中國鐵路昆明局集團有限公司信息技術(shù)所2022統(tǒng)建系統(tǒng)網(wǎng)絡(luò)安全等級保護測評項目公告

中國鐵路昆明局集團 信息技術(shù)所2022統(tǒng)建系統(tǒng)網(wǎng)絡(luò)安全等級保護測評項目公告

（招標(biāo)編號ZB2022-CB18）

一、項目概況

根據(jù)國鐵集團的要求，以及集團公司對請示的批示，需對昆明局集團公司列車調(diào)度指揮系統(tǒng)（TDCS/CTC）、中國列車運行控制系統(tǒng)（CTCS）、鐵路客票發(fā)售和預(yù)定系統(tǒng)等43個統(tǒng)建信息系統(tǒng)進行網(wǎng)絡(luò)安全等級保護測評。

項目編號：ZB2022-CB18

本項目資金已到位。

二、公示期

2022年10月12日至2022年10月17日

三、合格供應(yīng)商主要資質(zhì)條件

1、在中華人民共和國境內(nèi)依法注冊，具有獨立法人和增值稅一般納稅人資格的企業(yè)，且能提供符合國家規(guī)定的稅率的增值稅專用發(fā)票，注冊資本不小于2000萬元；

2、企業(yè)及其服務(wù)項目不在中國國家鐵路集團 和中國鐵路昆明局集團 暫?；蛲Ｖ购献麝P(guān)系期限內(nèi)；

3、滿足國家、中國國家鐵路集團 、行業(yè)服務(wù)的有關(guān)規(guī)定和資質(zhì)要求；

4、服務(wù)商須具有公安部第三研究所頒發(fā)的“網(wǎng)絡(luò)安全等級測評與監(jiān)測評估機構(gòu)服務(wù)認(rèn)證書”；

5、服務(wù)商須具備中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會頒發(fā)的“檢驗監(jiān)測機構(gòu)資質(zhì)認(rèn)定證書（CMA）”；

6、投標(biāo)人須具備中國合格評定國家認(rèn)可委員會檢驗機構(gòu)認(rèn)可證書（CNAS）；投標(biāo)人須具備中國合格評定國家認(rèn)可委員會實驗室認(rèn)可證書（CNAS）；

7、投標(biāo)人須具備工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟頒發(fā)的“工業(yè)互聯(lián)網(wǎng)安全評估評測機構(gòu)”資質(zhì)；

8、服務(wù)商須具備中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心認(rèn)定的符合信息安全服務(wù)規(guī)范(CCRC-ISV-C01:2021)的二級或以上服務(wù)資質(zhì)；

9、服務(wù)商擬投入本項目的技術(shù)人員須具備如下條件：參與本項目組的成員至少有5人，且必須具備信息安全等級保護測評師資質(zhì)，項目經(jīng)理必須取得中級等級保護測評師資質(zhì)和注冊信息安全專業(yè)人員（CISP）資質(zhì)證書；

10、服務(wù)商擁有等級測評師人數(shù)要求50人以上，并提供等級測評師證書；

11、投標(biāo)人能夠保證被測系統(tǒng)的安全穩(wěn)定運行，具備7×24小時應(yīng)急響應(yīng)能力；

12、服務(wù)商應(yīng)熟悉被測系統(tǒng)的技術(shù)架構(gòu)及業(yè)務(wù)流程；

13、投標(biāo)人須提供等保測評技術(shù)人員6個月以上的社保繳存證明復(fù)印件以備核查；

14、本項目不接受聯(lián)合體及代理商投標(biāo)。

四、服務(wù)內(nèi)容和要求

（一）服務(wù)內(nèi)容

1.按照國家有關(guān)規(guī)定和要求，根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008），服務(wù)提供商須深入調(diào)研被測單位信息系統(tǒng)實際情況，開展業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全等方面的分析，確定信息系統(tǒng)等級，協(xié)助被測單位編制《網(wǎng)絡(luò)安全等級保護定級報告》。

2.測評前期協(xié)助被測單位，調(diào)查系統(tǒng)測評中需要的基本信息，包括系統(tǒng)基礎(chǔ)信息、物理機房、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器或存儲設(shè)備、終端或現(xiàn)場設(shè)備、系統(tǒng)管理軟件或平臺、業(yè)務(wù)應(yīng)用系統(tǒng)或平臺、關(guān)鍵數(shù)據(jù)類型、數(shù)據(jù)類別、安全相關(guān)人員、安全管理文檔、網(wǎng)絡(luò)拓?fù)涞取?/p>

3.協(xié)助被測單位從安全管理和安全技術(shù)等方面，針對各個系統(tǒng)具體的安全需求，在等級保護前期工作基礎(chǔ)上，提供專業(yè)的安全技術(shù)解決方案，提供技術(shù)咨詢服務(wù)。

4.在安全等級測評過程中，每個工作階段、流程、內(nèi)容及成果交付嚴(yán)格遵循《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》(GB/T 28448-2019)和《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》(GB/T 28449-2018)文件要求，從每個信息系統(tǒng)的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理十個層面進行等級保護測評。并通過安全控制層面間、區(qū)域間和系統(tǒng)結(jié)構(gòu)間的綜合分析進行整體測評和風(fēng)險分析，出具《網(wǎng)絡(luò)安全等級保護測評報告》及《系統(tǒng)風(fēng)險整改問題庫》。

5.通過專業(yè)掃描工具對網(wǎng)絡(luò)、系統(tǒng)應(yīng)用、主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等安全漏洞進行掃描，發(fā)現(xiàn)安全漏洞并給出整改建議。

6.對測評系統(tǒng)進行安全滲透測試。

7.根據(jù)現(xiàn)場測評結(jié)論，給被測單位出具安全技術(shù)和安全管理層面的有針對性的安全整改建議，指導(dǎo)被測單位進行安全整改加固，并開展復(fù)測，最終使安全管理和技術(shù)兩方面達到相應(yīng)等級的保護要求。

8.提供《系統(tǒng)風(fēng)險整改問題庫》（包括系統(tǒng)名稱、測評，漏掃，滲透測試中發(fā)現(xiàn)的高、中、低風(fēng)險問題、系統(tǒng)等級、問題風(fēng)險等級、問題整改建議、問題涉及的對象設(shè)備或IP等）。

（二）服務(wù)要求：

1.2022年12月30日前出具測評報告。

2.質(zhì)量保證期：驗收通過后，在服務(wù)期間（1年內(nèi)）對測評范圍內(nèi)的系統(tǒng)提供免費技術(shù)支持，現(xiàn)場應(yīng)急服務(wù)。

3.人員培訓(xùn)：由服務(wù)方負(fù)責(zé)免費對被測方管理人員、應(yīng)用人員進行信息安全技術(shù)現(xiàn)場培訓(xùn)，使其具備檢測、應(yīng)急處置能力。

4.服務(wù)方不得以任何形式向第三方透露被測方在測評過程中提供的系統(tǒng)網(wǎng)絡(luò)拓?fù)湫畔?、系統(tǒng)配置信息、數(shù)據(jù)庫相關(guān)信息、系統(tǒng)運行的數(shù)據(jù)、管理制度及流程，以及經(jīng)被測方聲明需要保密的其他信息。

5.應(yīng)急服務(wù)速度：接到通知遠(yuǎn)程立即響應(yīng)，具備7×24小時應(yīng)急響應(yīng)能力。

6.服務(wù)商提供《竣工報告》，包含完整準(zhǔn)確的受測評系統(tǒng)的《網(wǎng)絡(luò)安全等級保護測評報告》、《系統(tǒng)風(fēng)險整改問題庫》等內(nèi)容；

7.技術(shù)服務(wù)成果需滿足《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019)。

8.提交的資料符合國家、中國國家鐵路集團 （原中國鐵路總公司、原鐵道部）網(wǎng)絡(luò)安全等級保護測評相關(guān)技術(shù)標(biāo)準(zhǔn)。

（三）其他要求

1．投標(biāo)方應(yīng)牢固樹立“安全第一”的指導(dǎo)思想，建立健全各項安全管理規(guī)章制度，制訂并落實各項安全防護措施。

2. 投標(biāo)方全面負(fù)責(zé)其作業(yè)人員日常安全管理工作，依照《勞動法》、《安全生產(chǎn)法》以及國家、云南省等其他有關(guān)法律法規(guī)的規(guī)定，對作業(yè)人員身份進行相關(guān)審核，建立合法勞動關(guān)系，依法承擔(dān)相應(yīng)的各項安全職責(zé)，保證其作業(yè)人員的合法權(quán)益。

3.作業(yè)過程中的勞動人身安全、現(xiàn)場安全管理工作由投標(biāo)方負(fù)責(zé)。投標(biāo)方人員在作業(yè)期間發(fā)生的傷害事故由投標(biāo)方負(fù)全部責(zé)任，與招標(biāo)方無關(guān)。

4.項目實施相關(guān)人員應(yīng)簽訂保密協(xié)議與安全責(zé)任書，確保被測系統(tǒng)的數(shù)據(jù)安全，保證系統(tǒng)的安全穩(wěn)定運行。

5.測評過程及結(jié)果對第三方保密。

6.投標(biāo)人從2016年11月1日至今，至少有1個鐵路行業(yè)信息系統(tǒng)等級保護測評三級及以上系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的實施業(yè)績，并提供有效合同；

7.能夠提供與鐵路行業(yè)相關(guān)的對等保三級以上信息系統(tǒng)滲透測試未產(chǎn)生影響的證明并加蓋被測單位公章。

五、

六、其他

凡有意參加本項目潛在供應(yīng)商請與昆明局集團 信息技術(shù)所聯(lián)系，在2022年10月17日18：00前書面報名參與。

                                             中國鐵路昆明局集團 信息技術(shù)所

                                2022年10月12日