辽宁省“金保工程”二期2023年度信息化建设项目-网络安全等级保护一体化服务项目招标文件主要条款意见征集公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
辽宁省“金保工程”二期2023年度信息化建设项目-网络安全等级保护一体化服务项目
招标文件主要条款意见征集公告
(项目编号:LNZB-ZBT2023-0308)
辽宁工程招标有限公司受辽宁省人力资源和社会保障厅的委托,组织辽宁省“金保工程”二期2023年度信息化建设项目-网络安全等级保护一体化服务项目的公开招标工作,现对招标文件主要条款进行公示,并征求潜在投标人意见,请将意见以PDF形式(加盖公章)以及word形式在 2023年6月29日16:30(北京时间)前发至辽宁工程招标有限公司电子邮箱(邮件主题:**项目意见反馈,邮箱地址:lngczbyxgs@126.com),招标文件主要条款如下:
一、投标人资格要求
1、投标人应为在中华人民共和国境内注册并具有独立承担民事责任能力的法人或其他组织;
2、投标人须具有《网络安全等级测评与检测评估机构服务认证证书》;
3、投标人具有履行合同所必需的设备和专业技术能力;
4、投标人近三年(2020年1月1日~投标截止期前)未被“国家企业信用信息公示系统”列入严重违法失信名单,未被“信用中国”列入严重失信主体名单。(须提供未被“国家企业信用信息公示系统”列入严重违法失信名单和未被“信用中国”列入严重失信主体名单的网页截图或网站生成的信用报告);
5、本项目不接受联合体投标。
二、项目需求
(一)安全服务技术要求
根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《网络安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)、等法律法规、技术规范和管理制度要求,为进一步提高辽宁省人力资源和社会保障厅信息系统网络安全保障能力,通过开展专业化、常态化、实时化的网络安全运维服务,建立科学实用的安全管理体系、提高网络安全纵深防御能力,提升系统网络安全防护水平,保障信息系统安全、稳定、可靠运行。
(二)总体要求
服务方应按照《网络安全技术-网络安全等级保护基本要求》GB/T 22239-2019开展符合“第三级安全要求”的运维服务,提供服务方案,确保工作效果满足委托方网络基础设施、信息系统、外网应用、云计算平台等安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术要求,服务过程符合安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等管理要求。
针对委托方各信息系统,通过开展安全咨询、安全风险评估、网络安全资产梳理、建立安全运维基线、协助建立安全管理体系、定期开展网络安全检查、渗透测试,对新上线或有重大改造升级的系统进行软件应用安全测试,组织进行安全培训,开展应急服务等各项安全服务工作。通过落实以上多个方面的安全工作,最终将达到以下项目总体目标:
1、运维服务期内无重大网络安全责任事件(重大网络安全责任事件数为0);
2、运维服务期内无高风险可利用性漏洞;
3、重大安全事件2小时内应急响应;
4、提高网络安全技防能力,确保委托方的物理环境、主机、网络、数据和外网应用系统正常运行;
5、建立健全委托方网络安全管理体系;
6、提高委托方信息化队伍安全技术水平,提升委托方的整体网络安全意识。
★(三)服务内容
3.1 等级保护测评服务
1、服务内容:每年开展一次等级保护测评,出具等级保护测评报告;
2、测评范围:厅内6个系统网络安全等级保护测评(5个三级、1个二级系统);
3、服务期限:3年。
3.2 信息安全运维驻场服务
1、服务内容:
提供网络安全建设团队为人社厅开展安全运维、安全咨询服务并提供驻场服务。服务内容包含但不限于:
(1) 渗透测试与修复工作、制定安全加固方案并配合安全加固工作;
(2) 问题复测工作。安全隐患修复后提供安全复测;
(3) 系统安全设计方案论证,系统上线前检测工作;
(4) 信息安全意识厅内宣传;
(5) 建立应急网络专家团队,节假日及重要历史时刻的应急响应。
2、服务期限:3年;
3、人员要求:成立不少于6人的项目组,包含2名驻场工程师,4名技术服务工程师;
3.3 数据安全风险评估
1、服务内容:
(1)根据《中华人民共和国数据安全法》,重要的数据处理者应按规定展开风险评估,评估报告应包括面临的数据安全风险;
(2)对人社厅社会保障、劳动关系、就业等重要数据生产信息系统进行一次数据安全评估工作;
(3)出具安全评估报告,在系统完成安全整改后重新评估。不少于6个系统。
2、服务期限:1年
(四)技术要求
4.1 安全咨询服务
4.1.1咨询服务
4.1.1.1日常安全问题咨询服务
服务方应根据委托方的实际需求,参考国内外安全标准,提供日常安全咨询,主要包括大的网络安全政策法律解读、网络安全规划、安全决策、安全事件处理等。
针对各类网络安全事件,提供完整全面的处理方案,要求方案具有可操作性、能够指导委托方进行事件处理和应对。
4.1.1.2网络安全规划咨询服务
服务方应根据委托方的实际需求,参考国内外安全标准和国内新技术研究(如云计算、大数据、物联网、移动安全),对委托方网络安全设计方案,网络安全建设,包括网络安全结构设计、系统安全设计、其他网络安全方案设计,提出符合业务发展的安全审计建设思路,出具《咨询意见报告》。协助委托方进行年度网络安全工作规划,形成具体的《年度网络安全建设实施方案》。
4.1.1.3网络安全体系建设咨询服务
服务方根据对委托方的实际需求,参考国内外安全标准,对委托方网络安全体系建设给予技术支持。包括网络安全管理体系、技术体系、运行体系等。
4.1.2制度体系制定
按照《中华人民共和国网络安全法》等法律条例要求,《GB/T 22239-2019 信息安全技术 网络安全等级保护测评基本要求》等标准,以及“全员参加安全管理、全过程安全管理、全方位安全管理”原则进行开展。协助委托方优化修订《信息系统网络安全制度汇编》、《信息系统网络安全管理办法》、《信息系统网络安全信息通报工作规范》,制定《信息系统网络安全考核管理办法》,建立网络安全管理体系,根据实际管理工作需要,随时更新及补充安全管理制度及应急保障制度,不断完善维护制度体系。
4.1.3安全通告和情报
4.1.3.1安全漏洞通告
服务方应向委托方及时通告国内外安全机构及漏洞发布平台发布的相关安全漏洞,并提供相应修补方案,使委托方把握CVE公共漏洞库等网络安全现状与态势,了解网络安全技术发展方向,及时消除网络安全漏洞与隐患,避免引发网络安全事件进而对委托方形象造成影响。对收集、整理、维护、发布的专项预警服务,以邮件、微信、短信等多种方式提供安全事件通告。
4.1.3.2安全威胁通告
服务方应向业主提供威胁情报通告服务,结合业主现状,及时洞悉公网资产面临的安全威胁,进行准确有针对性的预警,了解最新的威胁动态,实施积极主动的威胁防御和快速响应策略,结合安全数据的深度分析全面掌握安全威胁态势,并准确地进行威胁追踪和攻击溯源;通过威胁情报共享接通安全资源,同时借助情报共享整合专业安全能力,有效实现及时发现、快速响应,应对高级威胁和新型未知攻击。
针对特殊或突发情况,及时提供“紧急安全漏洞通告”和“紧急安全威胁通告”。
4.1.4等级保护咨询
服务方以为委托方构建“等级化的安全体系”为目标,在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系,对等级保护各个阶段的工作重点为客户提供全方位的支持和服务,协助完成安全整改和等保测评工作。
4.1.5密码应用安全性评估咨询
依据《信息安全技术 信息系统密码应用基本要求》(GM/T 39786-2021)、《信息系统密码应用测评要求(试行)》、《商用密码应用安全性评估测评过程指南(试行)》、《商用密码应用安全性评估测评作业指导书(试行)》等标准规范中关于商用密码应用安全性评估的相关要求,服务方协助委托方完成联网收费系统、ETC发行系统密码应用安全性评估咨询工作。并协助委托方从密码算法、密码技术、密码产品、密码服务、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理和安全管理(制度、人员、实施、应急)等方面完成密码应用安全性评估问题整改的咨询工作。
4.2 安全运维服务
4.2.1安全状况梳理
对委托方信息系统进行全面的梳理。梳理服务分为应用系统梳理、信息资产梳理、网络安全构架梳理、安全架构分析四个维度。所有梳理工作完成后将编制全面、详尽、真实的梳理报告,识别记录资产维保等授权期限,形成软硬件《资产台账》。
(1)应用系统梳理,调查并记录所有应用系统名称、用途、IP地址、部署情况、安全状态等信息。
(2)信息资产梳理,调查并记录各信息系统设备种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
(3)网络安全架构梳理,评估利用资产调查的数据进行物理设备建档,绘制网络拓扑,统计信息系统各软硬件设备和系统的数量、拓扑位置、用途等信息并每半年更新一次。
(4)运营商专线梳理,全面梳理各运营商数据传输专线,识别运营商名称,两端地址、带宽、使用年限、业务名称并及时更新。
(5)安全架构分析,针对重要服务器、操作系统、应用系统进行定期漏洞扫描及弱口令扫描等操作,对各信息系统的网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理等八个方面进行网络架构安全性的全面分析,对整体网络中的脆弱点进行识别,评估结果包括定性和定量分析,并出具详细的安全架构分析报告及建议。
4.2.2风险评估
按照安全风险评估国家标准GB/T20984或行业安全监管要求,对委托方信息系统的资产状况、面临安全威胁状况、安全脆弱性状况以及安全控制措施状况进行分析和评估,并对信息安全风险水平进行综合评价。提供《安全风险评估报告》及风险应对措施。评估范围为联网收费系统及相关的信息资产,主要内容包括:
(1)漏洞扫描:对信息系统基础设施(包括但不限于服务器、网络和安全设备、操作系统、数据库、中间件等)和应用系统等进行扫描,不直接提交漏洞扫描输出的报告,而对漏洞扫描报告进行分析提炼和验证,输出高、中和低危漏洞信息。
(2)操作系统核查:核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。
(3)数据库核查:对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。
(4)网络及安全设备核查:针对设备的访问控制策略进行检查,确定是否开放多余服务。
(5)病毒木马检查:通过多种方式对服务器、工作站内异常进程、端口进行分析,判断是否是木马或病毒,研究相关行为,并进行查杀。
(6)渗透测试:通过适当的渗透性技术检测手段,模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐患进行攻击测试,评估其危害程度,同时利用渗透性技术检测,发现未知应用系统漏洞和安全隐患,提出整改建议,协助进行安全整改,出具《渗透测试报告》。内容包括但不限于:弱口令、本地权限提升、远程溢出、数据库查询等。
4.2.3指导安全加固
根据委托方计划范围内的各类安全检查、等保测评、漏洞扫描、威胁分析等工作成果,针对发现的安全隐患(包括安全漏洞,各种错误配置等),提出并指导安全加固意见,配合解决在安全评估中发现的技术性安全问题,降低高中危安全隐患风险。
服务方对安全类资产特征库维保情况梳理,全面梳理系统防火墙、负载均衡、入侵监测、漏洞扫描等各安全设备特征库授权期限,每年组织对授权到期特征库进行采购升级,保持特征库及时更新,抵御新型病毒风险。
4.2.4渗透测试
定期开展渗透测试,并结合等级保护合规性测评等各项检查工作的成果,综合利用安全扫描器、漏洞利用工具、人工渗透测试等手段,采用外部渗透方式对应用系统和网络安全基础设施进行非破坏性质的模拟入侵者攻击的测试,检测外部威胁源和路径,以便掌握系统的安全状况,并对发现的安全风险提出针对性的安全整改建议,并且为修补漏洞、抵御安全风险提供技术支持。
渗透测试的主要内容包括:
4.2.5日常运维
4.2.5.1安全检查
对网络设备、安全设备、服务器、操作系统、应用系统、终端进行周期性的状态检查、安全扫描,开展安全审计,补丁情况等并提交巡检报告及安全建议,主要包括:
1、安全设备巡检服务
提供针对性、详细的安全巡检表单,通过多种手段,对网络安全设备进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
2、定期开展全面的安全巡检服务。
提供针对性、详细的安全巡检表单,通过多种手段,对网络设备、安全设备、服务器、操作系统、应用系统、终端进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
3、协助配合完成国家及行业安全检查服务。
4.2.6.2应急类服务
面向已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。帮助完成应用服务瘫痪问题、网络阻塞、DDoS攻击问题、服务器遭劫持问题、系统异常宕机问题、恶意入侵、黑客攻击问题、恶意入侵、黑客攻击问题、病毒爆发问题、内部安全事故等安全事件的应急响应支持。
运维期间,一旦收到用户安全事件响应需求后,服务方应在30分钟内做出响应并立即提供在线技术支持,无法通过远程支持解决的问题,服务方应在2小时内抵达用户现场。配合完成应急事件处置加固工作,出具《应急响应处置报告》。
应急响应的流程包含以下内容:故障诊断、故障修复、系统清理和系统防护,服务完成后,提交完整的《应急事件分析报告》,详细说明事件原因、经过和处理方式等,而且对以后整改的方向提供适当的解决方案。
依据委托方应急演练工作需求,提供应急演练服务,包括信息安全攻防演练、业务中断应急演练、门户网站恶意篡改应急演练、信息窃取事件应急演练、计算机病毒事件应急演练等安全方面的各类演练服务,出具《应急演练方案》。
4.2.5.3安全值守服务
服务供应商提供的7×8现场值守服务,包括安全设备监控、安全巡检、安全日志分析、应急处置四项主要内容,按月出具《日常巡检报告》、《监测报告》:
1.安全设备监控:通过部、省态势感知平台等对安全设备运行进行监控和维护,对重要安全设备的日志进行检测与分析,对告警事件进行分析、排查处置,预防安全事件的发生。
2.安全巡检:对安全设备进行健康状态检查,包括系统引擎、CPU占用率、内存占用率、接口状态、证书授权状态等内容;
3.安全日志分析:对安全设备产生的高、中风险告警事件进行分析,包括事件类型分布、事件发展趋势、事件频率、源地址、目的地址等内容,通过日志分析最新的安全态势,给出安全策略调整建议;
4.应急处置:对突发安全事件进行应急响应,阻止安全事件影响扩大,查找安全事件产生原因。
现场值守服务主要针对如下安全设备,包括防火墙、入侵检测/入侵防护系统、态势感知系统、漏洞扫描系统、VPN设备等。
4.2.5.4重大活动会议期间安全保障
为做好重大时期安全保障工作,通过7×24现场值守、应急响应、突发事件处理等方式,为委托方提供重点保障期间强于日常值班值守的重要信息系统安全技术服务,提供2-5人的保障服务团队,确保委托方在重点保障期间能够及时应对各类网络安全突发事件,保障网络与信息系统安全稳定运行,提供《重保服务报告》。重保时段包括不限于以下时段:
1.元旦、春节、国庆等国家法定节假日;
2.国家重要会议期间;
3.上级单位、公安等部门组织攻防演练期间。
工作内容除驻场安全值守服务外,包括不仅限于:
1) 应急响应服务:
当现场安全值守发现安全事件(如外部非法入侵或恶意攻击),或接到委托方的通知,启动应急响应,服务方应在30分钟内响应,在2小时内到达现场进行处理工作,把事件控制在萌芽状态。
2) 安全事件分析及建议服务:
l 根据最新安全情况定期对委托方网络与信息系统进行安全威胁分析。
l 对各类安全事件进行分析和追踪,识别事件的蔓延方式,提出建议措施,以最小危害原则保障招标方利益。
l 对已造成影响的系统要求尽快以最大程度消除影响,恢复系统正常状态,保证系统的连续性和稳定性。
l 根据委托方要求对事件的原因进行调查,追溯攻击危害来源,并在符合司法程序的前提下进行取证提供给委托方。
4.3 等级保护测评服务
依据GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》等国家和行业相关信息系统安全规范标准,对辽宁省人力资源和社会保障厅厅内部署的系统进行信息安全等级测评,测评内容为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10方面测评任务。
1、详细要求
(1)单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个层面上的单元测评;管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的单元测评。
1)安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2)安全通信网络测评内容:
网络架构、通信传输、可信验证。
3)安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
4)安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
5)安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
6)安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
7)安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8)安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
9)安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
10)安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
(2)整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
中标方测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
系统整体测评主要包括四个部分:分别为安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试。
1)安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系统的访问控制被旁路。
2)层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
3)区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
4)验证测试
验证测试包括对主机、网络、数据、应用(含移动应用)的漏洞扫描和渗透测试等,验证测试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
4.4 数据安全风险评估
以数据资产为中心,以网络安全为基础,以辽宁省人力资源和社会保障厅重要数据为主要评估对象,从数据全生命周期及数据应用场景两个纬度进行数据安全风险评估,保障被评估业务的数据资产(包含不限于人社业务数据、系统数据及个人信息)的机密性、完整性、可用性及可控性。实施内容分为技术和 管理两个层面,技术层面包括风险识别、风险分析、风险评价、风险处置,管理层面包括安全管理机构、安全管理人员、数据安全管理制度等。
(1)风险识别
基于数据全生命周期,梳理辽宁省人力资源和社会保障厅数据资产,建立数据资产清单;根据人社部数据分类分级相关要求,对数据进行分类分级,完善数据分类分级目录;确定不同安全级别的数据类型,进而形成业务场景下的重要数据范围,制作人社重要数据图谱,实现业务流识别、数据流识别、数据责任识别、数据重要程度识别。
(2)风险分析
安全威胁分析:从数据生命周期与数据应用场景两个纬度去发现数据所面临的各种威胁,重点关注数据流转中的动态安全风险,从数据合规、数据泄露、数据篡改、数据不可用以及数据未授权访问等层面分析数据流转各要素的安全威胁。
1)数据访问账号和用户权限管理:通过账号专人专用、账号独立、账号授权审批、最小授权、账号及时回收、行为内部审计、定期账号稽核等方式控制。
2)数据使用过程的访问权限管理:批量操作审批、高敏感数据访问审批、批量操作和高敏感数据访问的过程内部审计记录、开发测试访问模糊化、访问行为定期稽核等方式控制。
3)数据共享(提取)权限管理:通过最小共享和泛化、共享(提取)审批、最小使用范围、责任传递、定期稽核等方式控制。
4)定期权限稽核:通过数据安全合规检查、操作监管或稽核、数据访问账号和权限的监管与稽核、业务单位和运维的数据访问过程的合法性监管与稽核、日志风险分析与数据安全性测试等方式控制。
5)数据存储管理:通过涉密数据存储的网络区隔、敏感数据存储加密、备份访问管理、存储设备的移动管理、存储设备的销毁管理等方式控制。
安全脆弱性分析:通过工具监测、人工核查、文档查阅等手段,分析基于业务场景的数据处理活动存在的风险,包括管理以及技术层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点,明确数据安全脆弱性分布,判断脆弱性可利用程度和脆弱性对数据资产影响的严重程度。
1)风险评价
将数据应用场景中的安全威胁和脆弱性与具体安全措施关联分析后,通过定性分析展现风险严重程度以及分析可能性,通过定量计算得出数据全生命周期不同阶段所面临威胁的风险值及风险等级,明确数据安全风险评估结果。
4)风险处置
根据数据安全风险评估结果,针对不同的风险容忍度采取不同的策略,制定不同的整改措施,协助建设单位完成风险整改,提升数据安全防护能力,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。
5)安全管理人员评估
根据现场安全评估记录,针对辽宁省人力资源和社会保障厅重要数据承载系统在人员安全管理方面的“人员配备”、“人员离岗”、“外包运行维护人员管理”“安全 意识教育和培训”以及“外部人员访问管理”等评估指标,判断出与其相对应的各评估项的评估结果。
6)安全管理机构评估
根据现场安全评估记录,针对辽宁省人力资源和社会保障厅重要数据承载系统在安全管理机构方面的“岗位设置”“授权和审批”等评估指标,判断出与其相对应的各评估项的评估结果。
7)安全管理制度评估
根据数据安全监管单位的数据安全管理要求,分析制度方面的差距,协助完善相关数据安全管理制度。具体包括:完善数据安全管理办法、数据安全分类分级制度、数据安全应急预案、数据安全防范实施细则等。
★(五)交付周期要求
三年,完成等级保护测评服务、信息安全运维驻场服务、数据安全风险评估工作。
★(六)付款方式:
1.中标方在完成第一年度等保测评和风险评估工作,并交付等保报告和安全评估报告后,支付合同总额的50%;
2.中标方在完成第二年等保测评工作,并交付等保报告后,支付合同总额的25%;
3.中标方在完成第三年等保测评工作,并交付等保报告后,支付合同总额的25%;
以上款项由辽宁省农村信用社联合社各法人机构按照实际发卡量分摊,发票(发票形式及税率按出资方要求)由卖方分别开出。
三、评分细则
四、联系方式
代理机构:辽宁工程招标有限公司
地 址:沈阳市和平区南九马路47号
邮 编:110005
联系人:登录即可免费查看
电 话:登录即可免费查看
邮 箱:lngczbyxgs@126.com
辽宁工程招标有限公司
二〇二三年六月二十一日
招标代理机构项目负责人: (签名)
招标文件主要条款意见征集公告
(项目编号:LNZB-ZBT2023-0308)
辽宁工程招标有限公司受辽宁省人力资源和社会保障厅的委托,组织辽宁省“金保工程”二期2023年度信息化建设项目-网络安全等级保护一体化服务项目的公开招标工作,现对招标文件主要条款进行公示,并征求潜在投标人意见,请将意见以PDF形式(加盖公章)以及word形式在 2023年6月29日16:30(北京时间)前发至辽宁工程招标有限公司电子邮箱(邮件主题:**项目意见反馈,邮箱地址:lngczbyxgs@126.com),招标文件主要条款如下:
一、投标人资格要求
1、投标人应为在中华人民共和国境内注册并具有独立承担民事责任能力的法人或其他组织;
2、投标人须具有《网络安全等级测评与检测评估机构服务认证证书》;
3、投标人具有履行合同所必需的设备和专业技术能力;
4、投标人近三年(2020年1月1日~投标截止期前)未被“国家企业信用信息公示系统”列入严重违法失信名单,未被“信用中国”列入严重失信主体名单。(须提供未被“国家企业信用信息公示系统”列入严重违法失信名单和未被“信用中国”列入严重失信主体名单的网页截图或网站生成的信用报告);
5、本项目不接受联合体投标。
二、项目需求
(一)安全服务技术要求
根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《网络安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)、等法律法规、技术规范和管理制度要求,为进一步提高辽宁省人力资源和社会保障厅信息系统网络安全保障能力,通过开展专业化、常态化、实时化的网络安全运维服务,建立科学实用的安全管理体系、提高网络安全纵深防御能力,提升系统网络安全防护水平,保障信息系统安全、稳定、可靠运行。
(二)总体要求
服务方应按照《网络安全技术-网络安全等级保护基本要求》GB/T 22239-2019开展符合“第三级安全要求”的运维服务,提供服务方案,确保工作效果满足委托方网络基础设施、信息系统、外网应用、云计算平台等安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术要求,服务过程符合安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等管理要求。
针对委托方各信息系统,通过开展安全咨询、安全风险评估、网络安全资产梳理、建立安全运维基线、协助建立安全管理体系、定期开展网络安全检查、渗透测试,对新上线或有重大改造升级的系统进行软件应用安全测试,组织进行安全培训,开展应急服务等各项安全服务工作。通过落实以上多个方面的安全工作,最终将达到以下项目总体目标:
1、运维服务期内无重大网络安全责任事件(重大网络安全责任事件数为0);
2、运维服务期内无高风险可利用性漏洞;
3、重大安全事件2小时内应急响应;
4、提高网络安全技防能力,确保委托方的物理环境、主机、网络、数据和外网应用系统正常运行;
5、建立健全委托方网络安全管理体系;
6、提高委托方信息化队伍安全技术水平,提升委托方的整体网络安全意识。
★(三)服务内容
3.1 等级保护测评服务
1、服务内容:每年开展一次等级保护测评,出具等级保护测评报告;
2、测评范围:厅内6个系统网络安全等级保护测评(5个三级、1个二级系统);
3、服务期限:3年。
3.2 信息安全运维驻场服务
1、服务内容:
提供网络安全建设团队为人社厅开展安全运维、安全咨询服务并提供驻场服务。服务内容包含但不限于:
(1) 渗透测试与修复工作、制定安全加固方案并配合安全加固工作;
(2) 问题复测工作。安全隐患修复后提供安全复测;
(3) 系统安全设计方案论证,系统上线前检测工作;
(4) 信息安全意识厅内宣传;
(5) 建立应急网络专家团队,节假日及重要历史时刻的应急响应。
2、服务期限:3年;
3、人员要求:成立不少于6人的项目组,包含2名驻场工程师,4名技术服务工程师;
3.3 数据安全风险评估
1、服务内容:
(1)根据《中华人民共和国数据安全法》,重要的数据处理者应按规定展开风险评估,评估报告应包括面临的数据安全风险;
(2)对人社厅社会保障、劳动关系、就业等重要数据生产信息系统进行一次数据安全评估工作;
(3)出具安全评估报告,在系统完成安全整改后重新评估。不少于6个系统。
2、服务期限:1年
(四)技术要求
4.1 安全咨询服务
4.1.1咨询服务
4.1.1.1日常安全问题咨询服务
服务方应根据委托方的实际需求,参考国内外安全标准,提供日常安全咨询,主要包括大的网络安全政策法律解读、网络安全规划、安全决策、安全事件处理等。
针对各类网络安全事件,提供完整全面的处理方案,要求方案具有可操作性、能够指导委托方进行事件处理和应对。
4.1.1.2网络安全规划咨询服务
服务方应根据委托方的实际需求,参考国内外安全标准和国内新技术研究(如云计算、大数据、物联网、移动安全),对委托方网络安全设计方案,网络安全建设,包括网络安全结构设计、系统安全设计、其他网络安全方案设计,提出符合业务发展的安全审计建设思路,出具《咨询意见报告》。协助委托方进行年度网络安全工作规划,形成具体的《年度网络安全建设实施方案》。
4.1.1.3网络安全体系建设咨询服务
服务方根据对委托方的实际需求,参考国内外安全标准,对委托方网络安全体系建设给予技术支持。包括网络安全管理体系、技术体系、运行体系等。
4.1.2制度体系制定
按照《中华人民共和国网络安全法》等法律条例要求,《GB/T 22239-2019 信息安全技术 网络安全等级保护测评基本要求》等标准,以及“全员参加安全管理、全过程安全管理、全方位安全管理”原则进行开展。协助委托方优化修订《信息系统网络安全制度汇编》、《信息系统网络安全管理办法》、《信息系统网络安全信息通报工作规范》,制定《信息系统网络安全考核管理办法》,建立网络安全管理体系,根据实际管理工作需要,随时更新及补充安全管理制度及应急保障制度,不断完善维护制度体系。
4.1.3安全通告和情报
4.1.3.1安全漏洞通告
服务方应向委托方及时通告国内外安全机构及漏洞发布平台发布的相关安全漏洞,并提供相应修补方案,使委托方把握CVE公共漏洞库等网络安全现状与态势,了解网络安全技术发展方向,及时消除网络安全漏洞与隐患,避免引发网络安全事件进而对委托方形象造成影响。对收集、整理、维护、发布的专项预警服务,以邮件、微信、短信等多种方式提供安全事件通告。
4.1.3.2安全威胁通告
服务方应向业主提供威胁情报通告服务,结合业主现状,及时洞悉公网资产面临的安全威胁,进行准确有针对性的预警,了解最新的威胁动态,实施积极主动的威胁防御和快速响应策略,结合安全数据的深度分析全面掌握安全威胁态势,并准确地进行威胁追踪和攻击溯源;通过威胁情报共享接通安全资源,同时借助情报共享整合专业安全能力,有效实现及时发现、快速响应,应对高级威胁和新型未知攻击。
针对特殊或突发情况,及时提供“紧急安全漏洞通告”和“紧急安全威胁通告”。
4.1.4等级保护咨询
服务方以为委托方构建“等级化的安全体系”为目标,在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系,对等级保护各个阶段的工作重点为客户提供全方位的支持和服务,协助完成安全整改和等保测评工作。
4.1.5密码应用安全性评估咨询
依据《信息安全技术 信息系统密码应用基本要求》(GM/T 39786-2021)、《信息系统密码应用测评要求(试行)》、《商用密码应用安全性评估测评过程指南(试行)》、《商用密码应用安全性评估测评作业指导书(试行)》等标准规范中关于商用密码应用安全性评估的相关要求,服务方协助委托方完成联网收费系统、ETC发行系统密码应用安全性评估咨询工作。并协助委托方从密码算法、密码技术、密码产品、密码服务、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理和安全管理(制度、人员、实施、应急)等方面完成密码应用安全性评估问题整改的咨询工作。
4.2 安全运维服务
4.2.1安全状况梳理
对委托方信息系统进行全面的梳理。梳理服务分为应用系统梳理、信息资产梳理、网络安全构架梳理、安全架构分析四个维度。所有梳理工作完成后将编制全面、详尽、真实的梳理报告,识别记录资产维保等授权期限,形成软硬件《资产台账》。
(1)应用系统梳理,调查并记录所有应用系统名称、用途、IP地址、部署情况、安全状态等信息。
(2)信息资产梳理,调查并记录各信息系统设备种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
(3)网络安全架构梳理,评估利用资产调查的数据进行物理设备建档,绘制网络拓扑,统计信息系统各软硬件设备和系统的数量、拓扑位置、用途等信息并每半年更新一次。
(4)运营商专线梳理,全面梳理各运营商数据传输专线,识别运营商名称,两端地址、带宽、使用年限、业务名称并及时更新。
(5)安全架构分析,针对重要服务器、操作系统、应用系统进行定期漏洞扫描及弱口令扫描等操作,对各信息系统的网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理等八个方面进行网络架构安全性的全面分析,对整体网络中的脆弱点进行识别,评估结果包括定性和定量分析,并出具详细的安全架构分析报告及建议。
4.2.2风险评估
按照安全风险评估国家标准GB/T20984或行业安全监管要求,对委托方信息系统的资产状况、面临安全威胁状况、安全脆弱性状况以及安全控制措施状况进行分析和评估,并对信息安全风险水平进行综合评价。提供《安全风险评估报告》及风险应对措施。评估范围为联网收费系统及相关的信息资产,主要内容包括:
(1)漏洞扫描:对信息系统基础设施(包括但不限于服务器、网络和安全设备、操作系统、数据库、中间件等)和应用系统等进行扫描,不直接提交漏洞扫描输出的报告,而对漏洞扫描报告进行分析提炼和验证,输出高、中和低危漏洞信息。
(2)操作系统核查:核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。
(3)数据库核查:对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。
(4)网络及安全设备核查:针对设备的访问控制策略进行检查,确定是否开放多余服务。
(5)病毒木马检查:通过多种方式对服务器、工作站内异常进程、端口进行分析,判断是否是木马或病毒,研究相关行为,并进行查杀。
(6)渗透测试:通过适当的渗透性技术检测手段,模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐患进行攻击测试,评估其危害程度,同时利用渗透性技术检测,发现未知应用系统漏洞和安全隐患,提出整改建议,协助进行安全整改,出具《渗透测试报告》。内容包括但不限于:弱口令、本地权限提升、远程溢出、数据库查询等。
4.2.3指导安全加固
根据委托方计划范围内的各类安全检查、等保测评、漏洞扫描、威胁分析等工作成果,针对发现的安全隐患(包括安全漏洞,各种错误配置等),提出并指导安全加固意见,配合解决在安全评估中发现的技术性安全问题,降低高中危安全隐患风险。
服务方对安全类资产特征库维保情况梳理,全面梳理系统防火墙、负载均衡、入侵监测、漏洞扫描等各安全设备特征库授权期限,每年组织对授权到期特征库进行采购升级,保持特征库及时更新,抵御新型病毒风险。
4.2.4渗透测试
定期开展渗透测试,并结合等级保护合规性测评等各项检查工作的成果,综合利用安全扫描器、漏洞利用工具、人工渗透测试等手段,采用外部渗透方式对应用系统和网络安全基础设施进行非破坏性质的模拟入侵者攻击的测试,检测外部威胁源和路径,以便掌握系统的安全状况,并对发现的安全风险提出针对性的安全整改建议,并且为修补漏洞、抵御安全风险提供技术支持。
渗透测试的主要内容包括:
| 序号 | 控制域 | 渗透内容 |
| 1 | 网络层 | 网络设备类型探测,服务端口扫描,弱口令探测,常规漏洞扫描及渗透验证; |
| 2 | 主机层 | 主机操作系统类型探测,服务端口扫描,弱口令探测,常规漏洞扫描及渗透验证; |
| 3 | 数据库层 | 数据库类型及版本信息探测,弱口令探测,常规漏洞扫描及渗透验证; |
| 4 | 中间件层 | 中间件类型及版本信息探测,弱口令探测,常规漏洞扫描及渗透验证; |
| 5 | 应用系统层 | 1.工具扫描:应用系统漏洞扫描及验证,漏洞组件探测(编辑器、应用程序后台等); 2.人工渗透:应用系统弱口令探测,验证绕过漏洞探测,任意文件上传及下载漏洞探测,跨站脚本漏洞探测,目录遍历漏洞探测,注入漏洞探测,页面篡改漏洞探测等。 |
4.2.5日常运维
4.2.5.1安全检查
对网络设备、安全设备、服务器、操作系统、应用系统、终端进行周期性的状态检查、安全扫描,开展安全审计,补丁情况等并提交巡检报告及安全建议,主要包括:
1、安全设备巡检服务
提供针对性、详细的安全巡检表单,通过多种手段,对网络安全设备进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
2、定期开展全面的安全巡检服务。
提供针对性、详细的安全巡检表单,通过多种手段,对网络设备、安全设备、服务器、操作系统、应用系统、终端进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。
3、协助配合完成国家及行业安全检查服务。
4.2.6.2应急类服务
面向已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。帮助完成应用服务瘫痪问题、网络阻塞、DDoS攻击问题、服务器遭劫持问题、系统异常宕机问题、恶意入侵、黑客攻击问题、恶意入侵、黑客攻击问题、病毒爆发问题、内部安全事故等安全事件的应急响应支持。
运维期间,一旦收到用户安全事件响应需求后,服务方应在30分钟内做出响应并立即提供在线技术支持,无法通过远程支持解决的问题,服务方应在2小时内抵达用户现场。配合完成应急事件处置加固工作,出具《应急响应处置报告》。
应急响应的流程包含以下内容:故障诊断、故障修复、系统清理和系统防护,服务完成后,提交完整的《应急事件分析报告》,详细说明事件原因、经过和处理方式等,而且对以后整改的方向提供适当的解决方案。
依据委托方应急演练工作需求,提供应急演练服务,包括信息安全攻防演练、业务中断应急演练、门户网站恶意篡改应急演练、信息窃取事件应急演练、计算机病毒事件应急演练等安全方面的各类演练服务,出具《应急演练方案》。
4.2.5.3安全值守服务
服务供应商提供的7×8现场值守服务,包括安全设备监控、安全巡检、安全日志分析、应急处置四项主要内容,按月出具《日常巡检报告》、《监测报告》:
1.安全设备监控:通过部、省态势感知平台等对安全设备运行进行监控和维护,对重要安全设备的日志进行检测与分析,对告警事件进行分析、排查处置,预防安全事件的发生。
2.安全巡检:对安全设备进行健康状态检查,包括系统引擎、CPU占用率、内存占用率、接口状态、证书授权状态等内容;
3.安全日志分析:对安全设备产生的高、中风险告警事件进行分析,包括事件类型分布、事件发展趋势、事件频率、源地址、目的地址等内容,通过日志分析最新的安全态势,给出安全策略调整建议;
4.应急处置:对突发安全事件进行应急响应,阻止安全事件影响扩大,查找安全事件产生原因。
现场值守服务主要针对如下安全设备,包括防火墙、入侵检测/入侵防护系统、态势感知系统、漏洞扫描系统、VPN设备等。
4.2.5.4重大活动会议期间安全保障
为做好重大时期安全保障工作,通过7×24现场值守、应急响应、突发事件处理等方式,为委托方提供重点保障期间强于日常值班值守的重要信息系统安全技术服务,提供2-5人的保障服务团队,确保委托方在重点保障期间能够及时应对各类网络安全突发事件,保障网络与信息系统安全稳定运行,提供《重保服务报告》。重保时段包括不限于以下时段:
1.元旦、春节、国庆等国家法定节假日;
2.国家重要会议期间;
3.上级单位、公安等部门组织攻防演练期间。
工作内容除驻场安全值守服务外,包括不仅限于:
1) 应急响应服务:
当现场安全值守发现安全事件(如外部非法入侵或恶意攻击),或接到委托方的通知,启动应急响应,服务方应在30分钟内响应,在2小时内到达现场进行处理工作,把事件控制在萌芽状态。
2) 安全事件分析及建议服务:
l 根据最新安全情况定期对委托方网络与信息系统进行安全威胁分析。
l 对各类安全事件进行分析和追踪,识别事件的蔓延方式,提出建议措施,以最小危害原则保障招标方利益。
l 对已造成影响的系统要求尽快以最大程度消除影响,恢复系统正常状态,保证系统的连续性和稳定性。
l 根据委托方要求对事件的原因进行调查,追溯攻击危害来源,并在符合司法程序的前提下进行取证提供给委托方。
4.3 等级保护测评服务
依据GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》等国家和行业相关信息系统安全规范标准,对辽宁省人力资源和社会保障厅厅内部署的系统进行信息安全等级测评,测评内容为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10方面测评任务。
1、详细要求
(1)单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个层面上的单元测评;管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的单元测评。
1)安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2)安全通信网络测评内容:
网络架构、通信传输、可信验证。
3)安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
4)安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
5)安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
6)安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
7)安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8)安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
9)安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
10)安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
(2)整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
中标方测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
系统整体测评主要包括四个部分:分别为安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试。
1)安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系统的访问控制被旁路。
2)层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
3)区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
4)验证测试
验证测试包括对主机、网络、数据、应用(含移动应用)的漏洞扫描和渗透测试等,验证测试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
4.4 数据安全风险评估
以数据资产为中心,以网络安全为基础,以辽宁省人力资源和社会保障厅重要数据为主要评估对象,从数据全生命周期及数据应用场景两个纬度进行数据安全风险评估,保障被评估业务的数据资产(包含不限于人社业务数据、系统数据及个人信息)的机密性、完整性、可用性及可控性。实施内容分为技术和 管理两个层面,技术层面包括风险识别、风险分析、风险评价、风险处置,管理层面包括安全管理机构、安全管理人员、数据安全管理制度等。
(1)风险识别
基于数据全生命周期,梳理辽宁省人力资源和社会保障厅数据资产,建立数据资产清单;根据人社部数据分类分级相关要求,对数据进行分类分级,完善数据分类分级目录;确定不同安全级别的数据类型,进而形成业务场景下的重要数据范围,制作人社重要数据图谱,实现业务流识别、数据流识别、数据责任识别、数据重要程度识别。
(2)风险分析
安全威胁分析:从数据生命周期与数据应用场景两个纬度去发现数据所面临的各种威胁,重点关注数据流转中的动态安全风险,从数据合规、数据泄露、数据篡改、数据不可用以及数据未授权访问等层面分析数据流转各要素的安全威胁。
1)数据访问账号和用户权限管理:通过账号专人专用、账号独立、账号授权审批、最小授权、账号及时回收、行为内部审计、定期账号稽核等方式控制。
2)数据使用过程的访问权限管理:批量操作审批、高敏感数据访问审批、批量操作和高敏感数据访问的过程内部审计记录、开发测试访问模糊化、访问行为定期稽核等方式控制。
3)数据共享(提取)权限管理:通过最小共享和泛化、共享(提取)审批、最小使用范围、责任传递、定期稽核等方式控制。
4)定期权限稽核:通过数据安全合规检查、操作监管或稽核、数据访问账号和权限的监管与稽核、业务单位和运维的数据访问过程的合法性监管与稽核、日志风险分析与数据安全性测试等方式控制。
5)数据存储管理:通过涉密数据存储的网络区隔、敏感数据存储加密、备份访问管理、存储设备的移动管理、存储设备的销毁管理等方式控制。
安全脆弱性分析:通过工具监测、人工核查、文档查阅等手段,分析基于业务场景的数据处理活动存在的风险,包括管理以及技术层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点,明确数据安全脆弱性分布,判断脆弱性可利用程度和脆弱性对数据资产影响的严重程度。
1)风险评价
将数据应用场景中的安全威胁和脆弱性与具体安全措施关联分析后,通过定性分析展现风险严重程度以及分析可能性,通过定量计算得出数据全生命周期不同阶段所面临威胁的风险值及风险等级,明确数据安全风险评估结果。
4)风险处置
根据数据安全风险评估结果,针对不同的风险容忍度采取不同的策略,制定不同的整改措施,协助建设单位完成风险整改,提升数据安全防护能力,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。
5)安全管理人员评估
根据现场安全评估记录,针对辽宁省人力资源和社会保障厅重要数据承载系统在人员安全管理方面的“人员配备”、“人员离岗”、“外包运行维护人员管理”“安全 意识教育和培训”以及“外部人员访问管理”等评估指标,判断出与其相对应的各评估项的评估结果。
6)安全管理机构评估
根据现场安全评估记录,针对辽宁省人力资源和社会保障厅重要数据承载系统在安全管理机构方面的“岗位设置”“授权和审批”等评估指标,判断出与其相对应的各评估项的评估结果。
7)安全管理制度评估
根据数据安全监管单位的数据安全管理要求,分析制度方面的差距,协助完善相关数据安全管理制度。具体包括:完善数据安全管理办法、数据安全分类分级制度、数据安全应急预案、数据安全防范实施细则等。
★(五)交付周期要求
三年,完成等级保护测评服务、信息安全运维驻场服务、数据安全风险评估工作。
★(六)付款方式:
1.中标方在完成第一年度等保测评和风险评估工作,并交付等保报告和安全评估报告后,支付合同总额的50%;
2.中标方在完成第二年等保测评工作,并交付等保报告后,支付合同总额的25%;
3.中标方在完成第三年等保测评工作,并交付等保报告后,支付合同总额的25%;
以上款项由辽宁省农村信用社联合社各法人机构按照实际发卡量分摊,发票(发票形式及税率按出资方要求)由卖方分别开出。
三、评分细则
| 项目 | 分项名称 | 评分标准 | 满分 |
| 价格部分(30分) | 投标报价 | 满足招标文件要求且投标报价中最低的投标报价为评标基准价其价格分为满分;其他投标人的价格分统一按照以下公式计算: 投标报价得分=(评标基准价/投标报价)×价格权值×100 | 30 |
| 技术部分(35分) | 总体方案 | 投标人的服务内容,满足招标文件技术需求: 方案完整详细,科学合理,技术先进,具备操作性强,得5分; 方案计较完善,比较合理,具有一般操作性,得3分; 基本满足招标文件技术要求,得1分; 未提供或内容存在严重缺陷,得0分。 | 5 |
| 安全咨询 方案 | 投标人的服务内容,满足招标文件技术需求: 安全咨询方案完整详细,科学合理,技术先进,具备操作性强,得5分; 方案计较完善,比较合理,具有一般操作性,得3分; 基本满足招标文件技术要求,得1分; 未提供或内容存在严重缺陷,得0分。 | 5 | |
| 安全运维 方案 | 投标人的服务内容,满足招标文件技术需求: 安全运维方案完整详细,科学合理,技术先进,具备操作性强,得5分; 方案计较完善,比较合理,具有一般操作性,得3分; 基本满足招标文件技术要求,得1分; 未提供或内容存在严重缺陷,得0分。 | 5 | |
| 等保测评 方案 | 投标人的服务内容,满足招标文件技术需求: 等级保护测评方案完整详细,科学合理,技术先进,具备操作性强,得5分; 方案计较完善,比较合理,具有一般操作性,得3分; 基本满足招标文件技术要求,得1分; 未提供或内容存在严重缺陷,得0分。 | 5 | |
| 数据风险评估方案 | 投标人的服务内容,满足招标文件技术需求,数据风险评估方案完整详细,科学合理,技术先进,具备操作性强的得5分。方案计较完善,比较合理,具有一般操作性的得3分,基本满足招标文件技术要求的得1分,未提供或内容存在严重缺陷,得0分。 | 5 | |
| 培训方案 | 对辽宁省人力资源和社会保障局信息系统网络安全和商用密码应用的培训方案: 提供的内容完整、详实,符合项目要求,符合人社厅及所属单位实际情况并具有可操作性,得5分; 提供了通用、简单的培训方案,具有一定可行性,得3分; 方案存在欠缺,得1分; 未提供或方案存在严重缺陷,得0分。 | 5 | |
| 实施工具 | 方案中包含测评需要的漏洞扫描、密码和安全测试等仪器设备和工具,有1种,得1分,最多得5分。 (提供仪器一览表和购置设备工具的合同或发票复印件证明为投标人自有) | 5 | |
| 商务部分(35分) | 项目经理 | 实施技术方案中项目负责人具有: 注册网络安全渗透评估专业人员(NSATP-A)(高级)证书得2分; 人社部门颁发的信息系统项目管理师得2分; 商用密码应用安全性评估人员测评能力考核证书得2分。 (需提供身份证复印件、证书复印件、开标前6个月任意一个月社保缴纳证明复印件,以上材料加盖投标人公章。) | 6 |
| 团队成员 | 项目团队人员(项目经理除外)具有: 信息系统项目管理师、系统分析师、注册网络安全渗透评估专业人员(NSATP-A)(高级)证书、网络或信息安全等级测评师(高级)、商用密码应用安全性评估人员测评能力考核证书,每种证书,得2分,最多得10分。 (需提供身份证复印件、证书复印件、开标前6个月任意一个月社保缴纳证明复印件,以上材料加盖投标人公章。同一人取得多个证书的分值兼得。) | 10 | |
| 企业能力1 | 投标人具有良好的测评服务体系和确保测试数据可信的服务能力: 具有检验检测机构资质认定证书,得2分,未提供不得分; 具有中国合格评定国家认可委员会检验机构认可CNAS证书,得2分,未提供不得分; 具有中国合格评定国家认可委员会实验室认可CNAS证书,得2分,未提供不得分。 (提供相关证明材料并加盖投标人公章) | 6 | |
| 企业能力2 | 投标人具有良好的网络安全、商用密码应用咨询服务体系和技术保障能力; 具有ITSS信息技术服务咨询设计标准符合性证书,得2分; 投标人具有自主密码测评能力,投标人须在国家密码管理局发布的《商用密码应用安全性评估试点机构目录》国家密码管理局公告(第42号)内,须提供公告截图或其他证明材料,得2分; (提供相关证明材料并加盖投标人公章) | 4 | |
| 体系认证 | 投标人具有有效的信息系统安全运维服务资质认证证书得1分; 投标人具有有效的信息安全风险评估服务资质认证证书得1分; 供应商具有有效的信息安全应急处理服务资质认证证书得1分。 | 3 | |
| 类似业绩 | 近3年(2020年1月1日至投标文件递交之日止)独立完成过网络安全技术保障服务业绩,每提供一个合格的业绩,得2分,最多得6分。 (提供合同复印件并加盖投标人公章) | 6 | |
| 合计 | 100 | ||
四、联系方式
代理机构:辽宁工程招标有限公司
地 址:沈阳市和平区南九马路47号
邮 编:110005
联系人:登录即可免费查看
电 话:登录即可免费查看
邮 箱:lngczbyxgs@126.com
辽宁工程招标有限公司
二〇二三年六月二十一日
招标代理机构项目负责人: (签名)
微信扫码关注
