第一章??比选公告
1. 比选项目
******有限公司(以下简称“公司”),资金来源企业自筹。项目已具备比选条件,现对该项目进行内部比选。
2. 项目概况
2.1公司概述
******有限公司旗下汽车营销及服务专业化运营平台。公司注册资本9.99亿元,主要从事汽车(长安乘用车、欧尚汽车、凯程汽车、福特汽车、长安马自达、沃尔沃、林肯等汽车品牌)销售、维修服务及备件配送业务、汽车综合体项目开发建设与运营管理。公司现有员工6000余名,拥有40余家全资子公司、控股、参股子公司,业务******服务中心、备件中心、汽车综合体业务等。
2.2项目地点
******有限公司(比选人指定地点)。
2.3项目期限
合同周期按年计算(根据投标情况确定项目最终周期)。
2.4项目目标及内容
2.4.1项目背景
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护******集团公司及中国长安的指导下,开展网络安全等保测评服务项目工作已势在必行。
2.4.2项目目标
根据《中华人民共和国网络安全法》、国标《GB/T 22239-2019信息安全技术-网络安全等级保护基本要求》等法规和技术标准,应在充分调研的基础上,结合系统构成特点,按照等级保护相关标准完成测评服务。
2.4.3项目内容及范围
1、本次项目范围:
(1)等级保护测评,本次计划测评的系统基本情况如下:
序号 | 系统名称 | 等级 | 备注 |
1 | 客户运营管理平台 ? | 第三级 | |
2 | 数智运营服务平台 | 第三级 | 包含板块:业务系统、数据中台、OA办公系统、 ? 浪潮新财务系统、安全环保信息化系统 |
2、服务周期:专项。
3. 质量要求
出具的成果文件顺利完成,符合国家及相关行业技术标准和规范。
法律法规:
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
网络安全等级保护制度2.0标准:
《信息安全技术网络安全等级保护基本要求》
《信息安全技术网络安全等级保护定级指南》
《信息安全技术网络安全等级保护安全设计技术要求》
《信息安全技术网络安全等级保护实施指南》
《信息安全技术网络安全等级保护测评要求》
《信息安全技术网络安全等级保护测评过程指南》
4. 参选人资格要求
4.1本次比选要求参选人须同时具备以下条件,并在人力、财力、物力和技术能力资源等方面具有相应的服务能力且能保证按时按质按量完成委托的业务:
******商行政管理部门登记的营业执照。
(2)测评方应具有网络安全等级测评与检测评估机构服务认证证书,并提供证明材料;
(3)测评机构是能够在网络安全等级保护网******(本地备案和工商注册),并提供证明材料;
(4)本次测评指标和对象选择须符合国标《GB/T 22239-2019信息安全技术-网络安全等级保护基本要求》的相关要求。
(5)近三年内没有重大违约、违法记录。
4.2本次比选不接受联合体参选。
5.?比选文件的获取
4.1 ?报名及比选文件的获取:
(1)日期:2025年2月18日至2025年2月20日17:00止
(2)报名邮箱:******
(3)报名所需资料(扫描件):
①报名人身份证;
②法人授权委托书或公司介绍信;
③单位营业执照。
(4)凡符合报名条件的单位,比选人将通过报名时报送资料的邮箱进行比选文件发送。
4.2比选文件售价0元/套。
6. 参选文件的递交
6.1参选文件递交截止时间:具体见比选文件。
6.2评选地点:重庆市渝中区华胜路企业天地7号楼21楼。
6.3逾期送达或未送达指定地点或未按比选文件要求密封的参选文件,比选人不予受理。
7. 发布公告的媒介
******有限公司官网
(******/)上发布。
8. 联系方式
******有限公司
地址:重庆市渝中区华盛路7号企业天地7号楼21层
联系人:刘东亮
电话:023-******
第二章 比选内容及要求
1.参选人须知前附表
序号 | 内 ?容 | 说 明 与 要 求 |
1 | 项目名称 | ******有限公司网络安全等保测评服务项目 |
2 | 资金来源 | 自筹 |
3 | 比选范围 | 比选文件及合同所示范围内全部内容 |
4 | 比选方式 | 内部比选 |
5 | 质量要求 | 按签订的合同规定完成项目建设工作 |
6 | 参选人资质等级 | 详见比选公告 |
7 | 参选人资质要求 | 1.测评方应具有网络安全等级测评与检测评估机构服务认证证书,并提供证明材料; 2.测评机构是能够在网络安全等级保护网******(本地备案和工商注册),并提供证明材料; 3.本次测评指标和对象选择须符合国标《GB/T 22239-2019信息安全技术-网络安全等级保护基本要求》的相关要求。 |
8 | 是否接受联合体参选 | 不接受 |
9 | 比选最高限价 | 一次性费用16万 |
10 | 比选文件的提疑 和答疑 | 比选人将在2025年2月21日17:00时前对参选人疑问作出统一解答。 |
11 | 投标文件份数 | 正本壹份,副本贰份 |
12 | 投标文件递交 | 收件人:刘东亮 比选会现场提交时间:2025年2月26日14时30分前,超过该时间投标文件不予接受。 |
13 | 比选时间和地点 | 比选时间:2025年2月26日14时30分 比选地点:重庆市渝中区华胜路企业天地7号楼21楼会议室 |
14 | 评审标准及方法 | 最低价中标方式 |
15 | 履约保证金 | 无 |
16 | 备注 |
2.项目要求
2.1项目概述
根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》等法规和技术标准,应在充分调研的基础上,结合系统构成特点,测评方应严格按照《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,确保测评工作质量。
2.2项目依据
《中华人民共和国网络安全法》
《中华人民共和国计算机系统安全保护条例》(国务院147号令)
GB/T 22240-2020?《网络安全保护等级定级指南》;
GB/T 22239-2019 《网络安全等级保护基本要求》;
GB/T 17859-1999 《计算机系统安全保护等级划分准则》;
GB/T 25058-2019 《网络安全等级保护实施指南》;
GB/T 28448-2019《网络安全等级保护测评要求》
GB/T 28449-2018《网络安全等级保护测评过程指南》
GB/T 25070-2019 《网络安全等级保护安全设计技术要求》
等法规要求进行系统安全等级测评。
2.3测评目标
等级保护的目标是:贯彻落实国家信息安全工作部署,保障网络安全可靠稳定运行,完善系统技术防护措施和安全管理制度,建立完整的信息安全防护体系,符合相应等级保护要求并通过监管机构的检查。本项目需要实现以下目标:
全面梳理信息安全现状,分析排查信息安全隐患;对系统进行全面梳理,掌握信息安全现状;开展等级保护差距分析和信息安全风险评估工作,针对所发现的安全隐患,指导、监督相关单位进行整改,为等级测评工作奠定基础;对新建系统提供全生命周期的信息安全风险管理服务。确保信息安全建设工作满足国家、监管部门有关政策要求,系统达到相应安全等级的防护水平。
完善“一个中心,三重防护”的网络安全等级保护2.0技术体系,提升信息安全保障水平。
基于信息安全现状,综合考虑信息安全需求变化因素,对此进行信息安全保障体系总体规划,为后续的信息安全建设提供技术路线,并监督检查安全规划的落实情况,逐步提升的信息安全保障水平。
梳理和完善信息安全管理制度,监督和检查相关制度的落实情况,持续提升的信息安全管理水平,使安全管理和服务更加规范、有效、有序。
提升信息安全应急响应能力,及时有效地对突发安全事件
建立统一、规范的信息安全应急响应体系,制定总体应急预案和各系统应急方案,针对突发安全事件提供7×24小时应急响应服务,并定期组织应急演练,以提升应急响应能力,快速解决各种突发事件。
本次项目的实施过程中,主要遵循以下原则:
规范性原则
须根据项目实施的需要及客户单位的要求,在人员、质量和时间进度等方面进行严格管控。
标准化原则
测评过程须严格遵守国家的相关法律法规、规范、标准等相关要求。从业务、技术、运行管理等方面对项目的整体建设和实施进行体系化设计,充分体现标准化和规范化。
完整性原则
在测评过程中,确保测评数据、过程记录的完整性和真实性。
保密性原则
在测评过程中,加强对人员、技术等方面的组织管理;与被测方签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不会泄露给第三方单位或个人,不得擅自利用这些信息。
最小影响性原则
在项目实施的过程中,须充分考虑到相关活动对系统正常运行的不利影响,采取必要的措施将相关风险降到最低。
2.4测评内容
A、测评内容
******管理中心和管理层面上的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面的内容。使用安全分析工具(至少包含专业的主机、网络、应用系统安全分析工具),在与深入沟通的基础上,综合采用访问控制、入侵防御、恶意代码法防范、安全审计、防病毒、传输加密、集中数据备份等多种技术和措施,保证业务应用的可用性、完整性和保密性保护的基础上,实现综合集中的安全管理,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内形成一个纵深的安全防御体系,确保系统整体的安全保护能力。
1. 安全物理环境
物理安全测评将通过访谈、文档审查和实地察看的方式测评系统的物理安全保障情况。主要涉及对象为中心机房。
2. 安全通信网络
安全通信涉及的测评对象包括:系统网络结构,通信传输完整性,可信验证的检测和防范。
网络安全测评所对应生成的检查记录表包括:系统网络结构安全核查记录、通信传输完整性安全核查记录、可信验证安全核查记录。
3.安全区域边界
安全区域边界测评对象包括接入边界防护情况,访问控制情况,入侵防范情况,恶意代码防范情况,安全审计情况,可信验证情况。
4.安全计算环境
安全计算环境是针对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护的情况进行检查。
******管理中心
******管理中心员是检测是否进行身份鉴别,是否只允许其通过特定的命令或操作界面进行系统管理操作,是否对这些操作进行审计。测评对象为:系统管理、审计管理、安全管理、集中管控。
6.安全管理制度
安全管理制度的测评将采用访谈、检查文档的方式测评该信息系统的管理制度方面的安全保障情况。安全管理制度的测评对象为:安全策略、管理制度 、制定和发布、评审和修订文档记录等。
7.安全管理机构
安全管理机构的测评将采用访谈、检查文档的方式测评该信息系统在安全管理机构方面的安全保障情况。安全管理机构的测评对象为:岗位设置、人员配备、授权和审批、沟通和合作 、审核和检查。
8.安全管理人员
安全管理人员的测评将采用访谈、检查文档的方式测评该信息系统在人员安全管理方面的安全保障情况。
人员安全管理的测评对象为:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理 。
9.安全建设管理
安全建设管理的测评将采用访谈、检查文档的方式测评该信息系统在系统建设管理方面的安全保障情况。
系统建设管理的测评对象为:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、 测试验收、系统交付、等级测评、服务供应商选择。
10.安全运维管理
安全运维管理的测评将采用访谈、检查文档的方式测评该信息系统在系统运维管理方面的安全保障情况。
测评对象为:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理 、外包运维管理。
11.云计算扩展测评:
(1)安全物理环境测评(基础设施位置);
(2)安全通信网络测评(网络架构);
(3)安全区域边界测评(访问控制、入侵防范、安全审计);
(4)安全计算环境测评(身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护);
******管理中心测评(集中管控);
(6)安全建设管理测评(云服务商选择、供应链管理);
(7)安全运维管理测评(云计算环境管理)。
12.移动互联扩展测评:
(1)安全物理环境测评(无线接入点的物理位置);
(2)安全区域边界测评(边界防护、访问控制、入侵防范);
(3)安全计算环境测评(移动终端管控、移动应用管控);
(4)安全建设管理测评(移动应用软件采购、移动应用软件开发);
(5)安全运维管理测评(配置管理)。?
B、安全扫描
使用专业的安全扫描分析工具(至少包含专业的主机网络安全扫描系统、应用系统安全扫描分析系统)对待测系统进行安全扫描,且确保相关工具具有合法、合规的使用权限,不存在知识产权问题。具体包括使用漏洞扫描工具等对网络系统中的主机操作系统、数据库系统、主要网络设备进行扫描,检查相应设备存在的系统漏洞、弱口令、数据暴露等安全问题。服务提供方应具有较强的安全服务能力,能够利用测评、评估、漏洞扫描等方法发现系统安全隐患并提出合理的整改建议,对系统漏洞能够及时定位,并对后续修复的情况进行验证。
2.5渗透测试服务内容
所属分类 | 测试内容 |
信息泄漏 | robots.txt泄漏网站路径 |
搜索引擎发现/侦查 | |
管理地址泄漏 | |
WEB应用指纹识别 | |
其它WEB应用发现 | |
详细的错误信息 | |
配置不当 | SSL/TSL弱加密模式 |
数据库监听器攻击 | |
过时的、用于备份的以及未被引用的文件 | |
启用了不安全的HTTP方法 | |
认证漏洞 | 默认或可猜解账户 |
认证模式绕过 | |
“记住密码”弱点 | |
“密码重置”弱点 | |
“注销”或浏览器缓存管理不当 | |
校验模式绕过 | |
多因素认证模式绕过 | |
会话管理漏洞 | cookie属性设置不当 |
cookie逆向 | |
会话劫持 | |
会话变量泄漏 | |
CSRF攻击 | |
授权管理漏洞 | 路径遍历 |
越权操作 | |
提权漏洞 | |
数据验证漏洞 | 代码注入 |
OS指令注入 | |
缓冲区溢出漏洞 | |
阻断服务攻击 | SQL通配符攻击 |
恶意锁定用户 | |
拒绝服务攻击 | 基于流量的拒绝服务 |
基于漏洞的拒绝服务 |
测试要求:
1.?渗透测试时选择不影响业务系统正常运行且防火墙、入侵监测系统等安全设备都运行正常的情况下进行的测试
2.?在渗透测试过程中,如涉及数据库相关内容的探测,仅允许获取数据库名称层级的信息,严禁进一步获取数据库内的具体数据或进行任何可能影响数据库完整性和安全性的操作
3.?每次渗透测试结束后,应立即清除测试过程中使用的所有脚本和文件,确保系统中不留存任何后门程序。同时,不得私自留存系统源代码、备份文件等相关数据,所有测试数据和结果应严格保密,并在测试结束后彻底销毁
4.?规范的渗透测试流程和风险规避手段,确保测试过程安全可靠
5.?通过测试发现系统的深层次安全隐患,提供针对性的加固建议
在与双方深入沟通的基础上,对系统进行渗透,对过程进行记录并最终形成渗透报告。
2.6其他服务要求
本项目信息安全等级保护测评目的和测评内容,必须与信息安全等级保护要求的基本安全控制要求相一致,测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。为顺利完成本次项目,服务提供方应具有完善的项目和质量管理体系,按照计划推动项目工作,并确保测评过程规范及过程文档的完整性。在项目实施过程中,测评方应做好计划与安排,确保项目实施不影响系统的正常运行。
依照渝网通[2016]11号文《重庆市网络与信息安全信息通报工作规范》要求,投标人需协助网络安全事件应急处置机制工作开展,落实本单位的网络安全应急处置通报工作。投标人需为重庆市网络与信息安全信息通报机制成员单位或重庆市网络与信息安全信息通报中心支撑单位(提供证明文件),按渝网通[2016]11号文开展相关通报工作。
2.7售后服务内容
1. 供应商应在重大信息安全检查工作或重大网络安全安保工作中向用户提供远程或现场相关的技术支撑服务。
2. 在项目服务周期内,测评指标和对象选择须符合 GB/T 22239-2019《网络安全等级保护基本要求》标准的相关要求。还应提供相关的安全咨询服务,提供的安全咨询建议、策略、规范和整改建议要切合单位实际情况。
3.比选文件
本比选文件包括目录所示内容及所有按本项目发出的补充文件及资料。
除上述所列内容外,比选人的任何工作人员对参选人所作的任何口头解释、介绍、答复,只能供参选人参考,对比选人无任何约束力。
比选文件是比选过程进行的有效依据,对双方均具有约束力,参选人应认真阅读比选文件中所有的事项、格式、条款和技术规范等。如果参选人没有按照比选文件要求和规定编制参选文件及提交全部资料,或者没有对比选文件作出实质性响应,将作废标处理。
本比选文件由比选人依据相关法律法规、规章、省市规定进行解释,享受最终解释权。
4.参选文件
4.1参选文件的组成
具体见第四章参选文件格式。
4.2参选文件的式样和签署
4.2.1参选人应按本比选文件规定的格式和顺序编制、装订参选文件,参选文件内容不完整、编排混乱导致参选文件被误读、漏读或者查找不到相关内容的,由参选人自行承担责任。
4.2.2参选人需递交参选文件“正本”1份,“副本”2份。参选文件的正本需打印或用不褪色墨水书写,字迹应清晰易于辨认。所有参选文件应在封面的右上角清楚地注明“正本”或“副本”。参选文件的正本和副本如有不一致之处,以正本为准。
******委员会可以书面******委员会不接受参选人主动提出的澄清、说明或补正。
4.2.4澄清、说明和补正不得改变参选文件的实质性内容(算术性错误修正的除外)。参选人的书面澄清、说明和补正属于参选文件的组成部分。
4.3参选文件的密封、标志和递交
4.3.1参选文件的密封与标志
4.3.1参选人应将参选文件的正、副本统一密封。
4.3.2 参选文件装订资料统一用A4纸张,封处加盖参选人公章。
密封袋上应注明:
1) 参选人名称:??????????????????????????????
???参选人地址:??????????????????????????????
2) 项目名称: ???????????????????????????????
???“在2023年 ?月 ?日 ?时 ??分之前不得启封”的字样。
4.4无效参选人的认定
4.4.1参选文件对比选文件未做实质性响应的,将被视为无效参选人。
4.4.2在符合性审查和商务评议时,如发现下列情形之一的,参选人文件将被视为无效参选人:
(1)参选文件未密封的或密封包装不符合要求的;
(2)参选文件未按要求签字或盖章的;
(3)参选文件未按规定的格式、内容和要求填写的;
(4)参选文件内容不全或自相矛盾,或者内容虚假的;
(5)参选文件超越规定期限送达的;
(6)参选人提供的授权委托书等所需资料不符合要求的;
(7)资格证明文件不全的,或者不符合比选文件标明的资格要求的;
(8)报价超过比选文件规定范围的,或参选一览表与参选文件前后不一致的;
(9)参选人有效期、服务时限等商务条款不能满足比选文件要求的;
(10)对比选文件要求未作实质性响应的或者参选文件有比选人不能接受的附加条件的;
4.4.3符合比选文件明确规定的其他无效参选人条款的。
5.评审和中选确定
1.本次评审采用最低价中标法,详见第三章“评审办法”。
******委员会基于符合比选要求的最终低价优先原则确定中选单位。
第三章 评审办法(最低价中标法)
评审方法
本次评审采用最低价中标法。评委依据“公正、科学、严谨”的原则,评价出中标优选单位。原则上对落标原因不作解释。根据评标结果,与优先中标单位进行合同谈判。
第四章 ?参选文件格式
?附件
?
