收藏
下载资源

国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求

上传人:龙*** 文档编号:59619664 上传时间:2018-11-09 格式:DOCX 页数:12 大小:26.66KB
返回 下载 相关 举报
国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求_第1页
第1页 / 共12页
国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求_第2页
第2页 / 共12页
国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求_第3页
第3页 / 共12页
国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求_第4页
第4页 / 共12页
国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求》由会员分享,可在线阅读,更多相关《国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件及采购需求(12页珍藏版)》请在金锄头文库上搜索。

1、国家外汇管理局2019年风险评估和等级保护测评项目单一来源谈判文件一、 项目名称:国家外汇管理局2019年风险评估和等级保护测评项目二、 项目编号:JCZX2018Z016三、 合格供应商资格条件和资格证明文件:1、符合中华人民共和国政府采购法第二十二条规定。2、提供法人代表授权委托书(须有法人代表签字或盖章、被授权人签字,并附被授权人加盖公章的身份证复印件)。3、提供中标后不以任何形式将本项目转包、分包的承诺函。4、提供营业执照复印件。5、本项目不接受联合体和自然人投标。6、采购人将在投标当天查询投标供应商的信用记录,投标供应商存在不良信用记录的,其投标将被作为无效投标被拒绝。不良信用记录指

2、:投标供应商在信用中国()、中国政府采购网()被列入失信被执行人、重大税收违法案件当事人名单和政府采购严重违法失信行为记录名单。采购人将查询相关网页打印并存档备查。供应商不良信用记录以采购人查询结果为准,采购人查询之后,网站信息发生的任何变更均不再作为评标依据,供应商自行提供的与网站信息不一致的其他证明材料不作为评审依据。注:以上证明文件及承诺函须加盖公章四、推荐供应商名称: 中国信息安全测评中心五、采购方式:单一来源 预算金额110万元六、采购需求(详见采购需求书)七、采购程序(一)谈判内容本项目谈判文件及采购需求书约定事项。(二)采购流程1、采购小组确认谈判文件并进行初审;2、采购小组与投

3、标供应商进行谈判协商;3、投标供应商按照采购小组要求进行报价并做出澄清或承诺函;4、采购小组根据政府采购非招标采购方式管理办法(中华人民共和国财政部令第74号)有关要求,在供应商满足谈判文件实质性响应要求的情况下经谈判确定成交价格,并编写单一来源谈判纪要。(三)合同签订根据谈判文件的要求和单一来源响应文件应答及供应商书面承诺,双方签订采购合同。八、报价要求报价应包含本项目所有费用,并按项目需求提供详细的分项报价清单。中标后不得有任何额外费用要求。九、评定成交标准质量和服务均能满足谈判文件实质性响应要求,且最终报价低于采购预算的报价为成交价格。十、投标文件要求(一)供应商应当按照谈判文件的要求编

4、制单一来源响应文件,并对其提交的响应文件的真实性、合法性承担法律责任。(二)单一来源响应文件应包含以下内容:1、报价函及分项报价清单。2、对谈判文件和采购需求进行的实质性响应。3、技术和服务偏离表,如存在偏离应说明。4、提供采购标的成本说明、不少于一个同类合同的价格(提供合同相关复印件并加盖公章)以及相关专利、专有技术等情况说明。(三)投标文件要求密封1正3副共4套。十一、提交投标文件截止时间及地点投标供应商须于2018年10月17日(周三)14:30时将投标文件密封送达华融大厦2层10号会议室,在截至时间后送达的投标文件为无效文件。注:投标文件及相关文件中的单位印章是指与单位名称全称相一致的

5、标准公章,不得使用其他形式(如带有“专用章”等字样的印章)国家外汇管理局政府采购办公室2018年9月28日国家外汇管理局2019年风险评估与等级保护测评项目采购需求国家外汇管理局2018年8月一、项目背景 (一)必要性网络安全等级保护制度是我国信息安全保障工作的基本制度,网络安全法、计算机系统安全保护条例和信息安全等级保护管理办法等法律都对等级保护制度进行了明确规定。国家实行网络安全等级保护制度。等级保护测评是国家法律规定的等级保护工作的既有内容,是国家外汇管理局(以下简称“外汇局”)网络安全监督检查体系的重要组成部分。通过等级保护测评和风险评估,可以识别应用系统存在的安全风险,检验外汇局应用

6、系统是否符合国家以及金融行业主管部门等级保护政策的要求,同时提出有针对性的风险处置建议,为外汇局推进“数字外管”建设提供安全保障,为进一步加强外汇局网络安全风险控制提供科学的参考依据。 (二)项目目标本项目配合外汇局“数字外管”建设思路,对与“数字外管”紧密相关的8个重要应用系统进行等级保护测评和风险评估(风险评估和等级保护测评的系统总数为8个),反映安全风险的可能性和后果影响,检查被评估系统是否符合等级保护政策标准的相关要求,并针对性地提出对策建议。 (三)项目原则本项目设计遵循以下原则:1.标准化原则本项目应参照信息安全技术-应用系统安全保障评估框架(GB/T20274)、信息安全技术-信

7、息安全风险评估规范(GB/T20984)信息系统安全等级保护基本要求(GB/T 222392008)、金融行业信息系统信息安全等级保护实施指引(JR/T 0071-2012)等国家标准和金融行业的相关标准和规范的要求进行。 2.规范化原则本项目的实施严格按照有关质量体系要求,通过分析项目实施风险,在项目管理基础上,建立规范的实施操作流程、文档管理制度和项目管理制度,最大限度降低项目实施风险。3.业务主导原则本项目将遵循业务主导原则,即以业务安全为评估工作导向,根据外汇局业务特点确定评估重点,分析网络安全风险和漏洞对业务的影响,充分发挥网络安全风险评估、等级保护测评对促进外汇局网络安全保障工作的

8、积极作用。4.最小影响原则本项目工作要做到充分的计划性,所采用的工具均须经过严格的评审和测试,对预期的结果和影响进行充分的估计,并做好应急措施,尽可能小地影响系统和网络的正常运行,同时在安全服务实施前做好风险防范和应急措施。 5.保密性原则项目团队对工作过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害外汇局利益的行为。二、内容与范围 (一)项目内容1.风险评估风险评估工作内容主要包括系统调研、检测和测试、风险分析和综合评估四方面内容。(1)系统调研n 详细了解被评估系统基本情况,确定风险评估的范围;n 根据系统分析制定可行的详细测试方案。(2)检测和测试

9、n 识别和分析应用系统中的主要威胁;n 检查主机、网络设备、安全设备等基础设施中可能存在的安全漏洞;n 检测应用系统、中间件及数据库的安全性,发现可能存在的安全漏洞;n 模拟攻击者对被测系统进行渗透攻击测试,发现系统中可能被攻击者利用的安全漏洞。(3)风险分析n 对检测阶段收集的信息进行深入分析,判断系统主要威胁源;n 对检测阶段收集的信息进行深入分析,判断安全漏洞情况;n 分析安全威胁与安全漏洞共同作用形成的安全风险。(4)综合评估n 分析安全风险带来的各类影响;n 分析安全风险产生的原因;n 编制评估报告、安全对策建议。2.等级保护测评工作内容主要包括系统调研、单元测评、整体测评和综合分析

10、四方面内容。其中系统调研工作与风险评估系统调研同步进行。(1)单元测评n 根据系统调研阶段编制的详细测试方案,检查主机、网络设备、安全设备等基础设施是否符合等级保护要求;n 根据系统调研阶段编制的详细测试方案,检查应用系统、中间件及数据库是否符合等级保护要求;n 模拟攻击者对被测系统进行渗透攻击测试,发现系统中可能被攻击者利用的安全漏洞。(2)整体测评n 安全控制之间的测评,分析不同安全控制措施之间的相互作用和影响,并进行综合分析;n 层次间安全测评,分析主机、网络、应用等不同层次安全措施的相互作用和影响,并进行综合分析;n 区域间安全测评,分析不同安全域之间的访问控制;n 系统结构安全测评,

11、分析系统结构的安全性。(3)综合分析n 分析部分符合项和不符合项的安全风险;n 分析整体安全风险;n 编制测评报告,提出安全对策建议。3.其他若风险评估或等级保护测评的任一对象是政府网站或骨干网络,则在不影响对其他系统进行正常风险评估或等级保护测评的前提下,将政府网站、骨干网络作为重点评估对象,深入挖掘系统中存在的安全风险。 (二)项目范围风险评估和等级保护测评的对象是外汇局8个重要应用系统(包括移动端、客户端等移动终端类系统),具体系统选择将在合同签订后由外汇局指定。 (三)实施步骤本项目的工作内容,需要通过以下实施步骤并行完成:1.静态测评阶段静态测评阶段根据具体项目情况进行现场调研,主要

12、目的是确定测评边界和范围,实地调研和了解被测评系统的运行状况,安全机构、制度、人员等管理现状,确定测评方案和测评计划,以备实施安全风险评估。主要任务有:n 了解用户安全需求、网络结构和控制措施;n 确定测评对象和测评范围;n 查找技术文档中的技术缺陷、前后不一致之处,并及时通知用户,指导其整改;n 制定系统风险评估方案,准备相应的工作表单和测试工具。2.现场测评阶段现场测评阶段包括现场安全管理审核、现场安全技术配置检查、现场安全技术测试等工作。在安全管理审核时,根据风险评估安全管理的相关要求对安全管理现状和管理体系实施的符合性做出测评判断。现场安全管理审核的方式有以下几种:n 核查安全管理制度

13、及日常管理记录;n 与系统安全管理人员进行交流;n 察看现场环境等。安全技术配置检查主要采取安全分析、手工检查和自动工具分析的方式。主要工作包括:被测评系统安全体系架构合理性分析、支撑平台(网络基础设施和设备、主机操作系统及通用服务)的安全配置检查、网段之间访问控制核查等内容。安全技术测试,即安全脆弱性检测和信息流分析,根据系统网络拓扑结构的实际情况,选择不同的安全测试点进行脆弱性的检测,并对被测系统进行渗透测试,发现系统中可能被攻击者利用的安全漏洞。3.综合测评阶段对系统进行综合风险分析和安全性评估,得出测评结论,编制和评审风险评估报告和等级保护测评报告。4.复测阶段外汇局对系统存在的问题或

14、漏洞进行整改后,项目中标方需对系统进行复测并出具复测报告。三、服务要求 (一)人员要求测评组由组长现场负责,测评组成员由以下人员组成。所有参加测试人员均应在投标单位工作两年以上,且为中华人民共和国公民。序号人员描述数量1高级评估师有5年以上信息安全咨询服务从业经验,有组织类似项目经验至少2次,需同时具有CISP证书和信息安全等级测评师证书(至少为中级)12中级评估师有3年以上信息安全咨询服务从业经验,有参与类似项目经验至少2次,需具有信息安全等级测评师证书43初级评估师有1年以上信息安全服务从业经验的专职技术人员3 (二)时间要求n 合同签订后,测评和评估服务的启动时间由用户指定。n 现场评估

15、工作须在项目实施启动后30个工作日内完成,评估成果须在完成现场评估后60个工作日内提交。四、交付成果本项目至少需要形成并提交以下工作过程文档及交付成果:序号交付物名称数量形式1风险评估方案和等级保护测评方案1份电子版纸质版2系统风险评估报告、安全对策建议N份3等级保护测评报告、整改建议8-N份4复测报告按照实际复测系统的个数提供报告注:风险评估和等级保护测评项目由外汇局指定,交付物根据实际测试的系统数目确定。五、罚则(一)投标人必须使在外汇局现场工程师承担并履行保密合同项下投标人所承担的保密义务同等的义务,如在外汇局现场工程师违反此保密义务,外汇局将追究投标人责任。(二)投标人提交现场工程师的人员名单,现场工程师应遵守外汇局工作秩序,如不能胜任

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 项目/工程管理

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号