根据《信息安全等级保护管理办法》(公通专字〔2007〕43号)第十四条“第三级信息系统应当每年至少进行一次等级测评”的要求,为确保我厅“粤企政策通”平台信息安全,我厅于2022年11月24日发布遴选“粤企政策通”平台等级测评服务机构的通告,截至2022年12月5日因响应机构不足三家,不满足遴选要求,现重新遴选,有关事项通告如下:
一、项目名称
“粤企政策通”平台等级测评服务项目。
二、项目内容
按照第三级信息系统应当每年至少进行一次等级测评要求,遴选一家专业机构负责“粤企政策通”平台等级测评,并于2023年3月10日前出具相应的等级测评报告,如因系统整改原因造成延误的,测评服务期相应延后。
三、项目要求
(一)协助自查
成交人应依据国家有关信息系统安全等级保护要求,利用专业的安全测评设备和软件(专业安全扫描器、漏洞测试工具等)从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全系统运维等方面对目标信息系统进行安全需求测评分析,确定信息系统安全建设整改需求,提交整改建议。
1.协助自查方式
成交人所采用的等级保护测评方法至少应包括人员访谈、文档检查和系统测试三类:
(1)人员访谈:通过与信息系统有关人员进行交流、讨论等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。
(2)文档检查:通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法。
(3)系统测试:依照相关标准与法律法规实施测评,使用等级保护检查工具作为主要的系统检查、信息收集、分析工具,同时结合其他专业脆弱性安全扫描工具、安全配置核查工具的扫描分析结果作为参考。将该阶段搜集的数据信息录入系统测评核查表,以供后期分析。配置核查扫描提供每个扫描任务的日志文件报告,方便后期进行行为审计。
2.协助自查内容
成交人应依据《网络安全等级保护基本要求》,从技术和管理方面等10个类别的单元测评内容对所测系统进行协助自查。
(1)安全技术测评
①安全物理环境。成交人可通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为机房及相关配套设施。
②安全通信网络。成交人可通过访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象。
③安全区域边界。成交人可将通过访谈、配置检查和工具测试的方式测评信息系统的网络边界安全保障情况。重点测评的包括各边界防火墙,交换机等。
④安全计算环境。成交人应按照采购人的要求通过访谈、配置检查和工具测试的方式测评信息系统的操作系统、数据库等保障情况。
⑤安全管理中心。成交人可通过访谈、配置检查的方式测评信息系统的安全管理中心保障情况,主要涉及对象为纳入测评范围的安全管理中心等。
(2)安全管理测评
①安全管理制度。成交人可通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
②安全管理机构。成交人可通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
③安全管理人员。成交人可通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
④安全建设管理。成交人可通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
⑤安全系统运维。成交人可通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
(二)整体测评分析
成交人应依据等级保护标准要求,进行技术和管理方面等10个类别的单元测评,完成对各个指标项的符合性评估后,需要对信息系统的安全情况进行总体评估。主要从层面内安全、层面间安全、区域间安全、系统结构安全进行整体评估,总结关键风险点。
成交人应单独出具单台主机的详细漏洞描述和解决建议作为后期整改依据。
(三)协助完成信息系统整改
成交人应提供整改建议,指导协助采购人完成信息系统信息安全整改,达到国家规定的信息安全要求。
(四)等保验收测评
成交人应对信息系统进行验收测评,按照公安部制定的网络安全等级测评报告格式编制等级测评报告,并协助采购人向公安机关提交符合要求的验收测评报告,完成测评备案及验收工作。
(五)测评成果要求
服务结束后成交人应提供的交付物包括:《“粤企政策通”信息系统等保整改建议》《“粤企政策通”信息系统网络安全等级测评报告》。
四、遴选方式
符合申报条件的单位自愿报名,并按要求提交相关材料。由我厅按照有关规定组织专家评审,择优确定。
五、申报条件
(一)具备《政府采购法》第二十二条所规定的条件:
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录。
(二)有相对固定的办公场所。
(三)独立完成测试的专业团队,能够按照采购要求及合同内容开展工作。
(四)需具备公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书,且证书在有效期内。
(五)本项目不接受联合体报名。
(六)法律法规规定的其他条件。
六、申报文件
(一)单位情况,包括但不限于登记注册和人员情况、主要产品或服务、主要业绩、从事相关工作经验等。
(二)企业法人营业执照、事业单位法人证书或其他社会组织法人登记证书、法人身份证等相关资质证明材料复印件。
(三)2021年度审计报告。
(四)工作方案以及工作进度安排、人力投入、保障措施等。
(五)服务费用报价。服务费用属于包干价,报价最高不超过80900元。
(六)公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书。
(七)其他可以佐证机构的资质、专业能力、业绩等情况的相关材料。
申报材料须加盖申报单位公章,一式三份(一正本两副本),并提交word版电子档,用光盘刻存一份,按照遴选文件要求装订密封并在外包装上注明申报单位名称、联系人及联系方式。
七、报名时间和地址
报名截止时间:自通告发布之日起至2022年12月14日17:30。
报名单位请将申报文件送达广东省工业和信息化厅(服务体系建设处)604室,逾期不予受理。报名单位对所提供文件真实性负责,若发现弄虚作假,取消其报名资格。
八、联系方式
广东省工业和信息化厅服务体系建设处,杨楠、黄怡欢,电话:020-83135852,地址:广州市越秀区吉祥路100号604室。
广东省工业和信息化厅
2022年12月7日