招标频道 [切换分站]
招标网服务号 微信公众平台
招标网APP 中招APP下载
招标网 > 招标采购 > 招标公告 > 重庆市港航海事事务中心关于港航协同管理平台安全测评服务询价采购公告

重庆市港航海事事务中心关于港航协同管理平台安全测评服务询价采购公告

2021-11-23 平台招标计算机招标 重庆市
收藏
打印
全屏
用手机查看

扫描到手机,信息随时看

用微信扫一扫功能即可

将此内容分享给朋友

  • 以下内容,仅对会员开放。如需查看详细内容,请先【注册】成为会员。
  • 已注册会员请【登录】后查看。
  • 更多详情,请查看【会员服务列表】
  • 如果您需要解决登录及其他问题,请您拨打客服热线:400-633-1888
  • 【正式会员“登录”后可浏览】
  • 2021年11月23日
  • 【正式会员“登录”后可浏览】
  • 【正式会员“登录”后可浏览】
正文内容

·公告摘要:

***********招标公司受业主*******委托,于2021年11月23日在招标网发布重庆市港航海事事务中心关于港航协同管理平台安全测评服务询价采购公告。各有关单位请于前与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。

*** 部分为隐藏内容,查看详细信息请

·部分信息内容如下:

重庆市港航海事事务中心关于港航协同管理平台安全测评服务询价采购公告
***港航海事事务中心关于 港航协同管理平**全测评服务询价采购公告 项目名称港航协同管理平**全测评服务采购方式询价采购(最高限价**万元) 联系地址******红石路*号联系人江臻伟 联系电话***-********传真电话***-******** 采购公告时间****年**月**日至****年**月**日 项目开标时间****年**月**日下午**:**时 供应商 资格要求*、具有独立承担民事责任的能力(分公司参与投标的应提供总公司的授权证明); *、具有良好的商业信誉和健全的财务会计制度; *、具有履行合同所必需的设备和专业技术能力; *、有依法缴纳税收和社会保障资金的良好记录; *、参加采购项目近三年内,在经营活动中无重大违法记录; *、法律、行政法规规定的其他条件。 供应商 特定资格条件供应商应纳入网络安全等级保护测评机构推荐目录 供应商应为国家密码管理部门认定的密码测评机构 ***港航海事事务中心关于 港航协同管理平**全测评服务询价采购评标办法 一、服务范围与工作内容: 服务范围:***港航海事事务中心**、改建系统:《***港航协同管理平台》(含主框架及船舶管理子系统)。 服务内容:对待测系统开展网络安全等级保护测评、商用密码应用安全性评估及代码安全审计。 服务标准:投标人需在系统终验前完成所有安全测评报告的提交,并配合完成项目验收。 二、服务要求 (一)等级保护测评要求 *、项目背景 (*)服务目标 ***港航海事事务中心为了提升信息系统的安全保护能力、加强信息安全管理,根据《中华人民**国网络安全法》、《信息安全等级保护管理办法》、《GB/T *****-**** 网络安全技术信息系统安全等级保护基本要求》等法规和标准的要求,对本单位**信息系统《***港航协同管理平台》(含主框架及船舶管理子系统)开展网络安全等级保护测评工作。 通过测评,准确反映待测信息系统的安全防护能力现状,分析排查所涉及信息系统的信息安全隐患,提出安全整改建议;同时提升系统安全防护能力,优化、加强系统信息安全管理,确保本单位网络安全建设工作满足国家法律法规、标准规范的要求,信息系统达到相应安全等级的防护水平。 (*)项目依据 项目依据国家《中华人民**国网络安全法》、《中华人民**国计算机信息系统安全保护条例》(国务院***号令)、《信息安全等级保护管理办法》(公通字[****]**号)、《中华人民**国国家标准GB/T *****-**** 信息安全技术信息系统安全等级保护基本要求》、《中华人民**国国家标准信息安全技术信息系统安全等级保护测评要求》、《中华人民**国国家标准信息安全技术信息系统安全等级保护测评过程指南》、《中华人民**国国家标准GB/T *****-****信息安全风险评估规范》等法规要求进行网络安全等级保护测评。测评中应严格按照《GB/T *****-**** 信息系统安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。 *、采购服务内容 测评过程中,应针对关键设备、重点网段和高危漏洞进行渗透测试,形成相应的实施和分析报告。 本次需要测评的系统包括被测系统运行密不可分的物理环境、网络环境、主机及相关系统、安全管理制度等。本项目中测评目的和测评内容,必须与网络安全等级保护要求的基本安全控制要求相一致。 (*)本次测评的信息系统定级情况如下: 序号系统名称拟定级别备注 * 《***港航协同管理平台》(含主框架及船舶管理子系统)*级 (*)测评指标项 测评范围主要包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面,并根据系统实际情况选择相应的扩展测评内容。技术测评: ①. 安全物理环境测评(物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护); ②. 安全通信网络测评(网络架构、通信传输、可信验证); ③. 安全区域边界测评(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证); ④. 安全计算环境测评(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护); ⑤. 安全管理中心测评(系统管理、审计管理、安全管理、集中管控)。 管理测评: ①. 安全管理制度测评(安全策略、管理制度、制定和发布、评审和修订); ②. 安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和**、审核和检查); ③. 安全管理人员测评(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理); ④. 安全建设管理测评(定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择); ⑤. 安全运维管理测评(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。 云计算扩展测评: ①. 安全物理环境测评(基础设施位置); ②. 安全通信网络测评(网络架构); ③. 安全区域边界测评(访问控制、入侵防范、安全审计); ④. 安全计算环境测评(身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护); ⑤. 安全管理中心测评(集中管控); ⑥. 安全建设管理测评(云服务商选择、供应链管理); ⑦. 安全运维管理测评(云计算环境管理)。 移动互联扩展测评: ①. 安全物理环境测评(无线接入点的物理位置); ②. 安全区域边界测评(边界防护、访问控制、入侵防范); ③. 安全计算环境测评(移动终端管控、移动应用管控); ④. 安全建设管理测评(移动应用软件采购、移动应用软件开发); ⑤. 安全运维管理测评(配置管理)。 物联网扩展测评: ①. 安全物理环境测评(感知节点设备物理防护); ②. 安全区域边界测评(接入控制、入侵防范); ③. 安全计算环境测评(感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理); ④. 安全运维管理测评(感知节点管理)。 工业控制系统扩展测评: ①. 安全物理环境测评(室外控制设备物理防护); ②. 安全通信网络(网络架构、通信传输) ③. 安全区域边界测评(访问控制、拨号使用控制、无线使用控制); ④. 安全计算环境测评(控制设备安全); ⑤. 安全建设管理测评(产品采购和使用、外包软件开发)。 *、项目成果要求 本项目需要形成针对待测评系统的网络安全等级保护测评报告,主要包括系统测评记录、安全扫描及渗透测试报告、系统风险分析、系统等级测评报告等(可合并输出)。 (二)商用密码应用安全性评估服务要求 *.项目需求 依据GB/T *****-****《信息安全技术 信息系统密码应用基本要求》、《信息系统密码测评要求》、《商用密码应用安全性评估测评过程指南》、《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》和信息系统自身的安全需求分析,对本单位**信息系统《***港航协同管理平台》(含主框架及船舶管理子系统)进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为,推动提升***港航海事事务中心密码应用水平。 *.采购服务内容 (*)测评指标项 商用密码应用安全性评估参照《中华人民**国密码法》、《中华人民**国网络安全法》、《信息安全技术信息系统密码应用基本要求》(GB/T*****-****)、《信息系统密码测评要求》(试行)、《商用密码应用安全性评估测评过程指南》(试行)等国家行业现行有效的标准、规范。 按照商用密码应用安全性分类分级评估的要求,依据《信息安全技术信息系统密码应用基本要求》(GB/T*****-****)要求及信息系统等级保护定级情况,测评至少应该包括以下内容:系统通用要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等,具体要求如下表所示: ①. 通用要求: 通用要求密码算法密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求 密码技术密码技术应遵循密码相关国家标准和行业标准 密码产品密码产品、密码服务应符合法律法规的相关要求 ②. 技术要求: 技术要求物理和环境安全身份鉴别 电子门禁记录数据存储完整性 视频监控记录数据存储完整性 密码服务 密码产品 网络和通信安全身份鉴别 通信数据完整性 通信过程中重要数据的机密性 网络边界访问控制信息的完整性 安全接入认证 密码服务 密码产品 设备和计算安全身份鉴别 远程管理通道安全 系统**访问控制信息完整性 重要信息**安全标记完整性 日志记录完整性 重要可执行程序完整性、重要可执行程序来源真实性 密码服务 密码产品 应用和数据安全身份鉴别 访问控制信息完整性 重要信息**安全标记完整性 重要数据传输机密性 重要数据存储机密性 重要数据传输完整性 重要数据存储完整性 不可否认性 密码服务 密码产品 ③. 管理要求: 管理要求管理制度具备密码应用安全管理制度 密钥管理规则 建立操作规程 定期修订安全管理制度 明确管理制度发布流程 制度执行过程记录留存 人员管理了解并遵守密码相关法律法规和密码管理制度 建立密码应用岗位责任制度 建立上岗人员培训制度 定期进行安全岗位人员考核 建立关键岗位人员保密制度和调离制度 建设运行制定密码应用方案 制定密钥安全管理策略 制定实施方案 投入运行**行密码应用安全性评估 定期开展密码应用安全性评估及攻防对抗演习 应急处置应急策略 事件处置 向有关主管部门上报处置情况 (*)测评内容 在系统真实环境下,采用访谈、查看配置、工具测评等方式评估信息系统密码应用及保障是否安全有效,密码使用和管理是否满足合规性、正确性、有效性。并且通过测评来发现信息系统存在的密码应用安全性隐患和风险,提出可行性整改建议。 评估机构需协助采购人找出信息系统密码安全与国家相关政策标准要求的差距,有针对性的出具《差距分析整改建议》,供采购人后续密码安全规划、建设、整改提供参考依据。 *、项目成果要求 本项目需要按照国家密码管理局要求的报告模板,出具《商用密码应用安全性评估报告》及《差距分析整改建议》。 (三)代码审计服务要求 *、项目需求 检查本单位**信息系统《***港航协同管理平台》(含主框架及船舶管理子系统)源代码中的安全缺陷,检查程序源代码是否存在后门程序、恶意代码、安全漏洞等安全隐患,是否达到代码安全规范标准,通过自动化工具或者人工审查的方式,对程序源代码逐行进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修复建议,提高***港航海事事务中心信息系统安全防护能力。 *.采购服务内容 提供核心业务系统所用的主流的Java、JSP、C/C++等语言作源代码安全审计。即通过代码扫描规则,对程序源代码进行自动化的扫描,并能够从安全和质量的角度分别检测出不符合规则的代码。提供不符合规则代码的影响程度、数量、位置、修改建议等。 《报告》内容应包括:不良编码、风险级别、违反数量、文件位置、代码位置、风险说明、错误实例、正确实例等。 源代码安全审计技术指标要求: 能针对不同编程语言,不需要编译环境的前提下,根据标准语法对源代码进行基本的语法扫描; 能针对不同编程语言,不需要编译环境的前提下,根据标准语法对源代码进行基本的语法扫描; 能审计的编程语言包括但不限于:Java,vue, JSP,XML,JavaScript,PL-SQL/T-SQL; 能根据一个或多个行业安全规则集进行安全漏洞审计,包括但不限于:跨站脚本攻击、SQL 注入、**泄漏、命令注入、路径操作、缓冲区溢出漏洞、系统信息泄漏漏洞、跨站请求伪造、硬编密码、日志伪造、XPath 注入、LDAP 注入、**死锁、安全配置遗失、异常处理失误、空指针引用、死代码、内存泄漏等; 能在集成开发环境内直接审计。至少支持以下IDE:Eclipse,Intellij IDEA; 具备一个或多个国际安全标准模板,如软件安全漏洞词典CWE、开放式Web 应用程序安全项目组织OWASP 等; 按照图表化显示提交审计结果; 审计结果提示需精确到变量,至少提供按“工程->文件->代码行->变量”路径的安全提示; 对审计出的安全问题,提供详实、直观的修复建议以及示例; 按严重性、可能性等分级依据对审计结果进行划分; 根据审计结果,可以对多次扫描结果进行图形化对比,清晰展示代码修改效果。 *、项目成果要求 本项目成果包括但不限于:《源代码审计报告》。 (四)实施要求 *、服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。 *、评估工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经采购人同意后实施。 *、供应商为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务,配合采购人,为被测信息系统安全整改和加固提供咨询和技术服务。 *、供应商应加强本项目资料的保密管控,必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施,记录资料由生成到销毁整个生命周期内的使用日志,并根据实际工作情况及时对制度进行调整。中标供应商应加强本项目在用户工作场所使用设备,特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备,必须遵守系统关于终端安全管理、移动存储介质管理等要求。 三、服务期、地点及验收方式 (一)服务期:合同签订后*个月内。 (二)服务地点:采购人指定地点。 (三)验收方式:成交供应商提交工作成果《网络安全等级测评报告》及《等保差距分析报告》,采购人于*个工作日内邀请专家对项目进行验收。 四、付款方式 (一)成交供应商领取成交通知书七个日历日内向采购人缴纳履约保证金,履约保证金为中标金额的*%;履约保证金在本项目服务结束后无息退还到来款账户。 (二)本项目经采购人验收合格后,由成交供应商提供有效等额发票,采购人一次性支付全部费用。 五、报价要求 (一)最高限价为**万元人民币,所有供应商报价不得超过最高限价,否则按无效报价处理; (二)报价包括完成本项目所需的服务费、人工费及提供服务所需的设备或货物购买(制造)费、辅材费、培训费等及各种应纳的税费等所有费用。因成交供应商自身原因造成漏报、少报皆由其自行承担责任,采购人不再补偿。 六、供应商数量及资格要求 *、本次采购不接受联合体,不接受合同转包和分包; *、有效投标人满足*家及以上; *、根据《政府采购法实施条例》第十八条规定,单位负责人为同一人或存在直接控股、管理关系的不同供应商,不得参加同一合同项目下的政府采购活动; *、供应商的法定代表人或其授权代表未参加磋商的,视为无效响应,按无效投标处理。 七、响应文件份数及装订要求 供应商提供正本一份即可,投标文件须密封并在密封处加盖投标人单位公章,未按上述规定封装,采购人应当拒绝接收。 八、报价资料提交时间、地点 (一)时间:供应商应在****年**月**日下午**:**至**:**时提交报价资料。 (二)地点:***港航海事事务中心(***红石路*号东和银都B座) **楼会议室。 九、报价书应包括以下内容 *、报价函(附件*):本次项目为总价包干。 *、提供法定代表人身份证明(附件*)。授权其他人办理的还需提供法定代表人授权委托书(附件*)。 *、提供供应商具有良好的商业信誉和健全的财务会计制度、具有履行合同所必需的设备和专业技术能力、有依法缴纳税收和社会保障资金的良好记录和参加政府采购活动前三年内,在经营活动中没有重大违法记录的诚信声明(附件*)。 *、提供主体资格证明文件复印件(包括但不限于营业执照、事业单位法人证书等,复印件加盖供应商公章)。分公司参与投标的须提供总公司的授权证明。 *、提供网络安全等级保护测评机构推荐证书复印件和中国网络安全等级保护网官方截图(加盖供应商公章)。 *、供应商应为国家密码管理部门认定的密码测评机构,提供国家密码管理局认可的官方文件复印件(加盖供应商公章)。 *、按照本评标办法应提供的其他资料。 十、评标流程 本次评标在*港航海事事务中心纪检部门的监督下按以下流程开展: *、宣布投标供应商名单; *、检查响应文件密封情况; *、现场开标,宣读各供应商投标报价; *、开标结束,***港航海事事务中心相关处室组成的采购工作小组对供应商响应文件进行资格性和符合性审查; *、评审结束后现场宣布评审结果。 十一、评标办法 按照最低报价原则,满足询价公告中供应商资格要求和评标办法中所有条件,报价最低的供应商中标。 十二、公示 确定中标候选人后在***交通局官网公示,公示期*天,公示结束后与中标人进行合同谈判。 附件* 报价函 ***港航海事事务中心: 我方收到____________________________(采购项目名称)的询价采购公告,我方完全理解和接受贵方询价文件的一切规定和要求及评审办法,经详细研究,现决定参加该项目的竞价,愿意以人民币大写: 元整;人民币小写: 元的总价提供本项目的交货及技术服务。 供应商(全称并盖章): 法定代表人或其委托代理人(签字): 地址: 传真: 联系电话: 日期: 年 月 日 附件* 法定代表人身份证明书 ***港航海事事务中心: (法定代表人姓名)在(供应商名称)任(职务名称)职务,是__________________(供应商名称)的法定代表人。 特此证明。 (此处附法定代表人身份证的正反面复印件:) 供应商(全称并盖章) 日期:年 月 日 附件* 法定代表人授权委托书 ***港航海事事务中心: 本人(供应商法定代表人姓名)系(供应商名称)的法定代表人,特授权_________(被授权人姓名及身份证代码)代表我单位全权办理对(项目名称)项目的采购活动。 我单位对被授权人的签字负全部责任。 在撤消授权的书面通知以前,本授权书一直有效。被授权人签署的所有文件(在授权书有效期内签署的)不因授权的撤消而失效。 供应商法定代表人(签字): 被授权人(签字): (此处附被授权人身份证正反面复印件) 供应商(全称并盖章) 日期:年 月 日 附件* 诚信声明 ***港航海事事务中心: (供应商名称)郑重声明,我公司具有良好的商业信誉和健全的财务会计制度,具有履行合同所必需的设备和专业技术能力,有依法缴纳税收和社会保障资金的良好记录,在合同签订前后随时愿意提供相关证明材料;我公司还同时声明参加本项目采购活动前三年内无重大违法活动记录,符合《政府采购法》规定的供应商资格条件。我方对以上声明负全部法律责任。 特此声明。 供应商(全称并盖章) 日期: 年 月 日

为你推荐 相关的其他招标项目信息

投标提示

为保证您能够顺利投标,请在投标或购买招标文件前向招标代理机构或招标人咨询投标详细要求,有关招标的具体要求及情况以招标代理机构或招标人的解释为准。

加载中...

广告

加载中...

广告