采购人需求项目简介项目名称广州国际贸易单一

2024-06-22

采购人需求项目简介项目名称广州国际贸易单一篇1

第一章采购人需求

一、项目简介

（一）项目名称：广州国际贸易“单一窗口”平台信息安全等级保护测评服务采购项目

（三）项目类别：服务类

（四）采购预算（最高限价）：人民币500000元。

（五）采购内容及用途： 1.数量：1项；

2.采购内容：广州国际贸易“单一窗口”平台信息安全等级保护测评服务。

二、项目介绍

为落实信息系统安全等级保护工作，建立一个安全稳定运行的基础软硬件环境；建立健全信息安全组织和各项信息安全管理制度，并加大监督检查，从管理和技术两方面满足信息安全等级保护标准的要求，进一步提高基础信息网络和重要信息系统的安全保护能力，确保广州港务局业务信息系统安全可靠运行。

按照国家、公安机关有关信息系统安全等级保护要求，为采购人“单一窗口”平台提供信息系统安全等级保护测评服务，从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理方面对信息系统进行测评，综合分析目前的信息安全能力与信息安全等级保护要求之间的差距，揭示采购人信息安全工作的不足和存在的问题，提出整改方案和安全规划，形成相应测评报告，协助采购人完成整改，并完成向公安机关的备案及验收工作。同时，满足广州市电子政务外网管理办法、广州市电子政务信息安全管理办法、广州市电子政务电子签名使用管理办法等地方性及行业性信息安全政策要求。

一、总体要求

(一)项目工期要求：合同签订之日起，90个工作日内完成二级等保测评服务实施和验收。

(二)谈判供应商应承诺提供本地化服务团队。(三)本项目不得转包或分包。

(四)为避免产权和使用纠纷，要求谈判供应商在服务期内使用的软件产品和工具具有产权或使用权证明。如果是谈判供应商自有知识产权的产品，须提供知识产权证明（软件产品登记证书或著作权登记证书复印件）；如果不是谈判供应商自有知识产权的产品，需证明对相关工具具有合法使用权，如提供原厂商租赁（或购买）的相关证明复印件。谈判供应商必须承诺成交后签订合同时（采购人如有需要）提供上述文件原件供采购人核对，如不能提供或原件与响应文件不符的，报财政监管部门，由此引发的所有损失由成交供应商负责。

二、项目要求和目标

（一）等级保护测评服务

1.确定测评方案：对信息系统开展前期调研，确定测评范围，并搜集信息，确定测评方案。

2.差距测评：依据国家、公安机有关信息系统安全等级保护要求，利用专业的安全测评设备和软件（等保工具箱、专业安全扫描器、漏洞测试工具等）从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面对目标信息系统进行安全需求测评分析，确定信息系统安全建设整改需求，提交《差距测评分析报告》和《整改方案》。根据等级保护差距测评报告与评估结果，针对存在的安全隐患以及未落实的安全措施制订安全整改方案，明确整改的目标、项目和进度，拟定信息安全保障标准与规范。

（1）提出符合等级保护《基本办法》要求的安全专用产品，完成相应安全域的划分及拓扑设计。

（2）协助落实安全技术措施，提供统一的信息安全规范与标准。3.协助完成信息系统整改：提供无偿的咨询服务，指导协助采购人完成信息系统信息安全整改，达到国家规定的信息安全要求。

4.测评服务

在信息系统进行完成差距测评和整改实施之后，对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证，提供的测评服务将协助用户完成等级保护测评工作，进行评审，评审通过后完成备案，获取备案证书。

三、项目差距测评要求

（一）差距测评方式

等级保护测评方法主要包括人员访谈、文档检查和系统测试三类。人员访谈：测评工程师通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。

文档检查：测评工程师通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。

系统测试：测评工程师依照相关标准与法律法规实施测评，使用等级保护检查工具箱设备作为主要系统检查、信息收集、分析工具，同时结合其他专业脆弱性安全扫描工具、安全配置核查工具的扫描分析结果作为参考。将该阶段搜集的数据信息录入系统测评核查表，以供后期分析。配置核查扫描提供每个扫描任务的日志文件报告，方便后期进行行为审计。

（二）差距测评内容

依据《信息系统安全等级保护基本要求》，从技术和管理方面等10个类别的单元测评内容进行差距测评。

1.安全技术测评

（1）物理安全。物理安全测评将通过访谈和检查结合的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。

（2）网络安全。网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。

（3）主机系统安全。主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的主机系统安全保障情况。

（4）应用安全。应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。为信息系统整体安全性进行综合评价做准备。

（5）数据安全。数据安全测评将通过访谈、检查和测试结合的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。

2.安全管理测评

（1）安全管理制度。安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

（2）安全管理机构。安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

（3）人员安全管理。人员安全管理测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。

（4）系统建设管理。系统建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。

（5）系统运维管理。系统运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。

3.整体测评分析

依据等级保护标准要求，进行技术和管理方面等10个类别的单元测评，完成对各个指标项的符合性评估后，需要对信息系统的安全情况进行总体评估。主要从层面内安全、层面间安全、区域间安全、系统结构安全进行整体评估，总结关键风险点。

单独出具单台主机的详细漏洞描述和解决建议作为后期整改依据。4.系统安全整改建议分析

依据系统测评结果，针对不符合项、系统漏洞和系统风险点，提出安全整改建议，并形成安全整改方案。

四、项目整改方案要求

协助采购人进行整体安全整改规划方案的详细设计，主要包括（不限于）技术措施、管理措施以及安全建设规划，形成《招考业务信息系统等级保护整改方案》。

（一）技术措施的详细设计 1.结构框架设计依据每个信息系统所需达到安全等级的相应要求和信息系统的实际情况，给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架。

2.功能要求设计

对安全实现技术框架中使用到的相关信息安全产品提出功能指标要求。对需要开发的安全控制组件，提出功能指标要求。

3.性能要求设计

对安全实现技术框架中使用到的相关信息安全产品提出性能指标要求。对需要开发的安全控制组件，提出性能指标要求。

4.部署方案设计

结合目前信息系统网络拓扑，以图示的方式给出安全技术实现框架的实现方式，包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的，给出网络调整的图示方案等。

5.制定安全策略实现计划

依据信息系统安全总体方案中提出的安全策略的要求，制定设计和设置信息安全产品或安全组件的安全策略实现计划。

（二）管理措施的详细设计

结合系统实际安全管理需要和技术建设内容，协助采购人确定安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。

（三）安全建设的规划方案

依据信息系统安全总体方案、采购人信息化建设的中长期发展规划和安全建设资金状况确定各个时期的安全建设目标。

根据安全建设目标和信息系统安全总体方案的要求，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。

在时间和经费上对安全建设项目列表进行总体考虑，分到不同的时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。

五、项目人员要求

（一）数量要求

项目经理1人，项目实施成员（除项目经理外）3人。

（二）项目经理资质要求

1.教育及认证水平：通信或计算机类专业硕士或同等学历及以上，具有信息系统项目管理师中/高级水平资格证书，具有高级信息安全等级测评师证书，具有注册信息安全人员（CISP）证书。

2.工作经验：3年以上信息安全工作及项目管理经验。

3.专业知识：熟悉信息系统安全等级保护测评，能够熟练使用常规的WEB应用扫描、基线扫描、漏洞扫描工具，具有一定的操作系统、网络安全、网站和数据库知识，具有高级信息安全等级测评师证书。

4.素质能力：具备信息安全管理和协调能力，工作认真负责，具有高度的责任心。

5.人员工作稳定：提供在本公司任职的外部证明材料（如加盖政府有关部门印章的打印日期在本项目报价截止日之前六个月以内的《投保单》或《社会保险参保人员证明》，或单位代缴个人所得税税单等）。

（三）项目实施人员（等级保护测评师）资质要求

1.教育及认证水平：通信或计算机类专业本科或同等学历及以上，通信或计算机类专业本科学历或以上，具有初/中级或以上信息安全等级测评师证书，注册信息安全人员（CISP）证书。

2.工作经验：3年以上信息安全工作及项目实施经验。

3.专业知识：熟悉信息系统安全等级保护测评，能够熟练使用常规的WEB应用扫描、基线扫描、漏洞扫描工具，具有初级及以上信息安全等级测评师证书。

4.素质能力：具备信息安全管理和协调能力。

六、服务要求

（一）测评基本原则成交供应商应依据客观性和公正性原则、经济性和可重用性原则、可重复性和可再现性原则、结果完善性原则、最小影响原则、规范性原则为采购人提供信息系统安全等级保护测评服务。

1.客观性和公正性原则

测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

2.经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

3.可重复性和可再现性原则

不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

4.结果完善性原则

测评所产生的结果应当证明是良好的判断和对测评项的正确理解，测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

5.最小影响原则

测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

6.规范性原则

信息系统安全等级保护测评服务的实施应由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

（二）定级备案要求

协助完成信息系统的信息安全等级保护定级备案工作，工作内容包括：协助完成信息系统等级保护定级备案材料准备；协助完成定级备案材料向公安机关递交报备流程，并取得《信息系统等级保护定级备案证明》。

（三）分析测评要求成交供应商应根据各个信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的不符点，提出各信息系统的基本安全保护需求。其主要工作过程至少应包括：确定各系统范围和分析对象、形成评价指标和评估方案、现状与评价指标对比、提出安全保护需求。

1.安全调查和测评的过程中，如需采购人配合，谈判供应商需要详细描述需要配合的内容。如需要采购人协助完成各种表单，需要详细描述表单的名称、功能及主要表项等，并由谈判供应商给出具体示例。采购人有权利拒绝提供任何未事先提出的配合要求，由此产生的损失由成交供应商负全责。

2.本项目中可能需要的硬件平台(如笔记本电脑、PC、工作站等)均由成交供应商提供，采购人将按照相关要求对设备进行必要的处理。谈判供应商在服务期间未经采购人许可不得将设备带离采购人指定场所，也不得使用任何未经采购人确认的存储设备对测评数据进行复制。

3.成交供应商需要给出采购人在进行调查和测评时所需要提供的信息列表。经采购人确认后提供给成交供应商。采购人有权利拒绝提供任何信息列表以外的采购人资产信息。

4.安全测评应按照分层的原则，包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等。

5.谈判供应商应提供本项目的测评方案，包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法。

6.实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。

7.谈判供应商应详细描述安全调查和测评的组织方式，包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。在整个测评过程中，强调采购人的互动参与，每个阶段都能够及时根据采购人的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。

8．在有效的服务期间内，谈判供应商应保证采购人风险评估结论的准确性和及时性，对于采购人新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低采购人的成本，从信息安全性上，保证信息安全测评的动态稳定性。

（四）测评工具要求

测评工具严格遵循可控性原则。测评过程中所使用的测评工具需符合信息安全等级保护测试标准，符合《信息安全等级保护检查工具箱技术规范》、《信息安全等级保护检查工具测评方案》的等级保护检查工具箱设备，具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》EAL3+级别认证证书、中国信息安全认证中心颁发的《IT产品信息安全认证证书》、公安部门颁发的《计算机信息系统安全专用产品销售许可证》。

等级保护测评工具箱应为国内自主研发产品，必须满足《信息安全等级保护测评指南》的相关要求及标准，提供产权或使用权证明。技术功能包含：Windows主机配置检查工具；Linux主机配置检查工具；主机病毒检查工具；主机木马检查工具；网站恶意代码检查工具；网络及安全设备配置检查工具；弱口令检查工具；数据库安全检查工具；网站安全检查工具；系统漏洞检查工具；等级保护检查知识库、检查指标库、检查流程；支持问卷调查、现场检查、系统量化得分、检查报告现场打印等功能；内置取证辅助设备数据管理终端工具，集中快捷的导入辅助设备取证数据；支持单机单网络、单机多网络、安全平台分布式管理、跳板机跳转等多种部署方式。

谈判供应商需要使用2种以上脆弱性扫描工具，主用脆弱性扫描工具需要符合上述要求，并与国际漏洞库兼容（提供第三方机构提供的认证证书，并加盖谈判供应商公章），具备对主流的操作系统、虚拟化软件、数据库、应用服务提供支持（提供产品操作界面截图，并加盖谈判供应商公章）。另一套次用脆弱性工具扫描工具也须具备公安部门颁发的《计算机信息系统安全专用产品销售许可证》。

提供所采用的等级保护检查工具箱、主用脆弱性扫描工具和次用脆弱性扫描工具产品的产权或使用权证明，提供相关证明材料扫描件，并加盖谈判供应商公章。

测评实施过程中所使用到的各种工具软件由成交供应商推荐，经采购人确认后由成交供应商提供并在测评中使用。在响应文件中应详细描述所使用的安全测评工具（功能及性能描述等）、对环境和平台的要求以及使用可能对系统造成的风险等。谈判供应商应对测评软硬件工具功能和参数进行详细说明，明确开展工作工具的用途。确保产品本身的安全性，由于测评工具的安全缺陷或功能缺陷导致检查过程影响了检查对象的正常运行，成交供应商需承担全部责任。

（五）协助整改要求

1.成交供应商应通过自身在等保测评工作中积累的经验，结合自身的技术优势，充分考虑到采购人信息系统实际情况，特提供一份具体细致的、操作性强的《整改方案》，协助完成信息系统等级保护的相关工作。

2.在安全需求分析完成并指导和协助用户进行系统整改后，成交供应商应通过等级测评判定信息系统是否按照预先设定的安全模式运行，安全控制措施是否得到合理的应用，信息系统是否达到相关标准的要求，是否具备相应等级的安全防护能力等。

3.成交供应商应整理测评数据，对信息系统的资料和测评结果进行综合分析，形成测评报告。通过专家讨论会议，对测评报告进行评审，出具等级保护测评报告。

4．成交供应商应通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现信息系统安全等级保护，能够做到不同安全等级的信息系统应具有不同的安全保护能力，并使采购人信息系统安全等级保护达到信息系统安全等级保护工作的各项要求，并完成测评报告的备案工作。

（六）项目管理和服务质量要求

谈判供应商需对项目作出具体安排，制定出详细的服务方案和时间计划，包括范围过程管理、服务结果质量保证、设备管理、人员管理、记录控制、成果文档审核，以及信息安全服务方法、作业指导书等内容；并就建立规范的测评流程、科学的测评方法、全面的测评内容、完善的测评工具、完备的测评指标体系和测评结果、有效的安全保密控制措施作出说明。严格落实人员安排，接受项目协调小组的监督，控制实施进度和项目质量，并能根据采购人要求合理调整实施安排。

（七）保密要求

成交供应商应保证对本项目实施中所获得任何资料和信息严格保密，不得利用这些信息损害采购人利益，与采购人签订保密协议，并与参加此次测评项目的所有成员签订保密协议。

（八）其他要求

1.信息系统安全等级保护测评服务应持续到采购人通过验收测评为止，期间如进行多次信息系统安全等级保护测评，采购人将不再另付费用。

2.工具使用发生的相关费用全部由成交供应商自行承担，采购人不另行支付任何费用。

3.谈判供应商应承诺响应文件所列工具均可在安全测评期间合法合规使用。

七、依据及参考规范

关于印发《信息安全等级保护工作的实施意见》的通知（公通字〔2004〕66号）《信息安全等级保护管理办法》（公通字〔2007〕43号）

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）

《GB 17859-1999 计算机信息系统安全保护等级划分准则》

《GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求》《GB/T 22240—2008 信息安全技术信息系统安全等级保护定级指南》《GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求》《GB/T 28449—2012 信息安全技术信息系统安全等级保护测评过程指南》《GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南》《GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求》《GB/T 20984-2007 信息安全技术信息安全风险评估规范》《GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架》《GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型》《GB/T 20271-2006 信息安全技术信息系统通用安全技术要求》《GB/T 20269-2006 信息安全技术信息系统安全管理要求》《GB/T 20282-2006 信息安全技术信息系统安全工程管理要求》《GB/T 20270-2006 信息安全技术网络基础安全技术要求》《GB/T 21050-2007 信息安全技术网络交换机安全技术要求》《GB/T 20281-2006 信息安全技术防火墙技术要求和测试评价方法》《GB/T 20272-2006 信息安全技术操作系统安全技术要求》《GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求》《GB/T 21028-2007 信息安全技术服务器安全技术要求》

《GA/T 671-2006 信息安全技术终端计算机系统安全等级技术要求》《广州市电子政务信息安全管理办法》《广州市电子政务外网管理办法》

《广州市电子政务信息系统安全配置总体要求规范》《广州市电子政务信息安全检查指南》

《广州市电子政务电子签名使用管理试行办法》

【采购人需求项目简介项目名称广州国际贸易单一】推荐阅读：