招标代理公司（立即查看） 受业主单位（立即查看） 委托，于2022-08-12在采购与招标网发布 陕西省地震局等级保护测评及安全防护服务项目采购公告。现邀请全国供应商参与投标，有意向的单位请及时联系项目联系人参与投标。 根据《陕（略）政府采购实施细则（修订）》，现对陕（略）信息安全等级保护测评项目进行公开采购，具体事项说明如下：一、项目概况项目名称：陕（略）等级保护测评及安全防护服务项目采购单位：（略）项目预算：（略）二、工作内容根据国家《信息安全等级保护管理办法》公通字[（略）]（略）号、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[（略）]（略）号）、《（略）信息安全等级保护安全建设（略）改工作指导意见》（陕等保办（略）号）等相关文件要求，此次（略）开展定级备案、等级测评及安全检测，并提（略）名称及安全保护（略）等级服务1（略）三级等级测评服务2陕（略）二级等级测评服务（略）相关人员（略）进行（略）资产现状。（略）测评：根据国家等级测评的相关标准及已编制的相关等级保护（略）中的相关资产进行测评项的检查、记录检查结果。（略）析（略）改：根据前述工（略）安全情况与等级保护基本要求的差距，提供差异化测评服务，并进行风险（略）析，可根据（略）情况出具科学合理的（略）改建议及（略）改方案，配合采购单位安全（略）改工作。结论报告：根据前述工作内（略）安全保护能力是否符合相应等级的安全要求，针对（略）改项进行再次测评，提供安全等级符合性测（略）测评报告。配合验收：（略）理项目过程中所有相关（略）相关人员，做好验收汇报和（略）改工作。四、资质要求营业执照副本（事业单位法人证书副本）、税务登记证副本（非盈利性事业单位不提供）、组织机构代码证副本或者统一社会信用代码证（三证合一）；法定代表人委托授权书，法定代表人或事业单位法人参加招标只需提供其（略）；具有国家信息安全等级保护工作协调小（略）络安全等级保护测评机构推荐证书》；本项目不接受联合体投标。备注：以上资质文件提供复印件（略）查验。五、其他要求1.测评人员要求：本项目的测评人员需具有1年或1年以上测评工作经验，项目经理和质量负责人必须具备丰富的安全服务经验及相关资质认证，并提供人员管理及配备方案，并确保人员稳定。如需更换测评人员，须由采购单位同意。2.人员配备：投标方参与此项目组人员不少于5人（其中高级测评师不少于1人，中级测评师不少于2人），提供（略）服务的测评师不少于2人（至少1名中级）。投标人必须为本项目成立本地化等级保护测评小组，由测评小组组长统一负责，测评小组组长具有一定的技术及管理知识和经验，能容易地与客户沟通，能很好的执行与完成测评工作，并根据适当情况增加测评人员。3.投标人应按等级保护测评要求制定测评过程中产生的文档，做到科学、规范、详尽、统一。六、服务交付内容在本次等级保护测评项目中，服务商须提交主要成果文档包含如下：1（略）安全等级保护项目计划书》；2（略）安全等级保护测评方案（略））；3（略）安全等级保护测评方案》（陕（略））；4（略）安全等级保护测评报告（略））；5（略）安全等级保护测评报告》（陕（略））；6（略）改（略））；7（略）安全等级保护（略））；8（略）络安全事件或问题提供溯源和解决；9（略）络安全预案及《安全管理制度》等资料；（略）.提供不少于2（略）络安全的培训内容。七、项目技术标准及要求（一）总体要求根据国家《信息安全等级保护管理办法》公通字[（略）]（略）号（略）络安全等级保护基本要求》GBT（略）-（略）要求，等级测评工作须覆盖安全物（略）络、（略）域边界、安全计（略）、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容，并根据（略）实际情况完成风险（略）析工作,最终为完善等级保护安全防护体系提供指导依据。具体工作内容：1（略）三（略），需公司依据等保（略）测评，形成测评报告、（略）改报告，同时修（略）备案相关资料。2.陕（略）用于（略）等（略）依据等保（略）测评，形成测评报告、（略）改报告，同时修（略）备案相关资料。3.根据等保要求以及陕（略）需求（略）络（略）络安全相关方案的编制等服务。包含但不限于陕（略）现有安全相关各项规章制度进行细化、完（略）络（略）络安全相关方案或报告如安全自查报告、安全保障方案等资料的编制。4.提供日常（略）络安全事件处置和溯源服务。5（略）范围内针对终端用户、以及针对管理部门有关法律法规等的公开培训，不少于两次。从合同签订时间起（略）个工作日完成等保测评和报告提交的所有工作；同时从合同签订时间起一年内提供制度完善与方案编制、应急响应与安全事件处置、配合检查、电话支持、安全咨询等服务在内的安全维保服务。（二）第一阶段：等级保护信息安全等级保护工作共（略）为五步，（略）别是：“定级、备案、建设（略）改、等级测评、监督检查”（略）的安全测评工作，依据安全技术和安全管理两个方面的测评要求，（略）别从安全物（略）络、（略）域边界、安全计（略）、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个安全类别进行安全测评。1.等级保护测评要求服务商在测评过程中要求（略）安全保护等级划（略）准则》（GB（略）-（略））、《（略）安全等级保护实施指南》（GBT（略）-（略））（略）络安全等级保护基本要求》（GBT（略）-（略））（略）络安全等级保护测评要求》（GBT（略）-（略））（略）络安全等级保护测评过程指南》（GBT（略）-（略））等相关的标准规范开展（略）的安全物（略）络、（略）域边界、安全计（略）、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共（略）个层面进行安全等级保护测评。2.等级保护测评流程及内容等级保护测评过程中要求服务商严格按照下列流程开展工作，具体工作流程如下：（1）测评准备阶段：是开展等级测评工作的前提和基础，是（略）个等级测评过程有效性的保证。测评准备工作是否充（略）直接关系到后续工作能否顺利开展。本活动的主（略）的详细情况，准备测试工具，为编制测评方案做好准备。（2）方案编制阶段：是开展等级测评工作的关键活动，为（略）测评提供最基本的文档和指导方案。本活动的主要任务（略）相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书，形成测评方案。（3）（略）测评阶段：是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格按照测评指导书执行，（略）步实施所有（略）的真实保护情况，获（略）存在的安全问题。（4）（略）析与报告编制阶段：是给出等级测评工作结果的（略）体安全保护能力的综合评价活动。本活动的主要任务是根据（略）测评结果和《等级测评过程指南》的有关要求，通过单项测评结果判定、单（略）测评结果判定、（略）体测评和风险（略）析（略）的安全保护现状与相应等级的保护要求之间的差距，并（略）析（略）面临的风险，从而给出等级测评（略）安全等级测评报告》文本。（三）第二阶段：渗透检测渗透测试是通过模拟恶意黑客的攻击方法，（略）是否安全的一种评估方法（略）的任何弱点、技术缺陷或漏洞的主动（略）析，通常该（略）析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试是通过模拟恶意黑客的攻击方法，（略）是否安全的一种评估方法（略）的任何弱点、技术缺陷或漏洞的主动（略）析，通常该（略）析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。（四）第三阶段：代码审计采用Fortif（略）进行代码审计。内容包括但不限于：1.审核应用流程中是否存在可被绕过的隐患；2.审核应用代码中是否有一般性的漏洞类型；3.审核应用代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞；4（略）中三方组件及产品的漏洞隐患；5.结合黑盒渗透测试方法，对应用代码审计结果验证；6.发现安全隐患，确定后给出加固解决方案；7.对应用代码中不符合安全规范的部（略）进行规范；8.对今后应用代码编写的安全措施给出指导意见。（五）第四阶段：漏（略）进行漏洞扫描，涉及漏洞包括OWASPTOP（略）等主流安全漏洞,包括：SQL注入、（略）SS跨站脚本、伪造跨站点请求（CSRF）、隐藏字段、表单绕过、AJA（略）注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、（略）path注入、LDAP注入、框架注入（略）命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、其他各类CGI漏洞。（六）第五阶段：安全检测安全检测采用专业工具扫描（漏洞扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结（略）进行评估，包括：（略）络服务安全、内（略）安全、日（略）相关硬件、（略）和数据等方面。其他评（略）络设备与防火墙、Web服务、文件服务、Mail服务、数据库问题、跨站脚本攻击、其他服务、其他问题等。（七）第六阶段：建设（略）改咨询及安全加固（不涉及硬件）建设（略）改咨询工作以等级测评和渗透检测发现的安全问题为工作（略）安全建设（略）的安全建设（略）改需求落实到可操作的安全技术和管理上，提出能够实现的技术参数或制度及其具体规范。（八）第七阶段：安全培训服务1.政策（略）络安全知识进行宣传（略）络安全法律法规知识普及、典型信息安全事件知识案例讲解、安全保密意识建立以及前沿信息安全技术知识培训等。2.安全技术能力培训针对主机（略）络安全、数据库安全相关的检查方法进行培训，确保项目建设完成后技术人员可以独立完成检测项目的工作内容并完成报告的输出。（九）第八阶段：服务与售后为期一年的服务与售后工作中，服务方将向陕（略）提供包括制度完善与方案编制、应急响应与安全事件处置、配合检查、电话支持、安全咨询等服务在内的安全维保服务。具体服务时效如下：（1）制度完善与方案编制服务服务方提供制度完善与方案编制等服务。服务时效5（略）8小时，同时按需提供（略）服务，得到通知后4小时内到（略）。（2）应急响应与安全事件处置服务针对本次项目，服务方提供7（略）的常规应急响应及灾难恢复专家服务。在接到用户故障报修电话（略）钟内（略）突发的信息安全事件进行响应、处理、恢复、取证、跟踪、事后（略）析的（略）络安全事件处置按需提供（略）服务，得到通知后1小时到（略）。（3）配合检查服务服务方免费协助陕（略）响应公安机关、单位内部以及第（略）安全等级保护工作的检查工作。服务内容包括协助陕（略）准备、完善各类资料文档，配合检查过程中的答疑及技术支持及其他（略）检查的响应。（4）电话支持服务每周7天每天（略）小时不间断的电话支持服务，解答陕（略）在使用过程中遇到的问题，及时提出解决问题的建议和操作方法。电话响应时间不小于