關于寧波銀行股份有限公司杭州分行產(chǎn)業(yè)基金個性化系統(tǒng)信息安全等保測評項目供應商召集公告


一、資質(zhì)要求

㈠供應商：

1.供應商必須具備公安部頒發(fā)的網(wǎng)絡安全等級測評與檢測服務認證資質(zhì)。

2.業(yè)績要求：2022年1月1日以來（時間以合同簽訂時間為準），供應商承接過至少2個等保業(yè)績。

3.本次招標不接受聯(lián)合體投標申請。

4.注冊地須在浙江省或者在杭州市設立分公司，至召集報名截止日前，供應商注冊時間不少于2年。

㈡其他：

5.項目標準：

安全等保測評應依據(jù)但不限于以下國家信息安全標準：

《浙江省信息安全等級保護管理辦法》（省政府223號令）

GB/T22239-2019：《信息安全技術信息系統(tǒng)安全等級保護基本要求》

GB/T22240-2020《信息安全技術網(wǎng)絡安全等級保護定級指南》

GB/T25058-2010：《信息安全技術信息系統(tǒng)安全等級保護實施指南》

GB/T28448-2019：《信息安全技術信息系統(tǒng)安全等級保護測評要求》
*************************此行內(nèi)容正式會員可見，請登錄后查看******************************
GB/T28449-2018：《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》

6.技術要求

6.1定級要求

實施方應依據(jù)《信息系統(tǒng)安全等級保護定級指南》要求協(xié)助采購單位完成測評的信息系統(tǒng)定級備案工作，并編制信息系統(tǒng)《等級保護定級報告》和《備案表》等相關內(nèi)容。
*************************此行內(nèi)容正式會員可見，請登錄后查看******************************
評級分須滿足2級等保通過要求。

6.2測評內(nèi)容

根據(jù)采購單位信息系統(tǒng)的安全保護等級，并依據(jù)《GB/T22239-2019信息安全技術信息系統(tǒng)安全等級保護基本要求》、GB/T28448-2019：《信息安全技術信息系統(tǒng)安全等級保護測評要求》的條款要滿足以下規(guī)范：安全技術測評：安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心等五個方面的安全測評；安全管理測評：安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等五個方面的安全測評。

*************************此行內(nèi)容正式會員可見，請登錄后查看******************************

本次安全保護等級保護測評實施方案設計與具體實施應滿足以下原則：

6.3.1標準性原則：測評方案的設計與實施應依據(jù)國家等級保護的相關標準進行。

6.3.2規(guī)范性原則：實施方的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制。

6.3.3可控性原則：測評服務的進度要跟上進度表的安排，保證采購方對于測評工作的可控性。

6.3.4整體性原則：測評的范圍和內(nèi)容應當整體全面，包括國家等級保護相關要求涉及的各個層面。

6.3.5最小影響原則：測評工作應盡可能小的影響系統(tǒng)和網(wǎng)絡，并在可控范圍內(nèi)；測評工作不能對現(xiàn)有信息系統(tǒng)的正常運行、業(yè)務的正常開展產(chǎn)生任何影響。

實施方應嚴格依照上述原則和國家等級保護相關標準開展項目實施工作。

6.4測評要求

6.4.1實施方應在對采購方系統(tǒng)詳細了解的基礎上，編制針對性的等級保護測評整體實施方案，包括項目概述、等保測評范圍和內(nèi)容、項目實施流程、測試過程中需使用測試設備清單、時間安排、階段性文檔提交和驗收標準等。
*************************此行內(nèi)容正式會員可見，請登錄后查看******************************
6.4.2實施方應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分。配置有經(jīng)驗的測評人員進行本次等級保護測評工作。

6.4.3本次等級保護測評實施過程中所使用到的各種工具軟件由實施方推薦，經(jīng)采購方確認后由實施方提供并在測評中使用。在投標文件中應詳細描述所使用的安全測評工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等。

6.4.4對于在測評過程中采用的測評方法、測評所使用的工具、測評所覆蓋的各方面，需要符合信息安全等級保護主管部門要求，包括但不僅僅包括網(wǎng)絡隱患檢測工具、數(shù)據(jù)庫漏洞檢測工具、應用安全檢測工具、網(wǎng)站安全檢測工具等。

6.4.5實施方應詳細描述需要的運行環(huán)境的具體要求。

6.4.6項目完成后必須提交完整的技術文檔、測評報告、整改建議等。

6.5項目實施要求

6.5.1實施方應保證投標項目在采購方條件成熟時應立即開展實施；

6.5.2實施方在項目實施過程中應服從采購方的統(tǒng)一領導和協(xié)調(diào)，采購方有權裁決實施方的責任范圍，實施方必須執(zhí)行，在采購方限定的時間內(nèi)解決問題。如果實施方不能按時完成測評內(nèi)容，采購方有權中止項目、索賠或拒付款項；

6.5.3實施方需根據(jù)自己的工程實施經(jīng)驗結合采購方的實際需求進一步細化和完善工作任務書，作為工程實施的指導性文件；

6.5.4實施方應根據(jù)采購方工作需求、進度要求、實際情況制定詳細的項目實施管理規(guī)范和項目實施計劃，對工程目標、工作任務、階段性工作、項目組織機構、職責分工、項目進度、質(zhì)量控制等內(nèi)容進行詳細的說明，以確保工程實施按時保質(zhì)的完成；

6.5.5實施方需為浙江省內(nèi)服務單位，具有網(wǎng)絡安全等級測評與檢測評估機構服務認證證書。6.5.6本次項目實施骨干人員至少持有《信息安全等級測評師》證書（提供證書復印件），測評人員需要具備扎實的專業(yè)知識，包括網(wǎng)絡安全基礎知識、操作系統(tǒng)安全知識等，并熟悉等保相關標準和規(guī)范，確保項目的順利實施。

6.6項目驗收

實施方應在測評工作結束后，協(xié)助委托方完成系統(tǒng)的備案工作。服務完成后經(jīng)用戶驗收合格支付合同金額。

本項目輸出包括但不限于以下成果：

1)《網(wǎng)絡安全等級保護測評報告》

2)《網(wǎng)絡安全整改建議書》

3)《信息系統(tǒng)安全等級保護備案證明》

6.7保密要求

實施方應對項目實施過程中獲取的信息系統(tǒng)重要數(shù)據(jù)采取嚴格的保密措施，防止數(shù)據(jù)泄露。



7.供應商不得具有被相關行政主管部門處罰且限制投標的違法行為記錄，并在處罰有效期內(nèi)的情形（提供承諾函）。

8.供應商及其法定代表人不得為失信被執(zhí)行人。（失信信息查詢以“信用中國”網(wǎng)站www.creditchina.gov.cn查詢?yōu)闇剩?br />
二、報名方式及起始時間

請符合條件的供應商在2025年2月19日之前,…報名。


本招標項目僅供正式會員查看，您的權限不能瀏覽詳細信息，請聯(lián)系辦理會員入網(wǎng)事宜，成為正式會員后可下載詳細招標、報名表格、項目附件和部分項目招標文件等。
聯(lián)系人：郝亮
手機：13146799092(微信同號)
郵箱：1094372637@qq.com