青岛远洋船员职业学院
网络安全等级保护测评及渗透测试服务
项目比价采购文件及公告
一、比价单位:青岛远洋船员职业学院
二、项目名称:网络安全等级保护测评及渗透测试服务
三、采购方式:公开比价
四、采购内容及具体要求:
1. 内容
(1)等级保护测评服务
对学校的五套二级信息系统开展测评工作。
信息系统包括网站群系统、英语考试系统、智慧党校培训管理系统、门户小程序系统和一卡通系统;
服务内容是根据信息系统的保护等级,并依据gb/t22239-2019《信息安全技术网络安全等级保护基本要求》等相关标准的条款要求,对信息系统的安全保护等级进行测评,测评的内容包括但不限于以下工作:
安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
安全管理测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
(2)信息系统渗透测试安全检测服务
本次安全检测服务主要是利用安全工具并结合个人专业经验使用各种攻击技术对指定的目标进行非破坏性质的模拟黑客攻击,对服务对象进行安全性测试,发现隐藏的安全风险,并根据实际情况测试安全弱点被一般攻击者利用的可能性和被利用的影响,深入了解当前的安全状况,让学校安全管理人员非常直观地了解当前系统所面临的安全问题,供应商应提出安全整改建议,并协助进行后续整改、修复、验证测试等工作;
本次参与安全检测服务的系统为包括智慧党校培训管理系统和一卡通系统。
2. 具体要求
招标内容 |
目标系统 |
服务要求 |
响应情况 |
等级保护测评服务 |
● 网站群系统 ● 英语考试系统 ● 智慧党校培训管理系统 ● 门户小程序系统 ● 一卡通系统 |
1.安全物理环境 安全物理环境现场测评根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 |
|
2.安全通信网络 安全通信网络现场测评根据信息系统网络安全测评记录,针对“网络架构”、“通信传输”、“可信验证”等安全通信网络方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 |
|
3.安全区域边界 安全区域边界现场测评包括对信息系统服务器的测评,测评内容包括对“边界防护”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码和垃圾邮件防范”、“可信验证”等安全区域边界方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 |
|
4.安全计算环境 安全计算环境现场测评包括对信息系统的测评,测评内容包括对“身份鉴别”、“访问控制”、“安全审计”、“入侵方法”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等安全计算环境方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 |
|
5.安全管理中心 安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控”等几个方面的测评,判断出与其相对应的各测评项的测评结果。 |
|
6.安全管理制度 根据现场安全测评记录,针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“指定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 |
|
7.安全管理机构 根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 |
|
8.安全管理人员 根据现场安全测评记录,针对信息系统在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 |
|
9.安全建设管理 根据现场安全测评记录,针对信息系统在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 |
|
10.安全运维管理 根据现场安全测评记录,针对信息系统在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 |
|
渗透测试服务 |
● 智慧党校培训管理系统 ● 一卡通系统 |
利用安全工具并结合个人专业经验使用各种攻击技术对指定的目标进行非破坏性质的模拟黑客攻击,对服务对象进行安全性测试,发现隐藏的安全风险,并根据实际情况测试安全弱点被一般攻击者利用的可能性和被利用的影响,深入了解当前的安全状况,让学校安全管理人员非常直观地了解当前系统所面临的安全问题,供应商应提出安全整改建议,并协助进行后续整改、修复、验证测试等工作。 |
|
其他服务要求 |
● 网站群系统 ● 英语考试系统 ● 智慧党校培训管理系统 ● 门户小程序系统 ● 一卡通系统 |
1.为应对测评过程中可能发生的网络安全事件,供应商应具备网络安全事件响应和处置能力。信息系统在发生安全事件时,现场实施人员应能够迅速定位、协助处置安全风险。 |
|
2.供应商应具备足够的漏洞发现能力,能够通过对系统的测评和安全检测,尽可能准确、全面的发现系统存在的安全隐患。 |
|
五、竞价单位资格要求:
1.中国大陆境内合法注册的企业,企业产权关系明确,具有独立承担民事责任的能力;
2.必须遵守《中华人民共和国招标投标法》,在经营活动中没有重大违法记录,具有良好的商业信誉;
3.通过“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)查询,未被列入失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单;
4.不接受中远海运集团特殊关联企业参与竞价,不接受中远海运集团应收账款黑名单企业参与竞价;
5.提供的资格文件等保证真实有效。
6.本次比价不接受联合体参与竞价。
六、报名及现场勘查时间:
1.报名时间: 2023年 10月18日至 2023年 10月 26日。
2.报名方式:竞价人通过邮件形式将营业执照、身份证彩色扫描件、报名费转账截图、供应商信息登记表、标书费开票信息表(见附件)发送报名联系人邮箱进行报名,报名邮件注明项目名称。
3.集中现场勘查时间:2023年10月27日上午10时。
4.报名费 200 元(大写: 贰佰 元整),一经报名恕不退还。
5.报名费网上转账(公户转账)账户信息如下:
户名:青岛远洋船员职业学院;
开户行:中国银行江西路支行;
账号:215615337213;
转账备注信息: 网络安全等级保护测评及渗透测试服务项目报名费。
七、比价会议时间、地点:
1.比价会议时间:2023 年 10 月 31 日 上 午 9 时。
2.会议地点:青岛市黄岛区翠岛路123号青岛远洋船员职业学院综合办公楼102室。
3.各竞价单位至少有1名代表现场参加比价会议。
八、竞价单位必须如实提供包括以下内容的材料:
1.盖有公章的报价表。
2.营业执照盖章复印件。
3.竞价人身份证原件及盖章复印件,授权代表人投标需提供授权委托书盖章原件及授权人身份证盖章复印件。
4.施工方案、安全措施、工期安排、服务承诺等。
(上述1-4项提到的各项材料用a4纸打印成文,按顺序编写页码,一式五份,其中一份标明“正本”字样,正副本的主要内容必须完全一致,必须密封在一个文件袋内并在封口处加盖竞价单位公章。原件单独携带备查。)
九、比价方式:
1.根据竞价单位的报价、服务等综合因素确定中标单位;
2.最终结果将在网上公示(www.qmc.edu.cn)。
十、联系人及联系电话:
1.报名联系人:张老师
联系电话:0532-85752065
邮箱:zhang.chao5@coscoshipping.com
2.技术咨询联系人:姚老师
联系电话: 0532-85759768
邮箱:yao.junguang@coscoshipping.com
3.监督电话:0532-85752167
附件:供应商信息登记表、标书费开票信息表、技术规格偏离表。
青岛远洋船员职业学院
2023年10月17日
附件:
供应商信息登记表
企业全称 |
|
注册地址 |
|
企业法定代表人 |
|
统一信用代码 |
|
企业性质 |
|
成立时间 |
|
注册资金 |
|
实收资本 |
|
联系人1 |
|
移动电话 |
|
联系人2 |
|
移动电话 |
|
电子邮箱 |
|
经营范围(主产品/服务) |
|
行业资质证书 |
|
何时开始从事相关产品和服务 |
|
标书费开票信息表
纳税人名称(中文全称) |
|
统一社会信用代码/纳税人识别号 |
|
税务登记地址 |
|
税务登记联系电话 |
|
税务开户银行名称 |
|
税务开户银行账号 |
|
技术规格偏离表
公司名称:(公章)
1.对照采购文件“四、采购内容及具体要求”如实填写,并应对偏差情况做出必要说明。竞价单位应对故意隐瞒服务偏差的行为承担责任。对采购文件有任何偏离应列明“正偏离”或“负偏离”,并标明“其他无偏离”。
2.对照采购文件无偏离应标明“无偏离”。
