湖南/长沙-2025-09-28 00:00:00
长沙市就业与社保数据服务中心:长沙市人社局*********年度等保密评测试项目采购需求公开
一、项目名称及项目概况:
项目名称:
长沙市人社局*********年度等保密评测试项目
项目概况:
等级保护制度是《网络安全法》规定必须落实的网络安全建设的重要措施。****年**月*日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
同时根据《中华人民共和国密码法》第九条规定,重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未落实该项工作,将依法追究单位法人及信息安全责任部门负责人法律责任。为贯彻落实国家法律法规有关规定,切实保障我单位重要网络信息系统安全,拟委托有相关资质的第三方专业机构开展密码测评工作。
采购方根据相关法律、政策文件要求,结合自身信息系统实际,此次通过采购长沙市人社局*********年度等保密评测试项目,在****年和****年两个年度对相关信息系统开展等级保护测评、商用密码应用安全性评估等工作,切实保障信息系统的安全,落实采购方信息系统安全主体责任。
二、相关标准:
*.*.*.测评标准和依据
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[****]***号)
关于印发《信息安全等级保护管理办法》的通知(公通字[****]**号)
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[****]**号)
关于进一步推进全省信息安全等级保护工作的函(湘公函[****]**号)
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[****]**号)
《信息安全技术网络安全等级保护基本要求》**/* **********
《信息安全技术网络安全等级保护定级指南》***/* **********
《关于进一步做好网络安全等级保护有关工作的函》(公网安〔****)****号)
《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔****)****号)
《关于印发《网络安全等级保护测评高风险判定实施指引(试行)》的通知》
根据主管部门实际要求,若测评标准有更新,以最新标准为准。
三、技术规格:
二、项目内容:
| 序号 | 分项 名称 | 具体服务内容 | 单位 | 数量 |
| * | 等级保护测评服务 | 依据国家相关政策标准,针对采购方信息系统进行梳理,配合完成系统的定级核准及停用系统备案注销等工作。****年度内,对*个三级、*个二级信息系统以及各系统新增升级模块开展等级保护测评服务;****年度内,对*个三级信息系统、*个二级系统以及各系统新增升级模块开展等级保护测评服务。 测评服务中安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面上的测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的测评; | 项 | * |
| * | 商用密码应用安全性评估服务 | 依据国家相关政策标准,在****年度内和****年度内,分别对采购方*个三级信息系统开展商用密码应用安全性评估工作,工作内容包括但不限于对各系统《密码应用方案》咨询服务,各系统新增升级模块《密码应用方案》评估、各系统以及新增升级模块密码应用安全性评估服务。 | 项 | * |
| * | 等保密评驻场服务 | 在项目服务期内,派驻一名技术工程师驻场提供现场等级保护测评和商用密码应用安全性评估服务技术支持,协助开展新版备案材料梳理、密码应用方案优化修订等涉及等保密评的日常服务工作。人员至少需具备一项****、****、****、*****、信息安全工程师等相关信息安全资质。 | 项 | * |
| * | 等保密评培训服务 | 在项目服务期内,协助培养信息安全团队等保及密评专业人员。如组织开展等保密评工作交流、学术讨论等;每年度组织相关工作人员进行一次等保及密评的知识普及培训。 | 项 | * |
| * | 等保密评应急响应服务 | 针对服务期内出现的网络安全事件,结合相关等级保护和商用密码应用要求,提供本地应急服务支持。 | 项 | * |
| * | 等保密评网络安全宣传周服务 | 在项目服务期内,每年国家网络安全宣传周期间,针对等级保护制度和商用密码应用的相关要求,负责协办长沙市人社局安全周活动,包括但不限于设计宣传海报、布展、摄影、打印宣传资料和展示板、准备与宣传周相关的调查问卷及参与礼品。提供相关人员协助配合现场布置及宣传工作。 | 项 | * |
| * | 等保密评重要时期值守核查服务 | 在项目服务期内,在公安、网信办以及国家攻防演练和其他国家重大活动期间,安排一线人员驻场、二线人员远程配合重点值守核查,动态核查等级保护和商用密码应用要求中存在的风险问题,对人社系统进行**小时安全防护,实时监测网络攻击行为,对攻击进行确认、记录和分析,并及时上报安全攻击事件,并对安全攻击事件进行处理。 | 项 | * |
*.*等级保护测评服务
*.*.*测评对象
按照人社部下发的等级保护定级指南,长沙市人社局当前需要开展等级保护测评工作的主要系统及级别如下:
****年度长沙市人力资源和社会保障局信息系统等级保护测评系统表
| 序号 | 系统名称 | 级别 | 备注 |
| *. | 长沙市“智慧人社”项目(一期) | 三级 | |
| *. | 人事人才综合管理系统 | 三级 | |
| *. | “星城*就业”一体化信息平台 | 三级 | |
| *. | 长株潭城市群人社服务一体化系统 | 三级 | |
| *. | 长沙市人社局数据分析平台项目 | 三级 | |
| *. | 长沙市人力资源和社会保障自助服务一体机 | 二级 | |
| *. | **办公自动化系统 | 二级 |
****年度长沙市人力资源和社会保障局信息系统等级保护测评系统表
| 序号 | 系统名称 | 级别 | 备注 |
| *. | 长沙市“智慧人社”项目(一期) | 三级 | |
| *. | 人事人才综合管理系统 | 三级 | |
| *. | “星城*就业”一体化信息平台 | 三级 | |
| *. | 长株潭城市群人社服务一体化系统 | 三级 | |
| *. | 长沙市人社局数据分析平台项目 | 三级 | |
| *. | **运维管理系统 | 二级 |
*.*.*.测评标准和依据
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[****]***号)
关于印发《信息安全等级保护管理办法》的通知(公通字[****]**号)
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[****]**号)
关于进一步推进全省信息安全等级保护工作的函(湘公函[****]**号)
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[****]**号)
《信息安全技术网络安全等级保护基本要求》**/* **********
《信息安全技术网络安全等级保护定级指南》***/* **********
《关于进一步做好网络安全等级保护有关工作的函》(公网安〔****)****号)
《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔****)****号)
《关于印发《网络安全等级保护测评高风险判定实施指引(试行)》的通知》
根据主管部门实际要求,若测评标准有更新,以最新标准为准。
*.*.*.测评工作内容
按照上述国家相关政策标准文件内的技术要求、标准,组建专业测评团队对相关系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等**个层面进行测评,并参考被测单位自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
技术方面,物理安全方面应采用专用测试工具测试和人工现场复核方式;对信息机房的消防、防雷击、防水防潮、防静电、空调、***、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对被测单位信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。
应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析。
在收集充足数据之后,对现场测评获得的数据进行汇总分析,形成等级测评项目的最终结论,并编制最终的《网络安全等级保护测评报告》,并协助采购方完成备案。
*.*商用密码应用安全性评估服务
*.*.*评估对象
按照我单位系统实际情况,长沙市人社局当前需要开展商用密码应用安全行性评估工作的主要系统及级别如下:
*********年长沙市人力资源和社会保障局信息系统商用密码应用安全性评估系统表
| 序号 | 系统名称 | 级别 | 备注 |
| *. | 长沙市“智慧人社”项目(一期) | 三级 | |
| *. | 人事人才综合管理系统 | 三级 | |
| *. | “星城*就业”一体化信息平台 | 三级 | |
| *. | 长株潭城市群人社服务一体化系统 | 三级 | |
| *. | 长沙市人社局数据分析平台项目 | 三级 |
*.*.*测评标准和依据
测评标准和依据包含但不限于以下标准:
《中华人民共和国密码法》
《信息安全技术信息系统密码应用基本要求》(**/* **********)
《信息系统密码应用测评要求》(**/* *********)
《信息系统密码应用测评过程指南》(**/* *********)
《信息安全技术 信息系统密码应用测评要求》(**/* *****—****)
《商用密码应用安全性评估测评作业指导书》
《商用密码应用安全性评估测评工具使用需求说明(试行)》
《信息系统密码应用高风险判定指引》
《信息安全技术 信息系统密码应用设计指南》(**/* **********)
根据主管部门实际要求,若测评标准有更新,以最新标准为准。
*.*.*评估工作内容
针对需评估的信息系统,按照上述测评标准,开展商用密码应用安全性评估工作,工作内容包括但不限于对各系统《密码应用方案》咨询服务、各系统《密码应用方案》评估、各系统密码应用安全性评估服务。
中标人应从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面,按照标准测评流程进行商用密码应用安全性评估工作,根据密评要求和被测信息系统当前的安全状况,给出测评结果并提出改进建议,并协助指导开展相关系统密码安全改造,由采购人整改完成后进行复测。根据采购人要求的进度完成密评工作,出具测评报告,并协助采购方完成备案。
*.*.等保密评驻场服务
在服务期内,派驻一名技术工程师驻场提供现场等级保护测评和商用密码应用安全性评估服务技术支持,协助开展新版备案材料梳理、密码应用方案优化修订等涉及等保密评的日常服务工作。人员至少需具备一项****、****、****、*****、信息安全工程师等相关信息安全资质。具体服务内容包括但不仅限于以下内容:
*.*.*网络安全监测
对安全监测平台、防火墙、***等安全管理系统日志进行综合分析和研判,掌握综合的威胁情报信息,发现相关攻击和入侵前奏、正在发生的攻击行为,以及已经发生的网络安全事件,及时进行响应和处置。通过专业人员及工具,对防火墙安全策略有效性检查、策略合规性进行检查,检查出影响防火墙效能的冗余策略、被覆盖策略、过期策略、冲突策略、交叉策略可合并策略、空策略、宽泛策略等通用问题。
*.*.*等保密评系统扫描
通过等保密评系统扫描工具定期开展信息系统扫描,并向相关单位下发系统整改工单,并对整改结果进行跟踪测试。
*.*.*网络安全工单处理
对网络安全监管部门通报的相关网络安全风险隐患进行排查和处置,并协助反馈处置结果。对单位内部相关部门和处室反馈的网络安全疑难问题、安全事件提供现场技术支持服务。
*.*等保密评培训服务
在服务期内,协助培养信息安全团队等保及密评专业人员。如组织开展等保密评工作交流、学术讨论类活动等了解信息安全最新态势;每年度组织相关工作人员进行一次等保及密评的知识普及培训。
*.*等保密评应急响应服务
针对服务期内出现的网络安全事件,结合相关等级保护和商用密码应用要求,提供本地应急服务支持。服务内容包括但不限于以下方面:
*、事件调查分析:对事件进行分级,对相关的安全设备、网络设备、服务器、数据库等进行分析,定位事件原因;
*、事件取证:对确定有问题的严重事件进行调查后取证,将实际证据保存下来,形成文档提供给用户;
*、事件解决方案和恢复:根据事件发生的实际情况调整网络设备、安全设备、服务器等的安全策略,修复存在的隐患,恢复业务运行;
*、书写事件总结报告:针对发生的事件前因后果书写总结报告;
*、提出整改建议:对影响面大,后续可能还会发生的事件提出全面整改建议。
*.*等保密评网络安全宣传周服务
在服务期内,每年国家网络安全宣传周期间,针对等级保护制度和商用密码应用的相关要求,负责协办长沙市人社局安全周活动,包括但不限于设计宣传海报、布展、摄影、打印宣传资料和展示板、准备与宣传周相关的调查问卷及参与礼品。提供相关人员协助配合现场布置及宣传工作。
*.*等保密评重要时期值守核查服务
在服务期内,在公安、网信办以及国家攻防演练和其他国家重大活动期间,安排一线人员驻场、二线人员远程配合重点值守核查,动态核查等级保护和商用密码应用要求中存在的风险问题,对人社系统进行**小时安全防护,实时监测网络攻击行为,对攻击进行确认、记录和分析,并及时上报安全攻击事件,并对安全攻击事件进行处理。
三、项目考核:
制定对项目实施的考核基本标准,按照考核标准给项目进行总体评分,年度考核必须≥**分,低于**分成交供应商应当在**个工作日内补充完成待改进的服务内容,如**个工作日内仍然不能达到**分,扣除本年度合同金额**%。如项目评分不足**分,则项目不予验收、不予付款,在向相关部门报备的同时保留追责的权利。
| 序号 | 服务名称 | 考核内容 | 评分 | 备注 |
| * | 等级保护测评服务 | 完成各系统测评、提交各个系统信息安全等级保护测评报告、协助填写定级报告和备案表,并协助到公安机关完成备案。 | ** | 工程师不具备资质的每人次扣**分 测评报告不符合监管要求扣**分 |
| * | 商用密码应用安全性评估服务 | 完成各系统商用密码应用安全性评估服务,提交各个系统商用密码应用安全性评估报告,并协完成密码主管部门备案。 | ** | 工程师不具备资质的每人次扣**分 评估报告不符合监管要求扣**分 |
| * | 等保密评驻场服务 | 常驻现场的驻场工程师日常工作必须按数据中心日常人员出勤管理进行工作。 必须按照数据中心工作管理规范开展日常技术支持工作。 | ** | 未能按照数据中心日常出勤的每人次扣*.*分。该项总计扣**分。 未能按照数据中心日常日常工作规范开展技术支持的每人次扣*分。该项总计扣**分。 |
| * | 等保密评培训服务 | 组织开展等保密评工作交流、学术讨论等了解信息安全最新态势;每年度组织相关工作人员进行一次等保及密评的知识普及培训。 | ** | 未组织培训或培训不达预期的扣**分 |
| * | 等保密评应急响应服务 | 针对重大信息安全突发事件提供应急处理服务,保障*小时内安全应急人员到场,迅速确定事件原因,缩小事件影响,遏制事态发展,快速恢复系统运维,并提交应急响应报告。 | ** | 未能*小时内安全人员到场其中一项扣*分; 应急响应支持不能快速定位、解决问题的扣*分。 |
| * | 等保密评网络安全宣传周服务 | 每年国家网络安全宣传周,负责协办长沙市人社局安全周活动,包括但不限于设计宣传海报、布展、摄影、打印宣传资料和展示板、准备与宣传周相关的调查问卷及参与礼品。提供相关人员协助配合现场布置及宣传工作。 | ** | 未开展宣传周相关配合工作扣**分,工作出现明显失误扣*分。 |
| * | 等保密评重要时期值守核查服务 | 在公安、网信办以及国家攻防演练和其他国家重大活动期间,安排一线人员驻场、二线人员远程配合重点值守,对人社系统进行**小时安全防护,实时监测网络攻击行为,对攻击进行确认、记录和分析,并及时上报安全攻击事件,并对安全攻击事件进行处理。 | ** | 未提供相关重点保障时期技术支持或出现重大工作失职造成严重后果扣**分;技术支撑工作不到位扣*分。 |
四、项目服务要求:
*.*新建系统协助开展定级备案工作,组织召开定级评审专家会,协助获取备案证明;完成等级保护测评后,提交等级保护测评报告,协助到公安机关完成备案。
*.*服务期内,按照我方计划对目标系统以及各系统新增升级模块开展等保测评工作及商用密码应用安全性评估工作,对测评发现的问题,提出优化建议,协助我方进行整改。
*.*针对重大信息安全突发事件提供应急处理服务。服务期内提供****小时现场应急服务支撑,现场响应时间≤*小时。
*.*在服务期内,采购方根据信息系统建设的实际情况。如需增加三级或二级测评系统总数量不超过*个,三级系统不超过*个的情况下,服务商需满足测评系统数量增加的要求,原则上不再增加费用。
*.*如在服务期内计划进行等保密评的信息系统已关停或不再需要进行等保测评和密码测评工作的情况下,服务商应该配合采购方,按照采购方的相关流程规定,对合同费用进行相应的核减。
*.*服务商应当协助开展国家网络安全宣传周相关活动,负责资料物质保障,协助活动的具体实施。
*.*积极协调落实等级保护测评主管部门对等级保护工作相关要求,配合落实网络与数据安全工作部门落实安全工作要求,根据等保密评相关要提供相关技术支持,配合做好安全整改。
*.*服务商和服务商驻场人员需与采购人签订安全保密协议。服务商需明确指定一名公司高管作为本项目的网络信息安全负责人,在本项目期间内牵头负责项目相关的网络信息安全事宜,防范网络信息安全风险,落实好网络信息安全义务。
四、交付时间和地点:
服务时间及地点
服务时间:服务时间*年,以合同签订时间为准。
服务地点:采购人指定地点。
五、服务标准:
四、项目服务要求:
*.*新建系统协助开展定级备案工作,组织召开定级评审专家会,协助获取备案证明;完成等级保护测评后,提交等级保护测评报告,协助到公安机关完成备案。
*.*服务期内,按照我方计划对目标系统以及各系统新增升级模块开展等保测评工作及商用密码应用安全性评估工作,对测评发现的问题,提出优化建议,协助我方进行整改。
*.*针对重大信息安全突发事件提供应急处理服务。服务期内提供****小时现场应急服务支撑,现场响应时间≤*小时。
*.*在服务期内,采购方根据信息系统建设的实际情况。如需增加三级或二级测评系统总数量不超过*个,三级系统不超过*个的情况下,服务商需满足测评系统数量增加的要求,原则上不再增加费用。
*.*如在服务期内计划进行等保密评的信息系统已关停或不再需要进行等保测评和密码测评工作的情况下,服务商应该配合采购方,按照采购方的相关流程规定,对合同费用进行相应的核减。
*.*服务商应当协助开展国家网络安全宣传周相关活动,负责资料物质保障,协助活动的具体实施。
*.*积极协调落实等级保护测评主管部门对等级保护工作相关要求,配合落实网络与数据安全工作部门落实安全工作要求,根据等保密评相关要提供相关技术支持,配合做好安全整改。
*.*服务商和服务商驻场人员需与采购人签订安全保密协议。服务商需明确指定一名公司高管作为本项目的网络信息安全负责人,在本项目期间内牵头负责项目相关的网络信息安全事宜,防范网络信息安全风险,落实好网络信息安全义务。
六、验收标准:
*.*商务要求
验收要求:
*、本项目服务期为*年,服务到期且已完成项目内规定的服务,根据服务执行情况进行一次验收,验收申请必须满足以下三个条件,缺一不可。
*.*合同服务到期。
*.*按要求完成项目内规定的服务且相关资料整备齐全。
*.*按照项目考核标准进行考核,考核得分**以上。
*、本项目按《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购[****]*号)的规定进行验收。项目验收另有国家有强制性规定的,按国家规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一;
*、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担;
*、项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。
七、其他要求:
*.*其他要求
*、服务时间及地点
服务时间:服务时间*年,以合同签订时间为准。
服务地点:采购人指定地点。
*、结算方法
付款人:长沙市就业与社保数据服务中心(国库集中支付)
付款方式:签定合同三十个工作日内,凭乙方发票,支付合同金额的**%,服务满一年后且第一年项目考核得分**以上支付合同款的**%,服务满两年后且第二年项目考核得分**以上,在项目验收合格后凭乙方发票支付合同款的**%。如根据项目考核而扣减的合同金额不再支付。
*、采购方所有费用为无息支付、成交供应商需按采购方要求开具相应发票。
*、对于上述项目要求,供应商应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
- 长沙市就业与社保数据服务中心:长沙市人社局*********年度等保密评测试项目采购需求公...********** **:**:**发布
