重庆科技学院信息系统安全检查服务_招标网

重庆科技学院信息系统安全检查服务

信息发布日期：2020.10.20 标签：重庆市招标

加入日期：	2020.10.20
地区：	重庆市
内容：	项目基本信息需求描述：信息系统安全检查服务需求 *.资产识别：依据相关国家标准或国际标准，对学校的IDC机房的信息资产进行全面梳理和识别，识别内容包含但不限于信息系统软件资产和硬件资产两个方面；识别内容包含不限于服务器、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等多种资产类

招标公告正文

项目基本信息

需求描述：

预算金额：￥20000 元

评选方式：价格最低

服务地址：***

服务周期： 30 天

是否资审：是

是否多包：否

发布时间： 2020-10-20 16:21

报名截止时间： 2020-10-23 10:00

资审时间： 2020-10-23 10:00- 2020-10-23 12:00

采购编号： 10171319

采购人信息

重庆科技学院

允许1家中选;

上传响应文件：否

供应商数量：若供应商参与数量不足3家，则采购失败，需重新组织采购。

供应商资格：第八届国家互联网应急中心CNCERT国家级网络安全应急服务支撑单位且具备CCRC信息安全服务资质认证证书信息安全风险评估服务一级资质。

异议处理项：如有异议请电话咨询采购人，采购流程问题请咨询平台运营400-660-7735。

信息系统安全检查服务需求

1.资产识别：依据相关国家标准或国际标准，对学校的IDC机房的信息资产进行全面梳理和识别，识别内容包含但不限于信息系统软件资产和硬件资产两个方面；识别内容包含不限于服务器、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等多种资产类型；资产识别方式包含但不限于：自研工具扫描探测、人工访谈调研和实地核查等。

2.脆弱性识别：依据相关国家标准或国际标准，根据资产识别结果，采用不同手段对资产进行全面的脆弱性识别，及时发现、处置脆弱性，避免或降低脆弱性被威胁利用的几率造成的影响；脆弱性识别方式包含但不限于:自研工具自动探测、人工访谈调研、文档审阅和实地核查等。

3.威胁识别：依据相关国家标准或国际标准，对存在脆弱性的资产进行威胁的全面识别，及时发现潜在威胁的原因，避免或降低威胁发生的几率。

4.防护能力评估：依据相关国家标准或国际标准，对学校现有的防护能力进行评估，评估内容包含但不限于；预防控制措施情况，如：已有安全策略和防护程序情况、软件版本和补丁管理、安全域和访问控制、管理体系建设及落实、安全意识培训等。

5.风险分析：投标方应组织专家团队，对存在和潜在的风险进行全面分析，保证风险分析的科学性、合理性及风险处置的可操作性。

6.渗透测试：在保证学校信息系统正常运行前提下，模拟攻击行为通过远程或本地方式对20个业务系统进行非性的入侵测试，查找针对应用程序的各种漏洞，帮助学校掌握应用系统当前的安全状况，发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法，切实保证信息系统安全。

7.漏洞扫描：在进行全面梳理和资产识别的基础上，由专业的技术人员使用漏洞扫描工具对学校20个业务系统的相关设备进行漏洞扫描，在工具扫描后由专人对漏洞扫描结果进行人工验证，保证漏洞扫描结果的真实性，并提供安全加固技术支持。

8.漏洞扫描工具应具备对高可利用漏洞的管理，对扫描出或已修复的漏洞，具备一键复测功能（需提供截图证明并加盖投标人商公章）。

9.为保证服务提供商的服务能力，服务提供商应为第八届国家互联网应急中心CNCERT国家级网络安全应急服务支撑单位且具备CCRC信息安全服务资质认证证书—信息安全风险评估服务一级资质。（需提供相应证明材料并加盖服务提供商公章）；

10.服务要求：至少提供一次信息系统安全检查服务，并输出一套完整的服务结果报告，报告需包含：资产梳理表、风险分析报告、渗透测试报告、漏洞评估报告及安全加固建设报告。

报名地址：https://www.chinazhyc.com/detailsDemand?id=10171319

地区导航: 华东: 上海　江苏　浙江　安徽　福建　江西　山东

华北: 北京　天津　河北　山西　内蒙古

东北: 辽宁　吉林　黑龙江

华南: 广东　广西　海南

西北: 陕西　甘肃　青海　宁夏　新疆

西南: 重庆　四川　贵州　云南　西藏

华中: 河南　湖北　湖南