中国航信航空数字化产品事业部开展网络系统信息安全等级保护项目采购公告
微信分享
关注项目
标讯收藏
基本信息
省份 | 城市 | 北京市 | |
招标代理机构 | 项目名称 | 中国航信航空数字化产品事业部开展网络系统信息安全等级保护项目 | |
采购单位 | 中国民航信息网络股份有限公司 立即查看 | 采购联系人 | 登录即可免费查看 |
采购电话 | 登录即可免费查看 |
发布/报名截止时间:2024-07-25
开标时间:2024-07-29
采购公告
附件1 技术需求
一、总则
1) 本需求为中国民航信息网络股份有限公司(以下简称中航信)对本项目服务提供商提出的主要服务要求,是服务提供商编写《项目建议书》的依据。
2) 服务提供商应在《项目建议书》中详细描述本项目完整的解决方案,并对所提供解决方案的特色部分给出附加说明。《项目建议书》应包括完整的交付物清单、工作量清单、项目进度表、人员安排表、人员简历、有效案例等,并作为合同的附件。
3) 本需求的最终解释和修改权归中航信所有。中航信在任何时候保留对本需求的解释权。
4) 服务提供商应对本服务需求保密,不得向第三方泄漏。
二、项目概述
1.项目目标
通过开展网络安全等级保护测评服务工作,不断改进网络安全管理,全面完善中航信网络安全管理及技术体系,更好地服务于信息系统稳定运行,并保护好重要数据资产,全面提升中航信网络安全风险管理水平。
目标1:依据《网络安全等级保护基本要求》,协助中航信梳理信息系统对象,并进行定级分析,规划确定信息系统安全防护定级;通过走查、问卷调查、资料审查、配置核查、漏洞扫描等方式开展差距分析,并找出中航信信息系统与等级保护基本要求之间的技术安全差距,并从技术和管理两个维度帮助中航信规划网络安全建设方案,满足网络安全等级保护测评的基本要求。
目标2:根据网络安全等级保护定级指南和网安定级指导意见等政策要求,完成参测信息系统备案工作,邀请测评机构开展测评工作,并出具测评报告。
目标3:为了满足《网络安全法》及等保2.0的相关要求,同时为了提高中航信相关人员信息安全管理水平,协助中航信开展安全排培训,主要包括信息安全意识、等级保护相关法律法规及标准解读等培训课程。
目标4:通过定期开展漏洞扫描、渗透测试服务,及时发现中航信信息系统中存在的安全漏洞及安全风险,并进行整改。
2.项目依据
项目在实施过程中,应将以下法律法规及标准要求作为主要依据。
• 《中华人民共和国网络安全法》
• 《中华人民共和国数据安全法》
• 《中华人民共和国个人信息保护法》
• 《数据安全管理办法(征求意见稿)》
• 《App违法违规收集使用个人信息行为认定方法》
• GB/T35273-2020《信息安全技术个人信息安全规范》
• GB/T37964-2019《信息安全技术个人信息去标识化指南》
• GB/T39335-2020《信息安全技术个人信息安全影响评估指南》
• 《信息安全技术重要数据识别指南在研(草案)》
• ISO/IEC27001:2022《信息安全管理体系标准》
• 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
• 《信息安全等级保护备案实施细则》(公信安[2007]1360号)
• 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
• 《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
• 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
• 《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》
• 《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》
• 《GB17859-1999 计算机信息系统安全保护等级划分准则》
• 其他相关标准规范。
3.项目要求
1) 本次网络安全等级保护测评服务的组织范围是中航信(包括北京总部)
2) 评估信息系统范围为:
3) 对于网络安全等级保护测评服务过程中的结果转化,服务提供商应事先提供详细的培训方案、计划和教材由中航信方项目工作组确认后再进行培训。培训讲师应结合实际情况编制培训教材,更多的采用实际案例的形式进行讲解。
4) 服务提供商应提供1年的免费支持服务,支持服务期从取得合规评估报告之日起开始计算,服务提供商详细描述项目结束后进行售后服务的细则,对中航信进行持续改进提供的支持和服务进行详细描述。
三、项目工作内容建议
1.网络安全等级保护咨询服务内容
(1)项目启动阶段
在项目正式启动前,需要全面结合中航信工作要求,制定项目工作内容和时间计划(包括:工作阶段内容、详细时间安排、人员安排和实施方案等,应考虑已提出的约束条件、要求和目标制定出项目总体工作计划。),包括但不限于如下工作内容:
1) 组建项目组,明确双方项目组职责,项目组成员工作角色和分工,以确保项目得到有效管理;
2) 共同明确项目目标和范围;
3) 结合中航信实际情况,制定项目总体工作计划和每阶段详细计划,包括工作量估算、进度估算、关键里程碑及交付物等;
4) 共同制定相关的项目管理模式和规则,在项目实施过程中共同执行和遵守;
5) 组织项目启动会,并向参会各方传达项目计划、目标、总体工作方法和思路;
6) 本阶段提交文档包含但不限于:
(1) 项目详细计划
(2) 项目人员组织
(3) 项目管理办法
(4) 启动会会议相关文档
7) 本阶段服务提供商服务至少5人天,其中咨询师现场服务至少2人天;
8) 项目启动工期要求为5个工作日。
(2)现状调研与差距分析阶段
在项目启动后,根据相关标准要求对中航信的被测评信息系统进行调研和评估,为网络安全等级保护咨询服务建设策划奠定基础。
主要采取咨询师到中航信现场进行现场及远程评审及调研的方式。结合中航信实际情况,在组织访谈、文档调阅、调研和研讨交流的基础上,梳理管理及技术上的基础情况,将中航信现状和网络安全等级保护基本要求进行比对,完成现状评估和差距分析,并进行风险评估。该阶段包括但不限于如下工作内容:
1) 编制现状评估阶段工作计划,制定访谈计划、调研提纲等,并推进计划的执行;
2) 组织标准体系导入培训工作,包括等级保护测评过程简介培训、网络安全等级保护相关政策法规解读、网络安全等级保护高风险、网络安全技术培训等;
3) 通过资料收集、访谈和调研等形式,了解中航信的现状,进行现状问题的收集归纳;
4) 依据信息系统现状调研结果,初步确定各信息系统网络安全等级级别;
5) 通过开展三法合规分析,识别中航信的信息系统的安全合规需求;
6) 重点分析中航信现有安全体系、安全管控措施、运维安全等方面的信息安全现状,对存在的问题进行归纳分析;
7) 结合行业监管要求以及业内最佳实践,依据网络安全法、等级保护2.0等各类合规要求,并明确网络安全等级保护建设过程中的重要关注点(高风险项),进行现状评估和差距分析,分析现有信息安全控制措施与合规要求间的差距;
8) 根据对现状和差距的分析,探究差距与问题等产生的历史背景及现实原因,评估运维安全管理差距,形成差距分析报告,作为网络安全等级保护建设的基础依据;
9) 本阶段提交文档包含但不限于:
(1) 培训材料
(2) 差距分析报告
(3) 整改建议
10) 现状评估阶段工期要求为15个工作日。
(3)安全建设阶段
根据上一阶段的工作结果,协助中航信建立一整套实际且有效的网络安全管理制度和技术措施。咨询师通过内部培训和定期技术支持的组合方式,在网络安全管理制度和技术措施建设过程中提供专业知识和技术支持。在此过程中咨询师应特别关注中航信现有的应用良好的工作方法,并注意尽可能多地将这些良好的方法结合进管理制度文件中。
该阶段包括但不限于如下工作内容:
1) 按照网络安全等级保护基本要求对网络安全管理的要求,参考行业最佳实践,分析现有网络安全管理制度的管理覆盖范围、执行情况,形成完整的信息安全控制体系。提供体系整体架构和体系文件清单及现有制度的优化修订方案。
2) 在网络安全管理制度的编制工作中,针对管理体系文件编制提供相应模板,并进行及时指导,明确文档编写要点,含制度、流程、表单与记录等,确保制定的网络安全管理制度文件完整、系统、高效;
3) 根据中航信的组织架构特点,及体系文件各项工作的要求,对岗位安全职责进行梳理,将制度规定的每项工作安排到合适的岗位,形成岗位安全职责表。
4) 根据网络安全等级保护基本要求对网络安全管理技术的要求,参考行业最佳实践、建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据,主要活动内容包括:
(1) 结构框架设计:依据本次实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容可能包括安全防护的层次、信息安全产品的使用、网络子系统划分、IP地址规划其他内容。
(2) 制定安全策略实现计划:依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。
(3) 安全加固:针对中航信操作系统、数据库、应用程序、安全设备、网络设备存在的安全漏洞给出整改建议,并指导完成安全加固。
5) 本阶段提交文档包含但不限于:
(1) 信息安全方针
(2) 信息安全制度的清单
(3) 中航信各岗位安全职责表
(4) 网络安全等级保护建设方案
(5) 信息系统安全开发基线
(6) 项目总结工期要求为30个工作日。
(4)项目总结阶段
本阶段主要工作是回顾项目开展过程,梳理形成的文档,总结项目经验,为后续等保测评做准备。
该阶段包括但不限于如下工作内容:
1) 项目总结报告;
2) 项目总结工期要求为5个工作日。
2.网络安全等级保护测评服务内容
(1)定级备案阶段
投标人应深入了解中航信的信息系统相关基础软硬件环境及业务系统,协助采购人及相关单位完成针对本项目的定级备案工作。包括但不限于如下工作内容:
1) 通过对信息系统现状调研,协助中航信梳理需要定级的信息系统,确定信息系统等级。
2) 协助中航信准备定级材料,包括填写备案表、编写定级报告、专家汇报材料、网络拓扑图等。
3) 协助中航信邀请专家对信息系统等级进行评审。根据专家评审意见修改定级备案报告。
4) 指导中航信开展线上备案和线下提交资料等工作。
5) 协助中航信取得等级备案证明。
6) 本阶段提交文档包含但不限于:
(1) 定级报告
(2) 备案表
(3) 专家评审意见
(4) 备案证明
(5) ……
(2)等保测评阶段
等级测评的目的是通过对中航信信息系统在安全技术及安全管理等方面的测评,对目标系统的安全技术状态及安全管理状况做出判断,并编写等级保护测评报告。测评结论作为中航信进一步完善系统安全策略及安全技术防护措施依据。
该阶段包括但不限于如下工作内容:
1) 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等;
2) 安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等;
3) 安全验证性测评工作:包括系统漏洞扫描测评、渗透性测试等;
4) 测评分析与报告:包括单项测评与分析、单元测评与分析、整体测评与风险分析、形成等级测评结论、编写等级保护报告等。
5) 本阶段提交文档包含但不限于:
(1) 网络安全等级保护测评授权书;
(2) 网络安全等级保护测评方案;
(3) 网络安全等级保护测评报告;
3.安全培训
1) 通过专业、全面的网络安全等级保护测评实务、信息安全意识、法律合规等课程培训,全面提高中航信相关人员的安全意识水平和安全技术能力,切实提高用户信息安全管理能力,保证业务系统安全稳定运行。
2) 安全培训服务内容包括:
(一) 安全意识培训:面向一般员工、非技术人员以及所有信息系统的用户,目的是提高普遍的安全意识和人员安全防护能力,使员工充分了解既定的安全策略,并能够切实执行。安全意识培训的主要内容包括。
n 信息安全的严峻现实
n 信息安全面临的威胁和风险
n 典型的安全问题
n 常见的黑客攻击手段
n 信息和信息安全的定义
n 信息安全的解决之道
n 信息安全策略宣讲
n 一些典型的安全事项:
ü 病毒/木马的侵害及解决方法
ü Web 访问和邮件收发的安全性及解决办法
ü 个人安全防护意识
(二)安全技术培训:面向网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。安全技术培训的内容包括。
n 网络安全等级保护的基本概念
n 网络安全等级保护基本要求解读
n 网络安全等级保护高风险指引解读
n 网络安全等级保护测评常用方法
n 典型的黑客攻击手段
n 各种常见操作系统的安全配置要点
n 各种网络设备的安全配置要点
n 各种典型应用系统的安全配置要点
n 典型工具的运用
n 日常安全操作与管理
n 典型安全产品的简要介绍
(三)安全管理培训:面向管理职能和信息系统、信息安全管理人员,目的是提升整体的信息安全管理水平和能力,帮助有效建立信息安全管理体系。安全管理培训的内容包括。
n 信息安全管理发展现状
n 如何建立信息安全管理体系
n 如何进行风险管理
n 如何开展风险评估
3) 根据中航信的需求,制定培训内容,编写培训计划,提供相关教材。
4) 组织开展培训,可选择线上线下相结合的方式,培训不低于20个课程,每个课程培训低于1小时。
5) 本阶段提交文档包含但不限于:
(1) 培训教材
(2) 培训计划
(3) 培训签到表
4.安全服务
网络安全等级保护是一个持续的、可发展的工作,为了使中航信的信息系统长期安全、稳定、合规的运行,中航信希望与投标方形成长期稳固的合作关系,投标方需能提供相应的安全服务,具体需求如下:
1) 漏洞扫描服务
对中航信的信息系统所涉及的主机、操作系统、中间件、数据库进行漏洞扫描,在不影响中航信信息系统的正常运行的情况下,通过漏扫工具以扫描的方式对系统进行安全扫描,查找主机、操作系统、中间件、数据库、存在的安全风险漏洞和威胁并编制漏洞扫描报告,针对发现的漏洞制定加固方案。
服务频率:每年开展4次。
服务成果:《中航信信息系统漏洞检测分析报告》。
2) 渗透测试服务
对中航信的信息系统进行渗透测试,在不影响中航信信息系统的正常运行的情况下,利用网络、系统、应用等层面的黑客相关技术等手段,进行模拟渗透性攻击测试,发现存在的安全缺陷及隐患,并形成完整的渗透性测试报告。针对渗透服务中所发现漏洞、缺陷及隐患提出整改方案,并协助中航信进行安全加固。
服务频率:每年开展2次。
服务成果:《中航信信息系统渗透测试报告》。
开标时间:2024-07-29
采购公告
采购人 | 中国民航信息网络股份有限公司 |
项目名称 | 中国航信航空数字化产品事业部开展网络系统信息安全等级保护项目 |
供货地点 | 北京市顺义区 |
供货内容 | 网络系统信息安全等级保护 |
供应商资格条件 | 1. 供应商必须是中华人民共和国境内正式注册的并具有有效的独立法人资格; 2. 供应商需为增值税一般纳税人,可开具增值税专用发票; 3. 供应商应该保证所提供材料的真实合法性,采购人保留对相关材料进一步核查的权利。对于供应商弄虚作假的行为,供应商承担相应后果(提供书面承诺); 4. 供应商不得使用经网络安全审查办公室审查存在网络安全问题隐患的配件及产品,供应商需配合采购方进行网络安全审查并通过网络安全审查后才能签署采购合同,若审查未通过,本次采购终止(提供书面承诺); 5. 供应商不得被列入经营异常名录或严重违法失信企业名单。需提供从“国家企业信用信息公示系统”网站(www.gsxt.gov.cn)截图“行政处罚信息”、“列入经营异常名录信息”、“列入严重违法失信名单(黑名单)信息”三方面截图证明并加盖公章; 6. 供应商不得被列入失信被执行人或企业经营异常名录。需提供从“信用中国”网站(http://www.creditchina.gov.cn/)截图“严重失信主体名单”证明并加盖公章; 7. 单位负责人为同一人或者存在控股、管理关系的不同单位,不得参加同一标包的投标; 8. 供应商必须自行组织完成服务,不得转包或分包; 9. 本项目不接受联合体投标。 10. 供应商需具备网络安全等级保护测评资质,在开展测评活动过程中未被等保联盟或其他监管机构下发过整改通知书,并提供承诺函。 11. 2021年1月1日至今,服务过等保测评项目大于等于50万,提供合同首页,金额页,盖章页 12. 项目经理同时具备PMP、高级测评师、高级工程师证书; 13. 投标人必须具有有效的ISO90001质量管理体系认证证书(提供证书复印件并加盖投标人印章); 14. 服务提供商应具备2名及以上高级测评师; 15. 投标人必须自行组织完成服务,不得转包或分包。 |
技术需求 | 服务期:合同签订后到2024.12.31; 详见附件1; |
发票种类及内容 | 增值税专用发票; |
履约保证金 | 无 |
付款条件 | 签订合同后支付项目金额30%, 完成验收后支付项目金额的70%。 |
评审方法 | 最低价法 |
竞价方式 及流程说明 | 腾讯视频进行远程线上竞价,会议地址报名截止后邮件通知。 (1)流程:我司对文件进行拆封报价,无述标环节。 (2)开标环节不再电话邀请,请准时参与。 (3)未及时登录腾讯会议,后续可邮件对开标环节进行咨询。 |
拦标价 | 100万(超出拦标价格将做废标处理) |
述标/踏勘 | 无 |
网络安全审查 | 1. 中标侯选人需通过网络安全审查后,发放中标通知书、签署采购合同。 2. 投标有效期需延长至中标侯选人通过网络安全审查。 3. 不得使用经网络安全审查办公室审查存在网络安全问题隐患的配件及产品。 4. 中标侯选人需签署安全保密协议。 |
响应文件要求 | 1. 正本1份,副本1份。 2. 采购公告的任何异议请通过邮件反馈质疑; 3. 供应商依据采购文件的规定提供报价单,如参数要求有偏离需备注说明,报价单每页需加盖公章。 4. 供应商提供的营业执照复印件和其它相关文件,每页均需加盖公章。 5. 响应文件应在密封处加盖公章,标注正本和副本,封皮应注明:项目名称、供应商名称、供应商地址、联系人及联系方式; |
报名方式 | 1. 参与本次采购活动的供应商请于2024年7月25日周四9:00前,将报名邮件发送至lishuo3304@travelsky.com.cn抄送357155495@qq.com(工作日9:00-17:00); 2. 报名邮件内容请写明:报名项目名称、供应商全称、联系人、电话、邮箱; 3. 没有报名的供应商不得递交响应文件; 4. 报名截止后会邮件通知竞价的具体地点; |
响应文件送达 时间和地点 | 1.邮寄送达时间:2024年7月29日周一10:00前 (送达时间/工作日9:00-17:00) 2.邮寄送达地址:北京市顺义区后沙峪镇中国航信高科技产业园区; 3.收件人:李先生/57650148; 4.报名结束后再次通过邮件通知具体邮寄地址; 5.请发送顺丰快递,请勿闪送或亲自送达; 6.逾期送达或不符合规定的响应文件恕不接收; 7.竞价时间暂定2024年7月29日周一10:00,如遇变化邮件通知; |
本次采购活动联系人 | 1.中国民航信息网络股份有限公司 2.地址:北京市顺义区后沙峪镇中国航信高科技产业园区; 3.联系人:李先生 电话:57650148; 4.邮箱:lishuo3304@travelsky.com.cn; |
附件1 技术需求
一、总则
1) 本需求为中国民航信息网络股份有限公司(以下简称中航信)对本项目服务提供商提出的主要服务要求,是服务提供商编写《项目建议书》的依据。
2) 服务提供商应在《项目建议书》中详细描述本项目完整的解决方案,并对所提供解决方案的特色部分给出附加说明。《项目建议书》应包括完整的交付物清单、工作量清单、项目进度表、人员安排表、人员简历、有效案例等,并作为合同的附件。
3) 本需求的最终解释和修改权归中航信所有。中航信在任何时候保留对本需求的解释权。
4) 服务提供商应对本服务需求保密,不得向第三方泄漏。
二、项目概述
1.项目目标
通过开展网络安全等级保护测评服务工作,不断改进网络安全管理,全面完善中航信网络安全管理及技术体系,更好地服务于信息系统稳定运行,并保护好重要数据资产,全面提升中航信网络安全风险管理水平。
目标1:依据《网络安全等级保护基本要求》,协助中航信梳理信息系统对象,并进行定级分析,规划确定信息系统安全防护定级;通过走查、问卷调查、资料审查、配置核查、漏洞扫描等方式开展差距分析,并找出中航信信息系统与等级保护基本要求之间的技术安全差距,并从技术和管理两个维度帮助中航信规划网络安全建设方案,满足网络安全等级保护测评的基本要求。
目标2:根据网络安全等级保护定级指南和网安定级指导意见等政策要求,完成参测信息系统备案工作,邀请测评机构开展测评工作,并出具测评报告。
目标3:为了满足《网络安全法》及等保2.0的相关要求,同时为了提高中航信相关人员信息安全管理水平,协助中航信开展安全排培训,主要包括信息安全意识、等级保护相关法律法规及标准解读等培训课程。
目标4:通过定期开展漏洞扫描、渗透测试服务,及时发现中航信信息系统中存在的安全漏洞及安全风险,并进行整改。
2.项目依据
项目在实施过程中,应将以下法律法规及标准要求作为主要依据。
• 《中华人民共和国网络安全法》
• 《中华人民共和国数据安全法》
• 《中华人民共和国个人信息保护法》
• 《数据安全管理办法(征求意见稿)》
• 《App违法违规收集使用个人信息行为认定方法》
• GB/T35273-2020《信息安全技术个人信息安全规范》
• GB/T37964-2019《信息安全技术个人信息去标识化指南》
• GB/T39335-2020《信息安全技术个人信息安全影响评估指南》
• 《信息安全技术重要数据识别指南在研(草案)》
• ISO/IEC27001:2022《信息安全管理体系标准》
• 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
• 《信息安全等级保护备案实施细则》(公信安[2007]1360号)
• 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
• 《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
• 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
• 《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》
• 《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》
• 《GB17859-1999 计算机信息系统安全保护等级划分准则》
• 其他相关标准规范。
3.项目要求
1) 本次网络安全等级保护测评服务的组织范围是中航信(包括北京总部)
2) 评估信息系统范围为:
系统等保列表 | |||||
序号 | 软件名称 | 英文简称 | 二级部门 | 计划定级 | 备注 |
1 | 海外代码共享 不匹配监控系统 | MUAMP | 旅客产品部 | 等保二级 | 东航个性化 |
2 | 智能控舱系统 | ICC | 收益产品部 | 等保二级 | |
3 | 收益管理系统 | RMS | 收益产品部 | 等保二级 | |
4 | 电子警察 | EMP | 收益产品部 | 等保二级 | 东航个性化 |
5 | 大客户管理及监控系统 | GMMS | 收益产品部 | 等保二级 | 东航个性化 |
6 | 东航大客户系统测试环境 | MUTEST | 收益产品部 | 等保一级 | 东航个性化 |
7 | 常客飞后数据 | MUFFPDATA | 数据产品部 | 等保二级 | 东航个性化 |
8 | 个性化本票销售报表 | MUSR | 数据产品部 | 等保二级 | 东航个性化 |
9 | 民航行李跟踪系统 | BAGTS | 行李产品部 | 等保二级 | |
10 | 行李门到门服务平台 | EZTS | 行李产品部 | 等保二级 | |
3) 对于网络安全等级保护测评服务过程中的结果转化,服务提供商应事先提供详细的培训方案、计划和教材由中航信方项目工作组确认后再进行培训。培训讲师应结合实际情况编制培训教材,更多的采用实际案例的形式进行讲解。
4) 服务提供商应提供1年的免费支持服务,支持服务期从取得合规评估报告之日起开始计算,服务提供商详细描述项目结束后进行售后服务的细则,对中航信进行持续改进提供的支持和服务进行详细描述。
三、项目工作内容建议
1.网络安全等级保护咨询服务内容
(1)项目启动阶段
在项目正式启动前,需要全面结合中航信工作要求,制定项目工作内容和时间计划(包括:工作阶段内容、详细时间安排、人员安排和实施方案等,应考虑已提出的约束条件、要求和目标制定出项目总体工作计划。),包括但不限于如下工作内容:
1) 组建项目组,明确双方项目组职责,项目组成员工作角色和分工,以确保项目得到有效管理;
2) 共同明确项目目标和范围;
3) 结合中航信实际情况,制定项目总体工作计划和每阶段详细计划,包括工作量估算、进度估算、关键里程碑及交付物等;
4) 共同制定相关的项目管理模式和规则,在项目实施过程中共同执行和遵守;
5) 组织项目启动会,并向参会各方传达项目计划、目标、总体工作方法和思路;
6) 本阶段提交文档包含但不限于:
(1) 项目详细计划
(2) 项目人员组织
(3) 项目管理办法
(4) 启动会会议相关文档
7) 本阶段服务提供商服务至少5人天,其中咨询师现场服务至少2人天;
8) 项目启动工期要求为5个工作日。
(2)现状调研与差距分析阶段
在项目启动后,根据相关标准要求对中航信的被测评信息系统进行调研和评估,为网络安全等级保护咨询服务建设策划奠定基础。
主要采取咨询师到中航信现场进行现场及远程评审及调研的方式。结合中航信实际情况,在组织访谈、文档调阅、调研和研讨交流的基础上,梳理管理及技术上的基础情况,将中航信现状和网络安全等级保护基本要求进行比对,完成现状评估和差距分析,并进行风险评估。该阶段包括但不限于如下工作内容:
1) 编制现状评估阶段工作计划,制定访谈计划、调研提纲等,并推进计划的执行;
2) 组织标准体系导入培训工作,包括等级保护测评过程简介培训、网络安全等级保护相关政策法规解读、网络安全等级保护高风险、网络安全技术培训等;
3) 通过资料收集、访谈和调研等形式,了解中航信的现状,进行现状问题的收集归纳;
4) 依据信息系统现状调研结果,初步确定各信息系统网络安全等级级别;
5) 通过开展三法合规分析,识别中航信的信息系统的安全合规需求;
6) 重点分析中航信现有安全体系、安全管控措施、运维安全等方面的信息安全现状,对存在的问题进行归纳分析;
7) 结合行业监管要求以及业内最佳实践,依据网络安全法、等级保护2.0等各类合规要求,并明确网络安全等级保护建设过程中的重要关注点(高风险项),进行现状评估和差距分析,分析现有信息安全控制措施与合规要求间的差距;
8) 根据对现状和差距的分析,探究差距与问题等产生的历史背景及现实原因,评估运维安全管理差距,形成差距分析报告,作为网络安全等级保护建设的基础依据;
9) 本阶段提交文档包含但不限于:
(1) 培训材料
(2) 差距分析报告
(3) 整改建议
10) 现状评估阶段工期要求为15个工作日。
(3)安全建设阶段
根据上一阶段的工作结果,协助中航信建立一整套实际且有效的网络安全管理制度和技术措施。咨询师通过内部培训和定期技术支持的组合方式,在网络安全管理制度和技术措施建设过程中提供专业知识和技术支持。在此过程中咨询师应特别关注中航信现有的应用良好的工作方法,并注意尽可能多地将这些良好的方法结合进管理制度文件中。
该阶段包括但不限于如下工作内容:
1) 按照网络安全等级保护基本要求对网络安全管理的要求,参考行业最佳实践,分析现有网络安全管理制度的管理覆盖范围、执行情况,形成完整的信息安全控制体系。提供体系整体架构和体系文件清单及现有制度的优化修订方案。
2) 在网络安全管理制度的编制工作中,针对管理体系文件编制提供相应模板,并进行及时指导,明确文档编写要点,含制度、流程、表单与记录等,确保制定的网络安全管理制度文件完整、系统、高效;
3) 根据中航信的组织架构特点,及体系文件各项工作的要求,对岗位安全职责进行梳理,将制度规定的每项工作安排到合适的岗位,形成岗位安全职责表。
4) 根据网络安全等级保护基本要求对网络安全管理技术的要求,参考行业最佳实践、建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据,主要活动内容包括:
(1) 结构框架设计:依据本次实施项目的建设内容和信息系统的实际情况,给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架,内容可能包括安全防护的层次、信息安全产品的使用、网络子系统划分、IP地址规划其他内容。
(2) 制定安全策略实现计划:依据信息系统安全总体方案中提出的安全策略的要求,制定设计和设置信息安全产品或安全组件的安全策略实现计划。
(3) 安全加固:针对中航信操作系统、数据库、应用程序、安全设备、网络设备存在的安全漏洞给出整改建议,并指导完成安全加固。
5) 本阶段提交文档包含但不限于:
(1) 信息安全方针
(2) 信息安全制度的清单
(3) 中航信各岗位安全职责表
(4) 网络安全等级保护建设方案
(5) 信息系统安全开发基线
(6) 项目总结工期要求为30个工作日。
(4)项目总结阶段
本阶段主要工作是回顾项目开展过程,梳理形成的文档,总结项目经验,为后续等保测评做准备。
该阶段包括但不限于如下工作内容:
1) 项目总结报告;
2) 项目总结工期要求为5个工作日。
2.网络安全等级保护测评服务内容
(1)定级备案阶段
投标人应深入了解中航信的信息系统相关基础软硬件环境及业务系统,协助采购人及相关单位完成针对本项目的定级备案工作。包括但不限于如下工作内容:
1) 通过对信息系统现状调研,协助中航信梳理需要定级的信息系统,确定信息系统等级。
2) 协助中航信准备定级材料,包括填写备案表、编写定级报告、专家汇报材料、网络拓扑图等。
3) 协助中航信邀请专家对信息系统等级进行评审。根据专家评审意见修改定级备案报告。
4) 指导中航信开展线上备案和线下提交资料等工作。
5) 协助中航信取得等级备案证明。
6) 本阶段提交文档包含但不限于:
(1) 定级报告
(2) 备案表
(3) 专家评审意见
(4) 备案证明
(5) ……
(2)等保测评阶段
等级测评的目的是通过对中航信信息系统在安全技术及安全管理等方面的测评,对目标系统的安全技术状态及安全管理状况做出判断,并编写等级保护测评报告。测评结论作为中航信进一步完善系统安全策略及安全技术防护措施依据。
该阶段包括但不限于如下工作内容:
1) 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等;
2) 安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等;
3) 安全验证性测评工作:包括系统漏洞扫描测评、渗透性测试等;
4) 测评分析与报告:包括单项测评与分析、单元测评与分析、整体测评与风险分析、形成等级测评结论、编写等级保护报告等。
5) 本阶段提交文档包含但不限于:
(1) 网络安全等级保护测评授权书;
(2) 网络安全等级保护测评方案;
(3) 网络安全等级保护测评报告;
3.安全培训
1) 通过专业、全面的网络安全等级保护测评实务、信息安全意识、法律合规等课程培训,全面提高中航信相关人员的安全意识水平和安全技术能力,切实提高用户信息安全管理能力,保证业务系统安全稳定运行。
2) 安全培训服务内容包括:
(一) 安全意识培训:面向一般员工、非技术人员以及所有信息系统的用户,目的是提高普遍的安全意识和人员安全防护能力,使员工充分了解既定的安全策略,并能够切实执行。安全意识培训的主要内容包括。
n 信息安全的严峻现实
n 信息安全面临的威胁和风险
n 典型的安全问题
n 常见的黑客攻击手段
n 信息和信息安全的定义
n 信息安全的解决之道
n 信息安全策略宣讲
n 一些典型的安全事项:
ü 病毒/木马的侵害及解决方法
ü Web 访问和邮件收发的安全性及解决办法
ü 个人安全防护意识
(二)安全技术培训:面向网络和系统管理员、安全专职人员、技术开发人员等,目的是让其掌握基本的安全攻防技术,提升其安全技术操作水平,培养解决安全问题和杜绝安全隐患的技能。安全技术培训的内容包括。
n 网络安全等级保护的基本概念
n 网络安全等级保护基本要求解读
n 网络安全等级保护高风险指引解读
n 网络安全等级保护测评常用方法
n 典型的黑客攻击手段
n 各种常见操作系统的安全配置要点
n 各种网络设备的安全配置要点
n 各种典型应用系统的安全配置要点
n 典型工具的运用
n 日常安全操作与管理
n 典型安全产品的简要介绍
(三)安全管理培训:面向管理职能和信息系统、信息安全管理人员,目的是提升整体的信息安全管理水平和能力,帮助有效建立信息安全管理体系。安全管理培训的内容包括。
n 信息安全管理发展现状
n 如何建立信息安全管理体系
n 如何进行风险管理
n 如何开展风险评估
3) 根据中航信的需求,制定培训内容,编写培训计划,提供相关教材。
4) 组织开展培训,可选择线上线下相结合的方式,培训不低于20个课程,每个课程培训低于1小时。
5) 本阶段提交文档包含但不限于:
(1) 培训教材
(2) 培训计划
(3) 培训签到表
4.安全服务
网络安全等级保护是一个持续的、可发展的工作,为了使中航信的信息系统长期安全、稳定、合规的运行,中航信希望与投标方形成长期稳固的合作关系,投标方需能提供相应的安全服务,具体需求如下:
1) 漏洞扫描服务
对中航信的信息系统所涉及的主机、操作系统、中间件、数据库进行漏洞扫描,在不影响中航信信息系统的正常运行的情况下,通过漏扫工具以扫描的方式对系统进行安全扫描,查找主机、操作系统、中间件、数据库、存在的安全风险漏洞和威胁并编制漏洞扫描报告,针对发现的漏洞制定加固方案。
服务频率:每年开展4次。
服务成果:《中航信信息系统漏洞检测分析报告》。
2) 渗透测试服务
对中航信的信息系统进行渗透测试,在不影响中航信信息系统的正常运行的情况下,利用网络、系统、应用等层面的黑客相关技术等手段,进行模拟渗透性攻击测试,发现存在的安全缺陷及隐患,并形成完整的渗透性测试报告。针对渗透服务中所发现漏洞、缺陷及隐患提出整改方案,并协助中航信进行安全加固。
服务频率:每年开展2次。
服务成果:《中航信信息系统渗透测试报告》。