2024年北港网业务系统三级等保测评及商用密码应用安全性评估服务项目采购招标公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
招标公告
2024年北港网业务系统三级等保测评及商用密码应用安全性评估服务项目
采购招标公告
一、招标项目概况及招标范围
(一)项目概述:本项目的主要目标是根据《中华人民共和国网络安全法》、《商用密码管理条例》以及国家关于网络安全等级保护和重要领域密码应用的有关要求,规范重要领域网络和信息系统商用密码应用安全性评估工作,发挥密码在保障网络安全中的核心支撑作用,通过对北港网业务系统实施三级安全等级测评及商用密码应用安全性评估,以检验系统安全体系建设效果,发现系统安全保护状况与国家有关要求的差距及可能存在的安全隐患,为后续北港网业务系统的运营维护和安全保护能力提升提供参考。
(二)招标范围:2024年北港网业务系统三级等保测评及商用密码应用安全性评估服务项目的需求调研、服务内容、实施直至验收等所有服务及部署工作。
(三)技术标准及要求:
1.网络安全等级保护测评
1.1总体要求
依据《网络安全等级保护基本要求》(GB/T 22239-2019)对北港网业务系统开展网络安全等级保护测评工作,并出具网络安全等级保护测评报告。
1.2标准依据
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护设计技术要求》(GB/T 25070-2019)
《网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
1.3测评内容
1.3.1安全通用要求
安全通用要求测评内容应包括安全技术和安全管理两大类,其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评,安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。
1.3.2安全扩展要求
根据现场情况,保护对象可能涉及的安全扩展要求包括:
1.3.2.1云计算
云计算安全测评内容包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等的测评。
1.3.2.2移动互联
移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。
1.4测评方法
在测评实施过程中,应采用访谈、检查、测试和渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;
检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程;
测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;
渗透测试是指模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。
1.5服务成果
测评完成后,出具符合《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。
2.商用密码应用安全性评估
2.1总体要求
依据《中华人民共和国密码法》、《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)要求和系统自身的安全需求分析,对北港网业务系统进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为。
2.2技术标准
《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)
《信息系统密码应用测评要求(试行)》
《商用密码应用安全性评估测评过程指南(试行)》
《商用密码应用安全性评估测评作业指导书(试行)》
2.3服务内容
2.3.1商用密码应用方案评估
依据中国密码学会密评联委会发布的《商用密码应用安全性评估报告模板》(2023版)对北港网业务系统商用密码应用方案开展评估工作,并出具《密码应用方案评估报告》。方案评估要点如下:
2.3.1.1文档结构是否完整
2.3.1.2系统基本情况是否梳理充分
2.3.1.3密码应用需求是否清晰明确
2.3.1.4密码应用技术框架中密码协议、防护机制、密钥管理、密码应用子系统设计是否合理,能否满足安全需求和保障要求
2.3.1.5密码产品应用和部署设计是否合理、正确
2.3.1.6安全管理方案是否覆盖密码安全相关人员、制度、实施、应急等内容
2.3.1.7实施保障方案中实施计划是否科学、合理,组织管理方法和保障是否合理有效
2.3.2商用密码应用安全性评估
依据《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)等技术标准对北港网业务系统进行商用密码应用安全性评估工作,并出具符合要求的《商用密码应用安全性评估报告》。
2.3.2.1实施方式
系统测评:及时发现系统脆弱性,识别变化的风险,了解系统安全状况,对照密码应用方案对系统开展测评。根据被测评对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以测评密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。
密码技术应用测评:物理安全密码测评、网络安全密码测评、主机安全密码测评、应用安全密码测评、数据安全及备份恢复密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求。
密钥管理测评:检测信息系统密钥管理各环节,包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。
安全管理测评:对制度、人员、实施和应急等四个方面安全管理的测评,并协助完善商用密码应用安全性管理制度,协助完善密码相关系统运维管理制度。
2.3.2.2评估成果
针对被评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议,并出具商用密码应用安全性评估报告。
3.商务要求
3.1服务期限
3.1.1密码应用方案评估
系统运营单位提交密码应用方案且通过密评机构评审合格后10个工作日内,密评机构出具《密码应用方案评估报告》。
3.1.2商用密码应用安全性评估
3.1.2.1自接到系统运营单位通知进场之日起5个工作日内完成待测系统的商用密码应用安全性评估工作,若被测系统的评估结论为“基本符合”,密评机构现场评估结束后25个工作日内提供该系统的商用密码应用安全性评估报告,投标人不提供复测服务,项目完结。
3.1.2.2若被测系统的初次评估结论为“不符合”,密评机构在现场评估结束后10个工作日内提供该系统的整改建议,经过系统运营单位整改完成后与投标人确认复测日期。
3.1.2.3若如期完成整改,自系统运营单位出具项目复测通知书之日起5个工作日完成该项目现场复测,复测完成后25个工作日内提供该项目的最终商用密码应用安全性评估报告,项目完结。
(四)交货地点:广西北部湾港网络服务有限公司
二、投标人资格要求
1、本次招标要求投标人须具备 独立法人 资质,并具有与本招标项目相应的供货能力。
2、本次招标要求投标人不得存在下列情形之一:
(1)处于被交通及建设行政主管部门取消投标资格的处罚期内;
(2)处于财产被接管、冻结、破产的状态;
(3)在最近三年内发生重大产品质量问题(以相关行业主管部门的行政处罚决定或司法机关出具的有关法律文书为准);
(4)被工商行政管理机关在全国企业信用信息公示系统(www.gsxt.gov.cn)中列入严重违法失信企业名单;
(5)被最高人民法院在“信用中国”网站(www.creditchina.gov.cn)或各级信用信息共享平台中列入失信被执行人名单;
三、招标文件的获取
联系公司招标人获取招标信息。
四、投标文件的递交
投标文件递交的截止时间为2024年06月19日16时,投标人应在截止时间前,将投标文件原件装袋密封寄至招标人办公室。
逾期送达的、未送达指定地点的或者不按照招标文件要求密封的投标文件,招标人将予以拒收。
五、投标文件需含以下文件
1. 投标书及报价表(书写格式见附件1、2,需经法人或受委托人签字并加盖公章)
2. 投标人法定代表人资格证书(书写格式见附件3,授权代理人时附法人授权书,附身份证复印件)
3. 投标人为企业的,应提交营业执照和组织机构代码证的复印件(按照“三证合一”或“五证合一”登记制度进行登记的,可仅提供营业执照复印件);投标人为依法允许经营的事业单位的,应提交事业单位法人证书和组织机构代码证的复印件。
4. 投标人及其制造商(适用于代理经销商投标的情形)资格或者资质证书(授权证书)副本复印件。
5. 投标人近3年内的类同本项目的业绩及相关说明。
六、投标要求
1、报价人报出的价格须为一次不得更改的闭口价,即在投标有效期和合同有效期内,该报价固定不变。
2、投标有效期:从报价之日起至2024年9月30日内有效。
3、投标人应仔细阅读和研究本报价邀请文件的内容及格式,如果存在不详之处,请以书面或电话等形式联系招标人并提出澄清要求,招标人将以书面或电话等形式给予解答。
4、在招标截止日期内,招标人均可凭补充通知的方式修改本报价邀请文件。该补充通知将以书面形式通知投标人,并作为本报价邀请文件的组成部份,对投标人起约束作用。
5、本报价书格式中的已填写项目是招标人提出的要求。投标人不能满足或高于该要求标准,以及采用了某项标准在本报价邀请文件中没有规定的,均须在报价表末项中加以说明。本报价书格式中的空格由贵方根据招标人要求及相关标准合理配置填写。
6、投标人可以推荐能满足本报价邀请文件要求的其他方案一起报价,并分别具体说明其优缺点。
7、投标人所选本报价物资必须符合中华人民共和国有关技术标准、检验规范和要求。
8、投标人的报价书应严格按招标人要求的格式逐项填写,不留空格。无此项内容请用“/”填写。
9、投标人应承担其报价准备及递交所涉及的一切费用。不管报价结果如何,招标人对上述费用不负任何责任。
10、招标人将根据投标人提供的产品技术性能、质量、业绩、价格以及服务等通过综合评标确定中标人。
七、招标人联系方式
招标人:广西北部湾港网络服务有限公司
地址:广西南宁市良庆区体强路12号北部湾航运中心701室
邮编:530000
联系人:登录即可免费查看
联系人邮箱:dclin@bbw-portnet.com
联系人电话:登录即可免费查看
八、附件明细
附件1:投标书格式
附件2:报价表格式
附件3:法定代表人身份证明及授权委托书格式
招标人:广西北部湾港网络服务有限公司
日 期:2024年6月7日
2024年北港网业务系统三级等保测评及商用密码应用安全性评估服务项目
采购招标公告
一、招标项目概况及招标范围
(一)项目概述:本项目的主要目标是根据《中华人民共和国网络安全法》、《商用密码管理条例》以及国家关于网络安全等级保护和重要领域密码应用的有关要求,规范重要领域网络和信息系统商用密码应用安全性评估工作,发挥密码在保障网络安全中的核心支撑作用,通过对北港网业务系统实施三级安全等级测评及商用密码应用安全性评估,以检验系统安全体系建设效果,发现系统安全保护状况与国家有关要求的差距及可能存在的安全隐患,为后续北港网业务系统的运营维护和安全保护能力提升提供参考。
(二)招标范围:2024年北港网业务系统三级等保测评及商用密码应用安全性评估服务项目的需求调研、服务内容、实施直至验收等所有服务及部署工作。
(三)技术标准及要求:
1.网络安全等级保护测评
1.1总体要求
依据《网络安全等级保护基本要求》(GB/T 22239-2019)对北港网业务系统开展网络安全等级保护测评工作,并出具网络安全等级保护测评报告。
1.2标准依据
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护设计技术要求》(GB/T 25070-2019)
《网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
1.3测评内容
1.3.1安全通用要求
安全通用要求测评内容应包括安全技术和安全管理两大类,其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评,安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。
1.3.2安全扩展要求
根据现场情况,保护对象可能涉及的安全扩展要求包括:
1.3.2.1云计算
云计算安全测评内容包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等的测评。
1.3.2.2移动互联
移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。
1.4测评方法
在测评实施过程中,应采用访谈、检查、测试和渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;
检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程;
测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;
渗透测试是指模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。
1.5服务成果
测评完成后,出具符合《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。
2.商用密码应用安全性评估
2.1总体要求
依据《中华人民共和国密码法》、《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)要求和系统自身的安全需求分析,对北港网业务系统进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为。
2.2技术标准
《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)
《信息系统密码应用测评要求(试行)》
《商用密码应用安全性评估测评过程指南(试行)》
《商用密码应用安全性评估测评作业指导书(试行)》
2.3服务内容
2.3.1商用密码应用方案评估
依据中国密码学会密评联委会发布的《商用密码应用安全性评估报告模板》(2023版)对北港网业务系统商用密码应用方案开展评估工作,并出具《密码应用方案评估报告》。方案评估要点如下:
2.3.1.1文档结构是否完整
2.3.1.2系统基本情况是否梳理充分
2.3.1.3密码应用需求是否清晰明确
2.3.1.4密码应用技术框架中密码协议、防护机制、密钥管理、密码应用子系统设计是否合理,能否满足安全需求和保障要求
2.3.1.5密码产品应用和部署设计是否合理、正确
2.3.1.6安全管理方案是否覆盖密码安全相关人员、制度、实施、应急等内容
2.3.1.7实施保障方案中实施计划是否科学、合理,组织管理方法和保障是否合理有效
2.3.2商用密码应用安全性评估
依据《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)等技术标准对北港网业务系统进行商用密码应用安全性评估工作,并出具符合要求的《商用密码应用安全性评估报告》。
2.3.2.1实施方式
系统测评:及时发现系统脆弱性,识别变化的风险,了解系统安全状况,对照密码应用方案对系统开展测评。根据被测评对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以测评密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。
密码技术应用测评:物理安全密码测评、网络安全密码测评、主机安全密码测评、应用安全密码测评、数据安全及备份恢复密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求。
密钥管理测评:检测信息系统密钥管理各环节,包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。
安全管理测评:对制度、人员、实施和应急等四个方面安全管理的测评,并协助完善商用密码应用安全性管理制度,协助完善密码相关系统运维管理制度。
2.3.2.2评估成果
针对被评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议,并出具商用密码应用安全性评估报告。
3.商务要求
3.1服务期限
3.1.1密码应用方案评估
系统运营单位提交密码应用方案且通过密评机构评审合格后10个工作日内,密评机构出具《密码应用方案评估报告》。
3.1.2商用密码应用安全性评估
3.1.2.1自接到系统运营单位通知进场之日起5个工作日内完成待测系统的商用密码应用安全性评估工作,若被测系统的评估结论为“基本符合”,密评机构现场评估结束后25个工作日内提供该系统的商用密码应用安全性评估报告,投标人不提供复测服务,项目完结。
3.1.2.2若被测系统的初次评估结论为“不符合”,密评机构在现场评估结束后10个工作日内提供该系统的整改建议,经过系统运营单位整改完成后与投标人确认复测日期。
3.1.2.3若如期完成整改,自系统运营单位出具项目复测通知书之日起5个工作日完成该项目现场复测,复测完成后25个工作日内提供该项目的最终商用密码应用安全性评估报告,项目完结。
(四)交货地点:广西北部湾港网络服务有限公司
二、投标人资格要求
1、本次招标要求投标人须具备 独立法人 资质,并具有与本招标项目相应的供货能力。
2、本次招标要求投标人不得存在下列情形之一:
(1)处于被交通及建设行政主管部门取消投标资格的处罚期内;
(2)处于财产被接管、冻结、破产的状态;
(3)在最近三年内发生重大产品质量问题(以相关行业主管部门的行政处罚决定或司法机关出具的有关法律文书为准);
(4)被工商行政管理机关在全国企业信用信息公示系统(www.gsxt.gov.cn)中列入严重违法失信企业名单;
(5)被最高人民法院在“信用中国”网站(www.creditchina.gov.cn)或各级信用信息共享平台中列入失信被执行人名单;
三、招标文件的获取
联系公司招标人获取招标信息。
四、投标文件的递交
投标文件递交的截止时间为2024年06月19日16时,投标人应在截止时间前,将投标文件原件装袋密封寄至招标人办公室。
逾期送达的、未送达指定地点的或者不按照招标文件要求密封的投标文件,招标人将予以拒收。
五、投标文件需含以下文件
1. 投标书及报价表(书写格式见附件1、2,需经法人或受委托人签字并加盖公章)
2. 投标人法定代表人资格证书(书写格式见附件3,授权代理人时附法人授权书,附身份证复印件)
3. 投标人为企业的,应提交营业执照和组织机构代码证的复印件(按照“三证合一”或“五证合一”登记制度进行登记的,可仅提供营业执照复印件);投标人为依法允许经营的事业单位的,应提交事业单位法人证书和组织机构代码证的复印件。
4. 投标人及其制造商(适用于代理经销商投标的情形)资格或者资质证书(授权证书)副本复印件。
5. 投标人近3年内的类同本项目的业绩及相关说明。
六、投标要求
1、报价人报出的价格须为一次不得更改的闭口价,即在投标有效期和合同有效期内,该报价固定不变。
2、投标有效期:从报价之日起至2024年9月30日内有效。
3、投标人应仔细阅读和研究本报价邀请文件的内容及格式,如果存在不详之处,请以书面或电话等形式联系招标人并提出澄清要求,招标人将以书面或电话等形式给予解答。
4、在招标截止日期内,招标人均可凭补充通知的方式修改本报价邀请文件。该补充通知将以书面形式通知投标人,并作为本报价邀请文件的组成部份,对投标人起约束作用。
5、本报价书格式中的已填写项目是招标人提出的要求。投标人不能满足或高于该要求标准,以及采用了某项标准在本报价邀请文件中没有规定的,均须在报价表末项中加以说明。本报价书格式中的空格由贵方根据招标人要求及相关标准合理配置填写。
6、投标人可以推荐能满足本报价邀请文件要求的其他方案一起报价,并分别具体说明其优缺点。
7、投标人所选本报价物资必须符合中华人民共和国有关技术标准、检验规范和要求。
8、投标人的报价书应严格按招标人要求的格式逐项填写,不留空格。无此项内容请用“/”填写。
9、投标人应承担其报价准备及递交所涉及的一切费用。不管报价结果如何,招标人对上述费用不负任何责任。
10、招标人将根据投标人提供的产品技术性能、质量、业绩、价格以及服务等通过综合评标确定中标人。
七、招标人联系方式
招标人:广西北部湾港网络服务有限公司
地址:广西南宁市良庆区体强路12号北部湾航运中心701室
邮编:530000
联系人:登录即可免费查看
联系人邮箱:dclin@bbw-portnet.com
联系人电话:登录即可免费查看
八、附件明细
附件1:投标书格式
附件2:报价表格式
附件3:法定代表人身份证明及授权委托书格式
招标人:广西北部湾港网络服务有限公司
日 期:2024年6月7日
微信扫码关注
