【招标公告】铁法煤业(集团)有限责任公司热电厂网络安全等级保护测评
所属地区:辽宁铁岭市
发布日期:2024-11-21
【招标公告】铁法煤业(集团)有限责任公司热电厂网络安全等级保护测评:本条项目信息由剑鱼标讯辽宁招标网为您提供。登录后即可免费查看完整信息。
基本信息
| 地区 |
辽宁 铁岭市 |
采购单位 |
铁法煤业(集团)有限责任公司热电厂 |
| 招标代理机构 |
|
项目名称 |
网络安全等级保护测评 |
| 采购联系人 |
*** |
采购电话 |
*** |
铁法煤业(集团)有限责任公司热电厂网络安全等级保护测评
(招标编号:RDC2024-GKZB-026)
项目所在地区:辽宁省,铁岭市,调兵山市
一、招标条件
本网络安全等级保护测评已由项目审批/核准/备案机关批准,项目资金来源为
其他资金自筹,招标人为铁法煤业(集团)有限责任公司热电厂。本项目已具
备招标条件,现招标方式为公开招标。
二、项目概况和招标范围
规模:ERP系统、DCS系统
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)网络安全等级保护测评;
三、投标人资格要求
(001网络安全等级保护测评)的投标人资格能力要求:(1)获得工商行政部门
颁发的营业执照,具有独立法人资格和一般纳税人资格的经济实体。
(2)具有公安机关认定的信息安全等级保护测评资质。
(3)渗透测试人员须具有注册渗透测试工程师证书(CISP-PTE)。
(4)具有三次以上同类型项目的成功案例。;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2024年11月20日08时00分到2024年11月25日16时00分
获取方式:报名登记表加盖公章后,将扫描件发送至tmrdczb@126.com进行
报名并获取招标文件。
五、投标文件的递交
递交截止时间:2024年12月03日09时00分
递交方式:辽宁省铁岭市调兵山市铁法煤业(集团)有限责任公司热电厂
企管办邮寄方式递交
六、开标时间及地点
开标时间:2024年12月03日 09时00分
开标地点:铁法煤业(集团)有限责任公司热电厂办公楼三楼会议室
七、其他
见附件
八、监督部门
本招标项目的监督部门为铁法煤业(集团)有限责任公司热电厂纪委。
九、联系方式
招标人:铁法煤业(集团)有限责任公司热电厂
地 址:调兵山市工人大街6号
联系人:***
电 话:***
电子邮件:tmrdczb@126.com
招标代理机构:
地 址:
联系人:
电 话:
电子邮件:
招标人或其招标代理机构主要负责人(项目负责人): (签名)
招标人或其招标代理机构:
(盖章)
附件1
一、项目需求
根据公安部《关于印发的通知》(公通字(2007)43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安(2007)861号)
《中华人民共和国网络安全法》、《网络安全等级保护条例》等文件要求,我单位准备开
展本年度重要信息系统等级保护测评工作,本项目中标人应按照招标人的要求,依据GB/T2
2239-2019《 信 息 安 全 技 术
网络安全等级保护基本要求》等标准及有关规定和要求,对我单位重要信息系统开展网络安
全等级保护测评工作,测评范围均分为技术、管理两大类十个安全层面,分别是:安全物理
环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全
管理制度、安全人员管理、安全建设管理、安全运维管理。中标人按照公安部制订的信息系
统安全等级测评报告格式编制等级测评报告,在报告中明确各信息系统是否达到相应的等级
保护要求,并加盖报告章专用章。未达到安全保护要求的,负责协助整改,直到符合标准,
通过评测。
二、技术要求
1、总体要求
依据GB/T 22239-2008 《信息安全技术
信息系统安全等级保护基本要求》、GB/T
22240-2008《信息安全技术信息系统安全等级保护定级指南》、GB/T 25058-
2010《信息安全技术信息系统安全等级保护实施指南》、GB/T 28448-
2019《信息安全技术信息系统安全等级保护测评要求》、GB/T 28449-
2012《信息安全技术信息系统安全等级保护测评过程指南》等国家和行业相关信息系统安全
3
规范标准,对我单位重要信息系统进行信息安全等级测评,测评内容为:安全物理环境、安
全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构
、安全管理人员、安全建设管理和安全运维管理等10方面测评任务,出具《差异分析报告》
与《网络安全信息系统等级测评报告》。 标准均遵循公安部相关文件要求和招标方的相关文
件要求,所用的标准均为最新版本。如果这些标准内容矛盾时,将按最高标准的条款执行或
按双方商定的标准执行。
2、详细要求
(1)单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括:安全物理环境、安全通信网
络、安全区域边界、安全计算环境、安全管理中心等五个层面上的单元测评;管理测评包括
安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面 :
的单元测评。
1)安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、
温湿度控制、电力供应、电磁防护。
2)安全通信网络测评内容:
网络架构、通信传输、可信验证。
3)安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
4)安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据
保密性、数据备份恢复、剩余信息保护、个人信息保护。
5)安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
4
6)安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
7)安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8)安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
9)安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、
测试验收、系统交付、等级测评、服务供应商选择。
10)安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、
恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预
案管理、外包运维管理。
(2)整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功
能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
中标方测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安
全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控
制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构
安全性、不同信息系统之间整体安全性等。
系统整体测评主要包括四个部分:分别为安全控制间安全测评、层面间安全测评、区域间
安全测评、验证测试。
1)安全控制间安全测评
5
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能
增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安
全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统
的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功
能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱
性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系
统的访问控制被旁路。
2)层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等
关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能
可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的
削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱
性。
3)区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之
间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,
流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域
通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的
安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系
统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发
挥或者给其带来新的脆弱性。
4)验证测试
验证测试包括对主机、网络、数据、应用(含移动应用)的漏洞扫描和渗透测试等,验证测
试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
6
冫·
三、项目要求
1.资质要求:
(1)、获得工商行政部门颁发的营业执照,具有独立法人资格和一般纳税人资格的
经济实体。
(2)、具有公安机关认定的信息安全等级保护测评资质。
(3)、渗透测试人员须具有注册渗透测试工程师证书(CISP-PTE)。
(4)、具有三次以上同类型项目的成功案例。
2.总体项目内容如下:
本次测评的系统如下:
| 序号 | 级别 | 测评对象 | |
| 1 | 二级 | 1 ERP系统 1 | |
| 2 | 二级 | DCS系统 | 1 |
|
3.项目预算
本项目针对上述信息系统的等级保护测评工作预算为14万元。
4.具体项目配置清单内容:
测评指标包括:
| 安全类 | 安全控制点 |
| 测评项效 |
| 安全物理环境 | 安全通用要求 物理位置选择 |
| 物理访问控制 | ! 2 1 |
7
| |
| 安全类 | 安全控制点 | |
| 防盗窃和防破坏 | 3 |
| 防雷击 | 2 |
| 防火 | 3 |
| 防水和防潮 | 3 |
| 防静电 | 2 |
| 温湿度控制 | 1 |
| 电力供应 | 3 |
| 电磁防护 | 2 |
| 安全通信网络 . | 网络架构 | 5 |
| 通信传输 | 2 1 |
| 安全区域边界 | 可信验证 | 1 |
| 边界防护 | 4 |
| 访问控制 | 5 |
| 入侵防范 | 4 |
| 恶意代码和垃圾邮件防范 | 2 |
| 安全审计 | 4 |
| 安全计算环境 | 可信验证 | 1 |
| 身份鉴别 | 4 |
| 访问控制 | 7 |
| 安全审计 | 4 |
| 入侵防范 | 6 |
| 恶意代码防范 | 1 |
| 可信验证 | 1 |
| 数据完整性 数据保密性 | 2 2 |
| 数据备份恢复 | 3 |
| 剩余信息保护 | 2 |
| 个人信息保护 | 2 |
| 系统管理 | 1 2 |
| 安全管理中心 | |
| 安全类 | 安全控制点 | 测评项数 |
| 审计管理 | 2 |
| 安全管理 | 2 |
| 集中管控 | 1 6 |
| 安全管理制度 | 安全策略 | 1 |
| 管理制度 | 3 |
| 制定和发布 | 2 |
| 评审和修订 | 1 |
| 安全管理机构 | 岗位设置 | 3 |
| 人员配备 | 2 |
| 授权和审批 | 3 |
| 沟通和合作 | |
| 审核和检查 | 3 3 |
| 安全管理人员 | 人员录用 | 3 |
| 人员离岗 | 2 |
| 安全意识教育和培训 | 3 |
| 外部人员访问管理 | 4 |
| 安全建设管理 | 定级和备案 | 4 1 |
| 安全方案设计 | 3 |
| 产品采购和使用 | 3 |
| 自行软件开发 | 7 |
| 外包软件开发 | 3 |
| 工程实施 | 3 |
| 测试验收 | 2 |
| 系统交付 | 3 |
| 等级测评 服务供应商选择 | 3 |
| 安全运维管理 | 环境管理 | 3 |
| 资产管理 | 3 3 |
| 介质管理 1 | 2 |
9
| 安全类 | 安全控制点 | | 测评项数 |
| 设备维护管理 | | 4 |
| 漏洞和风险管理 | | 2 |
| 网络和系统安全管理 | | 10 |
| 恶意代码防范管理 | | 2 |
| 配置管理 | | 2 |
| 密码管理 | | 2 |
| 变更管理 | | 3 |
| 备份与恢复管理 | | 3 |
| 安全事件处置 | | 4 |
| 应急预案管理 | | 4 |
| 外包运维管理 | | 4 |
| 安全通用要求指标数量统计 | | 211 |
5.测评要求
(1)对上述信息系统提供前期咨询服务,对系统的当前情况进行静态分析及初步评估
O
(2)对相应信息系统不符合信息安全等级保护有关管理规范和技术标准的,提出可行
性整改建议。
(3)完成相应信息系统安全等级测评工作,并在招标人有效实施整改后,出具符合公
安机关要求的(年度)信息系统安全保护等级测评报告。
6.项目实施要求
(1)投标人负责完成本项目网络安全等级保护测评工作,在项目实施过程中应完成包
含但不限于以下工作:
10
1)完成测评及测试前期的准备及调研工作;
2)组织完成测评及测试方案的编制;
3)根据标准及用户文档相关要求对系统开展网络安全等级保护测评;
4)记录测评及测试过程,形成测评及测试原始记录;
投标人应派遣有经验的技术人员完成相关技术服务工作,应根据项目总体进度,选派各
类专业管理人员到现场参与项目实施活动。将服务人员分为高级、中级、初级三种级别,如因
特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低
于投标文件中承诺的人员要求。
7.知识产权与保密要求
(1)本项目过程定制开发产生的各种软件代码、技术文档和资料、技术专利的知识产
权归招标人所有。
(2)投标人提供和使用的各种软件,均要求具有正式合法合规的软件许可。
(3)未经招标人书面许可,投标人不得以任何形式向第三方透露本项目成果和技术细
节。
(4)若出现投标人向非相关厂商提供信息等泄密情况,一经确认,招标人有权将解除
其参与本项目的资格,并追究相关法律责任及所造成的损失。
(5)须同招标人签订项目保密协议。
热电厂生产技术部
2024年11月
11
T甥‘
附件2
报名登记表
项目编号:RDC2024-GKZB-026 时间:年 月 日
| 项目名称: | 网络安全等级保护测评 | |
| 报名单位名称 | | |
| 详细地址 | | |
| 统一社会信用代 码 | | 法定代表人 | | |
| 资格证书 | | |
| 联系人 | | 联系电话 | | |
| 传真 | | 电子邮箱 用于发送文件 | | |
| 开户银行 | | |
| 账号 | | |
| 法定代表人: (签字或盖章) | |
| (盖章) 报名单位: | |
12
剑鱼标讯辽宁招标网收集整理了大量的招标投标信息、各类采购信息和企业经营信息,免费向广大用户开放。登录后即可免费查询。
