中国医学科学院医药生物技术研究所

当前位置:首页-通知公告-通知公告
关于网络安全等级保护建设项目面向社会比选安全服务公司的公告
来源:网络中心 时间:2019-11-11 浏览次数:383
中国医学科学院医药生物技术研究所关于网络安全等级保护建设项目
面向社会比选安全服务公司的公告
 

中国医学科学院医药生物技术研究所(以下简称药生所)网络安全等级保护建设安全服务项目旨在帮助药生所梳理现有信息系统安全状况,并协助药生所完成等级保护定级、备案和测评工作。本项目采用比选方式进行采购,特邀请具备相应资格条件的供应商参加本项目的比选。

 

一、项目名称

中国医学科学院医药生物技术研究所网络安全等级保护建设安全服务项目

 

二、投标人的资格要求

1.   符合《中华人民共和国政府采购法》第二十二条(一)至(六)的规定,即:

1)具有独立承担民事责任的能力;

2)具有良好的商业信誉和健全的财务会计制度;

3)具有履行合同所必需的设备和专业技术能力;

4)有依法缴纳税收和社会保障资金的良好记录;

5)参加政府采购活动前三年内,在经营活动中没有重大违法记录(重大违法记录是指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚);

6)法律、行政法规规定的其他条件。

2.   被“信用中国”网站(https://www.creditchina.gov.cn)中列入失信被执行人和/或重大税收违法案件当事人名单的供应商,被中国政府采购网(http://www.ccgp.gov.cn)列入政府采购严重违法失信行为记录名单,被财政部门禁止参加政府采购活动的供应商(处罚决定规定的时间和地域范围内),无资格参加本项目的采购活动。

3.   单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加本项目的投标。

4.   本项目不接受联合体投标。

 

三、服务要求

(一)信息系统概况:

本次进行等级保护建设的信息系统包括:药生所门户网站(http://www.imb.ac.cn)和内部科研管理系统,中国药学微生物菌种保藏管理中心网站(http://www.cpcc.ac.cn)

(二)服务要求:

序号

内容

技术参数要求

数量

单位

1

定级备案咨询服务

协助用户完成信息系统定级和备案工作。帮助用户梳理信息系统,包括其网络结构、设备部署、业务系统、服务范围、用户群体、管理机构等;根据国家和行业相关要求,确定业务信息安全和系统服务安全受到破坏时所侵害的客体和对客体造成侵害的程度;确定业务系统安全等级和系统服务安全等级,最终确定定级对象的安全保护等级。信息系统定级结果经用户和相关专家审核和批准后,协助用户完成《信息系统等级保护定级报告》和《备案表》

1

/

2

渗透测试服务

对信息系统的进行深度渗透测试,找出脆弱的环节,从而制定更为完善的安全防御措施。渗透测试采用工具扫描配合人工评估相结合的方式。

渗透测试内容至少包括:信息收集类、配置管理类(HTTP方法测试、应用中间件测试、信息泄露、异常错误等)、认证类(用户枚举、密码猜解、密码重置、密码策略测试等)、会话类(cookie测试、session会话测试等)、授权类(越权访问、路径遍历、任意文件下载、逻辑缺陷测试等)、数据验证类(SQL注入、跨站脚本、代码注入、URL跳转、文件上传测试等、输入输出校验绕过、数据篡改)、系统应用漏洞(溢出、0day漏洞等)。

综合各阶段测试结果,由测试工程师撰写渗透测试报告。根据提交的渗透测试报告,完成安全整改,渗透测试工程师针对报告中发现的问题进行二次测试。

1

/

3

漏洞扫描服务

漏洞扫描服务需采用具有国内自主知识产权的漏洞扫描工具对服务范围内各种软硬件设备进行网络层、系统层、数据库、应用层面的全面扫描与分析,扫描设备检测规则库及知识库应涵盖CVECNCVECNVDCNNVD等标准。扫描完成后并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。提出准确有效的扫描报告,并针对漏洞扫描中出现的问题,提供解决方案,协助用户进行解决。

漏洞扫描前由用户明确测试目标及测试范围,服务工程师使用专用漏洞扫描工具现场进行漏洞扫描,重要安全漏洞将及时告知用户安全负责人。

4

/

4

等级保护测评服务

本项目最终建设目标为药生所门户网站和科研管理系统以及中国药学微生物菌种保藏管理中心网站通过信息安全等级保护测评,在各系统的定级、备案、信息安全防护体系建设后,由投标人负责聘请公安部认可的信息安全测评机构开展对信息系统网络安全等级保护测评,保障等级保护测评达到良好以上级别。

2

系统

 

(三)项目人员要求:

投标人需为本项目配置专项小组,由商务经理、项目经理、安全服务工程师组成,具体要求如下:

1. 商务经理

本项目需配置专职商务经理一名。

主要职责为:

l 负责项目合同的签定,对项目中的商务问题进行协调。

2. 项目经理

本项目需配置项目经理一名。

主要职责为:

l 对整个项目周期进行统筹规划,确保项目进度、质量和成本;

l 制定项目阶段性目标和项目总体控制计划,划分出主要工作内容和工作量,确定项目阶段性目标的实现标志如形象进度控制点等;

l 组织精干的项目执行团队,确保系统集成及安全服务工作顺利交付;

l 如在项目过程中出现任何下级人员无法解决的问题,项目经理负责调动一切可以使用的资源对进行协商解决。

3. 安全服务工程师

本项目需配置安全服务工程师二名。

主要职责为:

l 定级备案咨询服务、渗透测试服务、漏洞扫描服务、等级保护测评服务;

l 指导用户协调业务系统开发商、相关资产提供商对发现的漏洞进行修复;

l 配合用户准备等保测评相关资料,协助用户现场测评操作及解答。

 

四、时间和地点

1. 材料报送截止日期:

有意向者请将公司背景材料、公司资质、安全服务方案和安全服务收费标准等资料密封完整,于201911199:00前送至我单位。

2. 比选时间:201911199:00

3.比选地点:医药生物技术研究所会议楼一楼会议室

 

五、联系方式

地址:北京市西城区南纬路2号医药生物技术研究所科教处

联系人:姜威

联系电话:63022609