国家电投集团远达环保股份有限公司信息安全专项咨询服务项目招标公告
序号 | 招标编号 | 标段名称 | 主要指标 | 招标文件价格(元) |
2 | C11000915GZ01WZ004000002 | 国家电投集团远达环保股份有限公司信息安全专项咨询服务项目 | 3.1 投标人协助业主根据信息安全等级保护基本要求的相关要求对业主方及其下属单位(含下属单位典型分支机构,至少2家,不超过5家)开展信息安全调查,包括但不限于信息系统进行IT资产使用现状、信息安全管理制度建设情况,整理形成详实的调查报告,并在此基础上,依据GB/T 22239—2008《信息系统安全等级保护基本要求》提出整改建议,包括但不限于架构改造、配置调整、制度建设、过程优化等措施,帮助业主方及其下属单位提高信息系统整体安全防护水平,缩小与基本要求的差距,提高信息安全防护水平。 3.2 投标人根据调查结果对业主方及其所有下属单位在一年内提供两次主机和WEB应用系统安全扫描服务。投标人在与业主方及其下属单位深入沟通的基础上,使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全析工具)对系统进行渗透,对过程进行记录并最终形成工具扫描、渗透报告、安全整改建议。 3.3 针对3.1的调查结果和3.2的扫描渗透结果对业主方及其下属单位的系统安全风险进行识别,同时针对识别的风险发生后所带来的影响量化系统风险等级,针对每个具体风险分析风险原因,提出消除和规避风险的建设性方法,帮助业主方及其下属单位选择有效措施预防和消除系统可能的各种风险,并按照GB/T 20984-2007《信息安全风险评估规范》开展风险评估工作,出具详细的评估报告。 3.4 合同签订一年内,在业主方及其下属单位新建信息系统项目建设过程中,对如何满足国家法律法规、行业性标准要求提供合规性咨询,使信息系统安全防护工作符合对应标准。内容包含:信息安全管理体系咨询、代码安全规范、IT治理、IT内部控制、IT规划、信息安全风险评估、业务连续性、IT服务管理、开发安全和运维。 3.5 合同签订一年内,在业主方及其下属单位已建信息系统改造、日常运维过程中应注意的安全问题、服务器安全配置规范、各类技术架构安全性对比及常见安全问题提供咨询建议。 3.6 投标人对业主方日常信息安全隔离中遇到的问题提供咨询建议,协助业主方按等级保护的有关要求完善信息安全管理。 |
1000.00 |
序号 | 标段名称 | 专项资格 |
2 | 国家电投集团远达环保股份有限公司信息安全专项咨询服务项目 | 4.2.1 投标人应是能够在公安部中国信息安全等级保护网www.djbh.net推荐目录中查询到的测评机构,能在国内合法提供信息安全等级保护测评服务。 4.2.2 投标人应是重庆市重要信息系统安全等级保护工作协调小组办公室(以下简称“重庆市等保办”) 推荐的测评机构或为重庆市公安局批准成立专业从事信息安全服务机构(提供证书复印件,加盖单位鲜章,原件备查)。投标人应具有严格的第三方地位和独立性, 能够科学、公正、准确地开展工作;重庆以外的投标人需出示重庆市重要信息系统等级保护工作协调小组办公室报备的备案证明。 4.2.3 投标人应具有履行合同所必需的设备、专业人员和专业技术能力。投标人必须为本项目成立项目组,参与项目咨询服务的核心人员均应具有公安部认证的测评师证书,熟悉等级保护的有关要求,且不少于6人(高级测评师不少于1人,中级测评师不少于2人)。项目组组长作为投标人本项目的负责人,统一负责本项目有关工作。信息安全专项咨询服务小组组长应具有中级测评师及以上资质或具有CISP(国家注册信息安全工程师)资质,具有丰富的等级测评项目和咨询服务经验、具有较强的沟通和执行能力,有三年及以上开展等级保护测评和咨询服务工作经验。 4.2.4 投标人应具有丰富的测评经验,取得等级保护测评资质并开展测评工作3年及以上(以www.djbh.net查询结果为准),并有工业控制系统开展安全服务的经验。投标人应有丰富的成功实施案例,至少有信息系统安全等级保护系统测评案例10个和工业控制系统安全服务案例1个(如投标人有工业控制系统等级保护测评案例,可分别计算信息系统安全等级保护测评案例和工业控制系统安全服务案例),提供已完成项目列表及支撑性文件(包括但不限于合同封面、合同签字页、合同中对被评测系统等级说明)。 |