| 索引号: | 11100000013544955P/2021-02855 | 公开方式: | 主动公开 |
| 发布机构: | 国家税务总局吉林省税务局 | 组配分类: | 政府采购 |
| 文件编号: | 发文日期: | 2021-10-12 |
网络安全等保测评和密码应用与安全性评估服务项目采购需求公告
采购需求前附表
序号 | 类别 | 内容 |
1 | 项目立项 | 项目立项时间:2021年 7 月 1日 |
项目立项证明文件:R有 £无 | ||
2 | 项目预算安排 | 总预算金额(万元): 157.5万元 |
当年预算安排金额(万元):157.5万元 | ||
项目资金来源:基本支出 | ||
3 | 项目采购内容 | 服务内容:重要信息系统风险评估、等保测评及密评 |
4 | 项目实施时间 | 合同签订后60日内完成,根据招标方实际情况进行调整。 |
5 | 项目实施地点 | 吉林省南关区东南湖大路1518号国家税务总局吉林省税务局 |
6 | 项目实施范围 | 6个三级信息系统和9个二级信息系统的等保测评工作以及3个三级信息系统的密码应用安全性评估和密码应用建设方案评审 |
7 | 项目相关单位 | 需求部门:信息中心 |
验收部门:信息中心 | ||
8 | 采购意向公开 | R本项目已于2021年5月17日公开采购意向 |
£本项目经立项审批不公开采购意向 | ||
9 | 支持中小企业 | £本项目(第 包)专门面向中小企业采购 |
£本项目预留预算金额的 %专门面向中小企业采购 | ||
£本项目不适宜由中小企业提供,且已履行报批手续。 | ||
10 | 公告期限 | 自本公告发布之日起5个工作日。 |
11 | 意见反馈方式 | 凡对本次公告内容提出意见反馈,请以书面形式按以下方式联系。名称:国家税务总局吉林省税务局;地 址:长春市南湖大路1518号;项目联系人:冯全成;联系方式:0431-80500300 |
一、项目概述
1.项目背景
税务信息系统作为国家重要信息系统之一,其网络安全关系国家税收安全。根据《中华人民共和国网络安全法》《密码法》及信息安全等级保护制度要求,需要对我局关键信息基础设施进行风险评估,对重要信息系统进行信息安全等级保护测评(以下简称等保测评)及密码应用安全性评估(以下简称密评)。通过开展风险评估、等保测评、密评,发现和整改省局重要信息系统存在的风险隐患,切实提高关键信息基础设施、重要信息系统综合防护能力,坚决防止重大网络安全事件,保障省局关键信息基础设施及重要信息系统安全稳定运行。
2.项目内容
根据《信息安全等级保护管理办法》等文件要求,需要对以下信息系统进行等保测评、风险评估及密评等。
二、项目需求
2020年等保测评工作是于2020年9月16日开始的招投标,经过专家评审后,由长春嘉诚信息技术股份有限公司中标且依法开展等保测评工作。密评是依据《密码法》的要求,依法开展密评工作,本年度是第一次开展,没有项目延续性。
三、项目实施要求
1.项目管理要求
投标人应委派一名代表作为项目经理,代表投标人与采购人共同统筹及协调一切与本项目有关的事项,领导并监督项目组中投标人人员的工作情况。双方委派的项目经理及其他人员组成本项目协调委员会,定时审查及监督项目实施过程,处理项目实施中的各项变更事宜。投标人应当出具针对本项目的项目管理方案,方案能够保障项目进度及组织计划,确保人员配备合理、计划措施得当,同时能够提供有效的质量及风险识别措施以及质量及风险控制措施保证项目的质量及稳定性。为更好的管理项目,负责管理本项目的项目经理应当具备应具备PMP(Project Management Professional)项目管理专业人员认证证书、系统集成项目管理工程师资质。
2.人员能力要求
测评人员进入测评现场,必须遵守我局的有关安全规章制度,听从我局安全监督管理人员的安排。为保证测评质量及获得优质测评服务,投标人针对本项目应组建不少于8人的服务团队,同时对提供测评服务的机构和人员提出以下要求:
(1)等保测评人员能力要求
针对本项目的安全物理环境测评人员应该具备信息安全等级测评师资质、信息系统集成及服务项目经理资质、数据中心运维管理认证证书、系统集成工程师资质、国家标准培训合格证书资质。
针对本项目的安全计算环境测评人员应该具备信息安全等级测评师资质(中级)、IT服务工程师资质、主流存储厂商认证专家(IE)资质、主流数据库厂商认证大师(OCM)资质、Linux系统管理员认证证书。
针对本项目的安全通信网络测评人员应该具备信息安全等级测评师资质(中级)、系统集成工程师资质、信息安全保障人员(应急服务方向)资质。
针对本项目的安全管理中心测评人员应该具备信息安全等级测评师资质(高级)、高级软件工程师资质、IT服务项目经理资质、主流操作系统厂商认证专家资质、系统集成工程师资质。
(2)密码测评人员能力要求
针对本项目密码测评中网络和通信安全测评人员应该具备注册信息安全专业人员(CISP)、国家商用密码应用安全性评估人员测评能力考核小组颁发的“ 商用密码应用安全性评估人员测评能力考核” 证书,且考核结果为“合格”。
针对本项目密码测评中应用和数据安全测评人员应该具备高级软件工程师资质、计算机应用技术工程师资质、质量管理体系审核员资质。
四、项目验收要求
由于本项目为等保测评及密评项目,交付物为测评方案、等保测评备案材料以及测评报告,因此不涉及货物类相关验收。本项目验收方式采取一次终验的方式进行验收。等保测评、密码方案评审及密码测评主要目标是输出网络安全等级保护测评报告、密码建设方案评审报告及商用密码应用安全性评估报告。
主要交付物如下:
根据招标方的实际等保备案需求,交付物还应增加等保备案相关材料。
五、项目技术支持服务要求
方式要求:非驻场服务方式,根据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)严格执行。
1.投标人能力要求
投标人必须是国家或省等级保护工作(领导)小组的推荐的成立测评机构,投标人测评人员必须具备等级测评师的相关证书及资质,熟悉检测流程,了解和掌握与被检单位有关的专业知识及相关的规范、规定,包括国家标准规范、行业规范、地方标准以及有关的安全程序、操作规程等。同时投标人具备信息安全管理体系认证证书-ISO27001和质量管理体系认证证书-ISO9001。
2.工具要求
为保证项目测评结果的准确性与权威性。等保测评服务中使用的漏洞扫描工具,应该具备国家信息安全漏洞库《兼容性资质证书》。
六、税收信息化项目开发和应用管理工作要求
本项目不涉及。
七、其他要求
服务方对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:
(1)服务方应按要求与委托方签署保密协议,服务人员签订保密承诺书及网络安全承诺书。
(2)服务方应主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。
(3)服务方不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的甲方关于该项目的商业秘密。
(4)服务方不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。
(5)服务方不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。
| 打印本页 正文下载 |