-
网络安全等级保护测评服务比选邀请
招标文件下载 - 信息发布日期:2020.07.15 标签: 四川省招标
-
加入日期: 2020.07.15 截止日期: 2020.07.22 地 区: 四川省 内 容: 比选申请文件外包装必需注明比选项目名称, 若邮寄必需在邮寄包装外注明比选项目 **建安工业有限责任公司 网络安全等级保护测评服务比选邀请书 **建安工业有限责任公司 二O二O年七月十五日 第一部分 比选公告 一、比选项目:网络安全等级保护测评服务采购 (参与比选的厂家技术方案和报 -
招标公告正文
-
比选申请文件外包装必需注明比选项目名称,
若邮寄必需在邮寄包装外注明比选项目
四川建安工业有限责任公司
网络安全等级保护测评服务比选邀请书
四川建安工业有限责任公司
二O二O年七月十五日
第一部分 比选公告一、 比选项目:网络安全等级保护测评服务采购
(参与比选的厂家技术方案和报价单位必须盖公司,报价必须注明税率。)
二、比选项目概况:网络安全等级保护测评服务
三、比选申请文件必须在比选截止时间前送达比选人。逾期送达或密封和标注不符合比选申请文件规定的投递文件恕不接受。
四、本次比选不允许转包、分包,必须以比选申请人名义签订合同。
五、 凡不响应“星号”项者均被作为废除处理。
六、比选结果另行通知,比选人对未选中者不作任何解释,不退还递交文件资料。
七、本次比选活动由比选人负责解释,并由比选人内部监督机构以书面形式统一答疑。
八、比选人:四川建安工业有限责任公司
地 址:***
业务联系人: 周嵘 电话:***
监督/投诉电话:***
四川建安工业有限责任公司
2020年7月15日
第二部分 比选须知一、比选申请人须知
二、比选申请文件
(一)比选申请文件的组成
l、企业简介、项目介绍等(提供营业执照副本复印件加盖公章);
2、比选申请文件包括技术正本1份、副本1份;商务1份(含总报价、分项报价、资质复印文件)
3、如比选申请人派出参与招标的不是法定代表人,须持有比选人统一格式的《法定代表人授权书》,加盖比选申请人公章、法定代表人签字或印章,被授权人须签字;
4、企业法人营业执照(须加盖公章);
5、法定代表人身份证复印件(须加盖公章);
6、被授权人身份证复印件(须加盖公章);
7、主要业绩证明:近期的主要业绩表及图片,业绩表中应写明年份、用户、规模等;
8、其他 参选方需提供联系方式***
(二)答疑
比选申请人在收到邀请文件后,若有疑问需要澄清,应于招标人规定的时间内以邮件形式发到指定邮箱。比选人将以书面形式予以解答,并统一发给所有比选申请人。
(三)比选申请文件的修改
1、在比选截止日期前,比选申请人有可能以补充通知的方式修改招标文件。
2、补充通知将以书面方式在比选截止日2个工作日前通知所有参与人。
3、补充通知作为比选申请文件的组成部分,对比选申请人起同等约束作用。
4、为使比选申请人在编制比选申请文件时把补充通知内容考虑进去,发起人将延长递交比选申请文件的截止日期,具体时间将在补充通知中写明。
(四)比选申请文件的递交
1、比选申请文件的密封与标志
1)比选申请文件应装订成册、字迹清晰、整洁干净。
2)比选申请人应将比选申请文件分为正本和副本,信封注明文件名称,加盖密封章。
3)在比选申请文件封口处应当盖有清晰可辨认的比选申请法定代表人印鉴及公章。
4)如果比选申请人未按上述规定提交比选申请文件,比选人有权拒收。
2、比选截止期
1)比选申请人应在比选规定的时间(2020-7-22日下午5:30之前)将比选申请文件递交给比选人。
2) 超过比选截止期送达的比选申请文件比选人有权拒收。
三、比选技术要求
网络安全等级保护测评技术要求如下:点击下载打分表
1、项目需求
2017年6月发布实施的“网络安全法”第二十一条要求:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
为积极响应国家政策要求,通过开展等级保护工作发现系统内部的安全隐患与不足,通过安全整改提升系统的安全防护能力,降低被攻击的风险,建安公司将OA协同办公信息系统、ERP系统、门户网站、PDM系统等四个系统定为二级,并向主管部门提交了定级报告和备案表;根据信息安全等级保护要求,需对备案的业务系统进行等保测评工作。
根据等级保护测评的工作要求,测评范围覆盖安全管理中心、安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度等。
具体服务内容包括:
(1)协助业主单位进行信息系统的信息安全等级定级和备案工作。
(2)差距测评,至少包括:
安全技术测评。包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面的安全测评。
安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全系统建设和安全系统运维五个方面的安全测评。
形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以、整改意见。
(3)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务。
(4)等级测评,至少包括:
按照等级保护相关标准对系统从安全技术、安全管理等方面进行等级测评工作。
编制测评报告,制定并提交《网络安全等级测评报告》,报告需提交公安机关有关部门备案,且能满足合规性要求。
2、测评服务内容
测评服务内容如下:
分类
子类
测评指标
安全物理环境
物理位置选择
a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内;
b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
物理访问控制
机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
防盗窃和防破坏
a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识;
b) 应将通信线缆铺设在隐蔽安全处。
防雷击
应将各类机柜、设施和设备等通过接地系统安全接地。
防火
a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
防水和防潮
a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
防静电
应采用防静电地板或地面并采用必要的接地防静电措施。
温湿度控制
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
电力供应
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
安全通信网络
网络架构
a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
b) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。应采用校验技术保证通信过程中数据的完整性。
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信 验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全区域边界
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。应在关键网络节点处监视网络攻击行为。
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行 可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全计算环境
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。a) 应对登录的用户分配账户和权限;
b) 应重命名或删除默认账户,修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;
b) 应关闭不需要的系统服务、默认共享和高危端口;
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
应采用校验技术保证重要数据在传输过程中的完整性。
数据备份恢复
a) 应提供重要数据的本地数据备份与恢复功能;
b) 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。剩余信息保护
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
个人信息保护
a) 应仅采集和保存业务必需的用户个人信息;
b) 应禁止未授权访问和非法使用用户个人信息。安全管理中心
a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对 这些操作进行审计;
b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、 系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。安全管理制度
安全策略
应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全 框架等。
a) 应对安全管理活动中的主要管理内容建立安全管理制度;
b) 应对管理人员或操作人员执行的日常管理操作建立操作规程。a) 应指定或授权专门的部门或人员负责安全管理制度的制定;
b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制 度进行修订。
安全管理机构
a) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人***
b) 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。*** 应配备一定数量的系统管理员、审计管理员和安全管理员等。
a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
b) 应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程。a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;
b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;
c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式****** 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
安全管理人员
a) 应指定或授权专门的部门或人员负责人***
b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查。*** 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设 备。
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;
b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;
c) 外部人员离场后应及时清除其所有的访问权限。安全建设管理
a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;
b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;
c) 应保证定级结果经过相关部门的批准;
d) 应将备案材料报主管部门和相应公安机关备案。a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b) 应根据保护对象的安全保护等级进行安全方案设计;
c) 应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后
才能正式实施。a) 应确保网络安全产品采购和使用符合国家的有关规定;
b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;
b) 应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。a) 应在软件交付前检测其中可能存在的恶意代码;
b) 应保证开发单位提供软件设计文档和使用指南。a) 应指定或授权专门的部门或人员负责工程实施过程的管理;
b) 应制定安全工程实施方案控制工程实施过程。a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;
b) 应进行上线前的安全性测试,并出具安全测试报告。a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b) 应对负责运行维护的技术人员进行相应的技能培训;
c) 应提供建设过程文档和运行维护文档。等级测评
a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;
b) 应在发生重大变更或级别发生变化时进行等级测评;
c) 应确保测评机构的选择符合国家有关规定。a) 应确保服务供应商的选择符合国家的有关规定;
b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。安全运维管理
a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;
b) 应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等;
c) 应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;
b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b) 应对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响 后进行修补。
a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;
b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;
c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面做出规定;
d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;
e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等;
b) 应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等;
c) 应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时分析处理。配置管理
应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补丁信息、各个设备或软件组件的配置参数等。
a) 应遵循密码相关国家标准和行业标准;
b) 应使用国家密码管理主管部门认证核准的密码技术和产品。应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。
a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等;
c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件;
b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;
b) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。外包运维管理
a) 应确保外包运维服务商的选择符合国家的有关规定;
b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。3、完成项目所需提交的文档清单
在本项目完成后,服务方须提供以下文档资料:
《信息系统安全问题汇总及整改建议》
《网络安全等级保护等级测评报告》及过程资料
4、安全要求
供应商在项目实施过程中,必须遵守以下技术原则:
1 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购方的行为,否则采购方有权追究供应商的责任。
2 标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
3 规范性原则:供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制,测评出具的报告须符合公安部颁布的《信息系统安全等级测评报告模板》。
4 可控性原则:等保测评服务的进度要按照招标文件 的要求,保证采购方对于测评工作的可控性。
5 整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求测评要求涉及的各个层面。
6安全性原则:等保测评服务工作应不得影响系统和网络的正常运行;测评工作不得对现有信息系统的正常运行、业务的正常开展产生任何影响。
7.测评机构资质及人员要求:
从事信息系统检测评估相关工作人员无违法记录。
工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
四、比选办法
1、评审工作由发起人负责组织,具体评审事务由发起人依法组建的评审委员会负责,采用综合评分法。
2、比选申请文件中如果出现计算上或累加上的算术错误,可按以下原则进行修改:
(1)用数字表示的金额和用文字表示的金额不一致,应以文字表示的金额为准。
(2)单价和数量的乘积与总价不一致时,以单价为准,并修正总价。
(3)单价金额小数点有明显错误的,以总价为准,修正单价。
按上述修正错误的方法调整的投标报价应对比选申请人具有约束力。如果比选申请人不接受修正后的价格,其比选申请文件作废。
3、发起人不解释中选或落选原因,不退回比选申请文件和其他比选申请资料。
4、中选人应按中选通知书规定的时间及地点,由法定代表人或授权代理人与发起人签订合同。签订合同应与投标文件内容一致,不得有实质性改变。
5、中选人因不可抗力原因不能履行咨询服务合同或放弃中选的,发起人可以与排在中选人之后第一位的中选候选人签订咨询合同,以此类推。
6、中选人需在比选结果公布后7天内按发起人通知签订相关商务合同。
第三部分 合同
网络安全等级保护测评服务
合
同
书
甲方(委托方):
乙方(受托方):
甲方: 乙方:
地址: 地址:
联系人: 电话: 联系人: 电话:***传真: 邮箱: 传真:***
签订地点:四川省雅安市名山区
双方经过平等协商,在真实、充分地表达意愿的基础上,根据《中华人民共和国合同法》及其他相关法律法规的规定,订立本合同。合同附件及补充协议均为本合同不可分割的部分。双方同意共同遵守如下条款:
一、 服务内容:
1. 乙方依据《信息系统安全等级保护基本要求》(GB/T22239-2019)、《信息系统安全等级保护测评要求》(GB/T28448-2019)、《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)等相关国家标准规范、法规,实施服务工作范围(下表所示)中所涉及的网络信息系统安全等级保护测评工作。甲方被测系统在公安机关获取得系统备案证书或备案证号,且具备现场测评条件后,开展符合性等级保护测评工作。
2.工作范围及服务费:
序号
系统名称
等级
价格(万元)
备注
1
OA协同办公信息系统
二级
2
ERP系统
二级
3
门户网站
二级
4
PDM系统
二级
总计:人民币 元(大写: 元整),此价格含税,若国家税率发生变化,此价格不变
3.合同周期:自合同签订且甲方向乙方提供被测系统的备案证编号之日起,至乙方出具《信息系统安全等级保护测评报告》。
4.整改周期:根据川等保发(2020)103号文规定,整改周期为自乙方初次出具《整改建议》之日起二个月。
5.如测评结论基本符合仅表明该系统基本达到了标准所规定的要求,并不保证该系统是绝对安全,甲方应采取持续改进措施,保障其信息系统安全。
6.如测评结论“差”,乙方根据《网络安全等级保护基本要求》等国家标准规范提供相应的整改建议书,甲方需参照自身定级标准,按照国家和公安部要求进行安全建设整改,在甲方整改过程中乙方提供技术咨询服务,甲方在整改期限内完成整改工作的乙方提供一次免费复测服务。
7.如因甲方原因未能在整改期限内完成整改工作或甲方拒绝整改,导致最终测评(即复测)结论为“差”,乙方不承担责任。根据川等保办要求,我公司将按照《网络安全等级保护测评模板(2019)》出具符合系统现状的测评报告,并在“网络安全等级保护测评项目登记管理系统”办理项目结案,视为乙方完成测评工作。
二、服务费付款方式:
1、本合同付款方式为现款支付。
2、甲方应于签订合同后15工作日内支付30%预付款,人民币 元(大写:人民币 元整)(含税),付款后乙方开始本次测评服务。
3、若有整改事项:
3.1乙方完成初测,出具整改建议书后15工作日内,甲方需支付50%款项,人民币元 (大写:人民币 元整)(含税)
3.2 甲方收到乙方出具的符合甲方系统现状的 《信息系统安全等级保护测评报告》后15个工作日内,支付合同剩余款,人民币: 整(大写: 元整)(含税)
4、若无整改事项,甲方在收到乙方出具的《信息系统安全等级保护测评报告》后15个工作日内,一次性支付合同剩余70 % 价款,人民币 元(大写:人民币 元整)(含税)
5.付款前乙方须向甲方开具6%增值税专用发票。
6.支付方式:甲方将合同款项电汇或银行转账到乙方下述账户:
户 名:
开户行:
7.甲方开票信息如下:
纳税人名称:
纳税人识别号:
注册地址:***
联系电话***
开户银行账号:
开户行名称:
开票类型 :开票类型:增值税 (专用/普通)发票
7.乙方的账户名称、开户银行、银行账号以本合同提供的为准,如有变更,乙方应在合同规定的相关付款期限之前 5日,以加盖财务专用章的书面文件通知甲方。
三、验收
1.项目验收方式:完成测评服务后组织项目验收,验收方式主要为书面验收。
2.项目验收内容:服务内容中测评服务对象的《信息系统安全等级保护测评报告》、《信息系统安全等级保护整改建议》(含测试记录等)。
3.项目验收结果:符合上述验收程序,乙方提供的测评服务符合《信息系统安全等级保护基本要求》等国家标准规范,甲乙双方应签署《项目验收报告》,确定项目验收合格。
4.甲方在收到乙方出具的《信息系统安全等级保护测评报告》后15日内组织验收。如甲方无正当理由拒绝验收,自甲方收到乙方出具的《信息系统安全等级保护测评报告》和验收报告后15日内自动视为验收合格;
四、双方权利及义务
甲方的权利和义务
1.为保证测评有关活动的正常开展,甲方须为乙方提供必要的配合与支持,包括但不限于:
现场办公环境、场地,调查和统计评估所包含的信息资产统计表,其中必须包括物理环境、终端、网络设备、主机、应用软件、业务系统、数据、人员、标准流程,明确现有状况、配置情况和管理情况,如主机系统,需要明确其平台、版本、补丁等基本情况外,还需明确开放端口、服务和进程等配置管理信息。
现有安全系统调查工作包括明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、账号口令集中管理系统等)的部署情况和使用情况。
2.甲方应在合同签订后,测评工作开始前 3 个工作日,向乙方提供进行测评活动范围内所涉及的文档资料、图纸、技术资料和相关设备的登录方式等。
3.本合同期内,若甲方安排第三方对本合同约定范围内硬件设备实施改造、修理、调试、更换及系统变更的,应在实施前书面通知乙方,并在实施结束时通知乙方对设备进行检查测评。
4.甲方要求提供超越本合同所列的服务内容时,则另行签订有偿服务合同。
5.如测评结果为“基本符合”甲方应采取持续改进措施,保障其信息系统安全。如测评结果为“不符合”甲方应出具整改情况说明并报备案受理机关,同时按照《等级保护基本要求》等有关国家、行业标准规范实施整改。
6.按照《四川省网络安全等级保护测评机构管理办法》要求,甲方应在乙方完成测评后对测评服务情况进行评价,填写《网络安全等级保护测评服务情况评价表》交备案受理机关和四川省网络安全等级保护工作领导小组办公室。
7.如因甲方原因导致服务期限的顺延、测评报告的失实或乙方不能如期完工的,因此造成的损失和责任由甲方自行负责,乙方不承担责任。
乙方的权利和义务
1.乙方应按时完成测评服务,出具测评报告,并对测评报告客观性、真实性、合法性负责。保证测评的质量符合国家及行业等相关规定。
2.乙方人员应对甲方信息系统按照测评标准进行测评,对甲方信息系统结果进行分析,给出合理的安全整改建议方案,并出具《信息系统安全等级保护测评报告》,以书面形式提交给甲方。其中测评报告一式叁份,一份测评机构存档、二份提交甲方(或被测评单位)。
3.乙方在服务期间应严格遵守双方的有关规章制度,在作业中应严格遵守甲方机房管理制度,做好各种安全及防静电措施,不得擅自挪用甲方的物品。
4.乙方人员因测评工作需要而接触到的甲方机密信息或暂时未公开的信息负有保密义务,关于此项规定双方需另行签订保密协议予与约束。(见附件一)
5.乙方对所出具的《测评报告》(含记录文件等)具有最终解释权,测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上,测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,原报告不再适用。报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。在任何情况下,若需引用《测评报告》中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。《测评报告》是根据特定标准出具的系统安全测评结论,“基本符合”仅表明该系统基本达到了标准所规定的要求,并不保证该系统是绝对安全的。甲方(或被测评单位)应采取持续有效的改进措施以保障信息系统的安全。
五、不可抗力
1.由于不可抗力导致本协议不能正常履行的,甲乙双方互不承担违约责任。
2.“不可抗力”指以下事实:双方不能预见、不能避免、不能克服的且导致本协议不能履行的自然灾害、战争、政府行为、社会异常事件等。
3.一方如遇不可抗力事件致使项目延期执行或不能执行,应将该情况及时告知对方,本合同约定的履约期限应自动顺延,在不可抗力结束后尽快恢复履行本合同。
六、违约责任
1.甲方必须按照合同规定将款项按时支付到乙方指定账户,无正当理由逾期支付的,甲方需按日支付逾期款项1‰的滞纳金给乙方。若甲方未按时付款,乙方有权停止测评工作,已出具的测评报告视为自动撤回。
2.因乙方故意或重大过失的原因,乙方未能履行本合同服务义务,乙方应向甲方支付合同总价款的3%作为违约金。但确因甲方原因造成的,乙方不承担责任。
3.如任何一方无故单方面解除合同,应向对方支付合同金额30%的违约金。
4.乙方将测评报告送达至甲方,送达方式包括但不限于现场送达、快递等。非因乙方存在违反《信息系统安全等级保护基本要求》(GB/T22239-2019)测评要求或不可抗力的原因,甲方不能拒收测评报告。经通知,甲方拒不签收、不作回复、在规定期限内不进行签收均视为乙方已将测评报告送达至甲方。
七、争议解决
本合同适用法律为中华人民共和国现行相关法规。因本合同所产生的一切争议,双方应本着友好合作的态度努力通过协商解决,若争端产生后三十天双方协商不成的,按下列方式解决:依法向四川省雅安市人民法院起诉。所有诉讼费用(包括并不限于诉讼费、律师费、鉴定费、差旅费等费用)由败诉方全部承担。
八、知识产权及保密
1.乙方在履行本合同过程中所创造产生的所有知识产权,包括但不限于设计方案图纸、各种说明书、测试数据资料、计算机软件、技术诀窍以及其他技术文档,由乙方依法全部享有相应权利。甲方在本合同所涉及的系统的使用、维护等范围内享有使用权,甲方无须在本合同约定的范围外就此向乙方另行支付费用。
2.甲方对前述知识产权信息负有保密义务,未经乙方书面许可,不得向任何第三方透露,亦不得用于本合同所涉及的系统之外的任何其他用途,但向监管部门以及根据国家法律法规规定和政府有关部门要求提供除外。
3.任何一方的业务经营信息、内部管理方法、内部规章制度以及其他与企业经营相关的信息,相对方应当负有保密义务。未经许可,不得向任何第三方透露,不得将前述信息用于任何商业目的,监管部门以及根据国家法律法规规定和政府有关部门要求提供除外。如此种情形出现,被要求方有义务在向政府有关部门提供资料前告知对方。
4.测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。(见附件一)
九、其他
1.本合同书一式伍份,甲方叁份,乙方贰份,自双方代表签字并加盖公章之日起生效。
2.对于本合同其他相关未尽事宜,双方可通过补充协议的方式进行约定。补充协议具有和本合同相同的法律效力。
十、合同附件
附件一:《保密协议书》
附件二:《现场测评授权书》
甲 方
乙 方
单位名称
四川建安工业有限责任公司
单位名称
单位地址
四川省雅安市经开区滨河东路6号
单位地址
总经理:王国强 委托代理人:
法定代表人: 委托代理人:
签字时间:
签字时间:
电话:***
电话:***
*** 手机:
开户银行
工行雅安河北街支行
开户银行
账号
2319614109022101685
账号
税号
91511800210900656Q
税号
邮政编码
625100
邮政编码
附件一
甲方:
乙方:
甲、乙双方根据《中华人民共和国反不正当竞争法》和国家、地方有关规定,就双方商务、技术等私密保护达成如下协议:
一、保密内容和范围
1.项目所涉及的商务洽谈内容(含服务价格)及技术交流获得提供的与本项目有关的技术资料、需求分析等内容。
2.与项目有关的设计方案、实施方案、测试记录、测试成果等内容。
3.乙方在合同期内因工作行为所接触和掌握到的甲方技术成果、设备配置、网络搭建、技术文档等相关技术资料以及甲方的全部非公开信息。
4.乙方在履行本合同过程中所创造产生的所有知识产权。
5.《中华人民共和国保密法》和国家、地方有关规定的保守国家秘密的内容。
二、双方的权利和义务
1.乙方必须严格遵守甲方的保密制度,严禁泄漏国家和商业秘密及技术秘密。
2未经甲或乙方书面同意,任何一方不得将任何商业秘密及技术秘密向本项目无关的第三方泄露或复制传递,但向监管部门以及根据国家法律法规规定和政府有关部门要求提供除外。
三、协议期限
1.甲、乙双方签署的服务合同终止后,本协议项下的保密义务并不必然终止,直至相关保密信息非因承担保密义务的一方原因成为公开信息时止或双方按照下款规定终止保密协议。
2.服务合同终止后,双方若协商一致终止本保密协议,则本协议终止。单方面终止无效。
本保密协议经甲乙双方加盖公章后生效。
甲方:(盖章) 乙方: (盖章)
日期: 年 月 日 日期: 年 月 日
附件二 现场测评授权书甲方:
乙方:
甲方委托乙方对合同中所涉及测评服务对象开展等级保护测评服务(以下简称“测评”)。
为确保测评工作的顺利进行,并保证甲方信息系统所涉及的操作系统、应用系统及网络等的文档和数据的安全性,甲乙双方就下述事宜达成一致,特制定本协议。
一、甲方责任
1、甲方提供准确的信息系统信息(包括应用系统、网络系统、服务器系统、数据及备份系统、相关文档资料的基本信息),并安排专人全程配合测评工作,确保测评工作的顺利进行。
2、甲方允许乙方在测评过程中对所获取的信息进行必要的记录。
3、甲方应在测评工作中配合乙方测评工作,以确保乙方所获取信息的真实性。
4、甲方应在测评前对相关数据进行必要的备份。
5、甲方在未经乙方允许的情况下,不得泄露乙方在测评工作中所使用的测试方法、技术及相关输出。
二、乙方责任
1、对于乙方在测评过程中所获取的任何信息,仅在编写报告时使用。
2、在未经授权的情况下,乙方不得向任何单位提供测评过程中所获取的信息。
3、乙方在测评过程中应尽量避免影响甲方业务的正常运行,若出现意外操作而导致的异常则应立刻通知甲方并积极配合协商解决。
4、在测试完成后,乙方承诺不对外泄露甲方测试信息。
5、测评现场工作可能会给被测系统带来如下风险:
(一) 网络性能变慢;
(二) 网络设备性能变慢或停机;
(三) 主机服务器性能变慢或停机;
(四) 应用系统性能变慢或下线;
(五) 数据库数据可能会丢失。
鉴于以上风险,被测单位做好各项数据、设备和系统的备份工作和应急响应工作。并请被测单位派遣人员全程陪同进行贵单位机房和信息系统的测评工作。
甲方:(盖章) 乙方:(盖章)
日期: 年 月 日 日期: 年 月 日
第四部分 廉政协议
廉洁共建协议书
甲方:四川建安工业有限责任公司
乙方:
为维护双方的合法权益,规范双方单位及业务人员廉洁从业行为,实现诚信合规经营,践行公平公正,推进共享共赢,防止违纪违法行为的发生,经甲乙双方协商一致,达成如下廉洁共建协议:
第一条 甲乙双方共同义务
(一)严格遵守国家有关法律法规及廉洁从业的有关规定;
(二)严格遵守诚实信用原则,遵守商业道德和市场规则,不营私舞弊,共同营造公平公正的商务交易环境;
(三)严格廉洁从业要求,加强员工的管理和廉洁从业教育,自觉抵制不廉洁行为。
第二条 甲方义务
甲方有义务督促并监督自己的员工做到:
(一)不索要或接受乙方提供的回扣、礼金、有价证券、支付凭证、贵重物品、电子红包等;
(二)不在乙方报销任何应由个人支付的费用或接受其它变相资助;
(三)不在乙方或乙方的关联单位入股或变相入股分红和兼职取酬;
(四)不得参加乙方安排的旅游、高档宴请、高消费娱乐及打牌等活动;
(五)不得向乙方单位及人员借款;
(六)不利用职权通过乙方为个人及其配偶、子女和特定关系人谋取其他不正当利益。
对乙方举报反映的问题,甲方要进行认真调查,严肃处理,并及时给予回复。甲方确保对乙方举报行为不进行打击报复。
甲方举报受理部门:四川建安工业有限责任公司纪检部,地址:雅安市经开区滨河东路6号,邮编:625100,电子邮箱:jajsb2009@163.com, 举报电话:***
第三条 乙方义务
(一)不得向甲方人员提供回扣、礼品礼金、有价证券、支付凭证、提货卡(券)、电子红包等;
(二)不得为甲方人员报销应由其个人支付的费用,包括日常业务活动中发生的交通费和住宿费;
(三)不得为甲方人员安排旅游、高档宴请、高消费娱乐等活动;
(四)不得通过打牌等带彩娱乐活动,变相贿赂甲方人员;
(五)不得为甲方人员在乙方投资入股提供方便;
(六)不得安排甲方人员在乙方兼职取酬;
(七)不得为甲方人员及配偶、子女及其他特定关系人谋取不正当利益提供方便;
(八)不得利用非法手段向甲方人员打探有关商业秘密;
(九)对甲方人员在业务交往中出现的不廉洁行为及违纪违法问题,应及时向甲方监督部门举报,并积极配合甲方调查取证工作。
第四条 违约责任
(一)甲方人员违反本协议的,按照管理权限,依据有关法律法规给予党纪、政纪处分或组织处理,涉嫌犯罪的,移交司法机关追究其法律责任。
(二)乙方违反本协议的,甲方有权根据情况做出如下处理(单处或并处):
1.甲方有权向乙方收取违纪违规金额5至10倍的违约金,且乙方通过违纪违规方式获得的不正当得益应全部退还甲方。
2.取消乙方在甲方的新增业务(新增业务量及新的业务种类)资格。
3.情节严重者,立即终止与乙方的合同履行,并将乙方列入黑名单,取消乙方供应商资格。
4.涉嫌犯罪的,移交司法机关追究其法律责任。
第五条 本协议一式两份,甲乙双方各执一份,经双方授权代表签署并加盖双方印章后生效。
甲方:四川建安工业有限责任公司 乙方:
(盖章) (盖章)
授权代表: 授权代表:
-
北京智诚风信网络科技有限公司 北京中招国联科技有限公司 北京中招国联咨询有限公司 北京国建伟业咨询有限公司 哈尔滨中招国联科技有限公司 石家庄易投网络科技有限公司
Copyright © 2005-2024 版权所有 招标网 京ICP证050708号-1 证书
京公网安备 11010802028602号