风流少妇一区二区三区-久久一夜天堂av一区二区-粉嫩99国内精品久久久久久久-中文字幕一区二区高清在线

根據(jù)《****地震局自行采購管理辦法（試行）》，****地震局門戶網(wǎng)站信息系統(tǒng)信息安全等級保護測評項目進行公開采購，具體事項說明如下：

一、項目概況

項目名稱：****地震局等級保護測評項目

采購單位：****

項目預算：8.2萬元整

二、工作內(nèi)容

根據(jù)《中華人民**國網(wǎng)絡安全法》《信息安全等級保護管理辦法》(公通字[2007]43號)、《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號）、《**省信息安全等級保護安全建設整改工作指導意見》（陜等保辦2011 2號）等相關文件要求，此次項目擬對以下信息系統(tǒng)開展等級測評及安全檢測，并提供測評報告。信息系統(tǒng)名稱及安全保護等級如下表：

三、項目服務內(nèi)容

系統(tǒng)調(diào)研：在系統(tǒng)相關人員的協(xié)助下，對信息系統(tǒng)進行調(diào)研和梳理，了解系統(tǒng)當前信息系統(tǒng)資產(chǎn)現(xiàn)狀。

現(xiàn)場測評：根據(jù)國家等級測評的相關標準及已編制的相關等級保護測評指導書對信息系統(tǒng)中的相關資產(chǎn)進行測評項的檢查、記錄檢查結果。

分析整改：根據(jù)前述工作內(nèi)容，分析信息系統(tǒng)安全情況與等級保護基本要求的差距，提供差異化測評服務，并進行風險分析，可根據(jù)現(xiàn)場情況出具科學合理的整改建議及整改方案，配合采購單位安全整改工作。

結論報告：根據(jù)前述工作內(nèi)容，分析當前信息系統(tǒng)安全保護能力是否符合相應等級的安全要求，針對整改項進行再次測評，提供安全等級符合性測評服務，出具相關系統(tǒng)測評報告。

配合驗收：整理項目過程中所有相關的過程文檔，提交系統(tǒng)相關人員，做好驗收匯報和整改工作。

四、資質(zhì)要求

****事業(yè)單位法人證書副本）、稅務登記****事業(yè)單位不提供）、組織機構代碼證副本或者統(tǒng)一社會信用代碼證（三證合一）；

法定代表人委托授權書，****事業(yè)單位法人參加招標只需提供其身份證；

具有國家信息安全****小組辦公室頒發(fā)的《網(wǎng)絡安全等級保護測評機構推薦證書》；

本項目不接受聯(lián)合體投標。

備注：以上資質(zhì)文件提供復印件加蓋公章查驗。

五、其他要求

1. 測評人員要求：本項目的測評人員需具有1年或1年以上測評工作經(jīng)驗，項目經(jīng)理和質(zhì)量負責人必須具備豐富的安全服務經(jīng)驗及相關資質(zhì)認證，并提供人員管理及配備方案，并確保人員穩(wěn)定。如需更換測評人員，須由采購單位同意。

2. 人員配備：投標方參與此項目組人員不少于5人（其中高級測評師不少于1人，中級測評師不少于2人），提供現(xiàn)場服務的測評師不少于2人（至少1名中級）。投標人必須為本項目成立本****小組，****小組組長統(tǒng)一負責，測評小組組長具有一定的技術及管理知識和經(jīng)驗，能容易地與客戶溝通，能很好的執(zhí)行與完成測評工作，并根據(jù)適當情況增加測評人員。

3. 投標人應按等級保護測評要求制定測評過程中產(chǎn)生的文檔，做到科學、規(guī)范、詳盡、統(tǒng)一。

六、服務交付內(nèi)容

在本次等級保護測評項目中，服務商須提交主要成果文檔包含如下：

1.《信息系統(tǒng)安全等級保護項目計劃書》；

2.《信息系統(tǒng)安全等級保護測評方案》****地震局門戶網(wǎng)站信息系統(tǒng)）；

3.《信息系統(tǒng)安全等級保護測評報告》****地震局門戶網(wǎng)站信息系統(tǒng)）；

4.《信息系統(tǒng)整改建議報告》****地震局門戶網(wǎng)站信息系統(tǒng)）；

5.對服務期內(nèi)出現(xiàn)的網(wǎng)絡安全事件或問題提供溯源和解決；

6.提供不少于2次全局范圍關于網(wǎng)絡安全的培訓內(nèi)容。

七、項目技術標準及要求

（一）總體要求

根據(jù)《中華人民**國網(wǎng)絡安全法》《信息安全等級保護管理辦法》(公通字[2007]43號)與《信息安全技術 網(wǎng)絡安全等級保護基本要求》GB/T22239-2019要求，等級測評工作須覆蓋安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、****中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等方面的內(nèi)容，并根據(jù)現(xiàn)場實際情況完成風險分析工作,最終為完善等級保護安全防護體系提供指導依據(jù)。

具體工作內(nèi)容：

1. ****地震局門戶網(wǎng)站信息系統(tǒng)三級等保測評，包含門戶網(wǎng)站子系統(tǒng)和數(shù)據(jù)服務子系統(tǒng)，需公司依據(jù)等保三級要求進行信息系統(tǒng)測評，形成測評方案、測評報告、整改報告等。

2. 根據(jù)等****地震局需求，提供制度完善、網(wǎng)絡安全預案修正以及網(wǎng)絡安全相關方案的編制等服務。包****地震局現(xiàn)有安全相關各項規(guī)章制度進行細化、完善、整改等編制，網(wǎng)絡按區(qū)預案的修訂，網(wǎng)絡安全相關方案或報告如安全自查報告、安全保障方案等資料的編制。

3. 提供日常及重要安保時期的網(wǎng)絡安全事件處置和溯源服務。

4. 提供全局范圍內(nèi)針對終端用戶、****管理部門有關法律法規(guī)等的公開培訓，不少于兩次。

從合同簽訂時間起30個工作日完成等保測評和報告提交的所有工作；同時從合同簽訂時間起一年內(nèi)提供制度完善與方案編制、應急響應與安全事件處置、配合檢查、電話支持、安全咨詢等服務在內(nèi)的安全維保服務。

（二）第一階段：等級保護

信息安全等級保護工作共分為五步，分別是：“定級、備案、建設整改、等級測評、監(jiān)督檢查”。該項目主要完成系統(tǒng)的安全測評工作，依據(jù)安全技術和安全管理兩個方面的測評要求，分別從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、****中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理十個安全類別進行安全測評。

1.等級保護測評要求

服務商在測評過程中要求按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息安全技術 信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）、《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）、《信息安全技術 網(wǎng)絡安全等級保護測評要求》（GB/T28448-2019）、《信息安全技術 網(wǎng)絡安全等級保護測評過程指南》（GB/T28449-2018）等相關的標準規(guī)范開展等級測評工作，對系統(tǒng)的安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、****中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理共10個層面進行安全等級保護測評。

2.等級保護測評流程及內(nèi)容

等級保護測評過程中要求服務商嚴格按照下列流程開展工作，具體工作流程如下：

（1）測評準備階段：是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續(xù)工作能否順利開展。本活動的主要任務是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。

（2） 方案編制階段：是開展等級測評工作的關鍵活動，為現(xiàn)場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統(tǒng)相適應的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導書，形成測評方案。

（3） 現(xiàn)場測評階段：是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格按照測評指導書執(zhí)行，分步實施所有測評項目，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

（4） 分析與報告編制階段：是給出等級測評工作結果的活動，是總結被測系統(tǒng)整體安全保護能力的綜合評價活動。本活動的主要任務是根據(jù)現(xiàn)場測評結果和《等級測評過程指南》的有關要求，通過單項測評結果判定、單元測評結果判定、整體測評和風險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統(tǒng)面臨的風險，從而給出等級測評結論，形成《信息系統(tǒng)安全等級測評報告》文本。

（三）第二階段：滲透檢測

滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機信息系統(tǒng)是否安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術缺陷或漏洞的主動分析，通常該分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。

滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機信息系統(tǒng)是否安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術缺陷或漏洞的主動分析，通常該分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。

（四）第三階段：代碼審計

對系統(tǒng)進行代碼審計。內(nèi)容包括但不限于：

1.審核應用流程中是否存在可被繞過的隱患；

2.審核應用代碼中是否有一般性的漏洞類型；

3.審核應用代碼中因需要開放給管理員或用戶而可能導致的隱蔽漏洞；

4.審核應用系統(tǒng)中三方組件及產(chǎn)品的漏洞隱患；

5.結合黑盒滲透測試方法，對應用代碼審計結果驗證；

6.發(fā)現(xiàn)安全隱患，確定后給出加固解決方案；

7.對應用代碼中不符合安全規(guī)范的部分進行規(guī)范；

8.對今后應用代碼編寫的安全措施給出指導意見。

（五）第四階段：漏洞掃描與分析

針對系統(tǒng)進行漏洞掃描，涉及漏洞包括OWASP TOP 10等主流安全漏洞,包括：SQL注入、XSS跨站腳本、偽造跨站點請求（CSRF）、隱藏字段、表單繞過、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻擊、弱口令、Xpath注入、LDAP注入、框架注入、鏈接注入、操作系統(tǒng)命令注入、Flash源代碼泄漏、Flash跨域攻擊、Cookie注入、敏感文件、其他各類CGI漏洞。

（六）第五階段：安全檢測

安全檢測采用專業(yè)工具掃描（漏洞掃描采用產(chǎn)品必須為商業(yè)化產(chǎn)品）、人工評估、滲透測試三種相結合的方式，對目標系統(tǒng)進行評估，包括：帳戶與口令安全、網(wǎng)絡服務安全、內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應用系統(tǒng)相關硬件、軟件和數(shù)據(jù)等方面。其他評估內(nèi)容應至少包括網(wǎng)絡設備與防火墻、Web服務、文件服務、Mail服務、數(shù)據(jù)庫問題、跨站腳本攻擊、其他服務、其他問題等。

（七）第六階段：建設整改咨詢及安全加固（不涉及硬件）

建設整改咨詢工作以等級測評和滲透檢測發(fā)現(xiàn)的安全問題為工作重點，編寫《信息系統(tǒng)安全建設整改建議》；將信息系統(tǒng)的安全建設整改需求落實到可操作的安全技術和管理上，提出能夠?qū)崿F(xiàn)的技術參數(shù)或制度及其具體規(guī)范。

（八）第七階段：安全培訓服務

1.政策、安全意識培訓

對網(wǎng)絡安全知識進行宣傳培訓。內(nèi)容包括：網(wǎng)絡安全法律法規(guī)知識普及、典型信息安全事件知識案例講解、安全保密意識建立以及前沿信息安全技術知識培訓等。

2.安全技術能力培訓

針對主機安全、應用安全、網(wǎng)絡安全、數(shù)據(jù)庫安全相關的檢查方法進行培訓，確保項目建設完成后技術人員可以獨立完成檢測項目的工作內(nèi)容并完成報告的輸出。

（九）第八階段：服務與售后

為期一年的服務與售后工作中，****地震局提供包括制度完善與方案編制、應急響應與安全事件處置、配合檢查、電話支持、安全咨詢等服務在內(nèi)的安全維保服務。具體服務時效如下：

（1）制度完善與方案編制服務

服務方提供制度完善與方案編制等服務。服務時效5X8小時，同時按需提供現(xiàn)場服務，得到通知后4小時內(nèi)到現(xiàn)場。

（2）應急響應與安全事件處置服務

針對本次項目，服務方提供7X24的常規(guī)應急響應及災難恢復專家服務。在接到用戶故障報修電話10分鐘內(nèi)響應。對客戶信息網(wǎng)絡應用系統(tǒng)突發(fā)的信息安全事件進行響應、處理、恢復、取證、跟蹤、事后分析的方法及過程。對于網(wǎng)絡安全事件處置按需提供現(xiàn)場服務，得到通知后1小時到現(xiàn)場。

（3）配合檢查服務

服務****地震局****機關、單位內(nèi)部以及第三方機構針對信息系統(tǒng)安全等級保護工作的檢查工作。服務內(nèi)****地震局準備、完善各類資料文檔，配合檢查過程中的答疑及技術支持及其他現(xiàn)場檢查的響應。

（4）電話支持服務

每周7天/每天24小時不間斷的電話支持服務，****地震局在使用過程中遇到的問題，及時提出解決問題的建議和操作方法。電話響應時間不小于10分鐘，根據(jù)不同響應需求到達現(xiàn)場，解決問題不超過24小時。

（5）安全咨詢服務

****地震局免費提供一年技術咨詢服務，包括信息系統(tǒng)整改建設咨詢服務以及其他相關安全咨詢服務，一旦接到用戶的服務請求，技術服務工程師將立即開始提供服務，幫助客戶解決信息安全相關技術問題，****地震局做好業(yè)務系統(tǒng)全保障工作。

八、采購響應方式

采購響應時間：2023年7月25日至2023年7月27日

采購響應文件遞交地點：**市**區(qū)邊家村水文巷4號防震減災科技大樓9樓

聯(lián)系人：程燕

電話：029-****5343

采購響應文件一式兩份，本次采購接受郵寄，供應商可將資質(zhì)材料復印件加蓋公章連同采購響應文件一并郵寄。

九、付款方式

合同簽訂后7個工作日內(nèi)，由乙方向甲方支付10%的履約保證金，甲方收到后向乙方支付合同全額，10%的履約保證金待完成全部服務支持后返還。

十、采購響應文件要求

采購響應文件應嚴格按照采購需求做出實質(zhì)性響應，包含以下內(nèi)容：

1.對測評準備（現(xiàn)狀調(diào)研）、方案編制、現(xiàn)場測評、報告編制等內(nèi)容進行詳細描述；

2.對安全檢測方案及內(nèi)容進行詳細描述；

3.明確服務內(nèi)容及方法；

4.明確合理的實施周期和進度表；

5.提供整個測評項目實施過程中的風險防范措施，并明確保密責任與賠償承諾；

6.服務承諾及保障措施；

7.其他認為需要補充的合理化建議。

備注：以上資質(zhì)文件現(xiàn)場提供復印件加蓋公章查驗

十一、評標

本項目評審使用綜合評分法，評標委員會將按照客觀、公正、科學、擇優(yōu)的原則，結合項目實際情況，以項目報價、企業(yè)技術實力、項目實施方案、項目人員從業(yè)經(jīng)驗、業(yè)務開展情況等多個因素為評價指標，依據(jù)評標辦法，進行分項評審，評審得分計入總得分。

（一）商務及技術標評分辦法表

（二）評標規(guī)則

各評委必須按照本辦法據(jù)實評分。凡評分不符合本辦法規(guī)定者，為無效評分。

評標過程中，各種數(shù)字計算均精確至小數(shù)點后兩位。

評標委員會根據(jù)總分由高到低對供應商進行排名；得分相同的，按投標報價由低到高進行排名；得分且報價相同的，按技術標得分由高到低排名。按照上****委員會推薦前三名供應商為中標候選人。

評定標過程中，若出現(xiàn)本辦法以外的特殊情況時，將暫停評標，****委員會研究確定后，再行評定。

評標委員會經(jīng)評審，認為投標供應商的投標不符合采購文件要求的，可以否決其投標。

本評標辦法解釋權歸采購人。

十二、定標

****地震局根據(jù)評標結果確定成交單位，對未成交單位不做未中標原因解釋。

****地震局

2023年7月25日