采购内容:等级保护测评
一、项目概况及要求:
根据《网络安全法》、《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)、《金融行业网络安全等级保护实施指引》(JR/T 0071.2-2020******银行《关于加强网络安全等级保护定级备案并开展自查工作的通知》(银科函〔2022〕1113号)以及建总行《关于落实国家网络安全等级保护制度并报送相关情况的通知》(金融科技部〔2023〕635号)等文件要求,信息系统运营者应当按照网络安全等级保护制度的要求开展网络安全等级保护测评工作,网络安全等级保护定级工作需由具备国家等级保护要求资质的专业测评机构进行测评,并将检测评估情况形成测评报告报送公安部相关部门。
目前我公司有3个等保三级系统和4个等保二级系统,3个三级系统分别是注册登记系统、基础支撑平台、数据平台,4个四级系统分别是投资管理系统、客户服务系统、综合办公系统、直销系统。根据相关文件要求,公司需每年对等级保护定级为三级的信息系统开展网络安全等级保护测评和整改工作,每2-3年对等级保护定级为二级的信息系统开展网络安全等级保护测评和整改工作,以确保其安全稳定运行,因此我公司拟采购专业的等级保护测评机构对公司信息系统开展网络安全等级保护测评工作。
二、服务工作的范围、内容、期限
(一)覆盖范围
服务内容主要包括:3个等保三级系统和4个等保二级系统的网络安全等保测评服务。
(二)服务内容
等级保护测评机构需协助我公司对本项目范围内3个等保三级系统和4个等保二级系统进行全面系统的合规性检测,完成信息系统等级保护测评报告。具体内容如下:
1)现场核查测试前的准备
安全测评双方经过协调沟通,进行测评准备,评估是否重新定级备案(如需需协助我公司重新定级备案)、确定技术测试的对象和内容,并就测评方案达成共识。
2)测评方案编制
确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据所选取的结果进行具体测试计划的编写,形成测评方案。
3)差距分析测评
测评内容应提供技术测评和管理测评。其中技术测评包括:******管理中心、验证测试。管理测评包括: 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
4)分析与差分报告编制
根据差距分析测评现场测评结果,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,形成差距分析测评报告和安全风险分析报告,依据差距分析测评报告制定相应的系统整改建设规划。
5)安全整改
根据出具的差距分析测评报告和整改建设规划制定详细的整改实施方案,协助我公司完成系统问题整改。
6)复测及测评报告编制
针对整改的项目进行复测评,待复测完成后出具符合公安部要求并经过盖章的测评报告,提交公安机关,完成等级保护认证工作。
(三)供应商维护服务人员的数量、资质经验、角色等方面的要求:
供应商维护服务人员的数量:不少于6人;
供应商维护服务人员资质经验及角色:含高级测评工程师不少于2人、中级测评工程师不少于2人、渗透测试工程师不少于2人。
(四)工作成果要求,包括保密要求、最终提交文档要求、验收标准及验收流程等。
服务内容:
| 服务名称 | 服务内容 | 输出成果 |
| 差距测评方案设计 | 依据信息系统定级情况,依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)对信息系统的各项安全指标进行符合性评估,标识信息系统的不符合项,明确信息系统与等级保护第三级系统基本要求之间的差距,为系统整改提供依据。 | 《信息系统等级保护初测报告》 |
| 安全技术差距分析测评 |
| 安全管理差距分析测评 |
| 差距测评报告编制 |
| 等级保护测评方案编制 | 依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),按照相应管理规范和技术标准,从安全技术和安全管理两个方面对信息系统的安全等级保护状况进行检测、评估,分析和评估其潜在得威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,以确保信息系统的安全保护措施符合安全等级保护第三级系统的基本安全要求。 | 《信息系统等级保护测评报告》 |
| 安全技术测评 |
| 安全管理测评 |
| 验证测试 |
| 测评结论分析 |
| 测评报告编制 |
三、本次公开招募供应商的准入资质:
(一)网络安全等级保护定级工作需由具备国家等级保护要求资质的专业测评机构进行测评。
(二)合法性及诚信要求
1.具有独立承担民事责任能力的法人。
2.在最近三年内的经营活动中没有行贿犯罪等重大违法记录。
(三)软件要求
1.软件产品必须具有在中国境内的正式合法使用权和销售权;
2.软件产品在国内有可靠的技术支持力量;
3.软件产品必须为正式版本;
4.软件产品必须具有完整的技术资料。
四、必要材料
(一)经营资质(扫描件)
公司章程(如有)、营业执照(事业单位法人证书或类似执业许可证)、公司法人身份证的原件扫描件。
(二)财务报表(扫描件)
公司上年度资产负债表、现金流量表、利润表的原件扫描件。
(三)公司简介
包括但不限于以下内容:公司全称,统一社会信用代码,公司类型,注册资本,法人代表姓名,企业网址,纳税人类型,******办事处的详细地址和联系方式,与公司的采购合作历史情况,并说明公司最近三年在政府采购或金融行业采购过程中是否受到处罚。
五、附加材料(根据行业性质或商品特点提供)
(一)资质证明(扫描件)
1、行业资质认证。例如:质量管理体系认证,环境管理体系认证,职业健康安全管理体系认证等。
2、产品认证。如3C认证,节能环保产品认证等。
(二)技术能力介绍
公司拥有的自主知识产权名称、数量(须提供扫描件作为证明)。
(三)商品在金融业的实施案例
上年度与金融公司签署的商品销售合同名称、销售数量、销售金额及履行情况。
有意参与本项目的供应商请提供相关证明材料,包括但不限于服务介绍,并在4月11日17:00前将资料发送至******。
提交材料无需加盖公司盖章。提交供应商资料大小不超过10M(提交的邮件附件总大小超过10M自动拦截,视为无效应答,附件请勿通过第三方邮件转存附件。)
