中国铁路昆明局集团 信息技术所关于2022自建系统等保测评与关键基础设施系统风评项目招标公告
\n(招标编号ZB2022-CB19)
\n一、项目概况
\n按照国铁集团相关文件要求以及集团公司相关文件的批示,信息技术所将开展等级保护测评工作及关键信息基础设施风险评估工作,对昆明局集团 21个自建信息系统以及5个关键信息基础设施进行风险评估工作。
\n项目编号:ZB2022-CB19
\n本项目资金已到位。
\n\n
二、公示期
\n2022年10月12日至2022年10月17日
\n\n
三、合格供应商主要资质条件
\n1.在中华人民共和国境内依法注册,具有独立法人和增值税一般纳税人资格的企业,且能提供符合国家规定的税率的增值税专用发票,注册资本不小于2000万元;
\n2.企业及其服务项目不在中国国家铁路集团 和中国铁路昆明局集团 暂停或停止合作关系期限内;
\n3.满足国家、中国国家铁路集团 、行业服务的有关规定和资质要求;
\n4.服务商须具有公安部第三研究所认证颁布的《网络安全等级测评与检测评估机构服务认证证书》;
\n5.服务商须具备中国网络安全审查技术与认证中心认定的符合信息安全服务规范(CCRC-ISV-C01:2021)的二级或以上服务资质或中国信息安全测评中心认定的信息安全服务资质证书(风险评估)二级或以上服务资质;
\n6.服务商拟投入本项目的技术人员须具备如下条件:参与本项目组的成员至少有5人,且必须具备信息安全等级保护测评师资质,项目经理必须取得中级等级保护测评师资质和注册信息安全专业人员(CISP)资质证书;
\n7.服务商须在昆明有驻地,须保证被测系统的安全稳定运行,具备7╳24小时应急响应能力;
\n8.投标人须具备中国合格评定国家认可委员会检验机构认可证书(CNAS);投标人须具备中国合格评定国家认可委员会实验室认可证书(CNAS);被认可能力包含具备对软件系统进行功能和性能测试的能力;
\n9.投标人须提供等保测评及风评项目的技术人员6个月以上的社保缴存证明复印件以备核查;
\n10.本项目不接受联合体及代理商投标。
\n\n
四、服务内容和要求
\n(一)服务内容
\n1.服务期限自合同签订之日起一年。
\n2.按照国家有关规定和要求,根据《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008),服务提供商须深入调研被测单位信息系统实际情况,开展业务信息安全和系统服务安全等方面的分析,确定信息系统等级,协助被测单位编制《网络安全等级保护定级报告》。
\n3.按照《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019),从每个信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面进行等级保护测评。并通过安全控制层面间、区域间和系统结构间的综合分析进行整体测评和风险分析,出具《网络安全等级保护测评报告》及《系统风险整改问题库》。
\n4.通过专业扫描工具对网络、系统应用、主机操作系统、数据库系统等安全漏洞进行扫描,发现安全漏洞并给出整改建议。
\n5.对测评系统进行安全渗透测试。
\n6.根据现场测评结论,给被测单位出具安全技术和安全管理层面的有针对性的安全整改建议,指导被测单位进行安全整改加固,并开展复测,最终使安全管理和技术两方面达到相应等级的保护要求。
\n7.协助被测单位从安全管理和安全技术两方面,针对各个系统具体的安全需求,在等级保护前期工作基础上,提供专业的安全技术解决方案,提供技术咨询服务;深入分析现有的系统管理体系和信息安全管理制度,从各个方面协助被测单位建立与信息系统安全技术和安全运行相适应的完善的符合系统业务特点的信息安全管理体系。
\n8.按照《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)以及《信息安全技术信息安全风险评估实施指南》(GB/T 31509-2015),服务商需通过对信息系统提供风险评估服务,须包含数据安全(含个人信息安全防护)风险评估、供应链安全风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据,出具《关键信息基础设施风险评估报告》以及《风险评估安全整改建议》,评估报告及整改建议须包含数据安全(含个人信息安全防护)风险评估、供应链安全风险评估相关内容。
\n9.在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认,对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
\n10.在信息安全风险评估工作实施前应采取有效措施规避保密风险、检测活动引入风险、技术风险以及时间、人员风险。
\n(二)服务要求:
\n1.服务商提供《竣工报告》,包含完整准确的受测评系统的《网络安全等级保护测评报告》、《系统风险整改问题库》、《关键信息基础设施风险评估报告》、《风险评估安全整改建议》等内容。
\n2.技术服务成果标准:《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)。
\n3.提交的资料符合国家、中国国家铁路集团 (原中国铁路总公司、原铁道部)网络安全等级保护测评及关键基础设施系统风评相关技术标准。
\n4.2022年12月30日前完成测评及风评工作。
\n5.质量保证期:验收通过后,在服务期间(1年内)对项目范围内的系统提供技术支持、网络安全培训、网络安全巡检、驻场及现场应急服务。
\n6.人员培训:由服务方负责对被测方管理人员、应用人员进行信息安全技术现场培训,包含一般性的安全意识、具体安全攻防操作、信息安全管理等安全知识和技能,使其具备检测、应急处置能力,并提供培训资料。
\n7.网络安全巡检服务:提供不少于4次安全巡检,包括漏洞扫描分析、安全基线检查、安全策略检查等。
\n8.驻场服务:提供一名专业技术人员协助昆明局加强自身网络安全能力,降低各类安全事件的发生几率,保障系统的稳定运行。
\n9.服务方不得以任何形式向第三方透露被测方在测评过程中提供的系统网络拓扑信息、系统配置信息、数据库相关信息、系统运行的数据、管理制度及流程,以及经被测方声明需要保密的其他信息。
\n10.应急服务速度:接到通知远程立即响应,具备7×24小时应急响应能力。
\n(三)其他要求
\n1.投标方应牢固树立“安全第一”的指导思想,建立健全各项安全管理规章制度,制订并落实各项安全防护措施。
\n2.投标方全面负责其作业人员日常安全管理工作,依照《劳动法》、《安全生产法》以及国家、云南省等其他有关法律法规的规定,对作业人员身份进行相关审核,建立合法劳动关系,依法承担相应的各项安全职责,保证其作业人员的合法权益。
\n3.作业过程中的劳动人身安全、现场安全管理工作由投标方负责。投标方人员在作业期间发生的伤害事故由投标方负全部责任,与招标方无关。
\n4.项目实施相关人员应签订保密协议与安全责任书,确保被测系统的数据安全,保证系统的安全稳定运行。
\n5.测评过程及结果对第三方保密。
\n6.投标人从2016年11月1日至今,至少有1个铁路行业信息系统等级保护测评二级及以上系统或关键基础设施的实施业绩,并提供有效合同。
\n\n
五、
\n \n 采购组织机构: 中国铁路昆明局集团 信息技术所 \n 联系电
没有在中国电力招标采购网(www.dlztb.com)上注册会员的单位应先点击注册。登录成功后根据招标公告的相应说明获取招标文件! 联系人:李杨
咨询电话:010-51957458
手 机:13683233285
传 真:010-51957412
QQ:1211306049
微信:Li13683233285
邮箱:1211306049@qq.com