重庆市黔江区融媒体中心信息系统等保测评服务项目招标文件

一、项目名称

****融媒体中心信息系统网络安全等级保护测评服务。

二、项目预算

(一)项目预算:人民币200000.00元(大写:贰拾万圆整)。

三、项目内容

(一)三级等保测评信息系统2个。即电视制作播出系统、**传媒网。

1.三级等保测评信息系统为到期复测,根据等级保护2.0制度要求开展测评工作,并出具等级保护测评报告。

2.三级信息系统等保测评报告出具日起有效年度内的第三季度第三个月份内,中标方需为采购方的信息系统免费进行一次渗透安全分析测试和漏洞扫描,并提供记录和报告。

(二)二级等保测评系统2个。即广播制作播出系统、融媒体系统。

二级等保测评信息系统为到期复测,根据等级保护2.0制度要求开展测评工作,并出具等级保护测评报告。

二级信息系统等保测评报告出具日起有效年度内的第二个年度第三季度第三个月份内,中标方需为采购方的信息系统免费进行一次渗透安全分析测试和漏洞扫描,并提供记录和报告。

下载

四、项目要求

(一)测评技术要求:

本项目网络安全等级保护测评目的和测评内容,******部门发布的最新信息安全等级保护基本安全控制要求相一致,即等级保护2.0制度。本项目测评人员应依据测评目的和测评内容,结合采购方实际情况,选取、实施特定测评操作的方式方法。

在测评中应严格按照《信息安全等级保护管理办法》(公通字〔2007〕43号)、《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239)等法规、标准相关要求,按照《信息系统安全等级保护测评过程指南》开展系统的评测工作,为保证项目的顺利实施,中标方必须加强项目实施过程中的风险控制,充分讨论并明确实施对信息系统可能带来的风险和隐患,协助采购方进行整改,最终出具信息系统网络安全等级保护测评报告。等级保护测评主要包括如下几个方面内容:

1.技术测评:

(1)安全物理环境测评(物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护);

(2)安全通信网络测评(网络架构、通信传输、可信验证);

(3)安全区域边界测评(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证);

(4****中心测评(系统管理、审计管理、安全管理、集中管控);

(5)安全计算环境测评(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护)。

2.管理测评:

(1)安全管理制度测评(安全策略、管理制度、制定和发布、评审和修订);

(2)安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和**、审核和检查);

(3)安全管理人员测评(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理);

(4)安全系统建设管理测评(定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择);

(5)安全运维管理测评(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。

(二)测评服务要求

(1)安全分析:使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全分析工具)对待测系统进行安全分析。在与我方深入沟通的基础上,对系统进行渗透,发现系统缺陷,对过程进行记录并最终形成工具扫描、渗透测试报告。

(2)工具检测:供应商须参与系统测评前期的研讨,为系统测评做准备,并先于事先对测评系统进行一次网络安全等保安全自评估,对评估中的漏洞事先进行整改,自评******部检测并取得《信息安全等级保护检查工具箱检验报告》的等级保护专用工具箱,且该工具箱具备《国家信息安全漏洞库兼容性资质证书》且该工具箱原厂具备CNCA****委员会认可的认证机构颁发的企业知识产权管理体系证书,提供证书复印件并盖原厂章,非服务工具制造商须提供产品授权使用证明。

(3)项目管理要求:为更好在为采购方项目等保测评服务,供应商应严格遵守测评工作规范,客观正确的实施出具测评报告,在测评过程保持严谨的态度,及时准确的完成测评任务。按CNAS-CI01:2012《检查机构能力认可准则》、CNAS-CL01:2018《****实验室能力认可准则》的要求进行项目管理。

(4)保密要求:在服务过程中,供应商应切实加强对人员、技术等方面的组织管理;与采购方签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不会泄露给第三方单位或个人,不得擅自利用这些信息。

(5)定期通报:供应商在合同期限内定期对新发生的互联网安全事件及新发现的安全漏洞向采购方通报。通报内容包括利用的安全漏洞,攻击的手段和过程,造成的危害以及处置的结果;安全漏洞通报包括漏洞被利用的方式,造成的危害以及加固的方式;近期国内外所发生的安全事件和动态。

(6)技术支持:若采购方信息系统发生安全事件后,供应商应立即提供技术支持(包含远程技术支持和现场技术支持),包括问题分析,漏洞查找,在事件处置和整改加固全流程中提供技术咨询。现场技术支持时间需满足3小时内到达现场。

(7)现场技术保障:重大活动期间,供应商可根据采购方需求,提前派驻运维工程师、网络渗透工程师携带技术工具开展服务,保障在重要活动期间网络的安全性与可用性。

(8)售后咨询服务:设立项目服务期,以便为采购方提供技术服务支持,项目服务期从出具正式测评报告之日起计算时间,三级等保测评项目服务期为1年,二级等保测评项目服务期为2年。供应商在此期间为采购方提供网络安全咨询服务,协助采购方处理网络安全事件和网络安全事件咨询服务。

(9)本项目4个信息系统等保测评皆为复测项目,供应商应加强被测系统指标管控,在不投入硬件设备和工具软件的情况下,达到相应等级测评要求。

(10)中标供应商在**范****公司,要求提供相关佐证资料。

五、供应商资格条件

(一)基本资格条件

1、具有独立承担民事责任的能力;

2、具有良好的商业信誉和健全的财务会计制度;

3、具有履行合同所必需的设备和专业技术能力;

4、有依法缴纳税收和社会保障资金的良好记录;

5、参加政府采购活动前三年内,在经营活动中没有重大违法记录;

6、法律、行政法规规定的其他条件。

(二)特定资格条件

1、供应商应具备网络安全服务认证证书等级保护测评服务认证(提供证书复印件和网络安全等级保护网https://www.****.net/网上截图,并加盖供应商公章,且截图中的单位名称须与营业执照单位名称完全一致)。

2、****公司竞标,授权方需满足上一条要求,被授权方需提供授权方明确授权给被授权方的正式文书,并加盖公章和法人签名。

六、评审标准

采购方采取综合评议的方式进行评标,对已入围(有效响应)评审的投标单位(不低于3家)的响应文件和报价进行综合评议,在满足资质和采购要求的前提下,以价格最低的方式确定中标供应商。

七、竞标截止时间

即日起至2025年7月10日16:00(采购方收到文书时间)。

八、报名资料要求

报名资料须采用信封包装并密封(正副本各一份)。信封上注明项目名称、供应商名称等字样。信封的封口应加盖供应商公章或法人授权代表签字。

报名资料包括如下内容:

(一)投标人简介、营业执照等资质证明材料。

(二)投标项目及价格(包括所有费用的全包价)。

(三)上一年度财务状况报告(表)****银行出具的资信证明复印件,本年度新成立或成立不满一年的组织和自然人无法提供财务状况报告(表)的,****银行出具的资信证明复印件。

(四)书面声明,****政府采购活动前三年内,在经营活动中没有受过刑事处罚、行政处罚、行业自律惩戒。

(五)依法缴纳税收和社会保障金的证明材料复印件;依法免税或不需要缴纳社会保障资金的供应商,应提供相应文件证明其依法免税或不需要缴纳社会保障资金。

(六)投标人法定代表人证明书或授权委托函原件材料。

(七)采购公告要求提供的其他文件。

九、报名投标方式

本项目仅接受邮寄方式投递竞标文书,邮寄地址:**市**区**街道**大道与金****融媒体中心技术保障部,收件人:朱老师,联系电话:189****8235。

十、其他告之内容

(一)本项目不接受联合体投标。

(二)本文件所涉及时间一律为**时间。

(三)违约责任。若投标人无故弃标或存在其他违反招投标诚信行为的,将列入采购黑名单,不予接受任何采购供应服务,同时视情将有关情况报送相关财政部门,由财政部门根据实际情况记入供应商诚信档案。

****中心享有最终解释权。

(五)联系人:朱老师,联系电话:189****8235。

****

2025年7月4日