陕西省地震局等级保护测评及安全检测服务项目采购公告_招标网

陕西省地震局等级保护测评及安全检测服务项目采购公告

信息发布日期：2020.08.26 标签：陕西省招标

加入日期：	2020.08.26
地区：	陕西省
内容：	根据《省地震局政府采购实施细则（修订）》，地震综合业务信息系统务办公信息系统信息安全等级保护测评项目进行公开采购，具体事项说明如下：一、项目概况项目名称：省地震局等级保护测评及安全检测项目采购单位：省地震应急中心项目预算：******元整二、工作内容依据《网络

招标公告正文

根据《陕西省地震局政府采购实施细则（修订）》，地震综合业务信息系统和政务办公信息系统信息安全等级保护测评项目进行公开采购，具体事项说明如下：

一、项目概况

项目名称：陕西省地震局等级保护测评及安全检测项目

采购单位：陕西省地震应急中心

项目预算：100000元整

二、工作内容

依据《网络安全等级保护基本要求》（GB/T 22239-2019）、《网络安全等级保护测评要求》（GB/T 28448-2019）和《网络安全等级保护测评过程指南》（GB/T 28449-2018）等国家关于网络安全等级保护2.0相关标准和规范要求.此次项目拟对以下信息系统开展定级备案、等级测评及安全检测工作。信息系统名称及安全保护等级如下表：

序号	系统名称	系统等级	服务
1	陕西省地震局地震综合业务系统	二级	等级测评服务
2	陕西省地震局政务办公信息系统	二级	等级测评服务
3	陕西省地震局防震减灾业务系统	/	安全检测

三、项目服务内容

系统调研：在系统相关人员的协助下，对信息系统进行调研和梳理，了解系统当前信息系统资产现状。
现场测评与安全检测：根据国家等级测评的相关标准及已编制的相关等级保护测评指导书对两个二级信息系统中的相关资产进行测评项的检查、记录检查结果；对计划定级的系统进行安全检测。
分析整改：根据前述工作内容，分析信息系统安全情况与等级保护基本要求的差距,提供差异化测评服务，并进行风险分析，可根据现场情况出具科学合理的整改建议及整改方案，配合采购单位安全整改工作。
结论报告：根据前述工作内容，分析当前信息系统安全保护能力是否符合相应等级的安全要求，针对整改项进行再次测评,提供安全等级符合性测评服务，出具相关系统测评报告。
配合验收：整理项目过程中所有相关的过程文档，提交系统相关人员。

四、资质要求
营业执照副本（事业单位法人证书副本）、税务登记证副本（非盈利性事业单位不提供）、组织机构代码证副本或者统一社会信用代码证（三证合一）；
法定代表人委托授权书，法定代表人或事业单位法人参加招标只需提供其身份证；
具有国家信息安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》；
本项目不接受联合体投标。
备注：以上资质文件现场提供复印件加盖公章查验。

五、其他要求
测评人员要求：本项目的测评人员需具有1年或1年以上测评工作经验，项目经理和质量负责人***

2. 人员配备：投标方参与此项目不少于6人，现场测评人员不得少于4人，其中至少包含1名高级测评师，3名中级测评师。投标人必须为本项目成立本地化等级保护测评小组，由测评小组组长统一负责，测评小组组长具有一定的技术及管理知识和经验，能容易地与客户沟通，能很好的执行与完成测评工作，并根据适当情况增加测评人员。

3. 投标人应按等级保护测评要求制定测评过程中产生的文档，做到科学、规范、详尽、统一。

六、服务交付

在本次等级保护测评项目中，服务商须提交主要成果文档包含如下：

《信息系统安全等级保护项目计划书》

《信息系统安全等级保护测评方案》（综合业务系统）

《信息系统安全等级保护测评方案》（政务办公系统）

《信息系统安全等级保护测评报告》（综合业务系统）

《信息系统安全等级保护测评报告》（政务办公系统）

《信息系统安全检测报告》（防震减灾业务系统）

《信息系统安全等级保护整改方案》(含三个系统)

提供一年免费信息安全技术支持及咨询服务。

七、项目技术标准及要求

（一）总体要求

根据国家《信息安全等级保护管理办法》(公通字[2007]43号)与《信息安全技术网络安全等级保护基本要求》GB/T22239-2019要求，等级测评工作须覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容，并根据现场实际情况完成风险分析工作,最终为完善等级保护安全防护体系提供指导依据。

具体工作内容：

1、两个系统二级的等保测评（按照三级标准测评，按照二级出报告）：一是地震综合业务信息系统，该系统用于汇集陕西省测震台网、强震台网、前兆台网、等数据，通过业务专网与中国地震台网中心及各学科台网传输系统相连接，交换相关数据；另一是政务办公系统，该系统所涉及的业务信息主要包括：办公OA、公文管理、人事管理、财务管理等内容。

2、未定级系统“防震减灾业务信息系统”的备案相关工作及安全检测。该系统主要包括综合信息服务、应急辅助决策两大类共二十余个子业务。需公司协助进行备案资料的整理及相关备案工作，并开展基于技术层面的安全检测，提交检测结果报告。

（二）第一阶段：等级保护

信息安全等级保护工作共分为五步，分别是：“定级、备案、建设整改、等级测评、监督检查”。该项目主要完成系统的安全测评工作，依据安全技术和安全管理两个方面的测评要求，分别从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个安全类别进行安全测评。

1.定级要求

该项工作开展的主要依据是《信息系统安全等级保护定级指南》（GA/T 1389-2017）确定系统等级。

2.备案

信息系统的安全保护等级确定后，二级以上（含二级）信息系统的运营使用单位或主管部门应到属地公安机关办理备案手续。按照国家政策要求，跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，向当地设区的市级以上公安机关备案。该项目系统应向陕西省公安厅网络安全监察支队申请重要信息系统备案。

完成备案的信息系统，将获得公安机关颁发的《信息系统安全等级保护备案证明》。

3.等级保护测评要求

服务商在测评过程中要求按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）等相关的标准规范开展等级测评工作，对系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共10个层面进行安全等级保护测评。测评指标如下：

等级保护技术要求（二级）

安全层面	安全控制点	测评指标
安全物理环境	物理位置选择	a）机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；
	物理位置选择	b）机房场地应避免设在建筑物的高层或地下室，否则应加强防水和防潮措施。
	物理访问控制	机房出入口应有专人值守，控制、鉴别和记录进入的人员。
	防盗窃和防破坏	a）应将设备或主要部件进行固定，并设置明显的不易除去的标记；
	防盗窃和防破坏	b）应将通信线缆铺设在隐蔽安全处；
	防雷击	应将各类机柜、设施和设备等通过接地系统安全接地。
	防火	a）机房应设置火灾自动消防系统，自动检测火情、自动报警，并自动灭火；
	防火	b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；
	防水和防潮	a）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；
	防水和防潮	b）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
	防静电	应采用防静电地板或地面并采用必要的接地防静电措施。
	温湿度控制	应设置温湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。
	电力供应	a）应在机房供电线路上配置稳压器和过电压防护设备；
	电力供应	b）应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求。
	电磁防护	电源线和通信线缆应隔离铺设，避免互相干扰。
安全通信网络	网络架构	a) 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；
	网络架构	b) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离于段。
	通信传输	应采用校验技术保证通信过程中数据的完整性。
	可信验证	可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
安全区域边界	边界防护	应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
	访问控制	a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；
		b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；
		c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许／拒绝数据包进出；
		d）应能根据会状态话信息对进出数据流提供明确的允许/拒绝访问的能力；
	入侵防范	应在关键网络节点处监视网络攻击行为。
	恶意代码防范	应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。
	安全审计	a) 应在网络边界、重要网络节点处进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；
		b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
		c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。
	可信验证	可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
安全计算环境	身份鉴别	a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；
		b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；
		c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。
	访问控制	a) 应对登录的用户分配账户和权限；
		b) 应重命名或删除默认账户，修改默认账户的默认口令；
		c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；
		d) 应授予管理用户所需的最小权限，实现管理用户的权限分离。
	安全审计	a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；
		b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
		c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。
	入侵防范	a）应遵循最小安装的原则，仅安装需要的组件和应用程序；
		b)应关闭不需要的系统服务、默认共享和高危端口；
		c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；
		d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；
		e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；
	恶意代码防范	应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。
	可信验证	可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。
	数据完整性	应采用校验技术保证重要数据在传输过程中的完整性。
	数据和备份恢复	a) 应提供重要数据的本地数据备份与恢复功能；
	数据和备份恢复	b) 应提供异地数据备份功能，利用通信网络将重要数据定时批量传送至备用场地。
	剩余信息保护	应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
	个人信息保护	a) 应仅采集和保存业务必需的用户个人信息；
	个人信息保护	b) 应禁止未授权访问和非法使用用户个人信息。
安全管理中心	系统管理	a) 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；
	系统管理	b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
	审计管理	a) 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；
	审计管理	b) 应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。
安全管理制度	安全策略	应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。
	管理制度	a)应对安全管理活动中的各类管理内容建立安全管理制度；
	管理制度	b)应对要求管理人员或操作人员执行的日常管理操作建立操作规程。
	制定和发布	a)应指定或授权专门的部门或人员负责安全管理制度的制定。
	制定和发布	b)安全管理制度应通过正式、有效的方式发布，并进行版本控制。
	评审和修订	应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。
安全管理机构	岗位设置	a)应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人***
	岗位设置	***
	人员配备	应配备一定数量的系统管理员、审计管理员和安全管理员等。
	授权和审批	a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；
	授权和审批	b)应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程。
	沟通和合作	a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议，共同协作处理网络安全问题；
		b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通；
		c)应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式***
	***	应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
安全管理人员	人员录用	a)应指定或授权专门的部门或人员负责人***
	人员录用	***
	人员离岗	应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
	安全意识教育和培训	应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。
	外部人员访问管理	a)应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案。
		b)应在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案；
		c)外部人员离场后应及时清除其所有的访问权限。
安全建设管理理	定级和备案	a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由；
		b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定；
		c)应保证定级结果经过相关部门的批准；
		d)应将备案材料报主管部门和相应公安机关备案。
	安全方案设计	a)应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；
		b)应根据保护对象的安全保护等级进行安全方案设计；
		c)应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定，经过批准后才能正式实施。
	产品采购和使用	a)应确保网络安全产品采购和使用符合国家的有关规定；
	产品采购和使用	b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。
	自行软件开发	a）应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制；
	自行软件开发	b)应在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测。
	外包软件开发	a）应在软件交付前检测其中可能存在的恶意代码；
	外包软件开发	b）应保证开发单位提供软件设计文档和使用指南。
	工程实施	a) 应指定或授权专门的部门或人员负责工程实施过程的管理；
	工程实施	b）应制定安全工程实施方案控制工程实施过程。
	测试验收	a）应制定测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告；
	测试验收	b)应进行上线前的安全性测试，并出具安全测试报告。
	系统交付	a)应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；
		b)应对负责运行维护的技术人员进行相应的技能培训；
		c)应提供建设过程文档和运行维护文档。
	等级测评	a)应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改；
		b)应在发生重大变更或级别发生变化时进行等级测评；
		c)应确保测评机构的选择符合国家有关规定。
	服务供应商选择	a)应确保服务供应商的选择符合国家的有关规定；
	服务供应商选择	b)应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务。
安全运维管理	环境管理	a)应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；
		b)应对机房的安全管理做出规定，包括物理访问、物品进出和环境安全等；
		c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。
	资产管理	应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。
安全运维管理	介质管理	a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点；
	介质管理	b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。
	设备维护管理	a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理；
	设备维护管理	b)应对配套设施、软硬件维护管理做出规定，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。
	漏洞和风险管理	应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
	网络和系统安全管理	a)应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；
		b)应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；
		c)应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定；
		d)应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等；
		e)应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。
	恶意代码防范管理	a)应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等；
	恶意代码防范管理	b)应对恶意代码防范要求做出规定，包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等；
安全运维管理	恶意代码防范管理	c)应定期检查恶意代码库的升级情况，对截获的恶意代码进行及时分析处理。
	配置管理	应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。
	密码管理	a)应遵循密码相关国家标准和行业标准；
	密码管理	b)应使用国家密码管理主管部门认证核准的密码技术和产品。
	变更管理	应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审，审批后方可实施。
	备份与恢复管理	a)应识别需要定期备份的重要业务信息、系统数据及软件系统等；
		b)应规定备份信息的备份方式、备份频度、存储介质、保存期等；
		c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。
	安全事件处置	a)应及时向安全管理部门报告所发现的安全弱点和可疑事件；
		b)应制定全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；
		c)应在事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。
	应急预案管理	a)应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容；
	应急预案管理	b)应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练。
	外包运维管理	a)应确保外包运维服务商的选择符合国家的有关规定；
	外包运维管理	b)应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。

4.等级保护测评流程及内容

等级保护测评过程中要求服务商严格按照下列流程开展工作，具体工作流程如下所示：

（1）、测评准备阶段：是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

（2）、方案编制阶段：是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书，形成测评方案。

（3）、现场测评阶段：是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格按照测评指导书执行，分步实施所有测评项目，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

（4）、分析与报告编制阶段：是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《等级测评过程指南》的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成《信息系统安全等级测评报告》文本。

第二阶段：渗透检测

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机信息系统是否安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，通常该分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

第三阶段：代码审计

采用Fortify SCA 工具，对系统进行代码审计。内容包括但不限于：

1、审核应用流程中是否存在可被绕过的隐患；

2、审核应用代码中是否有一般性的漏洞类型；

3、审核应用代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞；

4、审核应用系统中三方组件及产品的漏洞隐患；

5、结合黑盒渗透测试方法，对应用代码审计结果验证；

6、发现安全隐患，确定后给出加固解决方案；

7、对应用代码中不符合安全规范的部分进行规范；

8、对今后应用代码编写的安全措施给出指导意见。

第四阶段：漏洞扫描与分析

针对系统进行漏洞扫描，涉及漏洞包括OWASP TOP 10等主流安全漏洞,包括：SQL注入、XSS跨站脚本、伪造跨站点请求（CSRF）、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、其他各类CGI漏洞。

第五阶段：安全检测

安全检测采用专业工具扫描（漏洞扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式，对目标系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等；从应用系统相关硬件、软件和数据等方面。其他评估内容应至少包括网络设备与防火墙、Web服务、文件服务、Mail服务、数据库问题、跨站脚本攻击、其他服务、其他问题等。

第六阶段：建设整改咨询及安全加固（不涉及硬件）

建设整改咨询工作以等级测评和渗透检测发现的安全问题为工作重点，编写《信息系统安全建设整改建议》；将信息系统的安全建设整改需求落实到可操作的安全技术和管理上，提出能够实现的技术参数或制度及其具体规范。

之后在陕西省地震局依据相关《信息系统安全建设整改建议》开展建设整改工作时，服务方将提供建设整改过程中的与建设整改相关的咨询服务。

对信息系统安全整改建议进行确认，并依照建议，协助我方进行漏洞修复，补丁升级等非硬件层面的安全加固，制定可执行的安全整改方案和计划，然后协助我方分步实施安全整改工作。

第七阶段：安全培训服务

1、政策、安全意识培训

对网络安全知识进行宣传培训。内容包括：网络安全法知识普及、典型信息安全事件知识案例讲解、安全保密意识建立以及前沿信息安全技术知识培训等。

2、安全技术能力培训

针对主机安全、应用安全、网络安全、数据库安全相关的检查方法进行培训，确保项目建设完成后技术人员可以独立完成检测项目的工作内容并完成报告的输出。

第八阶段：售后服务

为期一年的售后服务工作中，服务方将向陕西省地震局提供包括应急响应、安全监测、配合检查、电话支持、安全咨询等服务在内的安全维保服务。具体服务内容如下：

1、应急响应服务

针对本次项目，服务方提供7X24的常规应急响应及灾难恢复专家服务。在接到用户故障报修电话10分钟内响应。对客户信息网络应用系统突发的信息安全事件进行响应、处理、恢复、取证、跟踪、事后分析的方法及过程。

2、配合检查服务

服务方免费协助陕西省地震局响应公安机关、单位内部以及第三方机构针对信息系统安全等级保护工作的检查工作。服务内容包括协助陕西省地震局准备、完善各类资料文档，配合检查过程中的答疑及技术支持及其他现场检查的响应。

3、电话支持服务

每周7天/每天24小时不间断的电话支持服务，解答陕西省地震局在使用过程中遇到的问题，及时提出解决问题的建议和操作方法。电话响应时间不小四于10分钟，到达现场时间不超过2小时，解决问题不超过24小时。

4、安全咨询服务

服务方为陕西省地震局免费提供一年技术咨询服务，包括信息系统整改建设咨询服务以及其他相关安全咨询服务，一旦接到用户的服务请求，技术服务工程师将立即开始提供服务，帮助客户解决信息安全相关技术问题，全面配合陕西省地震局做好业务系统全保障工作。

八、采购响应方式

采购响应时间：2020年8月25日至2020年8月27日

采购响应文件递交地点：西安市边家村水文巷4#防震减灾科技大楼905

联系人***

电话：***

本次采购接受邮寄，供应商可将资质材料复印件加盖公章连同采购响应文件一并邮寄。

九、付款方式

合同签订后7个工作日内付合同额的80%，合同验收后7个工作日，支付合同剩余金额。

十、采购响应文件要求

采购响应文件应严格按照采购需求做出实质性响应，包含以下内容：

1、对测评准备（现状调研）、方案编制、现场测评、报告编制等内容进行详细描述；

2、对安全检测方案及内容进行详细描述；

3、明确服务内容及方法；

4、明确合理的实施周期和进度表；

5、提供整个测评项目实施过程中的风险防范措施，并明确保密责任与赔偿承诺；

6、服务承诺及保障措施；

7、其他认为需要补充的合理化建议。

备注：以上资质文件现场提供复印件加盖公章查验。

十一、评标

本项目评审使用综合评分法，评标委员会将按照客观、公正、科学、择优的原则，依据评标办法打分。最低报价不是成交的依据，但各方报价不能超过预算报价。。

（一）商务及技术标评分办法表

评审因素		评分标准	分值	汇总
报价	价格	综合评分法中的价格分采用平均价优先法计算，即满足采购文件要求的投标价格，取其平均值作为评标基准价，其价格分为满分15分。投标报价每偏离基准价5%扣1分，计算公式如下：投标得分=15-【（投标报价-基准价）】/（基准价*5%）。	15	15
技术	服务方案及措施评审	供应商结合采购单位实际需求，提供完整的项目工作流程和实施方案，对等级测评各个工作阶段的工作内容、工作方法及工作成果具有详细说明。优计10-8分，良计7-3分，差计3-0分。	10	30
		对渗透测试的人员配置、渗透测试说明、渗透测试工作方法、工作成果具有详细说明。人员配置优秀，工作方法科学合理、完善。优计10-8分，良计7-3分，差计3-0分。	10
		对项目组成员工作分配及项目实施进度具有科学合理安排；按照方案响应程度。成员工作分配科学，进度安排科学紧凑。优计5分，良计4-2分，差计1-0分。	5
		具有明确保密责任与承诺；具有严格的项目质量管理方案、过程控制及监控手段；具有严格的风险管理方案。优计5分，良计4-2分，差计1-0分。	5
	团队技术能力	针对本项目派往现场的测评团队中至少包含3名高级测评师，2名中级测评师，满足条件得5分。项目组在3名高级测评师基础上，每增加一名高级测评师加5分。本项最多加10分。本项最多得15分。以近三个月社保缴纳证明为准。	15	30
		针对本项目项目组成员具有测评师证书及网络安全应用检测专业测评人员证书（NSATP-A）每提供1个得1分，最多5分。需提供社保证明原件，不提供不得分	5
		针对本项目，项目经理应具备信息安全等级测评师高级证书、高级工业互联网安全评估师证书、项目经理-PMP证书、信息安全保障人员-CISAW证书和国家重要信息系统保护人员-CIIP_I（工控）证书，同时具备5证书得5分，同时具备3证书得1分，其他情况不得分。以近三个月社保缴纳证明为准。	5
		针对本项目，项目团队要求具备网络、运维、测评及攻防能力。所有成员都必须具备等级保护测评师证书。项目组成员具备工业和信息化部电子工业标准化研究院颁发的ITSS证书，得1分；项目组成员具备陕西省人力资源和社会保障厅职称资格颁发的网络工程师证书，得1分；项目组成员具备ISTQB证书，得2分；项目组成员具备国家信息安全漏洞库CNNVD原创漏洞提交证明得1分；本项共计5分。以近三个月社保缴纳证明为准。	5
商务及荣誉	公司实力	团队应具备优秀的渗透攻防实力，参加过近三年（2017-2019）中国合格国家认可委员会组织的全国测评机构CNAS比赛（全国网络安全等级保护测评能力验证暨攻防大赛），获得一等奖得10分，获得二等奖得6分，获得三等奖得2分。并出具有关证明文件。	10	25
	公司实力	服务商具有质量管理体系认证证书ISO9001得2分；服务商具备信息安全管理体系认证证书ISO27001得3分；	5
	业绩	服务商具有近三年同行业项目经验的，每个案例得1分，最高累计至10分。业绩证明文件需提供合同并加盖单位公章，其他情况不得分。	10

十二、定标

陕西省地震局根据评标结果确定成交单位，并向成交单位发《成交通知书》，对未成交单位不做未中标原因解释，成交单位须在收到成交通知书的7个工作日内完成合同签订工作。

陕西省地震局

2020年8月25日

地区导航: 华东: 上海　江苏　浙江　安徽　福建　江西　山东

华北: 北京　天津　河北　山西　内蒙古

东北: 辽宁　吉林　黑龙江

华南: 广东　广西　海南

西北: 陕西　甘肃　青海　宁夏　新疆

西南: 重庆　四川　贵州　云南　西藏

华中: 河南　湖北　湖南