用户需求书
一、项目背景
随着我国信息化建设的不断深入,我们对信息系统的依赖也越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序。而广东省博物馆作为广东省唯一的省级综合博物馆及国家一级博物馆,必须充分重视网络安全。一旦发生网络安全事件或事故,公众业务将不能正常运行,甚至造成严重的经济利益损失和社会不良影响。特别是近期全球爆发的WannaCry勒索病毒,再一次给我们敲响了警钟。
而开展及落实好网络安全等级保护工作是保障网络安全的基础,是提高网络安全保障水平的第一步,也是做好国家网络安全、保障社会稳定的必要条件。
二、服务依据
1、法律法规
《中华人民共和国网络安全法》;
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于加强信息处理安全保障工作的意见>的通知》(中办发[2003]27号);
《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号文);
《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号文);
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文);
《广东省深化信息安全等级保护工作方案》(粤公通字[2010]45号);
《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)。
2、技术标准
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019;
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020;
《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019;
《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019;
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019;
除上述规范以外,还须遵循国家现行的相关标准和规范要求。
三、服务范围
本次实施网络安全等级保护测评的范围包括:
四、服务内容
4.1. 定级备案服务
根据第三点服务范围的系统现状,依据国家发布的《GB-T 22240-2020 信息安全技术 网络安全等级保护定级指南》文件要求,确定广东省博物馆已备案系统等级,优化系统 S/A/G 指标;修订需调整系统的等级,优化系统 S/A/G 指标;提交等级定级报告、备案表等材料,协助完成公安机关备案工作或修订已有备案。
4.2. 整改咨询服务
通过差距分析服务发现相关安全问题,对等保安全问题出具详细的整改建议,在整改过程中提供专业的咨询服务。
4.3. 等级保护测评服务
在网络系统完成整改实施后,成交供应商须对网络系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,针对采购人定级系统进行全面的信息安全等级保护测评。
等级保护测评包括安全技术及安全管理测评两个方面。在现场访谈、配置核查的基础上通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查,在现场测评的结果和采购人定级系统测评数据汇总分析的基础上,分析系统存在的问题,给出系统等级测评结论,编制《等级保护测评报告》并提交公安部门备案,最终协助采购人完成等级保护测评备案评审工作。
4.4. 安全制度修订服务
按照等保标准和国家、省市有关电子政务信息安全制度,协助完成广东博物馆藏品数据管理系统、官方网站及公众服务系统制订符合本单位实际使用情况的安全管理制度,使招标单位相关系统在管理制度层面上符合等保基本要求。
4.5. 信息安全意识培训服务
根据丰富的信息安全服务经验,总结出对于信息安全教育不同方式的特点和效果,为采购人开展信息安全教育提供参考建议,合同期内安排培训不少一次。
信息安全意识培训的目标是提高员工的信息安全意识,加深对信息安全的认识,加强识别信息安全风险的能力和信息安全风险防范技能。
五、服务要求
5.1. 通用要求
成交供应商应认真按照标准、规范及采购人的要求实施项目,随时接受采购人的检查检验,并为检查检验提供便利条件。采购人有权检查一切与质量有关的问题。
项目质量达不到本项目规定的,采购人一经发现,将要求成交供应商整改或返工,成交供应商应按采购人的要求执行,直到符合约定标准。返工后仍不能达到规定标准的,成交供应商应承担相应的违约责任。
5.2. 人员要求
(1)成交供应商应在项目现场实施周期内,为本项目成立工作小组,至少安排1名项目经理和3名技术服务人员,成交供应商须按照采购人要求提供远程或现场服务。
(2)项目经理应具备10年或以上网络安全项目管理经验,并将全程负责本项目的管理、技术质量管控。具体负责:项目进度控制、编写项目周报、编制技术方案及项目总结报告等技术文档、协调完成本项目服务工作。
(3)工作小组人员应具有信息安全等级保护测评师证书,技术服务人员需具有信息安全服务工作经验,并参加过同类型网络安全服务项目。
(4)项目经理与技术服务人员必须为成交供应商在职的工作人员,并提供员工最近3个月的社保或代缴个人所得税资料证明。
5.3. 服务工具要求
本项目服务工具产品(软、硬件及备件)需由成交供应商自行配备,所需费用由成交供应商承担。
为保障服务质量,成交供应商需提供满足以下要求的至少三种不同的安全评估软件、脚本漏洞利用工具进行安全漏洞扫描服务。响应文件中应提供设备原厂授权书并加盖公章,参数要求如下:
(1)漏洞扫描工具参数要求
5.4. 付款方式
1. 合同签订后10个工作日内,甲方向乙方支付合同总价的50%,作为合同预付款;等级保护测评工作完成后10个工作日内,甲方向乙方支付合同金额50%的款项。
2. 付款方式:采用支票、银行汇付(含电汇)等形式。
3. 每笔款项支付时,报价人需先向采购人提供相应金额的正式增值税发票,以便采购人完成相关情况手续。
5.5. 工期及限价
2023年5月15日至2024年5月15日。
12月底需出具差距测评报告,并协助采购人完成公安部整改回函工作。
采购限价不高于18万元。
六、评分标准
七、报价人提交材料
1.营业执照(加盖公章)
2.报价单(加盖公章)
3.真实性承诺函(见附件)
4.相关业绩(合同复印件)
5.相关工具证明材料(加盖公章)
6.实施方案
7.其它相关材料(加盖公章)
八、报价人须知
1. 报价无论是否被采纳,报价方均须承担响应询价所发生的一切费用。
2.本项目由广东省博物馆组织评审,以综合评分高者得的方式进行采购。评选结果向报价人发出通知。
3. 本次采购内容最高限价为18万元(如果报价低于最高限价的80%时,应事先准备含有充分理由的说明资料),高于限价则视为无效报价。
4. 报价方提供的报价材料均需加盖公章。
5.递交时间:2023年4月24日至2023年4月28日(公示5个工作日)。报价单位的报价文件需密封递交并在封口处加盖公章,报价方上述所需资料一式三份提交至广东省博物馆信息技术部(邮寄地址:广州市天河区珠江东路2号 信息技术部 收)。密封件上标明项目名称。
联系人:余冠峰 联系电话:020-38046853
