驻马店市2014年度政务信息系统安全检查项目竞争性谈判公告
驻马店市政府采购中心受驻马店市工业和信息化局委托,对驻马店市2014年度政务信息系统安全检查项目的服务采取竞争性谈判方式采购,现欢迎国内提供本国货物及服务的合格供应商前来参加谈判。
1. 项目编号 : 驻政采招【2014】147 号
2. 谈判项目名称及主要技术标准
| 货物名称 | 主要技术标准 | 交货地点 | 交货期 |
| 驻马店市2014年度政务信息系统安全检查项目 | 详见招标需求 | 驻马店市工业和信息化局 | 合同签订后15日 |
注:本项目不分包、不接受联合体投标。
3. 供应商的资格条件
3.1 具备《中华人民共和国政府采购法》第二十二条规定的条件。
3.2谈判供应商须提供信息安全服务资质认证证书三级以上(含三级)风险评估资质。
3.3 谈判供应商须提供信息安全服务资质证书一级以上(含一级)安全工程服务类。
3.4 谈判供应商须提供检查技术人员具有中国信息安全测评中心颁发的专业资质证书或相关的国际安全机构颁发的安全工程师专业资质证书。
3.5谈判供应商须提供 2012年1月1日以来参加国家、省、市工信部门所组织的信息安全检查的项目案例1份以上(含1份)。
4. 领取竞争性谈判文件的要求
4.1 领取竞争性谈判文件时间:2014年 9 月 3 日至2014年 9 月 10 日(法定公休日、法定节假日除外),每日上午 8:00 时至 12:00 时 ,下午 15:00 时至 17:00 时。
4.2 领取竞争性谈判文件地点: 驻马店市文明 路 1388 号 驻马店市公共资源交易中心市政府采购中心308 室。
4.3领取竞争性谈判文件方式:现场免费领取竞争性谈判文件(可携带U盘拷贝电子文档)。未领取竞争性谈判文件的供应商,其递交的响应性文件将被拒绝。
4.4 领取竞争性谈判文件时须提交的资料:有效营业执照副本原件及复印件(复印件加盖本单位公章,并加注“与原件一致”字样) , 原件审核后当场退还,复印件留存。
注:按以上要求获取了竞争性谈判文件并不视为通过资格审查,资格审查工作在谈判时由竞争性谈判小组独立负责,未通过资格审查的响应性文件将视为无效响应。
联系电话:0396- 2609258 。
5. 谈判保证金:
人民币 5000 元,供应商于递交响应性文件截止时间前递交至 驻马店市文明 路 138 号 驻马店市公共资源交易中心市政府采购中308 室。
6. 递交 响应性文件 截止时间
供应商应于 2014 年 9 月 11 日下午 16:00 时前将响应性文件密封送交到 驻马店市文明 路 1388 号 驻马店市公共资源交易中心市政府采购中心309 室,逾期送达不予受理。
7. 谈判时间、地点
本次谈判将于 2014 年 9 月 11 日下午 16:00 时在 驻马店市文明 路 1388 号 驻马店市公共资源交易中心市政府采购中心309 室开始,参见谈判的供应商代表必须按时参加。
8. 对竞争性谈判文件的质疑
供应商认为竞争性谈判文件使自己的合法权益受到损害的,应在递交响应性文件截止时间之日起2日之前, 向采购人或采购代理机构提出质疑,逾期不再受理。
9. 项目咨询电话:
采购人联系人: 张女士 联系电话:0396- 2982810
代理机构联系人: 陈女士 联系电话:0396- 2609225
10. 监督部门:
驻马店市 财政局 联系电话:0396- 2610822
驻马店市 监察局 联系电话:0396- 2609226
驻马店市 审计局 联系电话:0396- 3668820
驻马店市政府采购中心
二〇一四年九月三日
附件:
驻马店市2014年度政务信息系统安全检查项目采购需求
一、检查目的
通过开展网络安全检查,以查促建、以查促管、以查促改、以查促防,增强安全意识,落实安全责任,深入分析安全风险,系统评估安全状况,全面排查安全隐患,进一步健全安全管理制度,完善安全防护措施,提升自主可控水平和安全防护能力,预防和减少网络安全事件的发生,切实保障驻马店市政府机构重要网络与信息系统的安全稳定运行。
二、检查范围
政府信息系统安全检查工作是为各个政府部门履行职能提供信息系统安全检测,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。
具体检查单位及数量由驻马店市信息化领导小组办公室根据实际情况另行通知。
三、检查内容
政府信息系统安全检查,是指依据国家有关政策规定,参照国家信息安全技术标准规范,对政府信息系统安全工作进行检查评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程,包括进行信息安全风险评估、安全检查等。
1 、信息安全评估
信息安全评估依据国际、国内有关信息技术标准,对信息系统的保密性、完整性和可用性等安全属性进行科学识别和评价,从技术角度就IT风险现状作出总结和建议。
(1)资产调查:以信息系统设备和信息管理人员为基本单位,调查设备的基本属性和责任人,得到资产列表、资产详细信息库和脆弱性报告
(2)网络安全评估:对网络拓扑、网络设备、网管服务等进行相应的漏洞扫描和评估,并对网络日志、流量进行具体分析,得出评估报告。
(3)网站安全评估:对基于WEB站点应用进行服务、配置、日志扫描和评估。
(4)主机安全评估:对各种类型服务器(HP-UX、AIX、SOLARIS、LINUX、Windows)的配置、服务、日志进行安全检查和评估。
(5)存储系统评估:对存储系统的基础架构、连续性、安全性和管理风险进行评估。
(6)控制措施评估:对现有系统、网络、终端的逻辑和物理控制措施进行评估。
(7)终端安全:对现有的办公系统终端的操作系统进行调查,对使用windows-xp操作系统的办公终端信息安全保障措施的进行检查。
2 、信息安全渗透测试
通过使用各类网络技术对网络进行模拟渗透测试,测试系统、网络、主机和应用服务的安全性,更为客观的评价信息安全系统的健壮性。
(1)网络系统渗透:对网络拓扑进行发现,对网络设备(如防火墙、路由器、交换机)等进行渗透攻击,寻找网络架构的风险薄弱点。
(2)网站服务渗透:对网站服务(包括操作系统)进行渗透攻击,获取或篡改关键信息,据此形成专业的风险渗透报告。
(3)应用服务渗透:对专用应用服务(包括操作系统),如OA、CRM、ERP等进行渗透攻击,获取或篡改关键信息,最大程度提升权限,据此形成专业的风险渗透报告。
(4)数据库渗透:对专用数据库服务(包括操作系统),如SQL、Qracle、Sybase、DB2等进行渗透攻击,获取或篡改关键信息,最大程度提升权限,据此形成专业的风险渗透报告。
3 、信息安全加固
为信息安全架构的改进或升级提出切实可行的解决方案,在帮助各检查单位实施的同时,提高网络安全性,保障最佳的网络性能。
(1)系统访问管理:配置安全的系统访问方式,制定安全的系统访问策略确保对系统的访问通过安全的方式进行。
(2)服务访问管理:根据制定的方案和功能,对主机提供的服务设置访问控制,以消除未授权的服务访问所带来安全隐患。
(3)系统漏洞修补:对在权威机构或是操作系统生产厂商已公布的安全漏洞通过打补丁或是升级系统版本的方式修补。
(4)服务漏洞修补:对系统提供的常用服务,诸如:DNS服务、FTP服务、邮件服务、WWW服务等,检查软件本身的安全漏洞,通过打补丁或是更换服务软件的方式修补,并对不合理的配置进行修改。
(5)网络架构加固:对网络拓扑、设备(如防火墙、路由器、交换机等)和数据流量进行加固和重新优化设计。
(6)其它服务安全配置:针对系统需要提供的其它服务,进行安全配置。
4 、检查报告
在检查工作完成后,应对各单位的检查情况进行汇总分析和总结评估,按照要求编制检查报告报送驻马店市信息化领导小组办公室,包括纸质文档和电子文档(光盘形式)。
检查报告内容主要包括网络安全状况总体评价、2014年网络安全工作情况、检查发现的主要问题及整改情况、对网络安全工作的意见建议等。
四、检查标准依据
1、ISO17799/BS7799
2、ISO13335
3、ISO15408(CC)
4、GB17859
5、ISO27001及ITIL规范中相关管理模块和体系设计要求6、《信息系统安全等级保护基本要求》
7、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发[2009]28号)
8、《河南省信息化和信息安全工作领导小组办公室〈关于开展全省2014年度政务信息系统安全检查工作〉的通知》(豫信化办[2014]33号)
五、相关要求
1 、公司资质:
(1)谈判供应商须提供信息安全服务资质认证证书三级以上(含三级)风险评估资质。(原件)
(2)谈判供应商须提供信息安全服务资质证书一级以上(含一级)安全工程服务类。(原件)
2 、技术人员:
(1)谈判供应商须提供检查技术人员具有中国信息安全测评中心颁发的专业资质证书或相关的国际安全机构颁发的安全工程师专业资质证书。(原件)
(2)中标单位在签定合同时,需提供社保单位开据的工程师所在单位交纳公告日期前三个月以上的社保证明或交款凭证(需社保单位加盖公章),并同时与驻马店市信息化领导小组办公室签订保密协议。
3 、业绩要求:
谈判供应商须提供 2012年1月1日以来参加国家、省、市工信部门所组织的信息安全检查的项目案例1份以上(含1份)。(原件)
六、验收条件及标准
所出具的检查报告符合国家、省厅的相关要求。
七、交货时间及地点
交货时间:合同签订后15日
地点:驻马店市工业和信息化局
八、付款方式
检查结束,报告出具合格后付中标金额的90%,经省厅通过后在15日内付剩余金额10%。
九、特殊要求
本项目不接受联合体投标。