中航 (略)
* 年信息安全等級(jí)保護(hù)測(cè)評(píng)及備案項(xiàng)目
招 標(biāo) 文 件
(商務(wù)&技術(shù))
采 購(gòu) 人:中航 (略)
* ○ * * 年 * 月
目錄
招 標(biāo) 公 告... - 4 -
* 、項(xiàng)目名稱... - 4 -
* 、招標(biāo)服務(wù)范圍... - 5 -
* 、服務(wù)期... - 5 -
* 、服務(wù)地點(diǎn)... - 5 -
* 、投標(biāo)人資質(zhì)要求... - 6 -
* 、投保報(bào)名... - 7 -
* 、投標(biāo)保證金... - 8 -
第 * 章 投標(biāo)須知... - * -
* 、招標(biāo)服務(wù)范圍... - * -
* 、對(duì)投標(biāo)資格要求... - * -
* 、費(fèi)用承擔(dān)... - * -
* 、招標(biāo)答疑... - * -
第 * 章 關(guān)于投標(biāo)文件... - * -
* 、投標(biāo)文件組成... - * -
1. 投標(biāo)文件編訂... - * -
2.投標(biāo)文件修改、補(bǔ)充、撒回說(shuō)明... - * -
3.投標(biāo)文件編寫注意事項(xiàng)... - * -
4.投標(biāo)文件的簽署和印刷規(guī)定... - * -
5.投標(biāo)文件的數(shù)量、裝訂和密封規(guī)定... - * -
6.投標(biāo)文件遞交... - * -
7.投標(biāo)語(yǔ)言及計(jì)量單位... - * -
7.關(guān)于投標(biāo)報(bào)價(jià)... - * -
* 、關(guān)于開(kāi)標(biāo)、評(píng)標(biāo)、定標(biāo)... - * -
1.開(kāi)標(biāo)... - * -
2.評(píng)標(biāo)... - * -
3.定標(biāo)... - * -
* 、 (略) 失敗... - * -
1.投標(biāo)無(wú)效情況... - * -
2.招標(biāo)失敗情況... - * -
* 、關(guān)于合同簽署、付款和實(shí)施... - * -
1.合同簽訂... - * -
2.關(guān)于合同付款... - * -
* 、關(guān)于保密... - * -
第 * 章 招標(biāo)技術(shù)需求... - * -
* 、項(xiàng)目概況... - * -
1.項(xiàng)目背景... - * -
2.項(xiàng)目目標(biāo)... - * -
3.招標(biāo)內(nèi)容... - * -
第 * 章 技術(shù)標(biāo)準(zhǔn)和服務(wù)要求... - * -
* 、技術(shù)標(biāo)準(zhǔn)和規(guī)范... - * -
* 、招標(biāo)人技術(shù)及管理要求... - * -
1.技術(shù)要求... - * -
2.進(jìn)度與時(shí)間要求... - * -
3.輸出過(guò)程文檔... - * -
4.考核及驗(yàn)收要求... - * -
5.其他要求... - * -
第 * 章 附錄... - * -
* 、 (略) 分... - * -
附件1:投標(biāo)文件封面... - * -
附件2:投標(biāo)聲明函... *
附件3:投標(biāo)報(bào)價(jià)單... *
附件4:商務(wù)偏離表(僅描述偏離項(xiàng))... *
附件5:技術(shù)偏離表(僅描述偏離項(xiàng))... *
附件6:成功案例清單( *** 年)... *
附件7:資質(zhì)、信譽(yù)文件列表清單... *
附件8:擬任本項(xiàng)目工作主要人員情況表... *
附件9:盡職調(diào)查表... *
附件 * :法定代表人身份證明及授權(quán)委托書(shū)... *
附件 * :投標(biāo)保密承諾書(shū)... *
* 、 (略) 分... *
1.等保測(cè)評(píng)備案實(shí)施方案... *
2.網(wǎng)絡(luò)安全培訓(xùn)實(shí)施方案... *
3.項(xiàng)目實(shí)施整體計(jì)劃... *
4.項(xiàng)目售后服務(wù)方案... *
5.其它... *
中航 (略)
信息安全等級(jí)保護(hù)測(cè)評(píng)及備案項(xiàng)目
第 * 章 招標(biāo)公告
為貫徹落實(shí)國(guó)家《網(wǎng)絡(luò)安全法》、等級(jí)保護(hù)制度以 (略) 門的相關(guān)要求,中航 (略) 現(xiàn)針對(duì) * 年網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及備案項(xiàng) (略) 公開(kāi)招標(biāo), (略) 如下:
* 、項(xiàng)目名稱中航 (略) * 年等保測(cè)評(píng)備案服務(wù)
* 、招標(biāo)服務(wù)范圍本次招標(biāo)是依據(jù)《網(wǎng)絡(luò)安全法》、《信息安全等級(jí)保護(hù)測(cè)評(píng)要求》等要求,對(duì)公司重要信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)工作,提供差距項(xiàng)整改建議,出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告, (略) 進(jìn)行整改加固,協(xié)助公司完成信息系統(tǒng)備案、 (略) 絡(luò)安全培訓(xùn)等相關(guān)工作,并最終通過(guò) (略) 市公安機(jī)關(guān)等保認(rèn)證并獲得由 (略) 市公安機(jī)關(guān)頒發(fā)的“信息系統(tǒng)安全等級(jí)保護(hù)備案證明”憑證。
需等保測(cè)評(píng)備案系統(tǒng)如下:
序號(hào) | 信息系統(tǒng)名稱 | 定級(jí) | 數(shù)量 (套) |
1 | 核心業(yè)務(wù)系統(tǒng)(包括子系統(tǒng)) | 3 | 1 |
2 | 財(cái)務(wù)系統(tǒng)(包括子系統(tǒng)) | 3 | 1 |
3 | (略) 業(yè)務(wù)平臺(tái)(包括子系統(tǒng)) | 3 | 1 |
4 | 辦公系統(tǒng)(包括子系統(tǒng)) | 2 | 1 |
5 | 郵箱系統(tǒng) | 2 | 1 |
6 | (略) | 2 | 1 |
* 、服務(wù)期合同簽訂后,3個(gè)自然月內(nèi)需完成測(cè)評(píng)服務(wù)。
* 、服務(wù)地點(diǎn)招標(biāo)人指定地點(diǎn)。
* 、投標(biāo)人資質(zhì)要求
1)凡是在中華人民共和國(guó)境內(nèi)依照《 (略) 法》注冊(cè)的、營(yíng)業(yè)執(zhí)照范圍允許的、 (略) 貨物及服務(wù)的企業(yè);
2)投標(biāo)人必須滿足《中華人民共和國(guó)政府采購(gòu)法》 * 十 * 條之規(guī)定:
( * )具有獨(dú)立承擔(dān)民事責(zé)任的能力;
( * )具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度;
( * ) (略) (略) 必需的設(shè)備和專業(yè)技術(shù)能力;
( * )有依法 (略) 會(huì)保障資金的良好記錄;
( * )參加政府采購(gòu)活動(dòng)前 * 年內(nèi),在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄;
( * )法律、行政法規(guī)規(guī)定的其他條件。
3)投標(biāo)參與方必須提 (略) 門頒發(fā)的有效的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》復(fù)印件。
4)投標(biāo)人提供的信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)上單位名稱與投標(biāo)人營(yíng)業(yè)執(zhí)照上單位名稱 * 致,且可在www.djbh. (略) 查詢。
5) (略) 的貨 (略) 設(shè)計(jì)、編制規(guī)范 (略) (略) 或其附屬機(jī)構(gòu)有任何關(guān)聯(lián);
6)按照本投標(biāo)邀請(qǐng)的規(guī)定,獲得招標(biāo)文件;
7)本項(xiàng)目不接受聯(lián)合體投標(biāo)。
* 、投保報(bào)名 (略) (略) 文件:(以下文件均需要蓋章)
1)投標(biāo)單位營(yíng)業(yè)執(zhí)照副本復(fù)印件;
2)必須提 (略) 門頒發(fā)的有效的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》復(fù)印件;(原件請(qǐng) * 并攜帶用于核驗(yàn))
3)法人身份證明或法人授權(quán)委托書(shū)及被授權(quán)人的身份證;
4)經(jīng) (略) 出具的 * 度完整的財(cái)務(wù)審計(jì)報(bào)告復(fù)印件加蓋單位公章。如投標(biāo)人無(wú)法提供審計(jì)報(bào)告,則須提供 (略) 出具的資信證明原件或復(fù)印件;
5)近 * (略) 會(huì)保障資金的入賬票據(jù)憑證復(fù)印件;
6)近 * 個(gè)月的依法繳納稅收的入賬票據(jù)憑證復(fù)印件;
7)參加本次采購(gòu)活動(dòng)前 * 年內(nèi),在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄的聲明。
招標(biāo)文件(電子版)領(lǐng)取時(shí)間: (略) 發(fā)布之日起5個(gè)工作日內(nèi),每天上午9: * - * : * ;下午 * : * - * : * ( (略) 時(shí)間,節(jié)假日除外)。
招標(biāo)文件領(lǐng)取地點(diǎn): (略) 市 (略) 區(qū)交子大道 * 號(hào)中 (略) 1號(hào)樓 * 層。聯(lián)系人:王建國(guó);聯(lián)系電話: *** 。
8)投標(biāo)保證金: * 0元人民幣
9)投標(biāo)及標(biāo)書(shū)投遞:
投標(biāo)書(shū)投遞時(shí)間: (略) 發(fā)布之日起5個(gè)工作日內(nèi),每天上午9: * - * : * ;下午 * : * - * : * ( (略) 時(shí)間,節(jié)假日除外)。
標(biāo)書(shū)投遞地址:見(jiàn)開(kāi)標(biāo)地點(diǎn)。
* )開(kāi)標(biāo)地點(diǎn):
(1) (略) 地址: (略) 市 (略) 區(qū)交子大道 * 號(hào)中 (略) 1號(hào)樓 * 層;聯(lián)系人:王建國(guó);聯(lián)系電話: *** 。
(2) (略) 地址: (略) 市 (略) 區(qū)望京東園 * 區(qū)2號(hào)樓中航資本大廈 * 層; 聯(lián)系人:彭馨園;聯(lián)系電話: ***
* )評(píng)標(biāo)辦法:綜合評(píng)分法。
* )公告時(shí)限: * 個(gè)工作日
招標(biāo)人信息:中航 (略)
地 址: (略) 市 (略) 區(qū)交子大道 * 號(hào)中 (略) 1號(hào)樓 * 層;聯(lián) 系 人:王建國(guó);聯(lián)系方式: ***
(略) 提出詢問(wèn),請(qǐng)按以上聯(lián)系方式聯(lián)系。
* 、投標(biāo)保證金1) (略) 文件后3日內(nèi)(包含報(bào)名日)繳納投標(biāo)保證金人民幣 * 0元整, (略) 書(shū)指定的賬號(hào)。
2) (略) 文件規(guī)定的金額和期限繳納投標(biāo)保證金,投標(biāo)保證金作為投標(biāo) (略) 分。提交投標(biāo)保證金的投標(biāo)單位須已報(bào)名本項(xiàng)目。投標(biāo)單位與交款單位名稱必須 * 致,投標(biāo)單位必須從企業(yè) (略) * 次性繳交足額投標(biāo)保證金,不接受現(xiàn)金或分批次繳款。非投標(biāo)單位繳納的投標(biāo)保證金無(wú)效。
3)投標(biāo)單位交納投標(biāo)保證金后, (略) 書(shū)所描 (略) 核對(duì)保證金是否有效并發(fā)送繳費(fèi)憑證至聯(lián)系人指定郵箱地址。
4)報(bào)名后未按要求繳納投標(biāo)保證金,報(bào)名無(wú)效。
5)投標(biāo)保證金的退回:
(1)未中標(biāo)公司的投標(biāo)保證金在開(kāi)標(biāo)后 * 個(gè)工作日內(nèi)予以無(wú)息退還。
(2) (略) 方簽訂合同后 * 個(gè)工作日內(nèi)予以無(wú)息退還。
6)投標(biāo)保證金指定賬號(hào)信息
公司基本戶信息如下:
賬號(hào): ***
戶名:中航 (略)
(略) : (略) (略)
聯(lián)行號(hào): ***
注: 要求只能通過(guò)轉(zhuǎn)賬方式收取。
特此公告!
中航 (略)
* 〇 * * 年 * 月十 * 日
第 * 章 投標(biāo)須知
* 、招標(biāo)服務(wù)范圍本次招標(biāo)是依據(jù)《網(wǎng)絡(luò)安全法》、《信息安全等級(jí)保護(hù)測(cè)評(píng)要求》等要求,對(duì)公司重要信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)工作,提供差距項(xiàng)整改建議,出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告, (略) 進(jìn)行整改加固,協(xié)助公司完成信息系統(tǒng)備案等相關(guān)工作,在公司全轄 (略) 絡(luò)安全培訓(xùn),并最終通過(guò) (略) 市公安機(jī)關(guān)等保認(rèn)證并獲得由 (略) 市公安機(jī)關(guān)頒發(fā)的“信息系統(tǒng)安全等級(jí)保護(hù)備案證明”憑證。
需等保測(cè)評(píng)備案系統(tǒng)如下:
序號(hào) | 信息系統(tǒng)名稱 | 定級(jí) | 數(shù)量 (套) |
1 | 核心業(yè)務(wù)系統(tǒng)(包括子系統(tǒng)) | 3 | 1 |
2 | 財(cái)務(wù)系統(tǒng)(包括子系統(tǒng)) | 3 | 1 |
3 | (略) 業(yè)務(wù)平臺(tái)(包括子系統(tǒng)) | 3 | 1 |
4 | 辦公系統(tǒng)(包括子系統(tǒng)) | 2 | 1 |
5 | 郵箱系統(tǒng) | 2 | 1 |
6 | (略) | 2 | 1 |
* 、對(duì)投標(biāo)資格要求1)凡是在中華人民共和國(guó)境內(nèi)依照《 (略) 法》注冊(cè)的、營(yíng)業(yè)執(zhí)照范圍允許的、 (略) 貨物及服務(wù)的企業(yè);
2)投標(biāo)人必須滿足《中華人民共和國(guó)政府采購(gòu)法》 * 十 * 條之規(guī)定:
( * )具有獨(dú)立承擔(dān)民事責(zé)任的能力;
( * )具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度;
( * ) (略) (略) 必需的設(shè)備和專業(yè)技術(shù)能力;
( * )有依法 (略) 會(huì)保障資金的良好記錄;
( * )參加政府采購(gòu)活動(dòng)前 * 年內(nèi),在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄;
( * )法律、行政法規(guī)規(guī)定的其他條件。
3)投標(biāo)參與方必須提 (略) 門頒發(fā)的有效的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》。
4)投標(biāo)人提供的信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)上單位名稱與投標(biāo)人營(yíng)業(yè)執(zhí)照上單位名稱 * 致,且可在www.djbh. (略) 查詢。
5) (略) 的貨 (略) 設(shè)計(jì)、編制規(guī)范 (略) (略) 或其附屬機(jī)構(gòu)有任何關(guān)聯(lián);
6)按照本投標(biāo)邀請(qǐng)的規(guī)定,獲得招標(biāo)文件;
7)本項(xiàng)目不接受聯(lián)合體投標(biāo)。
* 、費(fèi)用承擔(dān) (略) (略) 有與準(zhǔn)備和參加投 (略) 費(fèi)用,不論投標(biāo)的結(jié)果如何,招標(biāo)人或用戶均無(wú)義務(wù)和責(zé)任承擔(dān)這些費(fèi)用。
* 、招標(biāo)答疑1) (略) (略) 述內(nèi)容有疑問(wèn), (略) 規(guī)定的投標(biāo)截止時(shí)間和地點(diǎn)以書(shū)面或 (略) 遞交,招標(biāo)單位 (略) 有投標(biāo)單位以 (略) 答復(fù)。
2)招標(biāo)單位收到投標(biāo)單位提出的疑問(wèn)后,由招標(biāo)單位分別 (略) 提的 (略) 解答, (略) 文件的補(bǔ)充文件,并在規(guī)定投標(biāo)截止時(shí) (略) 有投標(biāo)單位。
3)招標(biāo)單位對(duì)投標(biāo)單位 (略) 做出的任何口頭或電話詢問(wèn)與答復(fù)均屬無(wú)效,以書(shū)面答疑為準(zhǔn)。
4)在投標(biāo)截止時(shí)間前, (略) (略) 修改、補(bǔ)充,若原招標(biāo)文件與后補(bǔ)充文件有矛盾時(shí),以后補(bǔ)文件為準(zhǔn)。
5) (略) 澄清或修改的內(nèi)容會(huì)導(dǎo)致投標(biāo)單位不能按期完成投標(biāo)文件,招標(biāo)單位有權(quán)延長(zhǎng)投標(biāo)截止日期。
第 * 章 關(guān)于投標(biāo)文件
* 、投標(biāo)文件組成請(qǐng)按下列要求順序裝訂,目錄索引與投標(biāo)書(shū)頁(yè)碼對(duì)應(yīng)。
- 投標(biāo)文件編訂
以 (略) 公章,并在需要簽名的位置手寫簽名。
- 投標(biāo)文件封面目錄(格式見(jiàn)附件1);
- 投標(biāo)聲明函(格式見(jiàn)附件2);
- 報(bào)價(jià)報(bào)價(jià)單(格式見(jiàn)附件3);
- 服務(wù)內(nèi)容和標(biāo)準(zhǔn)承諾函(格式自定義);
- 商務(wù)偏離表(格式見(jiàn)附件4);
- 技術(shù)偏離表(格式見(jiàn)附件5);
- *** 成功案例清單列表(格式見(jiàn)附件6)
- *** 年成功案例證明(案例合同 * * 雙方蓋章位置及服務(wù)內(nèi)容復(fù)印蓋章);
- 資質(zhì)能力、信譽(yù)文件證明列表清單(格式見(jiàn)附件7)
* )營(yíng)業(yè)執(zhí)照副本復(fù)印件
* )投標(biāo)參與方必須提 (略) 門頒發(fā)的有效的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》復(fù)印件。
* )投標(biāo)企業(yè)法定代表人資格證明或法人授權(quán)委托書(shū)(格式見(jiàn)附件 * );
* )擬擔(dān)任本項(xiàng)目工作主要人員情況表(格式見(jiàn)附件8)
* )企業(yè)信譽(yù)相關(guān)證明資料;
(1)經(jīng) (略) 出具的 * 度完整的財(cái)務(wù)審計(jì)報(bào)告復(fù)印件加蓋單位公章。如投標(biāo)人無(wú)法提供審計(jì)報(bào)告,則須提供 (略) 出具的資信證明原件或復(fù)印件;
(2)近 * (略) 會(huì)保障資金的入賬票據(jù)憑證復(fù)印件;
(3)近 * 個(gè)月的依法繳納稅收的入賬票據(jù)憑證復(fù)印件;
* )聯(lián)系人姓名、電話、傳真、郵編、地址及身份證明;
* )盡職調(diào)查表(格式見(jiàn)附件9)
* )投標(biāo)保證金憑證
* )投標(biāo)保密承諾書(shū)(格式見(jiàn)附件 * )
* )技術(shù)方案
* )投標(biāo)文件電子版(投標(biāo)書(shū)WORD版COPY進(jìn)U盤,密封進(jìn)投標(biāo)書(shū)中。)
2.投標(biāo)文件修改、補(bǔ)充、撒回說(shuō)明
投標(biāo)人在投標(biāo)截止時(shí)間前, (略) 遞交的 (略) 補(bǔ)充、修改或者撤回(僅限1次), (略) 人。補(bǔ)充、 (略) 文件要求簽署、蓋章,并作為投標(biāo) (略) 分。
3.投標(biāo)文件編寫注意事項(xiàng)
1)投標(biāo) (略) (略) 資料的真實(shí)性、準(zhǔn)確性,否則,將拒絕其投標(biāo)。投標(biāo)人在投標(biāo)文件中提供不真實(shí)的材料,無(wú)論其材料是否重要,都將視為投標(biāo)無(wú)效,并承擔(dān)由此產(chǎn)生的法律責(zé)任。
2) (略) 文件的每 * 項(xiàng)要求給予實(shí)質(zhì)性響應(yīng),否則將視為不響應(yīng)。“實(shí)質(zhì)性響應(yīng)”指符 (略) 有要求、條款、條件和規(guī)定,且沒(méi)有重大偏離。
3) (略) 文件的 (略) 給予的響應(yīng)必須是唯 * 的。否則將視為不響應(yīng)。
4.投標(biāo)文件的簽署和印刷規(guī)定
1)投標(biāo)文件正本須打印并由投標(biāo)人法定代表人或其委托代理人在正本和副本上要求的地方簽字。
2)投標(biāo)文件除簽字外其余必須是印刷形式,其 (略) 、涂抹或改寫。
3)郵箱、電話、傳真形式的投標(biāo)概不接受。
5.投標(biāo)文件的數(shù)量、裝訂和密封規(guī)定
1)投標(biāo)人應(yīng)準(zhǔn)備投標(biāo)文件的正本2套,副本2套,在每 * 份投標(biāo)文件上要明確注明“正本” 或“副本”字樣。 * 旦正本和副本內(nèi)容有差異,以正本為準(zhǔn)。
2) 投標(biāo)人應(yīng)將投標(biāo)文件按 (略) 分投標(biāo)文件編訂要求單獨(dú)裝訂成冊(cè),在正副本封面上加蓋公章并簽字。
3)投標(biāo)文件應(yīng)裝訂牢固不可拆卸(如:膠訂),如因裝訂不牢固導(dǎo)致的任何損失由投標(biāo)人承擔(dān)。
4)正本與副本分別獨(dú)立封裝, (略) 加蓋公章,并在信封上標(biāo)明投標(biāo)人名稱和聯(lián)系方式信息。
6.投標(biāo)文件遞交
1)投標(biāo)人將投標(biāo)文件按 (略) 密封和標(biāo)記后, (略) 采購(gòu)單位。
2)招標(biāo)單位將拒絕在投標(biāo)截止時(shí)間后收到的投標(biāo)文件。
3) * 正 * 副本投遞至 (略) 指定地點(diǎn)( (略) ), * 正 * 副本投遞至 (略) 指定地點(diǎn)( (略) )。
7.投標(biāo)語(yǔ)言及計(jì)量單位
1) (略) 采購(gòu)單位就投標(biāo)交換的文件和來(lái)往信件,應(yīng)以中文書(shū)寫。投標(biāo)人提供的支持文件、技術(shù)資料和印刷的文獻(xiàn)可以用其他語(yǔ)言,但相應(yīng)內(nèi)容應(yīng)附有中文翻譯本,以中文為準(zhǔn)。
2)計(jì)量單位應(yīng)使用中華人民共和國(guó)法定公制計(jì)量單位。
7.關(guān)于投標(biāo)報(bào)價(jià)
(略) 方信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作量,并結(jié)合招標(biāo)方測(cè)評(píng)工作的特殊性,將項(xiàng)目規(guī)劃為按被測(cè)評(píng)信息 (略) 單項(xiàng)核算,并給出匯總報(bào)價(jià)。
1)投標(biāo)人必須以人民幣報(bào)價(jià)。
2) (略) 文件指定格式正確填寫報(bào)價(jià)單,報(bào)價(jià)單中相應(yīng)內(nèi)容的報(bào)價(jià)應(yīng)計(jì)算正確。
3)每 * 項(xiàng)目的報(bào)價(jià)必須是唯 * 的。報(bào)價(jià)欄項(xiàng)目中如出現(xiàn)數(shù)字0,視報(bào)價(jià)為零,即免費(fèi);如出現(xiàn)空白,視為已響應(yīng)但漏報(bào)價(jià)。
4)漏報(bào)的單價(jià)或每單價(jià)報(bào)價(jià)中漏報(bào)、少報(bào)的費(fèi)用,視為此項(xiàng)費(fèi)用已隱含在投標(biāo)報(bào)價(jià)中,中標(biāo)后不得再向采購(gòu)人收取任何費(fèi)用。
5)所有報(bào)價(jià)應(yīng)包 (略) 有費(fèi)用(包含 (略) 有稅費(fèi))。
6)報(bào)價(jià)單的總報(bào)價(jià)大小寫應(yīng)該 * 致,大寫金額和小寫金額不 * 致的,以大寫金額為準(zhǔn)。
7)開(kāi)標(biāo)時(shí),投標(biāo)文件中報(bào)價(jià)單的總報(bào)價(jià)與投標(biāo)文件中明細(xì)表的報(bào)價(jià)不 * 致的,以報(bào)價(jià)單的總報(bào)價(jià)為準(zhǔn)。
8)投標(biāo)文件的大寫金額和小寫金額不 * 致的,以大寫金額為準(zhǔn);總價(jià)金額與按單價(jià)匯總金額不 * 致的,以單價(jià)金額計(jì)算結(jié)果為準(zhǔn);單價(jià)金額小數(shù)點(diǎn)有明顯錯(cuò)位的,應(yīng)以總價(jià)為準(zhǔn),并修改單價(jià);對(duì)不同文字文本投標(biāo)文件的解釋發(fā)生異議的,以中文文本為準(zhǔn)。
* 、關(guān)于開(kāi)標(biāo)、評(píng)標(biāo)、定標(biāo)1.開(kāi)標(biāo)
1)由招標(biāo)采購(gòu)單位根據(jù)安排確定時(shí)間,并提前通知投標(biāo)人。
2.評(píng)標(biāo)
1) (略) 需 (略) 。
2) (略) 將遵照公開(kāi)、公平、公正、科學(xué)合理的評(píng)標(biāo)原則, (略) 文件的要 (略) 評(píng)標(biāo), (略) 有投標(biāo)方, (略) 綜合分析投標(biāo)方的各項(xiàng)指標(biāo)擇優(yōu)定標(biāo),而不以單項(xiàng)指標(biāo)的優(yōu)劣評(píng)選出入圍單位。
3) (略) 將對(duì) (略) 審查、質(zhì)疑、評(píng)估和比較;必要時(shí),可對(duì)投標(biāo)文件中的問(wèn)題 (略) 詢問(wèn)。
3.定標(biāo)
1) (略) 綜合評(píng)審, (略) 。
2)綜合考慮以下因素評(píng)標(biāo)定標(biāo):
(1)報(bào)價(jià)
(2)等級(jí)保護(hù)測(cè)評(píng)人員資質(zhì)情況
(3)信息安全服務(wù)能力情況
(4)服務(wù)承諾
(5)企業(yè)信譽(yù)
(6)成功案例情況
3)不承諾 (略) 。
4)不向落標(biāo)方解釋落標(biāo)原因。
5)評(píng)標(biāo)結(jié)束后,招標(biāo)人將及時(shí) (略) 預(yù)留聯(lián)系 (略) 。入圍公司2天內(nèi)要給出明確答復(fù),并與招標(biāo)人洽談合同事項(xiàng)。若因商務(wù)或其他原因無(wú)法達(dá)成協(xié)議,招標(biāo)人 (略) 。
6)招 (略) 發(fā)出未中標(biāo)通知。
7)入圍公司在洽談合同時(shí),提出與招標(biāo)文件規(guī)定相反的意見(jiàn),如招標(biāo) (略) 堅(jiān)持不變的,招 (略) 的中標(biāo)資格,由此產(chǎn)生的后果和 (略) 負(fù)責(zé)。
8)本招標(biāo)書(shū)、入圍公司的投標(biāo)文件及其澄清文件等,均為簽訂經(jīng)濟(jì)合同的依據(jù)。
* 、 (略) 失敗1.投標(biāo)無(wú)效情況
1)投標(biāo)文件未密封;
2)投標(biāo)聲明函無(wú)單位蓋章和法定代表人或法定代表人委托的代理人的印鑒;
3)投標(biāo)文件不完整、 (略) 文件做出實(shí)質(zhì)的響應(yīng)導(dǎo)致投標(biāo)無(wú)效;
4)投標(biāo)設(shè)備或服務(wù)明顯不符合技術(shù)規(guī)格、技術(shù)標(biāo)準(zhǔn)的要求;
5)投標(biāo)文件載明的貨物包裝方式、 (略) 文件的要求;
6) (略) 采購(gòu)單位不能接受的條件;
7)投標(biāo)文件逾期送達(dá);
8)不滿足招標(biāo)文件中其它重要指標(biāo);
2.招標(biāo)失敗情況
1) (略) 文件作實(shí)質(zhì)響應(yīng)的投標(biāo)人不足 * 家的;
2)出現(xiàn)影響采購(gòu)公正的違法、 (略) 為的;
3)投標(biāo)人的報(bào)價(jià)均超過(guò)了采購(gòu)預(yù)算,采購(gòu)人不能支付的;
4)因重大變故,采購(gòu)任務(wù)取消的。
* 、關(guān)于合同簽署、付款和實(shí)施 (略) (略) 實(shí)施方案的細(xì)化確認(rèn),并經(jīng)過(guò)商務(wù)談判后才能簽訂合同。
2.關(guān)于合同付款
(1)合同簽訂、 (略) 正式開(kāi)展項(xiàng)目實(shí)施后,由中標(biāo)人提供發(fā)票等相關(guān)資料后 * 個(gè)工作日內(nèi),招標(biāo)方付合同金額的 * %款項(xiàng)給中標(biāo)方;
(2)項(xiàng)目實(shí)施完成達(dá)成項(xiàng)目目標(biāo),并完 (略) 等保備案后 * 個(gè)工作日內(nèi),招標(biāo)方付合同金額的 * %款項(xiàng)給中標(biāo)方;
* 、關(guān)于保密未經(jīng)招標(biāo)人和投標(biāo)人許可, (略) 文件中關(guān)于采購(gòu)人的系統(tǒng)現(xiàn)狀及需求情況、建設(shè)情況提供給任何第 * 方。
第 * 章 招標(biāo)技術(shù)需求
* 、項(xiàng)目概況1.項(xiàng)目背景
為貫徹落實(shí)國(guó)家《網(wǎng)絡(luò)安全法》、等級(jí)保護(hù)制度以 (略) 門的相關(guān)要求,深入開(kāi)展中航 (略) ( (略) 人)網(wǎng)絡(luò)及信息系統(tǒng)的安全隱患發(fā)現(xiàn)、安全隱患整治,提升中航安盟建設(shè)新 (略) 絡(luò)安全保障能力,開(kāi)展 * 年等級(jí)保護(hù)(以下簡(jiǎn)稱等保)測(cè)評(píng)服務(wù)工作,確保公司信息系統(tǒng)安全穩(wěn)定運(yùn)維。
2.項(xiàng)目目標(biāo)
本次招標(biāo)是依據(jù)《網(wǎng)絡(luò)安全法》、《信息安全等級(jí)保護(hù)測(cè)評(píng)要求》等要求,對(duì)招標(biāo)人重要信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)工作,提供差距項(xiàng)整改建議,出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告, (略) 進(jìn)行整改加固,協(xié)助招標(biāo)人完成信息系統(tǒng)備案等相關(guān)工作, (略) 絡(luò)安全培訓(xùn),并最終通過(guò) (略) 市公安機(jī)關(guān)等保認(rèn)證并獲得由 (略) 市公安機(jī)關(guān)頒發(fā)的“信息系統(tǒng)安全等級(jí)保護(hù)備案證明”憑證。
需等保測(cè)評(píng)備案系統(tǒng)如下:
序號(hào) | 信息系統(tǒng)名稱 | 定級(jí) | 數(shù)量 (套) |
1 | 核心業(yè)務(wù)系統(tǒng)(包括子系統(tǒng)) | 3 | 1 |
2 | 財(cái)務(wù)系統(tǒng)(包括子系統(tǒng)) | 3 | 1 |
3 | (略) 業(yè)務(wù)平臺(tái)(包括子系統(tǒng)) | 3 | 1 |
4 | 辦公系統(tǒng)(包括子系統(tǒng)) | 2 | 1 |
5 | 郵箱系統(tǒng) | 2 | 1 |
6 | (略) | 2 | 1 |
3.招標(biāo)內(nèi)容
3.1 服務(wù)內(nèi)容概述
3.1.1 等保測(cè)評(píng)
依據(jù)等保2.0相關(guān)要求,對(duì)中航安盟保險(xiǎn)信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)工作,提供差距項(xiàng)整改建議,出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告,配合招標(biāo)人在 (略) 完成信息系統(tǒng)等級(jí)保護(hù)備案。
1)信息系統(tǒng)的信息安全等級(jí)定級(jí)和備案工作,必須確保每個(gè)信息系統(tǒng)定級(jí)、備案通過(guò)市級(jí)以上公安機(jī)關(guān)的備案手續(xù),取得相應(yīng)等級(jí)保護(hù)備案證明。
2)按照信息系統(tǒng)安全等級(jí)保護(hù)要求,對(duì)信息系統(tǒng)完成系統(tǒng)拓?fù)涿枥L及說(shuō)明;協(xié)助信息系統(tǒng)業(yè)主方完善系統(tǒng)安全管理制度;對(duì)系統(tǒng)安全保護(hù)實(shí)施設(shè)計(jì)方案或改建實(shí) (略) ;出具 (略) 認(rèn)可的系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告。
3)安全技術(shù)測(cè)評(píng)。包括安全物理環(huán)境、 (略) 絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、 (略) 方面的安全測(cè)評(píng)。
4)安全管理測(cè)評(píng)。包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全系統(tǒng)建設(shè)和安全系統(tǒng)運(yùn)維 * 個(gè)方面的安全測(cè)評(píng)。
5)形成問(wèn)題匯總及整改意見(jiàn)報(bào)告。依據(jù)測(cè)評(píng)結(jié)果,對(duì)等級(jí) (略) 匯總統(tǒng)計(jì)(測(cè)評(píng)項(xiàng)符合情況及比例、單元測(cè)評(píng)結(jié)果符合情況比例以及整體測(cè)評(píng)結(jié)果);通過(guò)對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析給出初步測(cè)評(píng)結(jié)論。根據(jù)測(cè)評(píng)結(jié)果制定《系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)問(wèn)題匯總及整改意見(jiàn)報(bào)告》,列出被測(cè)信息系統(tǒng)中存在的主要問(wèn)題以、整改意見(jiàn)。
6)協(xié)助完成整改工作。依據(jù)整改方案,為安全整改的各項(xiàng)工 (略) 服務(wù),并協(xié)助制定整改計(jì)劃和確定信息安整改標(biāo)準(zhǔn)和整改結(jié)果達(dá)標(biāo)確認(rèn)。
7)等級(jí)測(cè)評(píng),至少包括:
在系統(tǒng)整改完成后,按照等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)對(duì)系統(tǒng)從技術(shù)、管 (略) 安全等級(jí)測(cè)評(píng)工作。
編制測(cè)評(píng)報(bào)告。制定并提交《系統(tǒng)信息安全等級(jí)測(cè)評(píng)報(bào)告》,報(bào)告需提 (略) 安部門備案,且能滿足合規(guī)性要求,備案證明作為驗(yàn)收材料之 * 。
8)針對(duì)招標(biāo)方開(kāi)展 (略) 絡(luò)安全培訓(xùn),以實(shí)戰(zhàn)和理論相結(jié) (略) 。
3.2 服務(wù)指標(biāo)
3.2.1 * 級(jí)系統(tǒng)通用指標(biāo)要求
分類 | 子類 | 基本要求 |
安全物理環(huán)境 | 物理位置選擇 | a) (略) 地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi); b) (略) 地應(yīng)避免設(shè)在建筑物的頂層或地下室,否則應(yīng)加強(qiáng)防水和防潮措施。 |
物理訪問(wèn)控制 | 機(jī)房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。 |
防盜竊和防破壞 | a) 應(yīng)將 (略) (略) 固定,并設(shè)置明顯的不易除去的標(biāo)識(shí); b) 應(yīng)將通信線纜鋪設(shè) (略) 。 |
防雷擊 | 應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地。 |
防火 | a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火; b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料。 |
防水和防潮 | a) 應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透; b) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。 |
防靜電 | 應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施。 |
溫濕度控制 | 應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫濕度的變 (略) 所允許的范圍之內(nèi)。 |
電力供應(yīng) | a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備; b) 應(yīng)提供短期的備用電力供應(yīng),至少滿足設(shè)備在斷電情況 (略) 要求。 |
電磁防護(hù) | 電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾。 |
(略) 絡(luò) | 網(wǎng)絡(luò)架構(gòu) | a) 應(yīng) (略) 絡(luò)區(qū)域,并按照方便管理和控制 (略) 絡(luò)區(qū)域分配地址;
b) 應(yīng) (略) (略) (略) , (略) 絡(luò) (略) 絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。 |
通信傳輸 | 應(yīng)采用校驗(yàn)技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。 |
可信驗(yàn)證 | 可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng) (略) 可信 驗(yàn)證,并在檢測(cè)到其可信性受 (略) 報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送 (略) 。 |
安全區(qū)域邊界 | 邊界防護(hù) | 應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的 (略) 通信。 |
訪問(wèn)控制 | a) (略) 絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則,默認(rèn)情況下除允許通信外受 (略) 有通信;
b) 應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則,優(yōu)化訪問(wèn)控制列表,并保證訪問(wèn)控制規(guī)則數(shù)量最小化;
c) 應(yīng)對(duì)源地址、目的地址、源端口、目的端口 (略) 檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出;
d) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力。 |
入侵防范 | (略) (略) (略) (略) 為。 |
惡意代碼防范 | (略) (略) 對(duì) (略) 檢測(cè)和清除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。 |
安全審計(jì) | a) (略) 絡(luò)邊界、 (略) (略) 安全審計(jì),審計(jì)覆蓋到每個(gè)用戶,對(duì) (略) 為和重要 (略) 審計(jì);
b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c) 應(yīng)對(duì) (略) 保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等。 |
可信驗(yàn)證 | 可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng) (略) 可信驗(yàn)證,并在檢測(cè)到其可信性受 (略) 報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送 (略) 。 |
安全計(jì)算環(huán)境 | 身份鑒別 | a) 應(yīng)對(duì)登 (略) 身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯 * 性,身份鑒別信息具有復(fù)雜度要求并定期更換;
b) 應(yīng)具 (略) 理功能,應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施;
c) (略) 遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止 (略) 絡(luò)傳輸過(guò)程中被竊聽(tīng)。 |
訪問(wèn)控制 | a) 應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限;
b) 應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令;
c) 應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶,避免共享賬戶的存在; d) 應(yīng)授 (略) 需的最小權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離。 |
安全審計(jì) | a) 應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對(duì) (略) 為和重要 (略) 審計(jì);
b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c) 應(yīng)對(duì) (略) 保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等。 |
入侵防范 | a) 應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序;
b) 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;
c) 應(yīng)通過(guò)設(shè)定終端 (略) 絡(luò)地址 (略) (略) 管理的 (略) 限制;
d) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求;
e) 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過(guò)充分測(cè)試評(píng)估后,及時(shí)修補(bǔ)漏洞。 |
惡意代碼防范 | 應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件, (略) 升級(jí)和更新防惡意代碼庫(kù)。 |
可信驗(yàn)證 | 可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng) (略) 可信驗(yàn)證, 并在檢測(cè)到其可信性受 (略) 報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送 (略) 。 |
數(shù)據(jù)完整性 | 應(yīng)采用校驗(yàn)技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性。 |
數(shù)據(jù)備份恢復(fù) | a) 應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能;
b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能, (略) 絡(luò)將重要數(shù)據(jù)定時(shí)批量 (略) 地。 |
剩余信息保護(hù) | 應(yīng)保 (略) 在的存儲(chǔ)空間被釋放或重新分配前得到完全清除。 |
個(gè)人信息保護(hù) | a) 應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息;
b) 應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息。 |
(略) | 系統(tǒng)管理 | a)應(yīng)對(duì)系 (略) 身份鑒別,只允許其通過(guò)特定的命令或 (略) 系統(tǒng)管理操作,并對(duì) (略) 審計(jì);
b)應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng) (略) 進(jìn)行配置、控制和管理,包括用戶身份、系統(tǒng)資源配置、 系統(tǒng)加載和啟動(dòng)、 (略) (略) 理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。 |
審計(jì)管理 | a) 應(yīng)對(duì)審 (略) 身份鑒別,只允許其通過(guò)特定的命令或 (略) 安全審計(jì)操作,并對(duì) (略) 審計(jì);
b) 應(yīng)通過(guò)審計(jì)管理員對(duì) (略) 分析,并根據(jù) (略) 處理,包括根據(jù)安全審計(jì)策略對(duì) (略) 存儲(chǔ)、管理和查詢等。 |
安全管理制度 | 安全策略 | (略) 絡(luò)安全工作的總體方針和安全策略,闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全 框架等。 |
管理制度 | a) 應(yīng)對(duì)安全管理活動(dòng)中的主要管理內(nèi)容建立安全管理制度;
b) 應(yīng)對(duì)管理人員或 (略) 的日常管理操作建立操作規(guī)程。 |
制定和發(fā)布 | a) 應(yīng)指定或 (略) 門或人員負(fù)責(zé)安全管理制度的制定;
b) 安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布, (略) 版本控制。 |
評(píng)審和修訂 | 應(yīng)定期對(duì)安全管理制度的合理性 (略) 論證和審定,對(duì)存在不足或需要改進(jìn)的安全管理制 (略) 修訂。 |
安全管理機(jī)構(gòu) | 崗位設(shè)置 | a) (略) 絡(luò)安全管理 (略) 門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);
b) 應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位, (略) 門及各個(gè)工作崗位的職責(zé)。 |
人員配備 | 應(yīng)配備 * 定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等。 |
授權(quán)和審批 | a) (略) 門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、 (略) 門和批準(zhǔn)人等;
b) 應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接 (略) 審批過(guò)程。 |
溝通和 (略) | a) 應(yīng)加強(qiáng)各類管理人員、 (略) (略) (略) 門之間的 (略) 與溝通,定期召開(kāi)協(xié)調(diào)會(huì)議, (略) 理網(wǎng)絡(luò)安全問(wèn)題;
b) (略) (略) 門、各類供應(yīng)商、業(yè)界專家及安全組織的 (略) 與溝通;
c) 應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、 (略) 內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。 |
審核和檢查 | (略) 常規(guī)安全檢查,檢查內(nèi)容包括 (略) 、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。 |
安全管理人員 | 人員錄用 | a) 應(yīng)指定或 (略) 門或人員負(fù)責(zé)人員錄用;
b) 應(yīng)對(duì)被錄用人員的身份、安全背景、專業(yè)資格 (略) 審查。 |
人員離崗 | 應(yīng)及時(shí)終止 (略) 有訪問(wèn)權(quán)限,取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè) 備。 |
安全意識(shí)教育和培訓(xùn) | 應(yīng)對(duì) (略) 安全意識(shí)教育和崗位技能培訓(xùn),并告知相關(guān)的安全責(zé)任和懲戒措施。 |
外部人員訪問(wèn)管理 | a) (略) 人員物理訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng),批準(zhǔn)后由專人全程陪同,并登記備案;
b) (略) 人 (略) 絡(luò)訪問(wèn)系統(tǒng)前先提出書(shū)面申請(qǐng),批準(zhǔn)后由專人開(kāi)設(shè)賬戶、分配權(quán)限,并登記備案;
c) (略) 后應(yīng) (略) 有的訪問(wèn)權(quán)限。 |
安全建設(shè)管理 | 定級(jí)和備案 | a) 應(yīng)以書(shū)面的形式說(shuō)明保護(hù)對(duì)象的安全保護(hù)等級(jí)及確定等級(jí)的方法和理由;
b) (略) 門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果的合理性 (略) 論證和審定;
c) 應(yīng)保證定級(jí)結(jié) (略) 門的批準(zhǔn);
d) 應(yīng)將備案 (略) 門和相應(yīng)公安機(jī)關(guān)備案。 |
安全方案設(shè)計(jì) | a) 應(yīng)根據(jù)安全保護(hù)等級(jí)選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;
b) 應(yīng)根據(jù)保護(hù)對(duì)象的安全 (略) 安全方案設(shè)計(jì);
c) (略) 門和有關(guān)安全專家對(duì)安全方案的合理性 (略) 論證和審定,經(jīng)過(guò)批準(zhǔn)后
才能正式實(shí)施。 |
產(chǎn)品采購(gòu)和使用 | a) (略) 絡(luò)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定;
b) 應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密 (略) 門的要求。 |
自行軟件開(kāi)發(fā) | a) 應(yīng)將開(kāi)發(fā)環(huán) (略) 環(huán)境物理分開(kāi),測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制;
b) 應(yīng)在軟件開(kāi)發(fā)過(guò)程中 (略) 測(cè)試,在軟件安裝前對(duì)可能存在的 (略) 檢測(cè)。 |
外包軟件開(kāi)發(fā) | a) 應(yīng)在軟件交付前檢測(cè)其中可能存在的惡意代碼;
b) 應(yīng)保證開(kāi)發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南。 |
工程實(shí)施 | a) 應(yīng)指定或 (略) 門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理;
b) 應(yīng)制定安全工程實(shí)施方案控制工程實(shí)施過(guò)程。 |
測(cè)試驗(yàn)收 | a) 應(yīng)制訂測(cè)試驗(yàn)收方案,并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收,形成測(cè)試驗(yàn)收?qǐng)?bào)告;
b) (略) 上線前的安全性測(cè)試,并出具安全測(cè)試報(bào)告。 |
系統(tǒng)交付 | a) 應(yīng)制定交付清單,并根據(jù) (略) 交接的設(shè)備、軟件 (略) 清點(diǎn);
b) (略) 維護(hù)的 (略) 相應(yīng)的技能培訓(xùn);
c) 應(yīng)提供建設(shè)過(guò) (略) 維護(hù)文檔。 |
等級(jí)測(cè)評(píng) | a) (略) 等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;
b) 應(yīng)在發(fā)生重大變更或級(jí)別發(fā) (略) 等級(jí)測(cè)評(píng);
c) 應(yīng)確保測(cè)評(píng)機(jī)構(gòu)的選擇符合國(guó)家有關(guān)規(guī)定。 |
服務(wù)供應(yīng)商選擇 | a) 應(yīng)確保服務(wù)供應(yīng)商的選擇符合國(guó)家的有關(guān)規(guī)定;
b) 應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議,明確整個(gè)服務(wù)供應(yīng) (略) 的網(wǎng)絡(luò)安全相關(guān)義務(wù)。 |
安全運(yùn)維管理 | 環(huán)境管理 | a) 應(yīng) (略) 門或人員負(fù)責(zé)機(jī)房安全,對(duì) (略) 管理,定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制、消 (略) 維護(hù)管理;
b) 應(yīng)對(duì)機(jī)房的安全管理做出規(guī)定,包括物理訪問(wèn)、物品進(jìn)出和環(huán)境安全等;
c) 應(yīng)不在重要區(qū)域接待來(lái)訪人員,不隨意放置含有敏感信息的紙檔文件和移動(dòng)介質(zhì)等。 |
資產(chǎn)管理 | 應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單,包 (略) 門、 (略) 處位置等內(nèi)容。 |
介質(zhì)管理 | a) 應(yīng)將介質(zhì)存放在安全的環(huán)境中,對(duì) (略) 控制和保護(hù),實(shí)行存儲(chǔ)環(huán)境專人管理,并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn);
b) 應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交 (略) 控制,并對(duì)介質(zhì)的歸檔 (略) 登記記錄。 |
設(shè)備維護(hù)管理 | a) 應(yīng)對(duì)各種設(shè)備(包括備份和冗余設(shè)備)、線路等 (略) 門或 (略) 維護(hù)管理;
b) 應(yīng)對(duì)配套設(shè)施、軟硬件維護(hù)管理做出規(guī)定,包括明確維護(hù)人員的責(zé)任、維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等。 |
漏洞和風(fēng)險(xiǎn)管理 | 應(yīng)采取必要的措施識(shí)別安全漏洞和隱患,對(duì)發(fā)現(xiàn)的安全漏洞和 (略) 修補(bǔ)或評(píng)估可能的影響 (略) 修補(bǔ)。 |
網(wǎng)絡(luò)和系統(tǒng)安全管理 | a) 應(yīng)劃分不同的管 (略) 網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理,明確各個(gè)角色的責(zé)任和權(quán)限;
b) 應(yīng) (略) (略) 賬戶管理,對(duì)申請(qǐng)賬戶、建立賬戶、刪 (略) 控制;
c) (略) 絡(luò)和系統(tǒng)安全管理制度,對(duì)安全策略、賬戶管理、配置管理、日志管理、日常操作、升級(jí)與打補(bǔ) * 、口令更新周期等方面做出規(guī)定;
d) 應(yīng)制定重要設(shè)備的配置和操作手冊(cè),依據(jù)手 (略) 安全配置和優(yōu)化配置等;
e) 應(yīng)詳細(xì)記錄運(yùn)維操作日志,包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容。 |
惡意代碼防范管理 | a) (略) 有用戶的防惡意代碼意識(shí),對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接 (略) 惡意代碼檢查等;
b) 應(yīng)對(duì)惡意代碼防范要求做出規(guī)定,包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、惡意代碼的定期查殺等;
c) 應(yīng)定期檢查惡意代碼庫(kù)的升級(jí)情況,對(duì)截獲的 (略) (略) 理。 |
配置管理 | 應(yīng)記錄和保存基本配置信息, (略) 絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本和 補(bǔ) * 信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等。 |
密碼管理 | a) 應(yīng)遵循密碼相關(guān) (略) 業(yè)標(biāo)準(zhǔn);
b) 應(yīng)使用國(guó)家密 (略) 門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品。 |
變更管理 | 應(yīng)明確變更需求,變更前根據(jù)變更需求制定變更方案,變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施。 |
備份與恢復(fù)管理 | a) 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
b) 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等;
c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù) (略) 的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。 |
(略) 置 | a) 應(yīng)及時(shí) (略) (略) 發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件;
b) 應(yīng)制定安全 (略) 置管理制度,明確不 (略) 全事件的報(bào)告、處置和響應(yīng)流程,規(guī)定安 (略) 處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等;
c) 應(yīng)在安全事件 (略) 理過(guò)程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù), (略) 理過(guò)程,總結(jié)經(jīng)驗(yàn)教訓(xùn)。 |
應(yīng)急預(yù)案管理 | a) 應(yīng)制定重要事件的應(yīng)急預(yù)案, (略) 理流程、系統(tǒng)恢復(fù)流程等內(nèi)容;
b) 應(yīng)定期對(duì)系統(tǒng)相 (略) 應(yīng)急預(yù)案培訓(xùn), (略) 應(yīng)急預(yù)案的演練。 |
外包運(yùn)維管理 | a) 應(yīng)確保外包運(yùn)維服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定;
b) 應(yīng)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議,明確約定外包運(yùn)維的范圍、工作內(nèi)容。 |
3.2.2 * 級(jí)系統(tǒng)通用指標(biāo)要求
分類 | 子類 | 基本要求 |
安全物理環(huán)境 | 物理位置選擇 | a) (略) 地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi);
b) (略) 地應(yīng)避免設(shè)在建筑物的頂層或地下室,否則應(yīng)加強(qiáng)防水和防潮措施。 |
物理訪問(wèn)控制 | 機(jī)房出入口應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。 |
防盜竊和防破壞 | a) 應(yīng)將 (略) (略) 固定,并設(shè)置明顯的不易除去的標(biāo)識(shí);
b) 應(yīng)將通信線纜鋪設(shè) (略) 。
c)應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。 |
防雷擊 | a) 應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地。
b) 應(yīng)采取措施防止感應(yīng)雷,例如設(shè)置防雷保安器或過(guò)壓保護(hù)裝置等。 |
防火 | a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火;
b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料;
c)應(yīng)對(duì)機(jī)房 (略) 管理,區(qū)域和區(qū)域之間設(shè)置隔離防火措施。 |
防水和防潮 | a) 應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透;
b) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;
c)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件, (略) 防水檢測(cè)和報(bào)警。 |
防靜電 | a) 應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施;
b)應(yīng)采取措施防止靜電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等。 |
溫濕度控制 | 應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫濕度的變 (略) 所允許的范圍之內(nèi)。 |
電力供應(yīng) | a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備;
b) 應(yīng)提供短期的備用電力供應(yīng),至少滿足設(shè)備在斷電情況 (略) 要求;
c)應(yīng)設(shè) (略) 的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電。 |
電磁防護(hù) | a) 電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾;
b)應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽。 |
(略) 絡(luò) | 網(wǎng)絡(luò)架構(gòu) | a) (略) 絡(luò) (略) 理能力滿足業(yè)務(wù)高峰期需要;
b) (略) (略) 分的帶寬滿足業(yè)務(wù)高峰期需要;
c) 應(yīng) (略) 絡(luò)區(qū)域,并按照方便管理和控制 (略) 絡(luò)區(qū)域分配地址;
d) 應(yīng) (略) (略) (略) , (略) 絡(luò) (略) 絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段;
e) 應(yīng)提供通信線路、 (略) 絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余,保證系統(tǒng)的可用性。 |
通信傳輸 | a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性;
b) 應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性。 |
可信驗(yàn)證 | 可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng) (略) 可信驗(yàn)證,應(yīng)用程 (略) (略) 動(dòng)態(tài)可信驗(yàn)證,在檢測(cè)到其可信性受 (略) 報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送 (略) 。 |
安全區(qū)域邊界 | 邊界防護(hù) | a) 應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的 (略) 通信;
b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備 (略) (略) (略) 檢查或限制;
c) (略) 用戶非 (略) (略) (略) 檢查或限制;
d) (略) 絡(luò)的使用, (略) 絡(luò)通過(guò)受控的邊界 (略) 網(wǎng)絡(luò)。 |
訪問(wèn)控制 | a) (略) 絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則,默認(rèn)情況下除允許通信外受 (略) 有通信;
b) 應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則,優(yōu)化訪問(wèn)控制列表,并保證訪問(wèn)控制規(guī)則數(shù)量最小化;
c) 應(yīng)對(duì)源地址、目的地址、源端口、目的端口 (略) 檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出;
d) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力;
e) (略) 絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制。 |
入侵防范 | a) (略) (略) 檢測(cè)、防止 (略) (略) (略) 為;
b) (略) (略) 檢測(cè)、防止 (略) (略) (略) 為;
c) 應(yīng)采取 (略) (略) 分析, (略) 絡(luò)攻擊 (略) (略) 為的分析;
d) 當(dāng) (略) 為時(shí),記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。 |
惡意代碼和垃圾郵件防范 | a) (略) (略) 對(duì) (略) 檢測(cè)和清除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新;
b) (略) (略) 對(duì) (略) 檢測(cè)和防護(hù),并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。 |
安全審計(jì) | a) (略) 絡(luò)邊界、 (略) (略) 安全審計(jì),審計(jì)覆蓋到每個(gè)用戶,對(duì) (略) 為和重要 (略) 審計(jì);
b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c) 應(yīng)對(duì) (略) 保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等;
d) 應(yīng)能對(duì)遠(yuǎn)程 (略) 為、 (略) (略) (略) 行為審計(jì)和數(shù)據(jù)分析。 |
可信驗(yàn)證 | 可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng) (略) 可信驗(yàn)證,并在應(yīng)用程 (略) (略) 動(dòng)態(tài)可信驗(yàn)證,在檢測(cè)到其可信性受 (略) 報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送 (略) 。 |
安全計(jì)算環(huán)境 | 身份鑒別 | a) 應(yīng)對(duì)登 (略) 身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯 * 性,身份鑒別信息具有復(fù)雜度要求并定期更換;
b) 應(yīng)具 (略) 理功能,應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施;
c) (略) 遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止 (略) 絡(luò)傳輸過(guò)程中被竊聽(tīng);
d) 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技 (略) 身份鑒別,且其中 * 種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。 |
訪問(wèn)控制 | a) 應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限;
b) 應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令;
c) 應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶,避免共享賬戶的存在;
d) 應(yīng)授 (略) 需的最小權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離;
e) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,訪間控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則;
f) 訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí);
g) 應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記,并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。 |
安全審計(jì) | a) 應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對(duì) (略) 為和重要 (略) 審計(jì);
b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c) 應(yīng)對(duì) (略) 保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等;
d)應(yīng)對(duì) (略) 保護(hù),防止未經(jīng)授權(quán)的中斷。 |
入侵防范 | a) 應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序;
b) 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;
c) 應(yīng)通過(guò)設(shè)定終端 (略) 絡(luò)地址 (略) (略) 管理的 (略) 限制;
d) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求;
e) 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過(guò)充分測(cè)試評(píng)估后,及時(shí)修補(bǔ)漏洞;
f) 應(yīng)能夠檢測(cè)到對(duì) (略) (略) 為,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。 |
惡意代碼防范 | 應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別 (略) 為,并將其有效阻斷。 |
可信驗(yàn)證 | 可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng) (略) 可信驗(yàn)證, 并在應(yīng)用程 (略) (略) 動(dòng)態(tài)可信驗(yàn)證,在檢測(cè)到其可信性受 (略) 報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送 (略) 。 |
數(shù)據(jù)完整性 | a) 應(yīng)采用校驗(yàn)技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等;
b) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。 |
數(shù)據(jù)保密性 | a)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等;
b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。 |
數(shù)據(jù)備份恢復(fù) | a) 應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能;
b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能, (略) 絡(luò)將重要數(shù)據(jù)定時(shí)批量 (略) 地;
c) 應(yīng)提 (略) 理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。 |
剩余信息保護(hù) | a)應(yīng)保 (略) 在的存儲(chǔ)空間被釋放或重新分配前得到完全清除;
b)應(yīng)保證存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除。 |
個(gè)人信息保護(hù) | a) 應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息;
b) 應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息。 |
(略) | 系統(tǒng)管理 | a) 應(yīng)對(duì)系 (略) 身份鑒別,只允許其通過(guò)特定的命令或 (略) 系統(tǒng)管理操作,并對(duì) (略) 審計(jì);
b) 應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng) (略) 進(jìn)行配置、控制和管理,包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、 (略) (略) 理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。 |
審計(jì)管理 | a) 應(yīng)對(duì)審 (略) 身份鑒別,只允許其通過(guò)特定的命令或 (略) 安全審計(jì)操作,并對(duì) (略) 審計(jì);
b) 應(yīng)通過(guò)審計(jì)管理員對(duì) (略) 分析,并根據(jù) (略) 處理,包括根據(jù)安全審計(jì)策略對(duì) (略) 存儲(chǔ)、管理和查詢等。 |
安全管理 | a)應(yīng)對(duì)安 (略) 身份鑒別,只允許其通過(guò)特定的命令或 (略) 安全管理操作,并對(duì) (略) 審計(jì);
b) 應(yīng)通過(guò)安全管理員對(duì)系統(tǒng)中的 (略) 配置,包括安全參數(shù)的設(shè)置,主體、 (略) 統(tǒng) * 安全標(biāo)記, (略) 授權(quán),配置可信驗(yàn)證策略等。 |
集中管控 | a)應(yīng)劃分出特定的管理區(qū)域, (略) 絡(luò)中的安全設(shè)備或 (略) 管控;
b) 應(yīng)能夠建立 * 條安全的信息傳輸路徑,對(duì)網(wǎng)絡(luò)中的安全設(shè)備或 (略) 管理;
c) (略) 絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服 (略) (略) 集中監(jiān)測(cè);
d)應(yīng)對(duì)分散在各個(gè)設(shè)備上的 (略) 收集匯總和集中分析,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求;
e)應(yīng)對(duì)安全策路、惡意代碼、補(bǔ) * 升級(jí)等安全 (略) 集中管理;
f) (略) 絡(luò)中發(fā)生的各類 (略) 識(shí)別、報(bào)警和分析。 |
安全管理制度 | 安全策略 | (略) 絡(luò)安全工作的總體方針和安全策略,闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。 |
管理制度 | a) 應(yīng)對(duì)安全管理活動(dòng)中的主要管理內(nèi)容建立安全管理制度;
b) 應(yīng)對(duì)管理人員或 (略) 的日常管理操作建立操作規(guī)程;
c) 應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。 |
制定和發(fā)布 | a) 應(yīng)指定或 (略) 門或人員負(fù)責(zé)安全管理制度的制定;
b) 安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布, (略) 版本控制。 |
評(píng)審和修訂 | 應(yīng)定期對(duì)安全管理制度的合理性 (略) 論證和審定,對(duì)存在不足或需要改進(jìn)的安全 (略) 修訂。 |
安全管理機(jī)構(gòu) | 崗位設(shè)置 | a)應(yīng)成立 (略) 絡(luò) (略) 或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán);
b) (略) 絡(luò)安全管理 (略) 門,設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);
c)應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位, (略) 門及各個(gè)工作崗位的職責(zé)。 |
人員配備 | a)應(yīng)配備 * 定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等;
b) 應(yīng)配備專職安全管理員,不可兼任。 |
授權(quán)和審批 | a) (略) 門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、 (略) 門和批準(zhǔn)人等;
b)應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序,按照 (略) 審批過(guò)程,對(duì)重要活動(dòng)建立逐級(jí)審批制度;
c)應(yīng)定期審查審批事項(xiàng),及時(shí)更新需授權(quán)和審批的項(xiàng)目、 (略) 門和審批人等信息。 |
溝通和 (略) | a) 應(yīng)加強(qiáng)各類管理人員、 (略) (略) (略) 門之間的 (略) 與溝通,定期召開(kāi)協(xié)調(diào)會(huì)議, (略) 理網(wǎng)絡(luò)安全問(wèn)題;
b) (略) (略) 門、各類供應(yīng)商、業(yè)界專家及安全組織的 (略) 與溝通;
c) 應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、 (略) 內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。 |
審核和檢查 | a) (略) 常規(guī)安全檢查,檢查內(nèi)容包括 (略) 、系統(tǒng)漏洞和數(shù)據(jù)備份等情況;
b) (略) 全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的 * 致性、安全管 (略) 情況等;
c) 應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對(duì)安全 (略) 通報(bào)。 |
安全管理人員 | 人員錄用 | a) 應(yīng)指定或 (略) 門或人員負(fù)責(zé)人員錄用;
b)應(yīng)對(duì)被錄用人員的身份、安全背景、專業(yè)資格 (略) 審查, (略) 具有的 (略) 考核;
c)應(yīng)與被錄用人員簽署保密協(xié)議,與關(guān)鍵崗位人員簽署崗位責(zé)任協(xié)議。 |
人員離崗 | a)應(yīng)及時(shí)終止 (略) 有訪問(wèn)權(quán)限,取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備;
b) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),并承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。 |
安全意識(shí)教育和培訓(xùn) | a)應(yīng)對(duì) (略) 安全意識(shí)教育和崗位技能培訓(xùn),并告知相關(guān)的安全責(zé)任和懲戒措施;
b)應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,對(duì)安全基礎(chǔ)知識(shí)、崗位操 (略) 培訓(xùn);
c)應(yīng)定期對(duì)不同崗 (略) 技能考核。 |
外部人員訪問(wèn)管理 | a) (略) 人員物理訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng),批準(zhǔn)后由專人全程陪同,并登記備案;
b) (略) 人 (略) 絡(luò)訪問(wèn)系統(tǒng)前先提出書(shū)面申請(qǐng),批準(zhǔn)后由專人開(kāi)設(shè)賬戶、分配權(quán)限,并登記備案;
c) (略) 后應(yīng) (略) 有的訪問(wèn)權(quán)限;
d)獲得系統(tǒng)訪 (略) 人員應(yīng)簽署保密協(xié)議, (略) 非授權(quán)操作,不得復(fù)制和泄露任何敏感信息。 |
安全建設(shè)管理 | 定級(jí)和備案 | a) 應(yīng)以書(shū)面的形式說(shuō)明保護(hù)對(duì)象的安全保護(hù)等級(jí)及確定等級(jí)的方法和理由;
b) (略) 門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果的合理性 (略) 論證和審定;
c) 應(yīng)保證定級(jí)結(jié) (略) 門的批準(zhǔn);
d) 應(yīng)將備案 (略) 門和相應(yīng)公安機(jī)關(guān)備案。 |
安全方案設(shè)計(jì) | a)應(yīng)根據(jù)安全保護(hù)等級(jí)選擇基本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;
b)應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)及與其他級(jí)別保護(hù)對(duì) (略) 安全整體規(guī)劃和安全方案設(shè)計(jì),設(shè)計(jì)內(nèi)容應(yīng)包含密碼技術(shù)相關(guān)內(nèi)容,并形成配套文件;
c) (略) 門和有關(guān)安全專家對(duì)安全整體規(guī)劃及其配套文件的合理性 (略) 論證和審定,經(jīng)過(guò)批準(zhǔn)后才能正式實(shí)施。 |
產(chǎn)品采購(gòu)和使用 | a) (略) 絡(luò)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定;
b) 應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密 (略) 門的要求;
c)應(yīng)預(yù) (略) 選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更新候選產(chǎn)品名單。 |
自行軟件開(kāi)發(fā) | a)應(yīng)將開(kāi)發(fā)環(huán) (略) 環(huán)境物理分開(kāi),測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制;
b) 應(yīng)制定軟件開(kāi)發(fā)管理制度,明確說(shuō)明開(kāi)發(fā)過(guò)程的控制 (略) 為準(zhǔn)則;
c)應(yīng)制定代碼編寫安全規(guī)范,要求開(kāi)發(fā)人員參照規(guī)范編寫代碼;
d) 應(yīng)具備軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并對(duì) (略) 控制;
e)應(yīng)保證在軟件開(kāi)發(fā)過(guò)程中 (略) 測(cè)試,在軟件安裝前對(duì)可能存在的 (略) 檢測(cè);
f) 應(yīng)對(duì)程序資源庫(kù)的修改、更新、 (略) 授權(quán)和批準(zhǔn), (略) 版本控制;
g)應(yīng)保證開(kāi)發(fā)人員為專職人員、開(kāi)發(fā)人員的開(kāi)發(fā)活動(dòng)受到控制、監(jiān)視和審查。 |
外包軟件開(kāi)發(fā) | a) 應(yīng)在軟件交付前檢測(cè)其中可能存在的惡意代碼;
b) 應(yīng)保證開(kāi)發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南;
c)應(yīng)保證開(kāi)發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道。 |
工程實(shí)施 | a) 應(yīng)指定或 (略) 門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理;
b) 應(yīng)制定安全工程實(shí)施方案控制工程實(shí)施過(guò)程;
c)應(yīng)通過(guò)第 * 方工程監(jiān)理控制項(xiàng)目的實(shí)施過(guò)程。 |
測(cè)試驗(yàn)收 | a) 應(yīng)制訂測(cè)試驗(yàn)收方案,并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收,形成測(cè)試驗(yàn)收?qǐng)?bào)告;
b) (略) 上線前的安全性測(cè)試,并出具安全測(cè)試報(bào)告,安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。 |
系統(tǒng)交付 | a) 應(yīng)制定交付清單,并根據(jù) (略) 交接的設(shè)備、軟件 (略) 清點(diǎn);
b) (略) 維護(hù)的 (略) 相應(yīng)的技能培訓(xùn);
c) 應(yīng)提供建設(shè)過(guò) (略) 維護(hù)文檔。 |
等級(jí)測(cè)評(píng) | a) (略) 等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改;
b) 應(yīng)在發(fā)生重大變更或級(jí)別發(fā) (略) 等級(jí)測(cè)評(píng);
c) 應(yīng)確保測(cè)評(píng)機(jī)構(gòu)的選擇符合國(guó)家有關(guān)規(guī)定。 |
服務(wù)供應(yīng)商選擇 | a) 應(yīng)確保服務(wù)供應(yīng)商的選擇符合國(guó)家的有關(guān)規(guī)定;
b) 應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議,明確整個(gè)服務(wù)供應(yīng) (略) 的網(wǎng)絡(luò)安全相關(guān)義務(wù);
c)應(yīng)定期監(jiān)督、評(píng)審和審核服務(wù)供應(yīng)商提供的服務(wù),并對(duì)其變更服務(wù)內(nèi)容加以控制。 |
安全運(yùn)維管理 | 環(huán)境管理 | a) 應(yīng) (略) 門或人員負(fù)責(zé)機(jī)房安全,對(duì) (略) 管理,定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制、消 (略) 維護(hù)管理;
b)應(yīng)建立機(jī)房安全管理制度,對(duì)有關(guān)物理訪問(wèn)、物品帶進(jìn)出和環(huán)境安全等方面的管理作出規(guī)定;
c) 應(yīng)不在重要區(qū)域接待來(lái)訪人員,不隨意放置含有敏感信息的紙檔文件和移動(dòng)介質(zhì)等。 |
資產(chǎn)管理 | a) 應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單,包 (略) 門、 (略) 處位置等內(nèi)容;
b)應(yīng)根據(jù)資產(chǎn)的重要程 (略) 標(biāo)識(shí)管理,根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施;
c)應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定,并對(duì)信息的使用、傳輸 (略) 規(guī)范化管理。 |
介質(zhì)管理 | a) 應(yīng)將介質(zhì)存放在安全的環(huán)境中,對(duì) (略) 控制和保護(hù),實(shí)行存儲(chǔ)環(huán)境專人管理,并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn);
b) 應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交 (略) 控制,并對(duì)介質(zhì)的歸檔 (略) 登記記錄。 |
設(shè)備維護(hù)管理 | a) 應(yīng)對(duì)各種設(shè)備(包括備份和冗余設(shè)備)、線路等 (略) 門或 (略) 維護(hù)管理;
b) 應(yīng)對(duì)配套設(shè)施、軟硬件維護(hù)管理做出規(guī)定,包括明確維護(hù)人員的責(zé)任、維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等;
c) (略) 理設(shè)備應(yīng)經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn),含有存儲(chǔ)介質(zhì)的設(shè)備帶出工作環(huán)境時(shí)其中重要數(shù)據(jù)應(yīng)加密;
d)含有存儲(chǔ)介質(zhì)的設(shè)備在報(bào)廢或重用前, (略) 完全清除或被安全覆蓋,保證該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無(wú)法被恢復(fù)重用。 |
漏洞和風(fēng)險(xiǎn)管理 | a) 應(yīng)采取必要的措施識(shí)別安全漏洞和隱患,對(duì)發(fā)現(xiàn)的安全漏洞和 (略) 修補(bǔ)或評(píng)估可能 (略) 修補(bǔ);
b)應(yīng)定期開(kāi)展安全測(cè)評(píng),形成安全測(cè)評(píng)報(bào)告,采取措施應(yīng)對(duì)發(fā)現(xiàn)的安全問(wèn)題。 |
網(wǎng)絡(luò)和系統(tǒng)安全管理 | a) 應(yīng)劃分不同的管 (略) 網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理,明確各個(gè)角色的責(zé)任和權(quán)限;
b) 應(yīng) (略) (略) 賬戶管理,對(duì)申請(qǐng)賬戶、建立賬戶、刪 (略) 控制;
c) (略) 絡(luò)和系統(tǒng)安全管理制度,對(duì)安全策略、賬戶管理、配置管理、日志管理、日常操作、升級(jí)與打補(bǔ) * 、口令更新周期等方面作出規(guī)定;
d) 應(yīng)制定重要設(shè)備的配置和操作手冊(cè),依據(jù)手 (略) 安全配置和優(yōu)化配置等;
e) 應(yīng)詳細(xì)記錄運(yùn)維操作日志,包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容;
f)應(yīng) (略) 門或人員對(duì)日志、監(jiān)測(cè)和報(bào) (略) 分析、統(tǒng)計(jì),及 (略) 為;
g)應(yīng)嚴(yán)格控制變更性運(yùn)維,經(jīng)過(guò)審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù),操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志,操作結(jié)束后應(yīng)同步更新配置信息庫(kù);
h)應(yīng)嚴(yán)格控制運(yùn)維工具的使用,經(jīng)過(guò)審批后 (略) 操作,操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志,操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù);
i)應(yīng)嚴(yán)格控制遠(yuǎn)程運(yùn)維的開(kāi)通,經(jīng)過(guò)審批后才可開(kāi)通遠(yuǎn)程運(yùn)維接口或通道,操作過(guò)程中應(yīng)保留不可更改的審計(jì)日志,操作結(jié)束后立即關(guān)閉接口或通道;
j) (略) (略) 的連接均得到授權(quán)和批準(zhǔn),應(yīng)定期檢查違反 (略) (略) 絡(luò) (略) 為。 |
惡意代碼防范管理 | a) (略) 有用戶的防惡意代碼意識(shí),對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接 (略) 惡意代碼檢查等;
b)應(yīng)定期驗(yàn)證防范惡意代碼攻擊的技術(shù)措施的有效性。 |
配置管理 | a) 應(yīng)記錄和保存基本配置信息, (略) 絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本和 補(bǔ) * 信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等;
b) 應(yīng)將基本配置信息改變納入變更范疇,實(shí)施對(duì)配置信息改變的控制,并及時(shí)更新基本配置信息庫(kù)。 |
密碼管理 | a) 應(yīng)遵循密碼相關(guān) (略) 業(yè)標(biāo)準(zhǔn);
b) 應(yīng)使用國(guó)家密 (略) 門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品。 |
變更管理 | a)應(yīng)明確變更需求,變更前根據(jù)變更需求制定變更方案,變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施;
b) 應(yīng)建立變更的申報(bào)和審批控制程序,依 (略) 有的變更,記錄變更實(shí)施過(guò)程;
c)應(yīng)建立中止變更并從失敗變更中恢復(fù)的程序,明確過(guò)程控制方法和人員職責(zé),必要時(shí)對(duì) (略) 演練。 |
備份與恢復(fù)管理 | a) 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
b) 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等;
c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù) (略) 的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。 |
(略) 置 | a) 應(yīng)及時(shí) (略) (略) 發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件;
b) 應(yīng)制定安全 (略) 置管理制度,明確不 (略) 全事件的報(bào)告、處置和響應(yīng)流程,規(guī)定安 (略) 處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等;
c) 應(yīng)在安全事件 (略) 理過(guò)程中,分析和鑒定事件產(chǎn)生的原因,收集證據(jù), (略) 理過(guò)程,總結(jié)經(jīng)驗(yàn)教訓(xùn);
d)對(duì)造成系統(tǒng)中斷和造成信息泄漏的重 (略) 全事件應(yīng) (略) 理程序和報(bào)告程序。 |
應(yīng)急預(yù)案管理 | a)應(yīng)規(guī)定統(tǒng) * 的應(yīng)急預(yù)案框架,包括啟動(dòng)預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等內(nèi)容;
b) 應(yīng)制定重要事件的應(yīng)急預(yù)案, (略) 理流程、系統(tǒng)恢復(fù)流程等內(nèi)容;
c)應(yīng)定期對(duì)系統(tǒng)相 (略) 應(yīng)急預(yù)案培訓(xùn), (略) 應(yīng)急預(yù)案的演練;
d)應(yīng)定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)估,修訂完善。 |
外包運(yùn)維管理 | a) 應(yīng)確保外包運(yùn)維服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定;
b) 應(yīng)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議,明確約定外包運(yùn)維的范圍、工作內(nèi)容;
c)應(yīng)保證選擇的外包運(yùn)維服務(wù)商在技術(shù)和管理方面均應(yīng)具有按照等級(jí)保護(hù)要求開(kāi)展安全運(yùn)維工作的能力,并將能力要求在簽訂的協(xié)議中明確;
d) 應(yīng)在與外包運(yùn)維服務(wù)商簽訂的 (略) 有相關(guān)的安全要求,如可能涉及對(duì)敏感信息的訪問(wèn)、處理、存儲(chǔ)要求,對(duì)IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等。 |
3.3 服務(wù)要求
3.3.1 設(shè)計(jì)方案要求
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)方案設(shè)計(jì),以及具體實(shí)施內(nèi)容應(yīng)滿足以下原則:
保密原則:對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人, (略) (略) 為,否則招標(biāo)人有權(quán)追究投標(biāo)人的責(zé)任。
標(biāo)準(zhǔn)性原則:測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的 (略) 。
規(guī)范性原則:投標(biāo)人的工作中的過(guò)程和文檔,具有很好的規(guī)范性,以便于項(xiàng)目的跟蹤和控制。
可控性原則:等保測(cè)評(píng)服務(wù)的進(jìn)度要跟上進(jìn)度表的安排,保證招標(biāo)人對(duì)于測(cè)評(píng)工作的可控性。
整體性原則:等保測(cè)評(píng)服務(wù)的范圍和內(nèi)容應(yīng)當(dāng)整體全面,包括國(guó)家等級(jí)保護(hù)相關(guān)要求涉及的各個(gè)層面。
最小影響原則:等保測(cè)評(píng)服務(wù)工作應(yīng)盡可能小的 (略) 絡(luò),并在可控范圍內(nèi);測(cè)評(píng)工作不能對(duì)現(xiàn)有信息系 (略) 、業(yè)務(wù)的正常開(kāi)展產(chǎn)生任何影響。投標(biāo)人應(yīng)嚴(yán)格依照上述原則和國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開(kāi)展項(xiàng)目實(shí)施工作。
3.3.2 測(cè)評(píng)要求
1)投標(biāo)人應(yīng)詳細(xì)描述本次項(xiàng)目整體實(shí)施方案,包括項(xiàng)目概述、項(xiàng)目實(shí)施方案、測(cè)試過(guò)程中需使用測(cè)試設(shè)備清單、時(shí)間安排、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等。
2)投標(biāo)人應(yīng)詳細(xì)描述服務(wù)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)人從事等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員(以下簡(jiǎn)稱測(cè)評(píng)人員)應(yīng)具有把握國(guó)家政策,理解和掌握相關(guān)技術(shù)標(biāo)準(zhǔn),熟悉等級(jí)測(cè)評(píng)的方法、流程和工作規(guī)范等方面的知識(shí)及能力,并有依據(jù)測(cè)評(píng)結(jié)果做出專業(yè)判斷以及出具等級(jí)測(cè)評(píng)報(bào)告等任務(wù)的能力。
投標(biāo)人應(yīng)配置有經(jīng)驗(yàn)的 (略) 本次等級(jí)保護(hù)測(cè)評(píng)工作。
投標(biāo)人應(yīng)以文件形式任命 * 名技術(shù)主管,并明確其在等級(jí)測(cè)評(píng)技術(shù)方面的職責(zé),全面負(fù)責(zé)等級(jí)測(cè)評(píng)方面的技術(shù)工作。
3)投標(biāo)人應(yīng)保證有足夠的能力滿足測(cè)評(píng)工作要求,包括安全技術(shù)測(cè)評(píng)實(shí)施能力、安全管理測(cè)評(píng)實(shí)施能力、安全測(cè)試與分析能力、整體測(cè)評(píng)實(shí)施能力等。
4)投標(biāo)人應(yīng)依據(jù)測(cè)評(píng)工作流程,有計(jì)劃、按步驟地開(kāi)展測(cè)評(píng)工作,并保證測(cè)評(píng)活動(dòng)的每個(gè)環(huán)節(jié)都得到有效的控制。應(yīng)建立完善的測(cè)評(píng)項(xiàng)目管理制度,劃分測(cè)評(píng)各階段,明確各階段的工作內(nèi)容。
6)投標(biāo)人應(yīng)配備滿足等級(jí)測(cè)評(píng)工作需要的測(cè)評(píng)設(shè)備和工具,如漏洞掃描器、滲透測(cè)試工具等。
投標(biāo)人應(yīng)確保測(cè)評(píng)設(shè) (略) 狀態(tài)良好,并通過(guò)校準(zhǔn)或比對(duì)等手段保證其提供準(zhǔn)確的測(cè)評(píng)數(shù)據(jù)。
7)投標(biāo)人應(yīng)建立、實(shí)施和維護(hù)符合等級(jí)測(cè)評(píng)工作需要的文件化的管理體系,并確保投標(biāo)人各級(jí)人員能 (略) 。應(yīng)建立 * 套完善的管理體系文件,該體系文件應(yīng)能覆蓋機(jī)構(gòu)日常工作和測(cè)評(píng)活動(dòng)的各個(gè)方面。體系文件可以制度、手冊(cè)、程序等 (略) , (略) 記錄。
8)投標(biāo)人 (略) 有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),開(kāi)展客觀、公正、安全的測(cè)評(píng)服務(wù),應(yīng)制定保證其公正性、客觀性、誠(chéng)實(shí)性的制度、 (略) 為規(guī)范, (略) 會(huì)做出公正性聲明或承諾, (略) 為監(jiān)督。
投標(biāo)人的單位法人及主要工作人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民,且無(wú)犯罪記錄。機(jī)構(gòu)應(yīng)保證其單位法人及主要工作人員身份的可信性,并可提供用于證明的機(jī)構(gòu)注冊(cè)資料和人員檔案信息。
9)投標(biāo)人應(yīng)重視安全保密工作,指派安全保密工作的責(zé)任人。投標(biāo)人應(yīng)依據(jù)保密管理制度,定期對(duì) (略) 保密教育,投標(biāo)人和測(cè)評(píng)人員應(yīng)當(dāng)保守在測(cè)評(píng)活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密、敏感信息和個(gè)人隱私等,應(yīng)制定保密管理制度,明確保密范圍、各崗位的保密職責(zé)和保密要求。
投標(biāo)人應(yīng)采取技術(shù)和管理措施來(lái)確保等級(jí)測(cè)評(píng)相關(guān)信息的安全、保密和可控,這些信息包括但不限于:
a) 被測(cè)評(píng)單位提供的資料;
b) 等級(jí)測(cè)評(píng)活動(dòng)生成的數(shù)據(jù)和記錄;
c) 依據(jù)上述信息做出的分析與專業(yè)判斷。
投標(biāo)人應(yīng)著重對(duì)被測(cè)單位的技術(shù)資料、測(cè)評(píng)數(shù)據(jù)、測(cè)評(píng)報(bào) (略) 保護(hù)。對(duì)上述信息資料應(yīng)專門保管,對(duì)數(shù)據(jù)信息存儲(chǔ)和借閱應(yīng)嚴(yán)格控制。
* )投標(biāo)人應(yīng)借助有效的技術(shù)手段,確保等級(jí)測(cè)評(píng)相關(guān)信息的整個(gè)數(shù)據(jù)生命周期的安全和保密。機(jī)構(gòu)應(yīng)借助技術(shù)手段,如數(shù)據(jù)加密存儲(chǔ)、傳輸、處理方式,保證數(shù)據(jù)的安全。同時(shí)防止存儲(chǔ)測(cè)評(píng)數(shù)據(jù)信息的計(jì)算機(jī)非法外聯(lián)、非受控移動(dòng)存儲(chǔ)設(shè)備接入、重要 (略) 傳輸?shù)葐?wèn)題的發(fā)生。
* )測(cè)評(píng)記錄的規(guī)范性,測(cè)評(píng)記錄應(yīng)當(dāng)清晰規(guī)范,并獲得被測(cè)評(píng)方的書(shū)面確認(rèn);測(cè)評(píng)過(guò)程中的記錄應(yīng)按規(guī)定的格式填寫,字跡要求清晰;數(shù)據(jù) (略) 記錄,不得漏記、補(bǔ)記、追記;記錄的更正應(yīng)有規(guī)范性要求;測(cè)評(píng)記錄應(yīng)獲得被測(cè)評(píng)方的確認(rèn)。
* )測(cè)評(píng)報(bào)告的規(guī)范性,測(cè)評(píng) (略) 有測(cè)評(píng)結(jié)果、根據(jù)這些結(jié)果做出的專業(yè)判斷以及理解和解 (略) (略) 有信息,以上信息均應(yīng)正確、準(zhǔn)確、清晰地表述;測(cè)評(píng)報(bào)告由測(cè)評(píng)項(xiàng)目組長(zhǎng)作為第 * 編制人,技術(shù)主管(或質(zhì)量主管)負(fù)責(zé)審核,機(jī)構(gòu)管理者或其授權(quán)人員簽發(fā)或批準(zhǔn);
* )風(fēng)險(xiǎn)控制能力:投標(biāo)人應(yīng)充分估計(jì)測(cè)評(píng)可能給被測(cè)系統(tǒng)帶來(lái)的風(fēng)險(xiǎn),風(fēng)險(xiǎn)包括投標(biāo)人由于自身能力或資源不足造成的風(fēng)險(xiǎn)、測(cè)試驗(yàn)證活動(dòng)可能對(duì)被測(cè) (略) 造成影響的風(fēng)險(xiǎn)、測(cè)試設(shè)備和工具接入可能對(duì)被測(cè) (略) 造成影響的風(fēng)險(xiǎn)、測(cè)評(píng)過(guò)程中可能發(fā)生的被測(cè)系統(tǒng)重要信息(如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔等)泄漏的風(fēng)險(xiǎn)等。投標(biāo)人應(yīng)全面分析評(píng)估,針對(duì)不同風(fēng)險(xiǎn),采取不同的規(guī)避和控制措施。包括合同評(píng)審、簽署保密協(xié)議、風(fēng)險(xiǎn)告知確認(rèn)、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)、系統(tǒng)備份、制定應(yīng)急預(yù)案以及邀請(qǐng)全程監(jiān)督等,做好防范和控制工作,避免為自身帶來(lái)額外風(fēng)險(xiǎn)。
第 * 章 技術(shù)標(biāo)準(zhǔn)和服務(wù)要求
* 、技術(shù)標(biāo)準(zhǔn)和規(guī)范《中華 (略) 絡(luò)安全法》
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》( (略) 令 * 號(hào))
《信息安全等級(jí)保護(hù)管理辦法》
《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB *** 9)
《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T *** 8)
《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T *** 9)
《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T *** 9)
《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》(GB/T *** 8)
《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T *** 7)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T *** 2)
《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》(GB/T *** )
* 、招標(biāo)人技術(shù)及管理要求1.技術(shù)要求
1.1 技術(shù)規(guī)范要求
(1)具備較強(qiáng)的系統(tǒng)分析、問(wèn)題判斷和解決等方面的能力;
(2)對(duì)工作職責(zé)有充分認(rèn)知,有較強(qiáng)的工作責(zé)任心,具備較好的溝通協(xié)調(diào)、口頭表達(dá)能力,能 (略) 良好的溝通。
1.2 安全管理規(guī)范要求
(1) (略) 人各項(xiàng)規(guī)章制度及 (略) 業(yè)的法律法規(guī),保持安全、規(guī)范、清潔的工作環(huán)境,做好信息安全保護(hù)措施及計(jì)算機(jī)病毒的防范工作;
(2)數(shù)據(jù)或其他涉密信息傳遞時(shí),應(yīng) (略) 加密,通過(guò)電話或其他方式通知接受方;
(3)未經(jīng)允許,切勿對(duì)自己或他 (略) (略) 刪除、修改或者增加;切勿私自安裝病毒或其他含病毒軟件;
1.3 行為管理規(guī)范
(1)遵守用戶的各項(xiàng)規(guī)章制度,嚴(yán)格按照用戶相應(yīng)的規(guī)章制度辦事;
(2) (略) 維 (略) 門和環(huán)節(jié)協(xié)同工作,密切配合,共同開(kāi)展技術(shù)支持工作;
(3)出現(xiàn)疑難技術(shù)、業(yè)務(wù)問(wèn)題和重大緊急情況時(shí),及時(shí)向負(fù)責(zé)人報(bào)告;
(4)現(xiàn)場(chǎng)技術(shù)支持時(shí)要精神飽滿,穿著得體,談吐文明,舉止莊重;
(5)接聽(tīng)電話時(shí)要文明禮貌,語(yǔ)言清晰明了,語(yǔ)氣和善;
遵守保密原則。對(duì)被 (略) 絡(luò)、主機(jī)、系統(tǒng)軟件、應(yīng)用軟件等的密碼、核心參數(shù)、業(yè)務(wù)數(shù)據(jù)等負(fù)有保密責(zé)任,不得隨意復(fù)制和傳播。
1.4服務(wù)質(zhì)量要求
投標(biāo)方應(yīng)建立嚴(yán)格的質(zhì)量保障體系和應(yīng)急事件相應(yīng)機(jī)制。投標(biāo)人應(yīng)配備 (略) 遠(yuǎn)程支持。當(dāng)有服務(wù)請(qǐng)求時(shí),現(xiàn)場(chǎng)人員應(yīng)在2小時(shí) (略) 處理,如遇故障,現(xiàn)場(chǎng)人員無(wú)法解決的,遠(yuǎn)程人員需在 * 分鐘 (略) 處理, (略) 理的,投標(biāo)方需在2 (略) (略) 理,如遇應(yīng)急事件投標(biāo)方須在 * 分鐘響應(yīng)并啟 (略) 理機(jī)制。
2.進(jìn)度與時(shí)間要求
時(shí)間要求,合同簽訂后3個(gè)自然月達(dá)成項(xiàng)目目標(biāo)。
完成內(nèi)容:在服務(wù)期間內(nèi),按照中航安盟的管理要求,定期完成等級(jí)保護(hù)測(cè)評(píng)工作。針對(duì)用戶使用過(guò)程中出現(xiàn)的系統(tǒng)業(yè)務(wù) (略) 及時(shí)的解答、跟蹤并及時(shí) (略) 門。
3.輸出過(guò)程文檔
本次信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)活動(dòng),應(yīng)針對(duì)各個(gè)階段輸出各自的過(guò)程文檔,文檔應(yīng)包括但不限于以下方面:
《等級(jí)測(cè)評(píng)工作計(jì)劃》
《信息系統(tǒng)調(diào)研表》
《信息系統(tǒng)測(cè)評(píng)方案》
《信息系統(tǒng)掃描方案》
《 (略) 測(cè)評(píng)記錄表》
《信息系統(tǒng)漏洞掃描報(bào)告》
《信息系統(tǒng)漏洞滲透測(cè)試報(bào)告》
4.考核及驗(yàn)收要求
本項(xiàng)目根據(jù)中航安盟相關(guān)項(xiàng)目 (略) 考核及驗(yàn)收。
該項(xiàng)目需要達(dá)到的效果、質(zhì)保期、售后服務(wù)、及項(xiàng)目過(guò)程中和 (略) 需提供的資料。
(1)招標(biāo)工作完成,中標(biāo)人須向中航安盟提交本項(xiàng)目的《測(cè)評(píng)方案》,該《測(cè)評(píng)方案》須從項(xiàng)目服務(wù)內(nèi)容、范圍、流程、人員、計(jì) (略) 詳細(xì)闡述。
(2)投標(biāo)方參 (略) 工作的人員不少于3人,不得少于2個(gè)中級(jí)測(cè)評(píng)師。
(3)相關(guān)工作人員(項(xiàng)目經(jīng)理、測(cè)評(píng)工程師)必須為中華人民共和國(guó)境內(nèi)的中國(guó)公民,且無(wú)犯罪記錄(提供身份證復(fù)印件及承諾函)。
(4)測(cè)評(píng)期間需遵守被測(cè)單位相關(guān)管理規(guī)定,禁止利用測(cè)評(píng)工作從事危害被測(cè)單位利益、安全的活動(dòng)。
(5)在項(xiàng)目過(guò)程中,安排專人對(duì)被測(cè)單位 (略) 網(wǎng)絡(luò)安全知識(shí)培訓(xùn)(培訓(xùn)包括:網(wǎng)絡(luò)釣魚(yú)、密碼安全、補(bǔ) * 安全等)。
(6)供應(yīng)商應(yīng)在項(xiàng)目實(shí)施結(jié)束后,結(jié)合被測(cè)單位的實(shí)際情況提供商用密碼培訓(xùn)1次(培訓(xùn)內(nèi)容包括:1.密評(píng)相關(guān)概念解讀2.涉及法律法規(guī)宣貫3.密評(píng)具體工作科普4.密評(píng)典型案例解析等)且成交供應(yīng)商培訓(xùn)人員須通過(guò)國(guó)家商業(yè)密碼應(yīng)用安全性評(píng)估人員能力考核認(rèn)證。
第 * 章 附錄
* 、 (略) 分項(xiàng)目名稱
投 標(biāo) 文 件
項(xiàng)目名稱:
投標(biāo)單位(蓋公章):
法 定 代 表 人
或其委托代理人(簽字或蓋章):
日 期:年月
我公司(單位)_______________已仔細(xì)研究并了解(項(xiàng)目名稱)招 (略) 內(nèi)容,愿意以人民幣(大寫)元(¥)的投 (略) 投標(biāo), (略) 有關(guān)于投標(biāo)資格證明文件、內(nèi)容陳述等均是真實(shí)的、準(zhǔn)確的,若有違背,我公司愿意承擔(dān)由此而產(chǎn)生的 * 切后果。
2、本表應(yīng)相應(yīng)附有本項(xiàng)目負(fù)責(zé)人身份證、職稱證書(shū)、資格證書(shū)等復(fù)印件及業(yè)績(jī)證明材料。
5.公司在采購(gòu)項(xiàng)目實(shí)際使用或?qū)嵤?(略) 政區(qū)域內(nèi)是否有經(jīng)營(yíng)機(jī)構(gòu)(如有,請(qǐng)?zhí)顚戅k公地址):
8.公司是否具有與采購(gòu)項(xiàng)目有關(guān)的資質(zhì)(資質(zhì)指政府規(guī)定提供與本次采購(gòu)相關(guān)的商品或服務(wù)必須具備的資質(zhì),不包括已獲獎(jiǎng)勵(lì)、認(rèn)證等,如有請(qǐng)具體說(shuō)明):
* .投標(biāo)的項(xiàng)目是否需要第 * 方授權(quán)(如是,請(qǐng)說(shuō)明是否已取得第 * 方授權(quán),需要授權(quán)事項(xiàng)包括但不限于知識(shí)產(chǎn)權(quán)、肖像權(quán)等):
* .公司是否承諾,因公司提供的商品或服務(wù)中存在未授權(quán)的事項(xiàng)( (略) 提 (略) 分),因此產(chǎn) (略) 承擔(dān)(如否,請(qǐng)說(shuō)明理由):
* .公司當(dāng)期資產(chǎn)負(fù)債率(資產(chǎn)負(fù)債率如超過(guò) * %時(shí),請(qǐng)簡(jiǎn)要說(shuō)明原因,并分析是否會(huì)影 (略) ):
* . (略) 的時(shí)間與途徑:
* .公司實(shí)際控制人、股東、負(fù)責(zé)人、與采購(gòu)項(xiàng)目有關(guān)的人員及上述人員其近親屬, (略) 高管、 (略) 門/機(jī)構(gòu)的人員具有親屬、 (略) 與合伙、或其他存在利益關(guān)聯(lián)的關(guān)系(如有,請(qǐng)具體說(shuō)明):
* . (略) 高管、 (略) 門/機(jī)構(gòu)的人員 (略) 任職,或與公司有過(guò)其他 (略) (如有,請(qǐng)具體說(shuō)明):
* .公司相關(guān)人 (略) 高管、 (略) 門/機(jī)構(gòu)的人員存在商務(wù)宴請(qǐng)、饋贈(zèng)禮品禮金,變相旅游或其他 (略) 為(如有,請(qǐng)具體說(shuō)明):
* .公司近 * 年是 (略) 采購(gòu)項(xiàng)目(包括單 * 來(lái)源采購(gòu),如有,請(qǐng)逐項(xiàng)說(shuō)明):
本授權(quán)委托書(shū)聲明:我__________(姓名)系___________(投標(biāo)方)的法定代表人,現(xiàn)授權(quán)委托________(投標(biāo)方)的____________(姓名)身份證號(hào)為_(kāi)___________為我司代理人,以本公司的名義參加____________(招標(biāo)人)的___________________________項(xiàng)目的投標(biāo)活動(dòng)。投標(biāo)方在開(kāi)標(biāo)、評(píng)標(biāo)、合同談判、簽署 (略) 簽署的 (略) 理與之有關(guān)的 * 切事務(wù),我均予以承認(rèn)。代理人無(wú)轉(zhuǎn)委權(quán)利。特此委托。
(以下簡(jiǎn)稱“我司”)希望參與中航 (略) (以下簡(jiǎn)稱“貴司”)的(以下簡(jiǎn)稱“本項(xiàng)目”)項(xiàng)目建設(shè)。在本項(xiàng)目投標(biāo)過(guò)程中, (略) 提供有關(guān)本項(xiàng)目的相關(guān)信息和技術(shù)資料, (略) 必須根據(jù)本承諾 (略) 提供的信息和 (略) 保密責(zé)任,并且僅為對(duì)本項(xiàng)目的招投標(biāo)及項(xiàng)目實(shí)施之目的而使用。
(略) 稱的“相關(guān)信息和技術(shù)資料” (略) 文件內(nèi)容以及有關(guān)本項(xiàng)目實(shí)施過(guò)程 (略) (略) 會(huì)公開(kāi)的信息,無(wú)論是書(shū)面的、口頭的、圖形的、電子的或其它任何形式的信息。
本次 (略) 提供的相關(guān)信息和 (略) (略) 本次參與招投標(biāo)及中標(biāo)后的項(xiàng)目實(shí)施,我公司不能將本次 (略) 提供的相關(guān)信息和技術(shù)資料用于其它任何目的。
除我公司參與招投標(biāo)的人員和直接參與本次項(xiàng)目實(shí)施的員工外,我公司不能將本次 (略) 提供的相關(guān)信息和技術(shù)資料透露給其它任何人;未經(jīng)貴司書(shū)面同意,我公司不得將本次 (略) 提供的相關(guān)信息和技術(shù)資料向新聞媒體予以公開(kāi)披露或者發(fā)表聲明。
我公司應(yīng)當(dāng)告知參與本次 (略) 聘請(qǐng)的相關(guān)人員遵守本保密協(xié)議書(shū)的約定,并應(yīng)采取必要措施,確保其參與本次招投標(biāo)和項(xiàng)目實(shí)施的員工和 (略) 保密義務(wù)。若參與本項(xiàng)工作之員工或外聘人員違反本保密協(xié)議的約定, (略) 提供的相關(guān)信息和技術(shù)資料,依據(jù)本承諾書(shū)約定,我公司應(yīng)與泄密員工或外聘人員承擔(dān)連帶責(zé)任。
當(dāng)貴司 (略) 交回本次 (略) 提供的相關(guān)信息和技術(shù)資料時(shí),我公司 (略) 有書(shū)面的或其他有形的相關(guān)信息 (略) 有描述和概括該相關(guān)信息和資料的文件。我公司在交回以上有關(guān)資料前未經(jīng)貴司的允許不得采取抄寫、復(fù)印、拷貝等任何方式留存相關(guān)信息和資料
我公司如違約泄露本次 (略) 提供的相關(guān)信息和技術(shù)資料,應(yīng)當(dāng)按照貴司的指示采取 * 切必要 (略) 為予以補(bǔ)救,包括采取有效方法對(duì)該 (略) 保密, (略) 承擔(dān)。
自本承諾書(shū)生效之日起,雙方的 (略) 交流都要符合本承諾書(shū)的約定,除非貴司通過(guò)書(shū)面通知明確說(shuō)明, (略) 涉及的某項(xiàng)信息和資料可以不用保密,我公司必須按 (略) 承擔(dān)的 (略) 接受的信 (略) (略) 收到的相關(guān)信 (略) 保密,保密期限不受本承諾書(shū)有效期限的限制。
搜索、瀏覽歷史保留業(yè)務(wù)關(guān)鍵詞、企業(yè)歷史快速訪問(wèn)
監(jiān)控、關(guān)注功能啟用實(shí)時(shí)獲取招投標(biāo)、企業(yè)最新動(dòng)態(tài)
免費(fèi)數(shù)據(jù)維度全查看招標(biāo)、企業(yè)免費(fèi)數(shù)據(jù)維度全查看
PDF格式
Excel格式
Word格式
京公網(wǎng)安備 11010802042560號(hào)