中國鐵路昆明局集團(tuán) 信息技術(shù)所關(guān)于2022自建系統(tǒng)等保測評(píng)與關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)風(fēng)評(píng)項(xiàng)目招標(biāo)公告","notCont":"

中國鐵路昆明局集團(tuán) 信息技術(shù)所關(guān)于2022自建系統(tǒng)等保測評(píng)與關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)風(fēng)評(píng)項(xiàng)目招標(biāo)公告

\n

（招標(biāo)編號(hào)ZB2022-CB19）

\n

一、項(xiàng)目概況

\n

按照國鐵集團(tuán)相關(guān)文件要求以及集團(tuán)公司相關(guān)文件的批示，信息技術(shù)所將開展等級(jí)保護(hù)測評(píng)工作及關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工作，對(duì)昆明局集團(tuán) 21個(gè)自建信息系統(tǒng)以及5個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。

\n

項(xiàng)目編號(hào)：ZB2022-CB19

\n

本項(xiàng)目資金已到位。

\n

\n

二、公示期

\n

2022年10月12日至2022年10月17日

\n

\n

三、合格供應(yīng)商主要資質(zhì)條件

\n

1.在中華人民共和國境內(nèi)依法注冊，具有獨(dú)立法人和增值稅一般納稅人資格的企業(yè)，且能提供符合國家規(guī)定的稅率的增值稅專用發(fā)票，注冊資本不小于2000萬元；

\n

2.企業(yè)及其服務(wù)項(xiàng)目不在中國國家鐵路集團(tuán) 和中國鐵路昆明局集團(tuán) 暫?；蛲Ｖ购献麝P(guān)系期限內(nèi)；

\n

3.滿足國家、中國國家鐵路集團(tuán) 、行業(yè)服務(wù)的有關(guān)規(guī)定和資質(zhì)要求;

\n

4.服務(wù)商須具有公-安部第三研究所認(rèn)證頒布的《網(wǎng)絡(luò)安全等級(jí)測評(píng)與檢測評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》；

\n

5.服務(wù)商須具備中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心認(rèn)定的符合信息安全服務(wù)規(guī)范(CCRC-ISV-C01:2021)的二級(jí)或以上服務(wù)資質(zhì)或中國信息安全測評(píng)中心認(rèn)定的信息安全服務(wù)資質(zhì)證書（風(fēng)險(xiǎn)評(píng)估）二級(jí)或以上服務(wù)資質(zhì)；

\n

6.服務(wù)商擬投入本項(xiàng)目的技術(shù)人員須具備如下條件：參與本項(xiàng)目組的成員至少有5人，且必須具備信息安全等級(jí)保護(hù)測評(píng)師資質(zhì)，項(xiàng)目經(jīng)理必須取得中級(jí)等級(jí)保護(hù)測評(píng)師資質(zhì)和注冊信息安全專業(yè)人員（CISP）資質(zhì)證書；

\n

7.服務(wù)商須在昆明有駐地，須保證被測系統(tǒng)的安全穩(wěn)定運(yùn)行，具備7╳24小時(shí)應(yīng)急響應(yīng)能力；

\n

8.投標(biāo)人須具備中國合格評(píng)定國家認(rèn)可委員會(huì)檢驗(yàn)機(jī)構(gòu)認(rèn)可證書（CNAS）；投標(biāo)人須具備中國合格評(píng)定國家認(rèn)可委員會(huì)實(shí)驗(yàn)室認(rèn)可證書（CNAS）；被認(rèn)可能力包含具備對(duì)軟件系統(tǒng)進(jìn)行功能和性能測試的能力；

\n

9.投標(biāo)人須提供等保測評(píng)及風(fēng)評(píng)項(xiàng)目的技術(shù)人員6個(gè)月以上的社保繳存證明復(fù)印件以備核查;

\n

10.本項(xiàng)目不接受聯(lián)合體及代理商投標(biāo)。

\n

\n

四、服務(wù)內(nèi)容和要求

\n

（一）服務(wù)內(nèi)容

\n

1.服務(wù)期限自合同簽訂之日起一年。

\n

2.按照國家有關(guān)規(guī)定和要求，根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2008），服務(wù)提供商須深入調(diào)研被測單位信息系統(tǒng)實(shí)際情況，開展業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全等方面的分析，確定信息系統(tǒng)等級(jí)，協(xié)助被測單位編制《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告》。

\n

3.按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》(GB/T 28448-2019)，從每個(gè)信息系統(tǒng)的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理十個(gè)層面進(jìn)行等級(jí)保護(hù)測評(píng)。并通過安全控制層面間、區(qū)域間和系統(tǒng)結(jié)構(gòu)間的綜合分析進(jìn)行整體測評(píng)和風(fēng)險(xiǎn)分析，出具《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)報(bào)告》及《系統(tǒng)風(fēng)險(xiǎn)整改問題庫》。

\n

4.通過專業(yè)掃描工具對(duì)網(wǎng)絡(luò)、系統(tǒng)應(yīng)用、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等安全漏洞進(jìn)行掃描，發(fā)現(xiàn)安全漏洞并給出整改建議。

\n

5.對(duì)測評(píng)系統(tǒng)進(jìn)行安全滲透測試。

\n

6.根據(jù)現(xiàn)場測評(píng)結(jié)論，給被測單位出具安全技術(shù)和安全管理層面的有針對(duì)性的安全整改建議，指導(dǎo)被測單位進(jìn)行安全整改加固，并開展復(fù)測，最終使安全管理和技術(shù)兩方面達(dá)到相應(yīng)等級(jí)的保護(hù)要求。

\n

7.協(xié)助被測單位從安全管理和安全技術(shù)兩方面，針對(duì)各個(gè)系統(tǒng)具體的安全需求，在等級(jí)保護(hù)前期工作基礎(chǔ)上，提供專業(yè)的安全技術(shù)解決方案，提供技術(shù)咨詢服務(wù)；深入分析現(xiàn)有的系統(tǒng)管理體系和信息安全管理制度，從各個(gè)方面協(xié)助被測單位建立與信息系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的完善的符合系統(tǒng)業(yè)務(wù)特點(diǎn)的信息安全管理體系。

\n

8.按照《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)以及《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T 31509-2015），服務(wù)商需通過對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，須包含數(shù)據(jù)安全（含個(gè)人信息安全防護(hù)）風(fēng)險(xiǎn)評(píng)估、供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)，出具《關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估報(bào)告》以及《風(fēng)險(xiǎn)評(píng)估安全整改建議》，評(píng)估報(bào)告及整改建議須包含數(shù)據(jù)安全（含個(gè)人信息安全防護(hù)）風(fēng)險(xiǎn)評(píng)估、供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容。

\n

9.在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。

\n

10.在信息安全風(fēng)險(xiǎn)評(píng)估工作實(shí)施前應(yīng)采取有效措施規(guī)避保密風(fēng)險(xiǎn)、檢測活動(dòng)引入風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)以及時(shí)間、人員風(fēng)險(xiǎn)。

\n

（二）服務(wù)要求：

\n

1.服務(wù)商提供《竣工報(bào)告》，包含完整準(zhǔn)確的受測評(píng)系統(tǒng)的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)報(bào)告》、《系統(tǒng)風(fēng)險(xiǎn)整改問題庫》、《關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)評(píng)估安全整改建議》等內(nèi)容。

\n

2.技術(shù)服務(wù)成果標(biāo)準(zhǔn)：《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)。

\n

3.提交的資料符合國家、中國國家鐵路集團(tuán) （原中國鐵路總公司、原鐵道部）網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)及關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)風(fēng)評(píng)相關(guān)技術(shù)標(biāo)準(zhǔn)。

\n

4.2022年12月30日前完成測評(píng)及風(fēng)評(píng)工作。

\n

5.質(zhì)量保證期：驗(yàn)收通過后，在服務(wù)期間（1年內(nèi)）對(duì)項(xiàng)目范圍內(nèi)的系統(tǒng)提供技術(shù)支持、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全巡檢、駐場及現(xiàn)場應(yīng)急服務(wù)。

\n

6.人員培訓(xùn)：由服務(wù)方負(fù)責(zé)對(duì)被測方管理人員、應(yīng)用人員進(jìn)行信息安全技術(shù)現(xiàn)場培訓(xùn)，包含一般性的安全意識(shí)、具體安全攻防操作、信息安全管理等安全知識(shí)和技能，使其具備檢測、應(yīng)急處置能力，并提供培訓(xùn)資料。

\n

7.網(wǎng)絡(luò)安全巡檢服務(wù)：提供不少于4次安全巡檢，包括漏洞掃描分析、安全基線檢查、安全策略檢查等。

\n

8.駐場服務(wù)：提供一名專業(yè)技術(shù)人員協(xié)助昆明局加強(qiáng)自身網(wǎng)絡(luò)安全能力，降低各類安全事件的發(fā)生幾率，保障系統(tǒng)的穩(wěn)定運(yùn)行。

\n

9.服務(wù)方不得以任何形式向第三方透露被測方在測評(píng)過程中提供的系統(tǒng)網(wǎng)絡(luò)拓?fù)湫畔?、系統(tǒng)配置信息、數(shù)據(jù)庫相關(guān)信息、系統(tǒng)運(yùn)行的數(shù)據(jù)、管理制度及流程，以及經(jīng)被測方聲明需要保密的其他信息。

\n

10.應(yīng)急服務(wù)速度：接到通知遠(yuǎn)程立即響應(yīng)，具備7×24小時(shí)應(yīng)急響應(yīng)能力。

\n

（三）其他要求

\n

1.投標(biāo)方應(yīng)牢固樹立“安全第一”的指導(dǎo)思想，建立健全各項(xiàng)安全管理規(guī)章制度，制訂并落實(shí)各項(xiàng)安全防護(hù)措施。

\n

2.投標(biāo)方全面負(fù)責(zé)其作業(yè)人員日常安全管理工作，依照《勞動(dòng)法》、《安全生產(chǎn)法》以及國家、云南省等其他有關(guān)法律法規(guī)的規(guī)定，對(duì)作業(yè)人員身份進(jìn)行相關(guān)審核，建立合法勞動(dòng)關(guān)系，依法承擔(dān)相應(yīng)的各項(xiàng)安全職責(zé)，保證其作業(yè)人員的合法權(quán)益。

\n

3.作業(yè)過程中的勞動(dòng)人身安全、現(xiàn)場安全管理工作由投標(biāo)方負(fù)責(zé)。投標(biāo)方人員在作業(yè)期間發(fā)生的傷害事故由投標(biāo)方負(fù)全部責(zé)任，與招標(biāo)方無關(guān)。

\n

4.項(xiàng)目實(shí)施相關(guān)人員應(yīng)簽訂保密協(xié)議與安全責(zé)任書，確保被測系統(tǒng)的數(shù)據(jù)安全，保證系統(tǒng)的安全穩(wěn)定運(yùn)行。

\n

5.測評(píng)過程及結(jié)果對(duì)第三方保密。

\n

6.投標(biāo)人從2016年11月1日至今，至少有1個(gè)鐵路行業(yè)信息系統(tǒng)等級(jí)保護(hù)測評(píng)二級(jí)及以上系統(tǒng)或關(guān)鍵基礎(chǔ)設(shè)施的實(shí)施業(yè)績，并提供有效合同。

\n

\n

五、

\n

\n

采購組織機(jī)構(gòu): 中國鐵路昆明局集團(tuán) 信息技術(shù)所

\n

\n

聯(lián)系電

沒有在中國電力招標(biāo)采購網(wǎng)（www.alertpay.cn）上注冊會(huì)員的單位應(yīng)先點(diǎn)擊注冊。登錄成功后根據(jù)招標(biāo)公告的相應(yīng)說明獲取招標(biāo)文件！

聯(lián)系人：李楊
咨詢電話：010-51957458?
手 機(jī)：13683233285?
傳 真：010-51957412?
QQ:1211306049?
微信：Li13683233285
郵箱：1211306049@qq.com

來源：中國電力招標(biāo)采購網(wǎng)?編輯：953