34项目人员要求中国移动采购与招标网文档格式.docx
- 文档编号:13547802
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:9
- 大小:22.18KB
34项目人员要求中国移动采购与招标网文档格式.docx
《34项目人员要求中国移动采购与招标网文档格式.docx》由会员分享,可在线阅读,更多相关《34项目人员要求中国移动采购与招标网文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
技术澄清中各条目应首先应答为“满足”、“不满足”、“部分满足”,不得使用“明白”、“理解”等词语。
当应答为“部分满足”或“不满足”时,需要进行详细解释说明原因。
,以应答为准。
总体描述部分应包含卖方综合情况,卖方应至少提供下列内容:
1.卖方的背景资料介绍:
包括公司成立时间、成立地点、注册资金、银行存款、经营范围、2014年、2015年、2016年公司的业务收入和利润、企业类型、雇员总数、本地区雇员总数、黑龙江地区的办事机构类型、人员组成和经营范围及具有的相关资质及经营授权、其他需要说明的情况等。
2.卖方的市场定位、公司目标、业务运作情况,业务发展计划。
3.卖方的内部组织架构、详细说明黑龙江移动网络管理部通信网络单元安全风险评估项目服务项目中乙方的人员配置、技术能力、安全认证及汇报机制。
1.2技术建议书的文件要求
结合黑龙江移动网络管理部通信网络单元安全风险评估项目服务项目的实际情况,技术建议书至少要对以下方面做详细说明:
(1)通信网络单元安全风险评测及渗透测试服务项目服务方案
(2)场地及环境准备要求
(3)安全服务进度安排
(4)项目验收
(5)技术服务及技术支持
1.3保密条款
任何一方未经另一方同意不得向任何第三方透露本文档内容,双方一致同意任何一方在任何时候对其持有的有关另一方的事务或其事务运转操作方法等保密信息实行严格保密。
除非有信息提供方书面许可,任何一方不得在任何时间向本协议以外的任何第三方披露或提供保密信息(包括但不限于:
任何信息提供方不欲公开的观点、发现、发明、公式、程序、计划、图表、模型、参数、数据、标准和专有技术秘密,和/或其中的任何知识产权)的任何内容(本协议另有约定的除外)。
除非有信息提供方的书面指示,任何一方不得对保密信息进行拷贝或抄写。
2项目概述
2.1项目背景
根据《通信网络安全防护管理办法》(工业和信息化部第11号令)、《工业和信息化部关于开展2013年基础电信网络安全防护检查工作的通知》(工信部保函【2013】110号)及《关于做好2015年省级基础电信企业网络与信息安全责任考核工作有关问题的通知》(黑通管保〔2015〕53号)、《关于做好2014年通信网网络安全工作的通知》(网通[2014]85号)《关于建立专职团队开展集中化网络安全运营管理的通知》(网通[2015]43号)等上级公文要求,为进一步提高基础电信企业网络和业务系统防攻击、防病毒、防入侵、防瘫痪、防信息窃取的能力和水平,保障基础电信网络和重要业务系统的安全,保护用户个人电子信息、促进通信行业网络安全防护工作体系化、规范化建设,需针对网络管理部所有15套二级及以上的通信网络单元(详见下表)实施通信网络风险评测工作,并针对工信部、省通信管理局的技术检查或严重网络安全事件,排除潜在的安全隐患,消除安全威胁,彻底解决安全问题。
序号
定级对象名称
安全等级
1
中国移动IP承载网黑龙江省IP骨干网
3.1级
2
中国移动移动通信网分组域黑龙江省省网部分核心交换网
3
中国移动增值业务网消息网黑龙江省短消息网
4
中国移动WAP网关系统黑龙江省省级WAP网关系统
2级
5
中国移动互联网黑龙江省域名服务系统域名解析系统
6
中国移动移动通信网电路域黑龙江省哈尔滨市本地网无线接入子系统
7
中国移动增值业务网消息网黑龙江省多媒体消息网
8
中国移动增值业务网智能网黑龙江省省内智能网
9
中国移动接入网黑龙江省哈尔滨市本地网下不同区域
10
中国移动支撑网黑龙江省网管系统
11
中国移动信令网黑龙江省省内信令网
12
中国移动移动通信网电路域黑龙江省哈尔滨市本地网关口局
13
中国移动移动通信网电路域黑龙江省哈尔滨市本地网核心交换网
14
中国移动同步网黑龙江省省内同步网
15
中国移动光传送网黑龙江省省内骨干传送网
2.2项目定义
,供服务提供商(以下简称乙方)编写应答书和报价之用。
2.2.2本技术规范书包括了项目、技术服务等主要要求,这些要求将在以下章节中相应地列出。
2.2.3乙方应根据本文件中的相关说明和要求,提出技术建议、技术方案和报价。
2.2.4甲方保留对本文件的解释和修改权。
甲方有权在签定合同前,根据需要修改和补充本技术规范书,修改补充后的最终技术规范书将作为合同的附件。
2.2.5乙方应对本文件内容进行严格地保密,未经甲方授权不得将此文件泄漏给第三方,否则甲方有权追究乙方的责任。
2.3人员组织要求
乙方需向甲方提供参与本项目工作人员详细名单及项目组组织结构,并附上核心项目人员简历,安全认证资质。
所报项目组成员一旦确定,不能擅自更改。
项目确定后,必须保证所有人员的到位和工作饱满,不允许项目人员在参与本项目过程中身兼其他项目工作。
核心人员包括:
项目经理、高级技术人员、关键岗位成员。
2.4保密要求
项目过程中,乙方所收集、产生的所有本项目相关文档、资料,包括文字、图片、表格、数字等各种形式均归属甲方所有,乙方有义务对所涉及内容保密,乙方应需按照甲方要求签署保密协议。
3项目描述
3.1项目目标
对黑龙江移动网络管理部通信网络单元进行符合性检查与风险风险评测,并提高各单位网络安全防护(符合性评测、风险评估)工作效果,包括资产识别、脆弱性识别、威胁识别、已有安全措施确认、风险分析,整改建议。
通过对被检测网络单元进行信息风险评测,全面、完整地了解当前信息系统的安全状况,分析被测信息系统所面临的各种风险,根据测评结果发现系统中存在的安全问题,并对严重的问题提出相应的改进建议,达到以检测促安全的目的,实现重要信息系统的安全保护等级监控与保护的目的。
3.2项目应满足的原则
项目的方案设计与具体实施应满足以下原则:
最小影响原则:
工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
可控性原则:
方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表的安排,保证甲方对于服务工作的可控性;
可行性原则:
乙方提出的建设方案及安全服务内容应结合甲方现网情况及实际水平,是可以实际实施的;
规范性原则:
乙方工作中的过程和文档,应具有规范性,可以便于项目的跟踪和控制;
保密原则:
对过程数据和结果数据严格保密,XX不得泄露给任何单位和个人,不得利用此数据进行任何侵害甲方的行为,否则甲方有权追究乙方的责任。
甲方有权要求乙方在服务结束之后销毁所有和本项目有关的数据和文档。
3.3项目内容
依据工信部通信行业网络单元安全防护标准,对网络管理部二级及以上重要信息系统开展信息安全风险评估以及安全防护符合度测评工作,按照信息系统的重要程度明确的制定出相应的保护措施,使之满足通信行业关于等级保护不同级别的具体要求,对被测系统所涵盖全部服务器、网络设备、安全设备、应用系统进行全面的信息安全测评和风险评测。
增加信息系统安全的规范性和有效性,增强网络的抗攻击能力,以保证相关业务的正常运转,对社会的稳定发展起到积极的促进作用。
测评工作分别从应用安全、网络安全、主机安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个层面,对被测系统开展信息安全等级保护渗透测试工作,对检测过程中发现的各类问题,给出相应的加固建议,出具等级保护测评报告。
(一)差距测评服务
1、应用安全
业务应用的中断情况,在维护或升级期间中断数据采集情况,业务数据的备份情况,应用系统的容灾备份情况等。
2、网络安全
包括:
结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等。
3、物理安全
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
4、主机安全
身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。
5、数据安全及备份恢复
数据完整性、数据保密性、备份和恢复等。
6、安全管理制度
管理制度、制定和发布、评审和修订等。
7、安全管理机构
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。
8、人员安全管理
人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等。
9、系统建设管理
系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等。
10、安全运维管理
环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等。
(二)风险评测服务
1、网络安全性检测
网络脆弱性检测主要包括网络结构及边界脆弱性检测、网络设备的脆弱性检测与网络安全设备的脆弱性检测。
2、系统安全性检测
系统脆弱性检测主要包括操作系统脆弱性检测、数据库脆弱性检测。
3、应用安全性检测
应用脆弱性检测主要包括:
安全代码脆弱性检测、业务应用软件脆弱性检测与数据备份与恢复。
4、物理安全性检测
物理脆弱性检测主要包括:
环境脆弱性检测、设备脆弱性检测和存储介质脆弱性检测。
5、安全管理评估
管理安全性检测主要包括:
管理机构、管理制度、人员管理、系统建设管理、系统运维管理等内容。
6、安全基线检查
安全基线检查主要参照《中国移动安全配置规范》,对被测系统的所有主机、网络设备、数据库和中间件的安全配置进行检查,验证是否符合安全基线要求。
7、安全漏洞扫描
开展对被测重要信息系统涵盖的网络设备、系统服务器、管理终端、应用软件开展安全漏洞扫描工作,根据漏洞扫描结果开展漏洞分析汇总,提出合理性的加固建议。
8、安全渗透检测
根据网络脆弱性检测中发现的脆弱点,模拟黑客攻击有重点的对其进行现场和远程渗透性测试与验证,检验信息系统的抗攻击能力。
3.4项目人员要求
,乙方应派至少4名有4年以上工作经验的安全高级工程师提供服务,并有1名固定的高级工程师在远程提供技术支持。
要求项目实施责任落实到具体负责人;
并提供组织结构,详细的人员名单、核心人员(包括但不限于:
项目经理、现场实施人员、报告编制人。
3.4.2为做好此次信息安全检测工作,保证安全检测工作的顺利实施,高效率、高质量的完成,分别设立现场评估检测组和远程渗透测试组,成员及职责如下:
(1)现场评估检测组
负责现场风险评估工作的具体实施,开展现场访谈、文档查阅、技术检测、报告撰写等工作。
(2)远程渗透测试组
负责远程渗透测试工作的具体实施,通过互联
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 34 项目 人员 要求 中国移动 采购 招标