各供应商:
现对四川安信科创科技有限公司信息安全等级保护测评采购项目进行预算咨询,请你单位进行书面报价,采购项目具体服务要求如下。
一、项目要求
1.测评对象:智慧应急综合协同办公平台(第三级)、中禾矿业点面融合安全生产风险监测预警平台(第二级)、西藏玉龙铜矿点面融合安全生产风险监测预警平台(第二级)(以下简称待测系统)
2.网络安全等级保护测评等级:详见测评对象
3.依据:《中华人民共和国网络安全法》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》、GB/T28449-2018《信息安全技术 网络安全等级保护测评过程指南》、GB/T36627-2018《信息安全技术 网络安全等级保护测试评估技术指南《信息安全等级保护管理办法》公通字 〔2007〕43号等法律法规。
4.实施要求:
(1)系统梳理
协助完成待测系统梳理工作。
(2)系统初测
对待测系统进行现场测评,初次测评完成后提交初评的整改意见报告。
(3)协助完成整改加固
协助对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的复测。
(4)出具测评报告协助完成取证
整理测评结果,提交待测系统安全等级保护测评报告以及相应文档,协助完成信息系统安全等级保护备案证明取证。
5.测评内容包括技术和管理测评:
(一)技术安全性测评包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
(1)安全物理环境
(2)安全通信网络
(3)安全区域边界
(4)安全计算环境
(5)安全管理中心
(二)管理安全测评包括但不限于:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;
(1)安全管理制度
(2)安全管理机构
(3)安全管理人员
(4)安全建设管理
(5)安全运维管理
(三)安全扩展要求
按照待测系统的具体情况选用云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
(四)验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对待测系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内容:
(1)渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在SQL、Cookie注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
(2)性能测试
通过模拟手段对网络(包括丢包、时延、带宽等)、软件系统(包括负载、响应)、负载下硬件占用(包含CPU、内存)等进行全面的测评评估验证系统的可靠性、可用性,通过对测试结果的分析,给出相应的整改建议。
(3)漏洞扫描
据相关标准、规范要求对待测系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
二、服务期限
合同签订之日起至完成待测系统安全等级保护备案证明取证。
三、预算报价
(一)预算报价内容
1、预算咨询报价表;(加盖公章,可参考附件)
2、公司营业执照或副本复印件;(加盖公章)
(二)预算咨询报价表文件扫描件请于2025年2月 18日17:00前,发送至296118058@qq.com。
(三)报价应包括但不限于增值税、营业税等相关税费及拆装费、运输费、装配、校准、调试的费用。
四、联系方式
联 系 人:张老师; 联系电话:18180541296;
地 址:成都市武侯区武科西四路18号安全科技大厦
四川安信科创科技有限公司
2025年2月14日