信息系统安全等级保护-中国国际招标网.doc

农民日报社信息系统安全等级保护整改方案设计及测评项目需求一、 项目介绍根据信息安全等级保护管理办法、关于开展信息安全等级保护安全建设整改工作的指导意见等文件的要求，现需对我报社“中国农业新闻网”网站系统按照等保三级的要求进行安全评估、整改方案设计和测评。二、 项目需求1、 方案设计原则安全性：方案设计要达到信息系统安全等级保护三级的要求；开放性：系统符合开放性设计原则，具备优良的可扩展性、可升级性，可以支持开放系统平台，运行于现有的技术标准之上；兼容性：与现有系统需要完全兼容，构成一个整体；稳定性：要保证系统运行的稳定性，使系统运行风险降至最低；可管理性：可以对系统进行管理和监控；经济性：在满足所有需求的前提下，选择最合适的设备及软件，使系统具有较好的性价比。2、 总体需求和目标投标方聘请国家信息安全等级保护工作协调小组办公室推荐测评机构名单中的第三方专业测评机构对我报社“中国农业新闻网”网站系统进行安全评估、差距分析、测评并出具测评报告，由投标方设计本系统的整改方案，确保本系统在整改实施后，符合信息系统安全等级保护基本要求三级的技术要求和管理要求。投标方必须承诺按整改方案完成系统整改实施后，项目单位“中国农业新闻网”网站系统能通过第三方专业测评机构的安全等级保护测评，达到基本符合（含）等保三级以上的结论，并通过国家相关主管部门的审核。3、 对投标方的要求（1） 投标方须根据现有的系统环境对系统等级保护安全整改从技术和管理两方面提供详尽的解决方案。对于技术方案中所提供设备的性能参数要有明确介绍，产品的部署方案和配置策略要有明确的说明，要达到可招标、可实施的标准；管理方案中要明确需要制定和完善的制度和流程，以及这些制度和流程应包含的内容。（2） 投标方在整改方案设计时应整体全面、综合考虑各种因素，不能出现因选型不当或未考虑的因素而出现安全隐患及其他问题。(3) 测评机构要求：（一）需具有中华人民共和国事业单位法人证书，开办资金不少于500万元；（二）需具有资质如下：公安部能力评估合格证书北京市等级测评机构推荐证书CMA国家计量认证证书CAL国家监督审查认可授权证书CNAS检查机构认可证书CNAS实验室认可证书（三）具有近二年（2010年至今）承担过二个（含）以上国家或部委级的等级保护测评工作（四）具有近二年（2010年至今）承担过二个（含）以上国内知名网站（互联网）的等级保护测评工作三、 招标内容投标方需根据国家信息安全等级保护相关政策，按照信息安全等级保护三级的要求，完成我报社“中国农业新闻网”网站系统第三方测评、差距分析、整改方案设计、项目监理等工作。1、 等保测评（1）投标方聘请国家信息安全等级保护工作协调小组办公室推荐测评机构名单中的第三方专业测评机构根据信息系统安全等级保护测评要求以及信息系统安全等级保护测评过程指南等要求对我报社“中国农业新闻网”网站系统进行调研和评估，出具差距分析报告；在用户完成整改实施后，进行信息安全等级保护三级测评，出具国家相关主管部门认可的测评报告，测评结论为基本符合（含）以上。（2）投标方应参与调研和评估，配合系统测评、分析差距，确定系统安全需求，做出合理的等级保护安全规划并设计详细的系统整改方案。2、 整改方案设计（1）在本阶段，系统等级保护建设与实施方案设计作为系统安全建设和改造的前提和依据，应明确设计目标，结合甲方实际情况，满足业务系统的安全需求，突出保护重点，合理规划，形成整体的安全防护体系。方案设计应遵照国家信息安全等级保护工作的法律法规，遵循相关的国家标准规范。（2）投标方根据信息系统安全等级保护基本要求和第三方专业测评机构出具的差距分析报告、结合系统实际情况并遵循本项目规定的方案设计原则，进行整改方案详细设计，包括安全技术体系和安全管理体系两部分：u 技术方案包括物理、主机、网络、应用、数据等方面的安全整改，如需增加设备，则要在方案中详细列出设备的性能参数、配置指标及数量等；方案中还需详细说明系统和产品的部署方案和配置策略，均要达到可招标、可实施的要求；u 管理方案包括管理机构、人员、管理制度、系统建设管理、运维管理等方面的安全整改，要明确管理机构和人员角色、明确需要制定和完善的规章制度和流程，以及这些机构、制度和流程应包括的内容。（3）系统的整改方案要统一考虑、分别设计，对于系统间的衔接部分要有明确的划分界限。（4）详细整改方案必须按优于安全等级保护测评中基本符合等保三级的最低标准设计（技术类和管理类均优于）。（5）投标方设计的整改方案需得到用户及相关系统开发方和集成方的认可。（6）投标方需组织专家对整改方案进行论证，确保方案切实可行，保证按此方案招标和实施可以使系统达到等保三级的要求。参加论证的专家要包括国家信息安全等级保护安全建设指导专家委员会专家名单中的政策专家和技术专家以及国家相关信息安全主管部门的专家。3、 安全整改（1）在后期的整改实施中，投标方需向整改方介绍项目和整改方案情况并承担项目监管职责，派专人负责监督指导整改方按照整改方案和信息系统安全建设相关要求完成系统整改工作，包括技术和管理两个方面的整改。所派人员需全程跟踪项目实施，掌控安全整改实施进度和质量，及时纠正项目实施中的偏差，按月编制工作报告，并定时向用户方项目管理人员汇报项目中的问题。（2）投标方需按用户要求定期组织召开项目介绍会，会同整改方共同介绍项目进展情况。4、 安全培训投标方需按用户要求组织安全相关培训，内容包括等级保护政策、信息安全理论和管理、安全意识和安全操作、系统安全运维等，具体要求如下：（1）投标方应编制详细的培训方案，包括培训的具体内容、培训地点、人数、培训计划以及培训费用。培训具体时间在合同生效之后由双方协商安排。（2）培训讲师必须是国家信息安全等级保护安全建设指导专家委员会专家名单中的政策专家和技术专家以及国家相关信息安全主管部门的专家和具有相关信息系统安全资质的专家。采购人认为不合适可立即要求更换。（3） 投标方的投标报价应包含以上培训课程所需场地、器材、教师、教材、辅导材料、人员差旅费以及相关的所有费用。5、 其他（1）整改完成后，投标方负责进行系统自测；对于在自测中发现的问题和未达到等保三级要求的地方，投标方必须监督实施方按整改方案进行弥补，使系统能够达到等保三级的要求。（2）如因方案缺陷导致系统未达到等保三级的要求，由投标方负责解决所有问题（包括方案、设备、软件、实施等），确保甲方系统能够达到等保三级的要求。（3）在正式测评中，投标方需配合第三方专业测评机构做好系统测评工作，确保系统通过等保测评。（4）投标方协助项目单位完成等级保护备案需要的各项材料准备工作。四、 项目实施与服务要求投标方必须向用户提供能满足标书中所列要求测评、方案设计、培训、实施监理等服务，负责解决全部技术问题。若本标书中有关信息系统安全等级保护项目需求出现不合理或不完整的问题时，投标方有责任提出补充修改方案并征得项目单位同意后付与实施。投标方需和用户签订机房设备进场协议和保密协议，保证机房设备和环境不受损坏、用户信息不被泄露。1、 项目实施要求（1）投标方应本着认真负责态度组织具有相关安全资质的人员提供服务，做好投标的整体方案并提出服务以及技术支持的措施、计划和承诺。（2）投标方必须提供项目实施的工作内容、工作日程表，并严格按照日程表执行。日程表内容至少应包括实施日期、实施内容、技术培训等。本招标书及所要求指标将作为测试和验收的基本要求。（3）系统项目工作一开始，投标方就应允许项目单位的工作人员参与本项目的各项工作。（4）投标方应针对本项目提供完整、详细的项目管理控制文档，包括质量管理体系、项目控制流程等。（5）投标方应负责在项目完成时将系统的全部有关技术文件、图表资料及测试、验收报告等文档汇集成册交付项目单位，并交付相应的电子版本。（6）因方案设计不当或未考虑的因素而导致系统未能通过等保三级测评及其他问题由投标方负责。（7）投标方负责与其他供货商和服务商（与用户系统相关的厂商）的所有协调工作，并承担协调费用以及由于其他供货商和服务商为配合本项目而进行的相关工作有可能发生的所有费用。（8）投标方在进行评估时不能影响甲方系统的正常运行和使用，项目实施应依据等级保护相关要求和标准进行。（9）为了确保项目的顺利进行和完成，在项目实施过程中，投标方应与项目单位建立必要的技术联络会制度，投标方需根据用户要求定期组织召开项目沟通会，汇报项目进展情况。2、 服务时间和地点服务完成时间：投标方在合同签定之日起2个月内完成系统的评估、差距分析、整改方案设计，提交最终的详细整改设计方案；在整改实施方完成整改实施后的1个月内完成系统的测评，出具正式测评报告，监督整改实施方完成相关上报材料的准备工作。服务地点：北京3、 验收要求（1）在标书规定的地点和时间内, 按照标书要求完成所有服务内容。（2）投标方需保证按整改方案实施可以通过等保三级的测评并获得相应的国家主管部门认可的测评报告。（3）投标方需监督指导系统整改方按整改方案实施，保证系统能够通过最终的测评。（4）由项目单位和投标方（中标人）, 必要时有第三方共同组成验收小组,对投标方提供的服务进行验收，如果验收小组认为投标方提供的服务与要求不符，将在投标方改进服务后重新组织验收。（5）项目验收分为初验和终验，初验在详细整改方案设计完成并通过专家评审、最终提交给项目单位后进行，终验在系统整改实施完成、通过第三方测评并通过国家主管部门审核后进行。4、 交付成果投标方必须根据服务完成时间和甲方的要求向项目单位提供交付件纸件和相应的电子文件（所有文档必须是中文），交付文件包括但不限于： 服务实施方案服务进度安排等级保护差距分析报告详细整改设计方案信息系统安全等级保护测评报告项目监管报告验收报告 投标方服务过程中产生的所有文档版权归甲方所有，投标方未经甲方允许，不得以任何形式向第三方提供跟甲方项目相关的文档资料。五、 违约责任（1）中标方未能按照服务条款中约定(如：服务内容、服务时间、服务方式等) 向甲方提供技术支持与服务，视为违约，甲方有权将此记为技术支持和服务中断，并保留进一步向中标方索赔由于技术支持和服务中断给甲方造成的损失的权利。 （2）对于技术支持和服务的中断，每中断一次，扣除合同总价款的1%作为罚金。超出违约保证金的部分，甲方有权要求中标方按此标准退回已支付的金额，赔偿甲方因此遭受的损失。 （3）如中标方未能按标书规定的时间完成服务内容或未达到甲方的要求，视为中标方违约，在规定的时间以后完成的，每逾期一天按照合同总价款的0.5%作为罚金，如因此给甲方造成损失，中标方应负责赔偿。如中标方逾期15天仍未能按甲方要求提交相应成果和文档，则视为中标方不能提交，甲方有权解除合同，中标方须赔偿甲方因此造成的损失。（4）若因中标方提供的服务和方案缺陷导致甲方系统未能达到等保三级的要求，中标方应按照合同总金额的2倍向甲方支付惩罚性赔偿金，若该赔偿未达到给甲方造成损失的2倍，则中标方应当支付给甲方造成损失的2倍的惩罚性赔偿金，且并不当然免除其依法应受的其它处罚。（5）中标方对甲方的数据和信息应严格保密，未经甲方授权不得泄露给任何单位和个人，否则甲方有权追究中标方责任。需求附件：序号项目名称数量商务要求供货周期售后服务要求1信息安全等级保护咨询及整改方案设计11、投标时提供设备原厂商服务承诺书。2、投标人必须具有项目所涉及的所有产品的原生产厂家的正式授权代理资格。3、供应商在竞价时须根据资质要求中的内容，以附件形式上传相关资质证明。4、报价总额应包括运输、安装调试以及上门培训服务等费用。中标后45天以内1、提供产品应当是未经拆封、全新的原装正品。2、交货后三年免费原厂服务（软件升级，保修），接报修电话后当天响应并提出解决方案。保修期内，如发生故障，接报修后至少在2小时内电话响应，4小时内到现场进行维修。其余请遵循政府采购投标时厂家承诺标准。其他：报价时请注明设备保修期,报价为最终成交价，无其他额外费用。 其他服务要求与协议供货产品相同；3