根据《中华人民共和国安全生产法》《信息安全等级保护管理办法》(公通字〔2007〕43 号) 《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)等法律法规,以及《江苏省网络安全等级保护工作管理办法》最新要求,开展三级等保测评服务项目,现就本项目服务采购进行市场询价调研。
一、采购内容:
(一)测评依据
按照网络安全等级保护3.0标准开展本次等保测评工作,测评的指标、内容及其程序需严格执行如下规范要求:
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息系统安全保护等级定级指南》(GB/T 22240-2008)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
《信息系统安全管理测评》(GA/T 713-2007)
《信息安全等级保护等级测评实施细则》
《信息安全风险评估规范》(GB/T 20984-2007)
《信息安全风险管理指南》(GB/Z 24364-2009)
《信息安全管理体系要求》(GB/T 22080-2008)
《信息安全管理实用规则》(GB/T 22081-2008)
《信息系统安全管理要求》(GB/T 20269-2006)
《信息安全事件分类分级指南》(GB/Z 20986-2007)
《信息安全事件管理指南》(GB/Z 20985-2007)
《信息系统灾难恢复规范》(GB/T 20988-2007)
《信息安全应急响应计划规范》(GB/T 24363-2009)
(二)测评内容:
等保测评覆盖安全技术测评和安全管理测评两大类10个方面。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等5个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等5个方面的安全控制测评。
根据国家对网络安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:
(1)安全物理环境
测评内容主要包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
(2)安全通信网络
测评内容主要包括:网络架构、通信传输、可信验证等。
(3)安全区域边界
测评内容主要包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(4)安全计算环境
测评内容主要包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
(5)安全管理中心
测评内容主要包括:系统管理、审计管理、安全管理、集中管控等。
(6)安全管理制度
测评内容主要包括:安全策略、管理制度、制定和发布、评审和修订等。
(7)安全管理机构
测评内容主要包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。
(8)安全管理人员
测评内容主要包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
(9)安全建设管理
测评内容主要包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
(10)安全运维管理
测评内容主要包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
(三)测评目标
(1)识别信息安全风险。通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
(2)增强安全防护能力。依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
(3)测评结果分析
单项测评结果判定
单元测评结果判定
整体测评分析
形成测评分析报告
针对测评分析报告的整改建议
(四)渗透测试
选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。
渗透测试内容工作内容包括渗透测试及提供漏洞修复方案。本次渗透测试工作为黑盒测试。
(1)需要包含如下阶段
前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。
信息搜集阶段:采用各种方法搜集用户方的所有相关信息。
威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。
渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。
后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
(2)渗透测试工作要求
本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危害用户应用系统的工作行为,遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自修改、拷贝用户数据,不得泄露、传播用户的敏感信息,如有违反将负法律责任。
二、服务成果
本次安全服务应提交以下成果:
《信息系统等级测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
《信息系统渗透测试报告》,包含但不限于如下方面的内容:渗透测试的方法、目标、范围;测试的人员、时间、策略。测试的工具、风险规避措施;测试的过程、漏洞利用截图,测试的结果等。
三、人员要求:
1、拟派实施人员配置应不少于2人,服务单位和个人须具有相关资质。
2.供应商作业人员在岗履行职责期间(包括上下班途中),发生自身的人身伤害、伤亡,均由供应商负责处理并承担经济和道义上的责任,采购人不承担任何责任。
四、服务周期:自合同签订之日起≤45日历天。合同签订后10日内完成现场测评;20日内出具《等级测评初评报告》;整改完成后10日内完成复测;5日内提交最终测评报告及备案材料。
五、约定事项:
1.市场询价表及相关材料于2025年6月12日17:00前,送或寄(以邮戳为准)。送达或邮寄的地址为:江苏启东吕四港经济开发区管理委员会(通江大道99号),联系人:张先生,联系电话:15152436846。
2.报价费用说明:包括(但不限于)所招人员的工资、奖金、社会保险、服装、现场调查、技术指导费、管理费、规费、利润、税金及其他一切费用,结算时合同价不作调整。供应商报价时应充分考虑现场环境以及国家政策性调整等风险因素,在合同实施期间,合同价不随国家政策或法规、标准及市场因素的变化而进行调整。
3.报价单位须提供营业执照。
4.其他:(1)请报价单位认真核算、如实报价,如发现虚假报价的,该单位今后将不被列入采购单位黑名单;(2)本次报价仅作为市场调研用,因此价格仅供参考;(3)本次调研询价不接收质疑函,只接收对本项目的建议。
江苏启东吕四港经济开发区管理委员会
2025年6月9日