网络安全等级保护测评服务技术需求.doc

中国科学院动物研究所网络安全等级保护测评服务 需求说明 根据《中华人民共和国政府采购法》规定，中国科学院动物研究所（以下简 称采购方）诚邀合格供应商就下列相关服务提交密封文件。 一、项目名称：动物研究所网络安全等级保护测评服务项目 二、系统数量及项目预算： 本次测评信息系统数量为四个，项目总预算为人民币 26 万元。 三、合同签订方式： 本次招标的四个信息系统每个信息系统测评服务将分别单独签订测评服务 合同，单个信息系统测评预算为人民币 6.5 万。本次采购将以框架协议方式进 行签订，动物研究所后期采购二级等保测评服务，单个系统报价将不高于此次 报价。 四、合格供应商要求： (一) 在中华人民共和国境内注册，能够独立承担民事责任，满足招标文件 要求的企业法人； （二） 资质要求 1、投标公司必须是独立法人单位，为合法经营商。不接纳个人名义进行投 标。 2、具有国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保 护测评机构推荐证书。 3、具有 ISO9001 质量管理体系认证证书（需提供该材料复印件并加盖投标 人公章）；具有 ISO20000 信息技术服务管理体系认证证书；具有 ISO27001 信息安全管理体系认证证书；具有中国合格评定国家认可委员会颁发的 CNAS 检验机构认可证书且认可的能力范围包含信息系统安全等级测评及信息系 统风险评估；具有中国网络安全审查技术与认证中心颁发的信息安全风险评 估服务资质二级（含）以上证书； 4、提供近三年内所承担的等保测评类似项目。 五、具体项目要求见附件 1。 附件 1 项目要求 1. 项目需求 项目采购清单如下 序号 1 产品类型 等保测评 服务名称 数量 网络安全等级保护测评 4 单位 备注 系统 2. 产品及服务指标要求 重要性分为 “#”和一般指标。#代表重要指标，无标识则表示一般指标项。 2.1 等保测评 序号 重要性 指标项 指标要求 投标人须邀请具备网路安全等级测评资质的测评机构针 对中国科学院动物研究所信息系统开展网路安全等级测 评，网路安全等级测评是依据国家相关政策文件要求， 遵循公开、公平和公正原则，对中国科学院动物研究所 信息系统的安全保障状况进行符合性安全测试和评估， 评价该信息系统是否满足网络安全等级测评要求中的各 1 服务内容 项安全技术指标和安全考核目标。 配合中国科学院动物研究所进行信息系统定级备案工作 ，组织协调专家评审会。 提供整改建议和咨询。 技术支持：派专人配合检查工作，检查前的问题梳理， 检查中的问题解答等，协助通过公安相应的等级保护检 查与询问，配合甲方针对各种信息化问题的咨询服务。 投标人测评方案须包含单元测评与整体测评。单元测评 须包括技术控制测评、管理控制测评，涉及安全物理环 境、安全通信网络、安全区域边界、安全计算环境、安 2 # 服务要求 全管理中心、安全管理制度、安全管理机构、安全管理 人员、安全建设管理、安全运维管理等 10 个方面；整体 测评须包括安全控制间安全测评、层面间安全测评、区 域间安全测评、系统结构安全测评。 3 服务范围 中国科学院动物研究所业务系统 4 服务频次 1次 5 服务成果 《网络安全等级保护测评报告》 2 3. 项目服务要求 3.1 工期要求 在本项目合同签订之后，六月内完成等保测评相关工作。 投标人的项目进度管理应该遵循以下原则： （1）依据项目合同约定的工期目标，组织项目进度管理； （2）在确保项目质量和安全的原则下，控制项目进度。 4.2 服务人员要求 投标人须为本项目组建稳定的、专业的、独立的项目团队，专门负责本项目服务实施 工作，并进行相关的项目管控和随时调整项目实施方向。投标人须针对本项目成立专门的 项目组，确保人力、物力的投入，项目组成员必须稳定，项目实施团队成员（不少于 4 人） 在项目终验前如果人员退出或更换，需要征得招标人同意。 项目经理须具备丰富的信息安全知识，具有快速解决问题的能力，有较高判断故障和 管理协调的能力，具有信息安全相关认证资质证书，至少具有 3 年以上等保测评服务的项 目经验，能够深刻理解信息系统等保测评工作内容。 主要技术人员至少具有 2 年以上等保测评相关工作经验，具有信息安全相关认证资质 证书。 4.3 质量保障要求 投标人在等保测评过程中应严格按照相关安全标准，针对等保测评的各个环节，提出 有效质量管理计划、质量控制措施及风险控制规避计划,项目经理应在项目每一阶段，对实 施过程的控制，调查、分析和解决发现的问题，问题及其解决办法都应写成文档（包括项 目周报、会议记录等），保证项目按目标完成。 3