大东区政府购买网络安全等级保护一体化服务
第一部分:
资格条件:投标供应商须为国家网络安全等级保护工作协调小组办公室推荐的测评机构(须提供推荐证书)
第二部分:服务需求
第一章 商务条款部分
1、履约期限: 合同签订之日起三年
2、履约地点: 沈阳市大东区
3、付款方式及条件:服务商完成2021年度服务工作,交付工作成果文件,经甲方确认后,2021年12月31日前支付合同总价的50%;服务商完成2022年度服务工作,交付工作成果文件,经甲方确认后,2022年12月31日前支付合同总价的25%;项服务商2023年度服务工作,交付工作成果文件,经甲方确认后,2023年12月31日前支付合同总价的25%。
4、验收标准:
(1)2021年12月31日前提交《大东区网络安全资产核查报告》、《大东区网络安全规划》;甲方等保二、三级信息系统的等级保护测评报告。《XX 系统等级保护测评报告》;三级信息系统的《网络安全风险评估报告》;《XX 年度网络安全等级保护一体化服务文件》。
(2)2022年12月31日前提交甲方等保二、三级信息系统的等级保护测评报告。《XX 系统等级保护测评报告》;三级信息系统的《网络安全风险评估报告》;《XX 年度网络安全等级保护一体化服务文件》。
(3)2023年12月31日前提交甲方等保二、三级信息系统的等级保护测评报告。《XX 系统等级保护测评报告》;三级信息系统的《网络安全风险评估报告》;《XX 年度网络安全等级保护一体化服务文件》。
5、实施交付团队要求:投标人必须确保能建立一支常驻项目所在地且具有相匹配服务能力的项目服务团队,团队人员全部具有网络安全等级保护测评师证书。有明确的人员管理及配备方案,项目团队人员应是投标人在职员工,并保持人员稳定。项目经理具有高级网络安全等级保护测评师证书,如更换项目经理及技术服务人员,须由招标人同意并签字确认。合理调配各岗位人员,保障服务工作相关岗位人员需要。
6、培训要求:合同周期内,提供不少6次集中的网络安全政策、法规、安全技术、网络安全意识培训,提供不少于5人次的网络安全外部认证培训。培训内容中应包括国家政策法规、国家网络安全标准、网络安全行业标准、网络安全要求要求规范等方面内容,重点围绕网络安全要求、网络安全测评要求、服务过程中发现的问题,系统整改意见建议等进行详细讲解。培训对象为被服务系统所属单位的相关负责同志和具体工作人员。每次培训参会人数为 30 人左右。每次培训时间为 1 天,培训 8 学时,培训讲师不少于3人(讲师必须具有高级职称)。培训由招标人主办,中标单位承办。培训场地由投标人自行安排解决,培训内容需征得招标人确认同意。
第二章 技术服务要求部分
一、服务目标
确保服务范围内的政务网络系统7×24小时安全、平稳、可靠运行,满足国家、行业网络安全监管要求,满足特殊时期的重点防护需求,整体防护达到网络安全等级保护2.0防护水平。
二、服务内容与服务需求
本服务包括如下18项网络安全服务,服务内容及需求如下:
1、网络安全等级保护测评服务:合同周期内,依据采购人需求,服务单位需依据现行有效的国家标准、行业标准,遵照等级保护相关规范,完成服务范围内的10个三级信息系统、4个二级系统的等级保护2.0测评工作。在测评过程中,对于采购人已经完成信创替代系统,需根据信创相关标准开展等级测评工作,此服务频次按国家等级保护相关标准规范执行。
2、网络安全风险评估服务:合同周期内,依据采购人需求,按照安全风险评估国家标准GB/T20984《信息安全技术 信息安全风险评估规范》或行业安全监管要求,对10个三级信息系统所属运营单位的资产状况、面临安全威胁状况、安全脆弱性状况、及安全控制措施状况进行分析和评估,对信息安全风险水平进行综合评价,提供《网络安全风险评估报告》,此服务每年至少一次。
3、渗透测试服务:合同周期内,依据采购人需求,对服务范围内的应用系统进行渗透测试,此服务每半年需开展一次,由渗透测试人员开展渗透攻击,发现系统存在的安全隐患,并提出解决措施。
4、漏洞扫描服务:合同周期内,依据采购人需求,对服务范围内的应用系统及与系统相关的服务器和防火墙等网络设备,包括操作系统、中间件、应用系统、安全设备和网络设备等IT资源进行安全漏洞扫描,并形成漏洞扫描报告,此服务每季度开展一次。
5、漏洞验证服务:合同周期内,依据采购人需求,对服务范围内的应用系统中与有关部门WEB扫描、公安通报中心、Cncert、测评中心、补天平台等漏洞机构公告的内容相关的漏洞内容进行人工验证,提交验证报告,此服务伴随安全通告实时进行。
6、源代码安全审计服务:对服务范围内的应用系统发生升级、添加新功能及新增系统上线等变更操作时,进行上线前的源代码安全审计,通过审计,使开发人员能够了解各种语言安全编码常识,明确安全缺陷种类,以及安全缺陷的描述、产生原因、导致后果以及如何防范与避免。通过源代码深度检测、评估等服务,保障系统应用本质安全,此服务伴随应用系统升级实时进行。
7、网络安全应急服务:合同周期内,提供7×24小时应急响应服务。根据事件类别和级别,通过远程和现场支持的形式协助对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括:病毒和蠕虫事件、黑客入侵事件、误操作或设备故障事件等。出具《应急响应报告》。
8、特殊时期重点防护服务:合同周期内,依据采购人需求,对采购人指定的重点系统进行重要时期特殊运维防护,在重要保障时期提供网络入侵防护,DDoS防护(应对网络层拒绝服务攻击),CC防护(应对应用层拒绝服务攻击),云WAF等云防护,此服务根据采购人服务需求确定。
9、网络安全监控服务:合同周期内,依据采购人需求,对采购人指定的面向互联网开放的信息系统,提供网络安全监测服务,监测内容包括WEB漏洞监测、网页挂马、暗链监测、网页篡改监测、网站可用性监测、网页关键字监测。同时对政务网络的全口径网络流量进行监控,保障核心交换节点具备足够的性能处理各类数据交换,采取措施确保资源峰值利用率在70%以下。此服务7*24小时执行。
10、网络行为审计服务:合同周期内,依据采购人需求,对服务范围内的网络提供网络行为审计服务,网络行为审计服务通过收集并分析采购人整个网络系统各类资产间全流量网络行为数据,从而发现违反安全策略的行为。为用户完整地记录各种信息的起始地址和使用者,实时感知网络安全态势,以利于事后追踪,为调查取证提供第一手的资料。
11、网络安全运维服务:合同周期内,依据采购人需求,对服务范围内的所有IT资产提供网络安全运维服务,包括对各类服务器、数据库等关键资产的安全管理,能够实施监测并呈现各类主机资产的安全状态。采取可行措施实现识别并阻断未授权外部用户对内部网络系统的非法访问。根据采购人业务需求设定合理的安全域,采取措施防止重要敏感数据的不合理传输,当发现违规传输时应告警并阻断,杜绝数据的异常违规传递。
12、驻场服务:合同周期内,提供2名工程师及以上级别的长期驻场服务人员,重要活动保障期间按需求提供不低于4人的临时驻场服务人员。
13、现状调研评估:合同签订后1个月内,需完成对服务范围内的应用系统所覆盖的全部资产现状调研,并合理分类;调研范围包括采购人管理制度,系统主要的业务功能和要求,网络结构与网络环境,系统边界,主要的硬件、软件设备,系统内数据和信息,系统和数据的敏感性,支持和使用系统的人员等,为建立设备资产台账及网络安全基线提供基础信息。
14、移动app安全检测服务:合同周期内,依据采购人需求,对服务范围内的政务app进行安全性评估,包括Android和IOS,发现app在的安全隐患,并提出解决措施,此服务每次app升级前进行。
15、网络安全管理体系咨询服务:合同周期内,依据采购人需求,服务单位需要通过梳理采购人的网络安全管理需求,优化管理机构设置、优化完善网络安全管理制度,持续对现有网络安全管理体系进行检验、改进和完善。
16、网络安全整改方案设计服务:合同周期内,依据采购人需求,参考国家标准GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》对服务范围内的信息系统所包含的主机系统、网络系统、应用架构及程序、数据安全、物理环境及安全管理等设计合理的技术措施和管理措施,提出网络安全整改设计技术方案,包括对网络安全策略及加固整改方案,以及项目中各个应用系统的安全等级分类标准、应用系统安全指标体系、应用系统开发安全要求、应用系统安全编程指南等,明确提出对有关系统集成和应用开发方面的技术要求。
17、病毒木马查杀服务:合同周期内,依据采购人需求,对服务范围内的应用系统提供服务器木马查杀及病毒防护,阻断网络层病毒攻击,避免病毒泛滥以及相关勒索病毒的攻击等。
18、网络安全培训服务:合同周期内,提供不少6次集中的网络安全政策、法规、安全技术、网络安全意识培训,提供不少于5人次的网络安全外部认证培训。
三、项目要求
1.管理要求
项目组织结构合理,角色至少包括项目经理、技术主管、质量主管、保密和档案管理员、技术人员,且项目经理、技术主管、质量主管、保密和档案管理员不能兼职。项目计划要清晰合理,项目风险管理至少包括进度风险管理、协作与沟通风险管理、实施引入的风险管理。保密控制管理至少要包括人员保密管理、设备保密管理和文档保密管理。
2.时间要求
服务周期为合同签订之日起三年。
3.服务要求
服务期间提供 7×24 服务响应(7×24小时工程师 2 小时内做好服务应答和反馈),需要现场支撑时,投标人需在 2 小时内安排至少 2 名具有服务能力的工程师到达现场处理。
4.保密要求
中标人须与招标人签署保密协议,未经招标人同意不得向第三方泄露此项目相关情况。服务中产生的所有资料、技术文档要妥善保管,不得遗失、转借、复印,严禁通过互联网等公共信息网络、普通邮政进行传递。相关工作人员须由中标人进行资格审查和保密教育,对知悉的事项及信息予以保密,自觉遵守国家保密法律法规及招标人工作纪律和规章制度,不做任何窃取或泄露国家秘密的行为,签署《保密承诺书》并报招标人备案。中标人若违反保密协议、未履行相关职责或教育、监督措施落实不到位,发生参与本项目人员窃取或泄露国家秘密的事件,将按照《中华人民共和国保守国家秘密法》等有关法律法规承担相应的责任。
5.成果文件交付要求:本项目需要提交的文件包括但不限于以下文档:提交甲方等保二、三级信息系统的等级保护测评报告。《XX 系统等级保护测评报告》
三级信息系统的《网络安全风险评估报告》
《XX 年度网络安全等级保护一体化服务文件》
四、其他要求
1.测评过程中,投标人如需招标人人员配合,投标人需要详细描述需要配合的内容。如需要招标人人员协助完成各种表单,需要详细描述表单的名称、功能及主要表项等等,并由投标人给出具体示例。招标人有权利拒绝提供任何未事先提出的配合要求,由此产生的损失由投标人负全责。
2.本项目中可能需要的服务设备(如笔记本电脑、PC、漏扫设备、网络安全防护设备等)均由中标方提供,招标人将按照相关要求对设备进行必要的处理。投标人在服务期间未经招标人许可不得将设备带离招标人指定场所,也不得使用任何未经招标人确认的存储设备对测评数据进行复制。
3.投标人需要给出招标人在进行调查和测评时所需要提供的信息列表。经招标人确认后提供给投标人。招标人有权利拒绝提供任何信息列表以外的招标人资产信息。
4.通过对大东区信息系统网络安全现状和需求分析,形成大东区网络安全规划。
5.投标人应提供本项目的测评方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,技术方案中应详细描述测评采用的测评方式及标准。
6.实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。安全调查和评估测评过程中,如需使用安全工具,请在实施方案中详细描述所使用的安全工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求等,并把控好相关评估测试的安全风险性,不能出现影响业务系统正常运行的情况。
8.投标人应详细描述安全调查和测评的组织方式,包括组成的人员及分工、实施的过程组织、实施时间安排、实施方式所遵循的标准等。
9.如需组织专家论证或邀请专业人员进行讨论和技术交流的,费用由投标人负责。
10、投标人及时发现漏洞,通报漏洞,协助招标人组织修补漏洞,避免上级单位发来的网络漏洞通报。如投标人后于上级单位通报网络漏洞,服务周期内,每次罚款1万元。
11、投标人在国家、省、市公安HVV中协助招标人组织防护,保护核心系统被攻破和重要数据被获取,避免公安部门严重通报。如HVV期间,非系统自身或系统用户原因,组织防护不力,导致核心系统被攻破和重要数据被获取,被公安部门严重通报,服务周期内,每次罚款5万元。
12、投标人发现历史系统被恶意植入的病毒、木马、黑客程序,并清理、清除,避免网络安全事件由招标人管辖侧系统、终端发起。在招标人确认的信息资产范围内,出现由招标人管辖侧系统、终端被作为“肉鸡”发起的网络安全事件,被上级单位通报,服务周期内,每次罚款1万元。
13、以上10-12条款出现,如果对招标人造成实质性直接损失,如确属投标人原因导致,除执行罚款罚则外,投标人须负责赔偿实质性直接损失。
五、廉政责任承诺
根据国家有关法律法规,为防止在项目招投标和项目实施过程中发生弄虚作假、行贿受贿、贪污腐败等违法违纪行为,确保项目顺利进行,投标人须郑重承诺以下内容:
1.严格遵守国家法律法规,坚决杜绝项目实施中的腐败行为,确保项目实施、工作交往正常进行。
2.依法办事,诚实守信,遵守职业道德,不弄虚作假,不以非正当手段参与项目实施。
3.不私下接触招标人相关人员,不从事损害国家利益、社会公共利益和招标人合法权益的活动。
4.不以回扣、劳务费、咨询费、服务费等各种名义向招标人相关人员行贿或赠送礼品、礼金、有价证券、支付凭证。
5.不为招标人相关人员提供宴请、旅游、交通工具、高消费娱乐等服务。
6.及时举报招标人相关人员提出的与项目实施无关的要求,并将履行本廉政承诺的情况作为项目实施的内容定期向招标人报告。
