.site-PC-42169.1045-pc-wsg-mainSearchPage-front.1.72d30b10fb2511efaedd7f69a4887813