2024年10月31日 2024年法院专网网络安全等级保护(第三级)测评咨询整改维保服务
网上竞价公告
受委托,定于2024年10月31日在权益云交易平台公开竞价选取 2024年法院专网网络安全等级保护(第三级)测评咨询整改维保服务供应商,标的具体情况、竞价资格、竞价方式详见《网络竞价须知》。现将有关事项公告如下:
一、项目概况及合同要求
1.项目名称:2024年法院专网网络安全等级保护(第三级)测评咨询整改维保服务。
2.招标控制价:80000元。
3.技术服务内容及要求:提供采购人单位专网三级等级保护的等保测评服务、安全整改服务以及现有安全设备的维保服务,直至通过三级等级保护测评为止。
3.1.测评与整改服务要求如下:
3.1.1按照目前国家等级保护相关标准和要求,对系统开展预测评工作并得出预测评的分数,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议。
3.1.2根据预测评报告及专项检查结果,提供安全加固策略及建议,具体包括:
①制度完善意见、网络及设备策略配置意见、 主机安全加固措施、数据库加固建议、漏洞修复建议及相关培训。
②安全加固工作完成后,对设备和系统运行进行验证并监控,确保安全加固不影响其正常运行。同时,对加固后的设备和系统进行漏洞检测,对加固进行有效证验证,确保安全加固效果到位。
3.1.3待整改完毕后,进行结果确认,完成网络安全等级保护测评,出具测评报告,并将测评报告报当地公安机关备案。
3.1.4测评服务工作依据,包括但不限于:
《信息安全技术网络安全等级保护基本要求》(GB/T22239一2019)
《信息安全技术网络安全等级保护测评要求》(GB/T28448一2019)
《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070一2019)
《信息安全技术网络安全等级保护实施指南》(GB/T25058一2019)
《信息安全技术网络安全等级保护测评过程指南》(GB/T28449一2018)
1)等保差距分析:根据系统的安全等级选择和确定系统基本安全要求指标,然后按照安全指标评估系统安全现状,找出系统现状与安全指标之间的差距,并通过风险评估方法根据承载业务的安全特点找出系统的特定需求。
2)安全渗透检查:通过使用的人工和工具相结合的方法来进行实际的网页代码漏洞发现和利用的安全测试方法。
3)整改加固服务:以系统用户的角度,以保障系统业务正常运行为出发点,将系统的信息安全管理状况与等级保护管理要求进行深入的差距分析,并协助客户对分析结果进行整改加固。
4)协助测评服务:在信息系统等级保护基线建设完成后,将协助客户依照等级保护测评的实际标准进行预测评,整理测评所需相关文档、资料、记录等,计划预测评的整体符合率达到70%以上。协助通过等级测评。
5)采用访谈、检查、测试三种基本测评方法对该系统进行检查,判断是否达到相应的基本安全保护能力。范围包含安全通用要求(211项)的技术和管理两个方面,其中:五个层面的技术要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境;和五个方面的管理要求:安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。及根据实际情况选择扩展要求:云计算安全扩展要求(46项)、移动互联安全扩展要求(19项)、物联网安全扩展要求(20项)、工业控制系统安全扩展要求(21项)。
6)投标人在安全服务过程中,所采用的安全服务工具可提供威胁情报信息,根据现有资产信息,开展威胁情报分析工作,其具备以下功能: 1.可接入多家威胁情报数据,至少包括公安部门威胁情报、互联网公司威胁情报及安全公司威胁等情报源。 2.支持用户自定义私有情报源,更新频率不超过 2 分钟。威胁情报覆盖 30 个以上行业信息。(须提供功能截图)
7)投标人在安全服务过程中,所采用的安全服务工具威胁信息可查询反向链接类情报,至少包含 IP 类情报、 URL类情报以及域名类情报,支持大 SYN 包检测。提供攻击源最近一次攻击对象情报信息功能及该攻击源可追溯的历史攻击目标查询能力。(须提供功能截图)
8)投标人在安全服务过程中,所采用的安全服务工具支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存在可利用的漏洞,具备3000个以上POC测试代码。(须提供功能截图)
9)投标人或所投服务商所采用等保测评支撑工具支持等保测评全流程管理,包括系统基本信息管理、资产管理、现场核查记录管理、风险分析管理及测评相关文档归档工作。(须提供功能截图及网络安全等级保护建设流程辅助系统软件著作权)
10)投标人所采用等保测评支撑工具,工具支持对漏洞扫描报告、渗透测试报告的导入。支持测评工具服务端和客户端数据在线、离线传输,支持审计日志溯源用户操作,支持物理介质(加密狗)控制测评工具客户端分发使用。(须提供功能截图及网络安全等级保护安全管理体系核查系统软件著作权)
3.1.5成果交付,包括但不限于:
1) 信息系统定级报告(如需)
2) 信息系统定级备案表(如需)
3) 信息系统等级保护测评方案
4) 信息系统整改建议书
5) 信息系统等级保护测评报告
3.1.6项目进行中生成的阶段性报告或资料等过程文档。
1) 为确保投标人在本项目测评现场具有应急处理能力,投标人所投测评机构须连续五年在备案所在省具有市级及以上网安或网信的技术支撑单位。(须提供相关证明材料并加盖供应商公章。)
2) 投标人须为本项目组建测评团队,须至少具备1个高级测评师,2个中级测评师,3个初级测评师,并且由高级测评师担任项目经理。(提供测评师证书复印件并加盖投标人公章)
3.2维保服务要求
3.2.1针对目前采购人现使用绿盟NFNX3-CH3330防火墙(两台)进行维保,维保要求:
NFNX3-CH3330授权许可-防病毒模块升级维保,提供病毒特征库一年升级;NFNX3-CH3330授权许可-入侵防护模块升级维保,提供入侵防护特征库一年升级;原厂单年服务包-硬件产品,包含产品系统升级授权、产品保修、远程支持服务、硬件故障上门支持。
3.2.2需承诺中标后提供厂商原厂服务授权函以及售后服务承诺函。
3.3技术服务成果验收
3.3.1 验收标准:按《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)。
3.3.2测评报告要求分数不少于70分且没有高风险。
3.3.3验收方法:在全部收到测评报告之日起一个月内,由采购人确定验收时间并提前三天书面通知成交人共同验收;验收不合格部分由采购人在十五个工作日内一次性书面确认。采购人未按本合同约定书面通知或书面确认的视为已验收并符合标准。
4.报价要求:本项目最高控制价为80000元(含税),报价均不得高于最高控制价,否则按无效投标处理,投标人报价中漏报、少报的费用,视为此项费用已隐含在响应报价中,成交后不得再向采购人收取任何费用。
5.合同:成交人应在成交公告发布之日起3个工作日内与采购人自行签定合同,合同不违背本公告采购实质性要求。
二、报名条件
1. 竞价人必须遵守中华人民共和国法律、法规,能够提供本竞价文件所述货物及服务的境内具有独立法人资格的企业均可成为合格的竞价人(失信被执行人除外);
2.具有履行本采购项目的资格及服务能力;
3.本项目不允许挂靠其他公司资格及分包,不接受联合体参与竞价;
4.符合具备法律、行政法规规定的其他条件;
5.已认真阅读并同意本公告附件-网络竞价须知。
6.竞价资格(及限制性条件)认定由竞价人自行审查,因此产生委托人不予签订合同及其它一切后果由竞价人自行负责。竞价人提供虚假材料或资质不符合条件的,视为恶意竞价,保证金不予退回,按违约处理,委托人可另行选取服务供应商。
7.本场竞价须三家及以上竞价人在规定时间内参与竞价,如果在规定时间内参与竞价的竞价人不足三家,则按流标处理,竞价人不得有异议。
三、报名方式
参加本次竞价会的竞价人需在规定的时间前交纳竞价保证金,并登录权益云交易平台办理竞价登记手续,同时将报名资料递交给我司,材料可以采用现场或邮件方式递交。
四、报名资料
有意参加竞价人应提供如下有效证照原件(复印件):
1.营业执照副本、法定代表人身份证复印件;
2.信用信息报告(信用中国https://www.creditchina.gov.cn/下载);
3.签订完整的承诺书;
4.缴纳保证金的凭证;
5.授权委托书(如有);
6.佐证材料;
7.其他需要提供的材料。
如法定代表人无法亲自到现场办理竞价手续的,应提供《授权委托书》原件和委托代理人身份证复印件。
以上材料复印件须注明与原件相符并加盖公章。
五、竞价方式
采用“权益云(https://www.unibid.cn/portal/pro/items.jsp?way=F )”或微信公众号“权益云交易平台”网络反向一次报价方式。
六、竞价保证金 3000元转入我司指定账户,以实际到账为准(户名:连城县国有资产产权交易服务有限公司,开户行:农业银行连城县支行,账号:1377 0101 0400 18263)。
七、向成交人收取一定的交易服务费,详见《网络竞价须知》。
报名截止时间:2024年10月30日17时止。
委托人咨询电话:高先生 18039898833
连城产权联系电话:谢女士 18039848961
邮箱地址:lccqjyw@163.com
网址:连城产权交易网(http://lcxcqjy.com/)
联系地址:福建省龙岩市连城县莲峰镇李彭村彭坊桥路1号4层
连城县国有资产产权交易服务有限公司
2024年10月25日