中煤鄂尔多斯能源化工有限公司(以下简称“询价人”),就中煤鄂尔多斯能源化工有限公司信息系统安全等级测评服务项目询价,响应单位必须按询价文件要求的内容和格式,提交相关业绩、资质相关材料,并作为其报价文件的一部分。欢迎符合条件的潜在供应商(以下简称“询价响应人”)前来报名。
一、项目概况与询价范围
1.询价范围:中煤鄂尔多斯能源化工有限公司信息系统安全等级测评服务项目
2.项目概况:
根据《内蒙古自治区计算机信息系统安全保护办法》(内蒙古自治区人民政府令第183号)和《网络安全法》的要求,信息系统使用单位应选择符合法定条件的安全等级测评机构对等级保护二级及以上的信息系统进行测评,其中三级系统每年至少测评一次,二级系统每两年至少测评一次。
随着网络安全日益严重,为降低信息系统方面的安全缺陷,为检验信息系统防御能力、发现安全隐患、降低信息泄露风险,增强应对信息系统突发和紧急事件,降低信息安全紧急事件的影响,应对中煤鄂尔多斯能源化工有限公司中的DCS系统和OA系统开展信息安全等级保护测试。
3.服务期:一年
4.技术服务的方式:
针对本项目的等保服务技术方案:供应商按照国家及行业信息安全等级保护管理规范和技术标准,判断信息系统的安全保护能力与国家及行业要求之间的符合程度的差距分析测评方案。测评技术方案应包括(但不限于):对本次测评工作的说明、备案、测试方法、测试工具使用,测评过程中的风险控制,以及需要采购人了解的其它问题。
5、服务内容如下:
(1)按照行业标准及国家有关规定对DCS系统和OA系统进行安全等级测评;
(2)7*24小时应急安全服务;
(3)安全建设整改、系统建设咨询服务;
(4)两次测评,首次为差距测评,第二次为符合性测评,针对第一次测评中的问题和漏洞整改情况进行专项测评,保证相应系统达到国家等保相关要求;
(5)信息系统备案服务。
(6)合同签订后30天内完成测评工作。
6、支付方式
完成测评工作后提供信息安全等级保护测评报告(电子版),收到并确认后的三十个工作日内一次性支付全额款项,测评机构收到全款后提交最终测评报告(纸质版)和公安机关认可的测评证书。
二、技术要求
2.1测评服务技术要求
按照《网络安全法》和《内蒙古自治区计算机信息系统安全保护办法》(自治区人民政府令第183号),依据被测评信息系统安全保护等级,从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理10个方面进行测试评估,并出具《***信息系统等级保护测评报告》、《***信息系统安全等级保护测评证书》。
2.2测评方法
2.2.1访谈,应主要应用于安全管理测评中获取证据,在安全技术测评方面访谈主要用于收集目标系统的信息以辅助后续的检查或者测试。
2.2.2检查,检查前应列明要检查内容,范围要覆盖物理安全测评、网络安全测评、数据安全及备份恢复等方面的安全技术测评以及安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理等方面的安全管理测评。
2.2.3测试,应使用预定的方法/工具使测评对象产生特定行为,通过查看、分析这些行为的结果,所用测试方法要经管理人员同意,方可进行。
2.2.4风险分析,分析等级测评结果中部分符合和不符合项产生的安全问题可能对信息系统造成的影响以及风险情况。
2.3服务工具
2.3.1漏洞扫描器,应采用公安等相关部门许可的安全产品,能识别网络、操作系统、数据库系统的脆弱性,发现软件和硬件中已知的弱点等。
2.3.2等级保护符合情况监测软件,应具备不同时间段、不同年份、不同系统的等级测评情况展示,并能显示不符合项及整改建议等。
2.3.3所有服务工具应具有采购合同。
2.4测评内容
2.4.1已定级的信息系统安全符合性测试,依据信息安全等级保护的国家标准,按照有关管理规范和技术标准,从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面,采取访谈、配置核查、文档审查、现场查看、工具测试、风险分析等方法,对信息系统的安全保护能力进行全面的检测。
2.4.2漏洞扫描测试,利用漏洞扫描设备探测系统访问控制策略是否有效及系统漏洞给系统带来的安全隐患。
2.5测评原则
2.5.1客观性和公正性原则,测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
2.5.2经济性和可重用性原则,基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。
2.5.3可重复性和可再现性原则,无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。
2.5.4符合性原则,测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
2.6测评对象选择范围(包括但不限于以下内容)
2.6.1测评对象种类上要基本覆盖,重点抽查主要的设备、设施、人员和文档等。
2.6.2主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
2.6.3存储被测系统重要数据的介质的存放环境;
2.6.4办公场地;
2.6.5整个系统的网络拓扑结构;
2.6.6安全设备,包括防火墙、入侵检测设备和防病毒网关等;
2.6.7边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
2.6.8对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
2.6.9承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);
2.6.10管理终端和主要业务应用系统终端;
2.6.11能够完成被测系统不同业务使命的业务应用系统;
2.6.12业务备份系统;
2.6.13信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
2.6.14涉及到信息系统安全的所有管理制度和记录。
3、项目范围
序号 本次服务系统名称 系统级别 系统规模
1 DCS 3级
2 OA 2级
4、项目要求
1保密要求
1.1供应商必须承诺对本项目技术文件以及由用户提供的所有内部资料、技术文档和信息予以保密;未经书面许可,不得以任何形式向第三方透露本项目标书以及本项目的任何内容;
1.2供应商在签订合同的同时签订项目保密协议。
2实施要求
2.1信息系统等级保护测评需在30天内完成,并提交《等级测评报告》等相关文档;
2.2项目所有服务人员必须具备测评资质,项目团队应由初级测评师构成;
2.3确保项目实施的安全、规范,确保被服务系统的安全。所使用的工具、方法和过程要在双方认可的情况下使用。服务过程中所用测试工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序并销毁不需要的文档和资料;
2.4项目组进场人员必须遵守我公司相关管理规定。
3售后要求
3.1一年内提供7×24小时免费服务,包括:电话、邮件、QQ、信函、上门等形式;
3.2一年内根据我方需要提供信息安全检查等工作支持;
3.3在服务期内,已测评系统如存在某种恶意的攻击行为,并分析攻击的威胁程度、攻击的本质、范围和来源,同时预测攻击者的可能行为,提交分析报告;
3.4对需要进行整改的测评系统,我公司已经按照整改要求整改后,要重新测评,并输出相应文档。
三、询价响应人的资格要求
1.询价响应人必须具备独立的法人资格;
2.询价响应人必须为本标的服务单位。
3.询价响应人有类似项目安全验收服务业绩。
4.经营状况良好,没有处于被责令停业、报价资格被取消、财产被接管、冻结及破产状态,在最近3年内没有骗取中标和严重违约及重大质量问题。
5、具有内蒙古自治区等保办颁发的测评机构推荐证书或自治区网络安全主管单位的测评机构初审结果告知书。
6、供应商须提供售后服务承诺书;
7.本项目不接受联合体报价。
四、询价响应人须知
六、询价响应文件递交
询价响应人应在2018年1月22日下午3点前