汇达资产托管有限责任公司(以下简称“公司”)拟对网络安全等级保护测评项目采用竞争性磋商方式组织采购,具体情况如下。
一、项目编号:DC202104。
二、采购项目名称:公司网络安全等级保护测评项目。
三、资金来源:公司自有资金。
四、项目预算:98万元。
五、项目简介:
(一)服务范围
为公司需测评的10个系统采购等保测评服务,测评按照等保三级的要求执行。
(二)服务内容
本次所采购服务应依据网络安全等级保护制度2.0标准、JR/T 0071-2020《金融行业网络安全等级保护实施指引》(下称《实施指引》)及JR/T 0072-2020《金融行业网络安全等级保护测评指南》(下称《测评指南》)中要求的方法、测试工具和实施进度等几个方面开展,并为每个系统单独出具相应检测报告。其中预测评与差距分析计划在2022年1月完成,正式测评计划于2022年7月完成。
1. 预测评与差距分析服务
投标人(供应商)需从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等方面对系统进行全面的测评,综合分析测评结果,出具预测评报告。
2. 技术整改咨询服务
投标人(供应商)需要根据差距测评中出现的问题,结合系统实际情况,提供合理、切实可行的整改建议,并全程协助采购人进行整改工作,使各系统达到等级保护相应级别的要求,并能通过国家相关主管部门的审核。
3. 定级评审服务
投标人(供应商)需负责采购人组织开展定级评审工作,组织定级评审会,完成所有待测评系统的定级评审,并承担相应费用。
4. 正式测评服务
在整改工作完成后,投标人(供应商)负责对项目内系统按照《实施指引》及《测评指南》等要求进行正式测评,确保所有问题得到正确的解决,保证系统已经达到等级保护相应级别要求。
5. 其他技术支撑服务
投标人(供应商)需为采购人提供的其他与等保相关的辅助工作与支撑。包括但不限于协助采购人完成等级保护备案表填写以及公安部门报备。
投标人(供应商)需为采购人提供包含不少于1次的《实施指引》及《测评指南》的标准解读服务。提供不少于1次的信息安全意识培训。
6. 详细技术及服务要求详见附件。
六、供应商资格条件:
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行采购合同所必需的财务实力、专业技术能力和经验;
(四)最近三年在经营活动中没有重大违法记录;
(五)应列入全国网络安全等级保护测评机构推荐目录并且可在网络安全等级保护网(http://www.djbh.net/)查询到相应证书编号。
七、本采购项目以公告形式在公司官网及OA发布。
八、如有意向,请于2021年11月10日下午17:00前与公司联系,并向联系人邮箱发送本公告第六条要求供应商资格条件相关证明材料。
九、联系方式
采购人:汇达资产托管有限责任公司
地址:北京市西城区三里河东路5号中商大厦
联系人:白兰
联系电话:68535179
电子邮件:bailan@huidaamc.com
附件:
技术及服务要求
一、项目总体要求
本项目中,投标人需对金融行业网络安全及信息系统安全等级保护的法律法规、制度、规范、标准等具有准确、全面的认识和理解,具备开展等级保护工作的相关资质、专业能力和实践经验。投标人需准确、全面贯彻落实网络安全法律法规、等级保护相关制度和工作要求,严格执行相关标准,通过项目实施进一步完善我单位网络安全保障体系建设,落实国家和本市信息安全等级保护相关制度要求,保障相关信息系统风险可控、安全稳定运行。
为确保该项目等级保护备案及测评等各项工作的科学性、规范性,投标人需遵循并依据网络信息安全等级保护相关法律法规、政策标准、制度规范开展本项目工作(包括但不限于以下各项):
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》
《中华人民共和国计算机信息系统安全保护条例》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
JR/T 0071-2020《金融行业网络安全等级保护实施指引》(以下简称《实施指引》)
JR/T 0072-2020《金融行业网络安全等级保护测评指南》(以下简称《测评指南》)
针对汇达公司10个相关系统(其中9个系统部署在北京、1个系统部署在广州),依据《实施指引》等标准进行网络安全等级保护测评工作。
二、项目实施
依据网络安全等级保护制度2.0标准、《实施指引》及《测评指南》第三级要求的方法、测试工具和实施进度等几个方面进行测评分析。
(一)预测评与差距分析
1.工作内容
从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个方面进行全面的测评,综合分析测评结果,出具预测评报告。
2.交付成果
包括但不限于等级保护预测评分析报告。
(二)技术整改咨询
1.工作内容
投标人(供应商)需要根据差距测评中出现的问题,结合系统实际情况,提供合理、切实可行的整改建议,并全程协助采购人进行整改工作,使各系统达到等级保护相应级别的要求,并能通过国家相关主管部门的审核。
2.交付成果
包括但不限于风险评估报告、等级保护整改建议及方案。
(三)定级评审
1.工作内容
投标人(供应商)需负责采购人组织开展定级评审工作,组织定级评审会,完成所有待测评系统的定级评审,并承担相应费用。
2.交付成果
包括但不限于等级保护定级报告。
(四)正式测评
1.工作内容
在整改工作完成后,投标人(供应商)负责对项目内系统按照《实施指引》及《测评指南》等要求进行正式测评,确保所有问题得到正确的解决,保证系统已经达到等级保护相应级别要求。
2.交付成果
包括但不限于为每个被测评的系统出具符合国家要求的安全等级保护测评报告。
(五)其他技术支撑
投标人(供应商)需为采购人提供的其他与等保相关的辅助工作与支撑。包括但不限于协助采购人完成等级保护备案表填写以及公安部门报备。
(六)项目实施进度要求
投标人(供应商)在合同签订之日起2个月内完成项目系统的差距分析、技术整改建议;
在采购人根据技术整改建议完成整改后的1个月内完成正式测评工作,并出具《网络安全等级测评报告》。
三、质量管理
针对此项目提供完善的质量保障体系,可行的质量保障措施,有对项目质量的承诺,提供规范化的项目文档,保障项目的顺利实施。
四、风险管理应急与承诺
投标方需针对此项目能够识别风险且有风险应对措施,并做出相应承诺。
五、专业测评工具
投标方应具有信息安全等级保护测试工具,能够覆盖合同和招投标文件等要求,确保测试质量和测试结果的准确性。
六、服务团队人员及技术力量
投标人(供应商)必须承诺向采购人提供优秀的项目实施队伍,且须成立专门的项目组,项目组人数要求不少于5人,项目组成员要求无违法犯罪记录。
1.项目经理
投标人(供应商)应选派专人担任项目经理,投标人派驻本项目的项目经理具有:
1)等保高级测评师证书;
2)中国信息安全测评中心颁发的CISP证书;
3)具有CCNA(风险管理或应急服务)(专业级)证书;
4)微软MCSE证书;
5)5年(含)以上等保测评经验;
6)具有人民银行或其他六大行(中、农、工、建、交、邮储)等保测评经验。
2.测评工程师
投标人的专业技术人员至少安排4名(除项目经理)测评工程师参加测评服务工作,测评工程师应具有2年以上相关工作经验,具备信息安全等级保护测评师中级及以上资质。投标人的测评人员,以及CISP/CISSP、CISAW、PMP等相关证书。
3.安全保密要求
严格遵守合同规定,执行国家《保密法》及有关保密的法律法规,选派具有良好职业道德的人员参与和从事本项目工作,教育相关人员恪守职业道德,服从甲方的管理,严格遵守招标方的保密规定和工作制度,并承担相应的保密责任。所有参与本项目的服务人员,都必须签订《保密承诺书》。中标方负责对《保密承诺书》归档保管,接受招标方检查。中标方要对承诺履行情况负有监督责任,一经发现违反承诺情况,要及时向招标方报告。
中标方自觉接受招标方的安全保密监督和管理,中标方如违反安全保密条款,招标方将追究其责任,对重大的泄密事件将移交司法部门追究其法律责任。
七、其他服务
测评过程中,测评服务单位应向我单位提供包含不少于1次的《实施指引》及《测评指南》的标准解读服务。提供不少于1次的信息安全意识培训。
测评服务单位应向招标方提供等保测评其他辅助工作和指导等。
|
