陽泉區(qū)域陽泉冀東水泥有限責任公司網(wǎng)絡安全等級保護測評項目詢比價

一、項目名稱：陽泉冀東水泥有限責任公司網(wǎng)絡安全等級保護測評項目

二、資格要求

1、投標單位必須是在中國國內(nèi)正式注冊，具有有效的營業(yè)執(zhí)照。報價人應具有《網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書》，可在全國網(wǎng)絡安全等級測評與檢測評估機構(gòu)目錄查詢；異地測評機構(gòu)須在山西省網(wǎng)絡安全等級保護工作協(xié)調(diào)小組辦公室備案后方可參與本項目（需提供備案材料)。

2、報價人應具有工業(yè)信息安全測試評估機構(gòu)能力認定證書。

3、報價人近3年內(nèi)須具有等級保護測評項目至少1個合同業(yè)績。

4、報價人針對本項目擬派的項目經(jīng)理須具有高級網(wǎng)絡（信息）安全等級測評師證書（須提供測評師證書及本單位社保繳納證明材料）。

5、本項目不接受聯(lián)合體報價。

三、項目要求：

1、服務期限：合同簽訂后，被測信息系統(tǒng)滿足測評條件30日內(nèi)完成相關(guān)工作。

2、服務地點：陽泉冀東水泥有限責任公司指定地點。

3、服務要求：

1）為保證項目如期完成，項目實施方需設立項目團隊，并合理配備項目人員，并接受當?shù)乇O(jiān)管部門的監(jiān)督檢查。人員保持相對穩(wěn)定，其中項目經(jīng)理須全程現(xiàn)場參與本項目，不得隨意更換，項目團隊如有人員變更須經(jīng)采購人對應業(yè)務部門同意。

2）測評人員人數(shù)不得少于4名，其中項目經(jīng)理須具有高級網(wǎng)絡（信息）安全等級測評師證書，其他測評人員須具有網(wǎng)絡（信息）安全等級測評師證書（須提供測評師證書及本單位社保繳納證明材料）。

3）測評人員在入場前須提供身份證、網(wǎng)絡（信息）安全等級測評師證書、社保繳納證明等原件供采購人進行核對，并簽訂保密協(xié)議，如發(fā)現(xiàn)人證不一致，對投標人按虛假應標處理，采購人有權(quán)終止合同。由于本次測評涉及的業(yè)務系統(tǒng)服務不可中斷，測評期間需提供7*8小時駐場服務，直至測評工作結(jié)束。

4）中標方協(xié)助甲方定級備案工作。

5）負責甲方監(jiān)管單位各種關(guān)系協(xié)調(diào)處理。

6）協(xié)助甲方完成應急聯(lián)絡機制、技術(shù)支援隊伍建設、應急預案的建立。

4、技術(shù)要求

為貫徹落實國家網(wǎng)絡安全等級保護制度，陽泉冀東水泥有限責任公司決定對本單位開展網(wǎng)絡安全等級保護測評工作，并進一步完善陽泉冀東水泥有限責任公司的信息系統(tǒng)安全管理體系和技術(shù)防護體系，增強網(wǎng)絡安全保護意識，切實提高陽泉冀東水泥有限責任公司網(wǎng)絡安全防護能力。

依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)（2003）27號）、《關(guān)于信息安全等級保護工作的實施意見》（公通字（2004）66號）和《信息安全等級保護管理辦法》（公通字（2007）43號）等相關(guān)文件及標準要求，對陽泉冀東水泥有限責任公司的信息系統(tǒng)進行等級保護測評。

（一）等級保護測評服務

本次測評的系統(tǒng)為NCS系統(tǒng)（二級）、電力監(jiān)控系統(tǒng)（二級），測評內(nèi)容涵蓋安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理等網(wǎng)絡安全的各個層面。

1）測評依據(jù)

（1）《中華人民共和國網(wǎng)絡安全法》

（2）《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令）

（3）《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859—1999）

（4）《信息安全等級保護管理辦法》(公通字[2007]43號令)

（5）《信息安全技術(shù)  網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019）

（6）《信息安全技術(shù)  網(wǎng)絡安全等級保護測評要求》（GB/T 28448—2019）

（7）《信息安全技術(shù)  網(wǎng)絡安全等級保護測評過程指南》（GB/T 28449—2018）

2）測評內(nèi)容和方法

網(wǎng)絡安全等級保護測評內(nèi)容主要包括安全技術(shù)測評和安全管理測評。其中安全技術(shù)測評包括安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心；安全管理測評包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理和安全運維管理。

（1）安全物理環(huán)境測評包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面；

（2）安全通信網(wǎng)絡測評主要驗證對象為廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)等；包括網(wǎng)絡架構(gòu)、通信傳輸和可信驗證等方面；

（3）安全區(qū)域邊界測評主要對象為系統(tǒng)邊界和區(qū)域邊界等；包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證等方面；

（4）安全計算環(huán)境測評主要對象為邊界內(nèi)部的所有對象，包括網(wǎng)絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數(shù)據(jù)對象和其他設備等；涉及的控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護等方面；

（5）安全管理中心測評主要對象為集中管控平臺、集中運維平臺、日志審計系統(tǒng)等，包括系統(tǒng)管理、審計管理、安全管理和集中管控等方面；

（6）安全管理制度測評主要對象為信息安全管理體系、日常安全管理制度、重要操作規(guī)程及相關(guān)執(zhí)行記錄等；

（7）安全管理機構(gòu)測評主要對象為安全管理機構(gòu)設立文檔、信息安全小組名單、崗位說明書等文檔及執(zhí)行記錄；

（8）安全管理人員測評主要對象為人事管理制度、外部人員訪問要求等安全管理制度及執(zhí)行記錄；

（9）安全建設管理測評將主要對象為系統(tǒng)建設過程中涉及的相關(guān)文檔，如：系統(tǒng)定級報告、安全設計方案、測試驗收報告等文檔及軟件開發(fā)、工程實施等方面的安全管理制度及執(zhí)行記錄；

（10）安全運維管理測評主要對象為系統(tǒng)運維過程中涉及的安全管理制度及執(zhí)行記錄；

3）測評過程

根據(jù)國家標準《信息安全技術(shù) 網(wǎng)絡安全等級保護測評過程指南》（GB∕T 28449-2018）的規(guī)定，測評過程分為四個階段：

（1）測評準備活動：掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。

（2）方案編制活動：整理測評準備活動中獲取的定級對象相關(guān)資料，為現(xiàn)場測評活動提供最基本的文檔和指導方案。

（3）現(xiàn)場測評活動：依據(jù)測評方案實施現(xiàn)場測評工作，將測評方案和測評方法等內(nèi)容具體落實到現(xiàn)場測評活動中。

（4）報告編制活動：在現(xiàn)場測評工作結(jié)束后，測評機構(gòu)應對現(xiàn)場測評獲得的測評結(jié)果（或稱測評證據(jù)）進行匯總分析，形成等級測評結(jié)論，并編制測評報告。

4）等保測評文件輸出

測評機構(gòu)需依據(jù)最新《網(wǎng)絡安全等級保護測評報告模板》，出具規(guī)范的，并加蓋等級測評專用章的測評報告。

（二）安全防護評估服務

對陽泉冀東水泥有限責任公司的信息系統(tǒng)進行安全防護評估服務，并出具安全防護評估報告。

1）評估依據(jù)

GB/Z 24364-2009《信息安全風險管理指南》

GB/T 18336-2015《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》

GB/T 20984-2022《信息安全技術(shù) 信息安全風險評估方法》

2）評估方法

人員訪談、實地勘察、實際操作、技術(shù)檢測或驗證。

3）評估內(nèi)容

從技術(shù)和管理層面上對系統(tǒng)進行綜合安全狀態(tài)進行全面評估，包括識別信息系統(tǒng)的所有資產(chǎn)、對資產(chǎn)進行威脅分析、脆弱性分析，對信息系統(tǒng)進行配置核查、漏洞掃描工作。

安全防護評估工作主要包括以下幾個環(huán)節(jié)：

（1）信息資產(chǎn)的識別和賦值

確定信息資產(chǎn)的范圍，對信息資產(chǎn)進行識別、分組和分類，并根據(jù)其安全特性（機密性、完整性、可用性）進行賦值，建立信息資產(chǎn)列表。

（2）威脅評估

對資產(chǎn)引起不期望事件而造成的損害的潛在可能性進行分析。包括潛在威脅分析、威脅審計和日志分析，得到信息系統(tǒng)的安全威脅綜合分析。

（3）脆弱性評估

通過技術(shù)檢測，實驗和審計等方式尋找用戶的信息資產(chǎn)中可能存在的弱點，并對弱點的嚴重性進行估值。包括技術(shù)性弱點檢測、網(wǎng)絡架構(gòu)和業(yè)務流程分析、策略與安全控制審計，得到信息系統(tǒng)的安全弱點綜合分析。

（4）已有安全措施評估

對目前已經(jīng)采取的用于控制風險的技術(shù)和管理手段效果的評估，在針對性、有效性、集成特性、標準特性、可管理特性、可規(guī)劃特性等方面進行評價，得到對組織信息系統(tǒng)的現(xiàn)有安全措施綜合分析。

（5）風險分析

依據(jù)前面的評估結(jié)果，對信息系統(tǒng)的風險進行評價和評級，得到對信息系統(tǒng)的安全防護評估報告。

4）安全防護評估文件輸出

安全防護評估服務結(jié)束后，需出具規(guī)范的《安全防護評估報告》。

（6）現(xiàn)場踏勘：

陽泉冀東水泥有限責任公司于2024年8月26日14：00統(tǒng)一組織踏勘，報名單位可以參與現(xiàn)場勘察，未進行現(xiàn)場勘察，其相關(guān)責任自行承擔，定標后不簽署合同的，列入黑名單；踏勘地點：陽泉冀東水泥有限責任公司；踏勘現(xiàn)場聯(lián)系人：涂保懂  18635310090

四、付款方式：

付款條件：乙方向甲方提交正式的報告并協(xié)助我方備案完成后，乙方出具有效增值稅發(fā)票后10個工作日內(nèi)，甲方向乙方支付全部費用。

發(fā)票類型：增值稅專用發(fā)票。

付款形式：電匯支付。

特別說明：報價供應商應當提交書面報價文件并加蓋公章，提交報價時以附件形式上傳；報價文件作為評判依據(jù)，詢價開標后不得修改或再次報價，未上傳報價單或報價單未加蓋公章的以平臺報價為準，上傳報價單報價與平臺報價不一致的以蓋章報價單為準。