根据《中华人民共和国网络安全法》以及我校网络信息安全的需要,我校将对学校相关的信息系统开展等级保护测评,并开展网络安全应急演练。现就“公开、公平、公正”的原则进行询价,以更科学合理地确定项目预算,欢迎具备条件的供应商参与报价。
一、采购名称:景德镇学院网络安全等级保护测评及应急演练项目
二、采购单位:景德镇学院
三、采购项目需求:
(一)等级保护测评项目
1、项目背景
《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016 年11 月7 日通过,于2017年6月1日正式实施了,第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务”。对拒不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
2、技术依据:
《关于加强省级重要信息系统安全保障工作的通知》(赣公字[2015]55号)
关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知(中办[2003]27号文件)
关于印发《信息安全等级保护工作的实施意见》的通知(公通字[2004]66号文件)
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号文件)
关于印发《关于开展全国重要信息系统安全等级保护定级工作》的通知(公信安[2007]861号文件)
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《中华人民共和国网络安全法》(主席令53号)
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
《网络安全等级保护条例》
《计算机信息系统安全保护等级划分准则》(GB/T17859-1999)
《网络安全等级保护实施指南》(GB/T25058-2019)
《网络安全等级保护定级指南》(GAT1389-2017)
《信息安全等级保护管理办法》(公通字[2007]43号)
《网络安全等级保护基本要求》(GB/T22239-2019)
《网络安全等级保护安全设计技术要求》(GB/T25070-2019)
《网络安全等级保护测评要求》(GB/T28448-2019)
《网络安全等级保护测评过程指南》(GB/T28449-2018)
《信息安全风险评估规范》(GB/T20984-2007)等
《信息系统安全安全管理要求》(GB/T 20269)
《信息系统安全工程管理要求》(GB/T 20282)
3、项目内容:
以等级保护标准要求为依据,对景德镇学院信息系统在物理安全、主机安全、应用安全、网络安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理10个层面实施等级测评,明确安全责任,了解安全保护现状,排查安全隐患,明确安全需求,并为确立安全策略、制定安全规划、开展安全建设整改工作提供参考,具体目标如下:
(1)协助招标方开展信息系统的定级与备案工作
具体要求:根据国家信息安全要求,结合景德镇学院信息系统实际安全需求,严格遵循《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2019),中标人应深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):系统定级报告;备案材料
交付要求:按照国家信息系统安全等级保护工作要求提供。
(2)信息系统等级保护测评
具体要求:工作阶段、流程、内容、及成果交付严格遵循《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2019)和《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 22240-2020)文件,根据系统等级开展相应级别的单项测评和整体测评,并使用自主开发的等级保护智能评估系统提高测评质量并规避实施风险。测评报告内容及格式严格遵照《信息系统安全等级测评报告模版(2019年版)》。
按照《信息安全等级保护管理办法》、《信息系统安全保护等级实施指南》,遵循《信息安全等级保护基本要求》(GB/T 22239-2019)等技术标准,从每个信息系统的物理安全、网络安全、主机安全、应用安全、数据和备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面(二级系统175个要求项,三级系统290个要求项)进行测评,并参考被测单位自身信息安全管理要求,从安全控制间、层面间、区域间和系统结构间的综合分析进行整体测评。
工作过程文件及项目交付成果(包括但不限于):《信息安全等级保护等级测评报告》。
交付要求:纸质版2份(加盖服务机构公章)。
(3)安全建设整改方案设计及防护修复建议
依据《信息安全等级保护管理办法》、《信息系统安全保护等级实施指南》文件要求,应按照等级保护要求进行保护,依据《信息系统安全保护等级实施指南》,遵循《信息安全等级保护基本要求》(GB/T 22239-2019)对景德镇学院信息系统进行建设整改分析,比较信息系统与国家标准要求之间的差距。
具体要求:依照《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号),严格遵循《信息安全等级保护安全建设整改工作指南》各项要求,在系统测评工作的基础上,对被测单位信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全整改方案,方案内容包含但不限于:信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全整改技术方案设计、安全整改管理体系设计、信息系统安全产品选型及技术指标建议、安全整改项目实施计划、项目预算,整改后可能存在的其他问题;出具方案后,需以此方案为基础,开展安全整改咨询和系统加固工作,最终使被测单位安全管理和技术两方面达到相应等级的保护要求。
通过基础版公安部第一研究所网防G01安全防护系统,实现全面可视化解决方案,实现威胁感知、自动资产识别、虚拟机安全隔离、数据流可视化、主机内核加固、威胁情报等功能,帮助用户自定义业务系统的安全边界,从而减少风险面的暴露。
4、服务名称:
序号 | 服务名称 | 服务内容 | 项目清单 |
1 | 专家定级评审 | 根据等保2.0的要求,组织专家库专家组成员对单位信息系统进行定级工作 | 网站群管理系统(二级) 教务管理系统(二级) |
等保定级备案 | 信息系统的定级是开展信息安全等级保护工作的首要环节和基础,我公司将协助协会各用户单位针信息系统完成等级保护定级和公安备案工作。 |
等级保护测评 | 针对信息系统,按照相应的测评标准,从技术和管理两方面,十个层面对系统进行合规性验证。查找安全短板。 |
2 | 安全整改方案设计 | 在系统测评工作的基础上,对被测单位信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全整改方案。 |
(二)应急预案及演练
序号 | 服务名称 | 服务内容 | 项目清单 |
1 | 应急预案及演练 | 网络安全应急演练从实战出发,现场演示了网站系统存在漏洞、数据中心系统存在漏洞、网站系统发生安全事件、数据中心电力中断、数据中心网络中断五个方面内容,详细介绍了网站系统漏洞、域名劫持、网络病毒爆发以及断电断网的应急防御处置办法,达到了进一步增强网络安全应急处置能力,锻炼网络安全应急工作队伍,完善网络安全应急预案体系,全面提高网络安全应急水平的预期目的。 | 1.数据中心断电事件演练 2.数据中心消防安全事件演练 3.数据中心网络中断演练 4.网络攻击事件演练(四选一) |
四、报价说明:
供应商报出的价格,报价包含开展项目所需的任何费用,如在后期的招标过程中中标,其中标价不得高于此报价。
五、供应商应提交以下资料的复印件:
1.提交有效的三证合一营业执照副本;
2.法定代表人授权书、法人身份证及被授权人身份证;
3.具有履行本次项目合同所必需的设备和专业技术能力的承诺书;
4.关于本项目的报价(以其他高校相同或相近案例合同作为报价的支撑材料)。
六、报价文件的密封和标记及其他应注意事项
1.密封和标记:
(1)供应商应将报价函及相关资料装订成册并装入袋内加以密封,并在封签处加盖公章;
(2)装报价文件的信袋上应写明:项目名称、报价单位名称、地址、注明报价截止时间以前不得开封;
(3)封条格式:
项目名称: 供应商名称(加盖公章): 联系人: 联系号码: 地址: 报价截止时间以前不得开封 |
2.供应商提供的技术指标要求需响应或超过项目功能及需求,如确有差异,在报价文件中使用明显的标记加以强调。
七、报价文件接收时间、地点及咨询:
报价供应商将密封好的报价函在2021年5月28日17:00(北京时间)之前送至景德镇学院现代教育技术中心,逾期递交者视为无效响应。
报价文件接收人:朱老师:18370894201
项目咨询:程老师13707982592
八、以上公告内容如有变动,将在学校官网上另行通知。
现代教育技术中心
2021年5月21日