杭州中国动漫博物馆网络安全等级保护测评服务项目采购招标公告
按照公开、公平、公正的原则,杭州中国动漫博物馆决定开展官方网站网络安全等级保护测评招标工作,现将有关情况公告如下:
一、基本情况
我馆是国家广电总局和中国动画学会批准建设的全国首家“国字号”动漫主题博物馆,位于杭州市滨江区白马湖路375号,官方网站于2021年6月建成上线,网址为http://www.ccam.org.cn/,本次招标项目为官网等保测评服务。
二、申请人的资格要求
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.本项目的特定资格要求:
(1)具有独立承担民事责任能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)未被信用中国网站(www.creditchina.gov.cn)列入失信被执行人、重大税收违法案件当事人名单,未被中国政府采购网(www.ccgp.gov.cn)列入政府采购严重违法失信行为记录名单,国家企业信用信息公示系统(www.gsxt.gov.cn)无行政单位处罚信息。
(6)投标人经营范围应符合项目要求:①需取得法人资格,营业范围包含计算机软硬件等。②有机关事业单位门户网站等保测评经验。
(7)不接受联合体投标。
三、等保测评要求
1.测评对象:中国动漫博物馆门户网站系统
2.测评等级:二级
3.我馆根据初测结果进行相应整改后,测评单位应进行复测并予以通过。
4.单元测评
(1)网络安全测评
网络安全测评主要关注采购人信息系统的结构安全、访问控制、安全审计等6方面的安全保护能力,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 结构安全 | 测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2 | 访问控制 | 测试系统对外暴露漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。 |
3 | 安全审计 | 测评分析信息系统审计配置和审计记录保护情况。 |
4 | 边界完整性检查 | 测评分析信息系统私自联到外部网络的行为。 |
5 | 入侵防范 | 测评分析信息系统对攻击行为的识别和处理情况。 |
6 | 网络设备防护 | 测评网络设备自身的安全防范能力。 |
(2)主机安全测评
服务器安全测评关注采购人信息系统的服务器操作系统(包括安全性增强软件系统,如防病毒软件)和数据库管理系统在身份鉴别、访问控制、安全审计等 6个方面的安全保护能力,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 身份鉴别 | 测评服务器的身份标识与鉴别和用户登录的配置情况。 |
2 | 自主访问控制 | 测评服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 |
3 | 安全审计 | 测评服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 |
4 | 入侵防范 | 测评服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
5 | 恶意代码防范 | 测评服务器的恶意代码防范情况。 |
6 | 资源控制 | 测评服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。 |
(3)应用安全测评
应用安全测评关注采购人信息系统的业务应用软件在身份鉴别、访问控制、安全审计等7个方面的安全保护能力,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 身份鉴别 | 测评应用系统的身份标识与鉴别功能设置和使用配置情况;测评应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 |
2 | 访问控制 | 测评应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
3 | 安全审计 | 测评应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; 检查应用系统安全审计进程和记录的保护情况。 |
4 | 通信完整性 | 测评应用系统客户端和服务器端之间的通信完整性保护情况。 |
5 | 通信保密性 | 测评应用系统客户端和服务器端之间的通信保密性保护情况。 |
6 | 软件容错 | 测评应用系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。 |
7 | 资源控制 | 测评应用系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。 |
(4)数据安全及备份恢复测评
数据安全及备份恢复测评主要关注采购人信息系统的数据完整性、数据保密性和备份和恢复等3个方面,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 数据完整性 | 测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。 |
2 | 数据保密性 | 测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。 |
3 | 数据备份和恢复 | 测评信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
(5)安全管理制度测评
安全管理制度测评主要关注采购人管理制度体系、制定与发布以及评审和修订等3方面,涉及安全主管、安全管理人员、管理制度文档、各类操作规程文件和操作记录等,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 管理制度 | 测评信息系统管理制度在内容覆盖上是否全面、完善。 |
2 | 制定与发布 | 测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
3 | 评审和修订 | 测评信息系统管理制度定期评审和修订情况。 |
(6)安全管理机构测评
安全管理机构测评主要关注采购人信息系统岗位设置、人员配备、授权和审批等5个方面,涉及安全主管、相关管理制度以及相关工作/会议记录等测评对象,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 岗位设置 | 测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通和合作 | 测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 测评信息系统安全工作的审核和检查情况。 |
(7)人员安全管理测评
人员安全管理测评实施过程关注采购人信息系统的人员录用、人员离岗、人员考核等5个方面,涉及安全主管、人事管理人员、相关管理制度以及相关工作记录等对象,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 人员录用 | 测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 人员考核 | 测评是否对人员进行日常的业务考核和工作审查。 |
4 | 安全意识教育和培训 | 测评是否对人员进行安全方面的教育和培训。 |
5 | 外部人员访问管理 | 测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
(8)系统建设管理测评
系统建设管理测评涉及采购人信息系统的系统定级、安全方案设计和产品采购和使用等9个方面,涉及系统建设负责人、各类管理制度、操作规程文件和执行过程记录等测评对象,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 系统定级 | 测评是否按照一定要求确定系统的安全等级。 |
2 | 安全方案设计 | 测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 安全服务商选择 | 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
(9)系统运维管理测评
系统运维管理测评主要关注采购人信息系统的环境管理、资产管理和介质管理等12个方面,主要涉及安全主管、各类运维人员、各类管理制度、操作规程文件和执行过程记录等测评对象,具体测评指标包括但不限于下表。
序号 | 安全子类 | 测评指标描述 |
1 | 环境管理 | 测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备管理 | 测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 系统安全管理 | 测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
6 | 网络安全管理 | 测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 |
7 | 恶意代码防护管理 | 测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
9 | 变更管理 | 测评是否采取必要的措施对系统发生的变更进行有效管理 |
10 | 备份和恢复管理 | 测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
11 | 安全事件处置 | 测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
12 | 应急预案管理 | 测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
2.整体测评
在单元测评的基础上,评价采购人信息系统的整体安全保护能力有没有缺失,是否能够对抗相应等级的安全威胁。信息系统整体测评应从安全控制点间、层面间和区域间等方面进行安全分析和测评,并最后从系统结构安全方面进行综合分析,对系统结构进行安全测评。
(1)安全控制点安全分析和测评
安全控制点间安全测评主要对同一区域同一层面内的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。
(2)层面间安全分析和测评
层面间安全测评主要对同一区域内的两个或者两个以上不同层面安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。
(3)区域间安全分析和测评
区域间安全测评主要对两个或者两个以上不同物理或逻辑区域间安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。
通过对采购人信息系统的单元测评、安全控制点之间的测评、层面分析和区域分析,从而评价信息系统面临的主要安全风险,并提出整改建议,协助进行整改方案的评审,最终使其符合信息系统所定等级应达到的安全防护要求,将信息系统的安全风险降至最低。
(4)系统结构安全测评
系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。
在掌握系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等基础上,结合系统的业务数据流分析物理布局与网络拓扑之间、网络拓扑与业务逻辑之间、物理布局与业务逻辑之间、不同信息系统之间存在的各种关系,明确物理、网络和业务系统等不同位置上可能面临的威胁、可能暴露的脆弱性等,综合判定系统的整体布局是否合理、主要关系是否简单、整体是否安全有效等。
在熟悉系统安全保护措施的具体实现方式和部署情况后,结合其业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别系统的安全防范是否突出重点、层层深入,综合判定系统的整体安全防范是否恰当合理等。
四、需提供资料
1.企业法人营业执照复印件加盖单位公章、法人授权书、投标人身份证复印件(原件备查)。
2.官网二级等保测评防护方案、项目报价表及测评流程。
3.拟成立的项目团队负责人及成员的职业资格证书。(均需加盖公章)
4.其他机关单位或事业单位官网等保测评经历证明(提供相关合同复印件)
五、供应商确定原则
1、最高限价5万元(不得超过最高限价,否则作无效报价处理)。
2、评分总则
本次招标的评标采用综合评分法,评标总分为100分。合格投标方的评标得分为各项目汇总得分,中标候选资格按评标得分由高到低顺序排列,得分相同的,按投标报价由低到高顺序排列。得分且投标报价相同的并列。投标文件满足招标文件全部实质性要求,且按照评审因素的量化指标评审得分最高的投标人为排名第一的中标候选人。
评分过程中采用四舍五入法,并保留小数2位;
投标人评标综合得分=资信分+技术分+价格分;
资信分、技术分按照评标委员会成员的独立评分结果的算术平均分计算,计算公式为:资信分=(评标委员会所有成员资信评分合计数)/(评标委员会组成人员数);技术分=(评标委员会所有成员技术评分合计数)/(评标委员会组成人员数)。
3、评分内容及标准
该评分分值由评标委员会各成员根据评审情况在分值范围内独立打分(具体分值设定详见表格),小数点后保留2位小数。每个投标人的最终得分为评标委员会所有成员打分的算术平均值。
评审因素 | 分值 | 评分细则 |
价格分(20分) | ||
投标报价 | 20 | 价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其他投标人的价格分按照下列公式计算: 价格分=(评标基准价/投标报价)×20%×100 |
资信分(8分) | ||
| 企业资质及荣誉 | 2 | 供应商具有ISO9001质量管理体系证书,得2分 |
2 | 供应商具有ISO20000信息技术服务管理体系认证证书,得2分 | |
2 | 供应商具有中国合格评定认可委员会颁布的(CNAS)检查机构认可证书,得2分 | |
实施经验 | 2 | 投标人具有大型信息技术服务类或同行业项目实施案例,根据合同复印件或业主方出具的证明,每提供1个得0.5分,最多得2分; |
技术分(72分) | ||
| 技术方案 | 10 | 供应商针对本次等级保护测评的整体实施方案:包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等,根据情况综合评审 |
6 | 针对本项目技术服务方案的完整性、科学性、先进性,包括针对项目需求及目标的解决方案、整改咨询服务方案、项目实施各阶段的服务内容、方式、方法和项目实施交付成果等情况综合评审 | |
6 | 测评要求具有自主研发的测评数据采集辅助工具,提供自主知识产权证明文件。每个得2分,最高得6分,提供自主知识产权证明文件。 | |
5 | 测评及现场检查工作至少提供2种不同品牌且有不少于5台等保工具箱,其中至少有一台具有公安部授权的等保工具箱,满足得3分,每增加一台加1分,最高得5分。 | |
5 | 详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等,根据情况综合评审 | |
5 | 根据招标文件要求,详细描述测评服务内容,根据具体描述综合评审 | |
5 | 根据招标文件要求,详细描述测评方法,根据具体描述综合评审 | |
5 | 根据招标文件要求,详细描述测评报告情况及整改建议方案,根据具体描述综合评审 | |
5 | 提供的售后服务内容的可行性、人员调配制度和节假日、应急服务响应机制、故障保障方案进行综合评审 | |
4 | 验收方案,根据验收的方案合理性、资料完整性和及时性等进行综合评审 | |
| 服务团队人员 | 6 | 投入本次具备6年以上等级测评工作经验,并参与过大型复杂测评项目的实施,要求具有信息技术(信息安全)高级工程师职称、高级测评师证书、商用密码应用安全性评估人员培训合格证书、软件高级测试工程师证书、信息系统审计师(CISA),提供证书复印件,同时满足得6分,满足四项最3分,其他情况不得分; |
10 | 实施团队人员具有中国通信企业协会网络安全人员能力认证管理类专业证书的每人得1分,最高得2分。 项目团队人员具有工业和信息化部考试中心颁发的软件质量检验师证书的,每人得1分,最高不超过2分。 项目团队人员具有国家网络安全应用检测专业测评人员证书(NSATP-A)(每人得1分,最高得2分)。 项目团队人员具有商用密码应用安全性评估人员培训合格证书(每人得1分,最高得2分)。 以上证书提供复印件,否则不得分 | |
六、投标事项
1、报名截止时间:2022年8月14日24:00。
2、报名方式:采用电子邮件方式网上报名,报名电子邮箱:zgdmbwg@163.com
咨询方式:杜女士,联系电话:13656695738。
