中国铁路昆明局集团有限公司信息技术所2022统建系统网络安全等级保护测评项目公告

中国铁路昆明局集团 信息技术所2022统建系统网络安全等级保护测评项目公告

（招标编号ZB2022-CB18）

一、项目概况

根据国铁集团的要求，以及集团公司对请示的批示，需对昆明局集团公司列车调度指挥系统（TDCS/CTC）、中国列车运行控制系统（CTCS）、铁路客票发售和预定系统等43个统建信息系统进行网络安全等级保护测评。

项目编号：ZB2022-CB18

本项目资金已到位。

二、公示期

2022年10月12日至2022年10月17日

三、合格供应商主要资质条件

1、在中华人民共和国境内依法注册，具有独立法人和增值税一般纳税人资格的企业，且能提供符合国家规定的税率的增值税专用发票，注册资本不小于2000万元；

2、企业及其服务项目不在中国国家铁路集团 和中国铁路昆明局集团 暂停或停止合作关系期限内；

3、满足国家、中国国家铁路集团 、行业服务的有关规定和资质要求；

4、服务商须具有公安部第三研究所颁发的“网络安全等级测评与监测评估机构服务认证书”；

5、服务商须具备中国国家认证认可监督管理委员会颁发的“检验监测机构资质认定证书（CMA）”；

6、投标人须具备中国合格评定国家认可委员会检验机构认可证书（CNAS）；投标人须具备中国合格评定国家认可委员会实验室认可证书（CNAS）；

7、投标人须具备工业互联网产业联盟颁发的“工业互联网安全评估评测机构”资质；

8、服务商须具备中国网络安全审查技术与认证中心认定的符合信息安全服务规范(CCRC-ISV-C01:2021)的二级或以上服务资质；

9、服务商拟投入本项目的技术人员须具备如下条件：参与本项目组的成员至少有5人，且必须具备信息安全等级保护测评师资质，项目经理必须取得中级等级保护测评师资质和注册信息安全专业人员（CISP）资质证书；

10、服务商拥有等级测评师人数要求50人以上，并提供等级测评师证书；

11、投标人能够保证被测系统的安全稳定运行，具备7×24小时应急响应能力；

12、服务商应熟悉被测系统的技术架构及业务流程；

13、投标人须提供等保测评技术人员6个月以上的社保缴存证明复印件以备核查；

14、本项目不接受联合体及代理商投标。

四、服务内容和要求

（一）服务内容

1.按照国家有关规定和要求，根据《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008），服务提供商须深入调研被测单位信息系统实际情况，开展业务信息安全和系统服务安全等方面的分析，确定信息系统等级，协助被测单位编制《网络安全等级保护定级报告》。

2.测评前期协助被测单位，调查系统测评中需要的基本信息，包括系统基础信息、物理机房、网络设备、安全设备、服务器或存储设备、终端或现场设备、系统管理软件或平台、业务应用系统或平台、关键数据类型、数据类别、安全相关人员、安全管理文档、网络拓扑等。

3.协助被测单位从安全管理和安全技术等方面，针对各个系统具体的安全需求，在等级保护前期工作基础上，提供专业的安全技术解决方案，提供技术咨询服务。

4.在安全等级测评过程中，每个工作阶段、流程、内容及成果交付严格遵循《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)和《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)文件要求，从每个信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面进行等级保护测评。并通过安全控制层面间、区域间和系统结构间的综合分析进行整体测评和风险分析，出具《网络安全等级保护测评报告》及《系统风险整改问题库》。

5.通过专业扫描工具对网络、系统应用、主机操作系统、数据库系统等安全漏洞进行扫描，发现安全漏洞并给出整改建议。

6.对测评系统进行安全渗透测试。

7.根据现场测评结论，给被测单位出具安全技术和安全管理层面的有针对性的安全整改建议，指导被测单位进行安全整改加固，并开展复测，最终使安全管理和技术两方面达到相应等级的保护要求。

8.提供《系统风险整改问题库》（包括系统名称、测评，漏扫，渗透测试中发现的高、中、低风险问题、系统等级、问题风险等级、问题整改建议、问题涉及的对象设备或IP等）。

（二）服务要求：

1.2022年12月30日前出具测评报告。

2.质量保证期：验收通过后，在服务期间（1年内）对测评范围内的系统提供免费技术支持，现场应急服务。

3.人员培训：由服务方负责免费对被测方管理人员、应用人员进行信息安全技术现场培训，使其具备检测、应急处置能力。

4.服务方不得以任何形式向第三方透露被测方在测评过程中提供的系统网络拓扑信息、系统配置信息、数据库相关信息、系统运行的数据、管理制度及流程，以及经被测方声明需要保密的其他信息。

5.应急服务速度：接到通知远程立即响应，具备7×24小时应急响应能力。

6.服务商提供《竣工报告》，包含完整准确的受测评系统的《网络安全等级保护测评报告》、《系统风险整改问题库》等内容；

7.技术服务成果需满足《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)。

8.提交的资料符合国家、中国国家铁路集团 （原中国铁路总公司、原铁道部）网络安全等级保护测评相关技术标准。

（三）其他要求

1．投标方应牢固树立“安全第一”的指导思想，建立健全各项安全管理规章制度，制订并落实各项安全防护措施。

2. 投标方全面负责其作业人员日常安全管理工作，依照《劳动法》、《安全生产法》以及国家、云南省等其他有关法律法规的规定，对作业人员身份进行相关审核，建立合法劳动关系，依法承担相应的各项安全职责，保证其作业人员的合法权益。

3.作业过程中的劳动人身安全、现场安全管理工作由投标方负责。投标方人员在作业期间发生的伤害事故由投标方负全部责任，与招标方无关。

4.项目实施相关人员应签订保密协议与安全责任书，确保被测系统的数据安全，保证系统的安全稳定运行。

5.测评过程及结果对第三方保密。

6.投标人从2016年11月1日至今，至少有1个铁路行业信息系统等级保护测评三级及以上系统和关键基础设施的实施业绩，并提供有效合同；

7.能够提供与铁路行业相关的对等保三级以上信息系统渗透测试未产生影响的证明并加盖被测单位公章。

五、

六、其他

凡有意参加本项目潜在供应商请与昆明局集团 信息技术所联系，在2022年10月17日18：00前书面报名参与。

                                             中国铁路昆明局集团 信息技术所

                                2022年10月12日