一、项目概况
1.项目名称:广州市港务局广州国际贸易单一窗口建设项目等级保护测评服务采购项目
二、用户需求
本项目预算金额:人民币.5元。
(一)项目背景
国际贸易“单一窗口”建设(以下简称“‘单一窗口’建设”)工作是广州市贯彻落实十八大精神,实现口岸管理相关部门“信息互换、监管互认、执法互助”和上级口岸主管部门部署的重要措施,是推进口岸通关改革、促进贸易监管制度创新的重要内容,对广州市打造国际航运中心、物流中心,推进南沙自贸试验区建设具有重要意义。广州国际贸易单一窗口平台作为“单一窗口”的实际依托平台,项目依托地方政府主导的公共信息平台(广州电子口岸),全面深化和提升关检合作“三个一”通关模式改革,建设和完善反映监管部门、企业实际需求并具有充分开放性的非盈利性公共服务平台,加强口岸查验单位和地方行政管理部门的信息系统连接和数据交换。
《中共中央关于全面深化改革若干重大问题的决定》明确要求:实现口岸管理相关部门信息互换、监管互认、执法互助。加快沿边开放步伐,允许沿边重点口岸、边境城市、经济合作区在人员往来、加工物流、旅游等方面实行特殊方式和政策。加快同周边国家和区域基础设施互联互通建设,推进丝绸之路经济带、海上丝绸之路建设,形成全方位开放新格局。
国家《电子口岸发展“十二五”规划》(国办发〔〕41号)明确要求:到年,电子口岸平台基础设施进一步完善,电子口岸平台通关、物流、商务功能进一步丰富,企业通关更加高效、有序、便捷,口岸综合执法和服务能力显著提升,符合国际“单一窗口”建设管理规则和通行标准、适应经济社会发展需要的中国特色“单一窗口”工程初步建成。
国务院办公厅关于支持外贸稳定增长的若干意见(国办发〔〕19号)提出:加快电子口岸建设,实行国际贸易“单一窗口”受理,实现口岸部门和地方政府信息共享。加快国际展会、电子商务、内外贸结合商品市场等贸易平台建设。出台跨境电子商务贸易便利化措施。
国务院关于印发落实“三互”推进大通关建设改革方案的通知(国发〔〕68号)提出:强化大通关协作机制,实现“三互”,推进“单一窗口”建设。建立国务院口岸工作部际联席会议,统一承担全国及各地方电子口岸建设业务指导和综合协调职责,将电子口岸建设成为共同的口岸管理共享平台,简化和统一单证格式与数据标准,实现申报人通过“单一窗口”向口岸管理相关部门一次性申报,口岸管理相关部门通过电子口岸平台共享信息数据、实施职能管理,执法结果通过“单一窗口”反馈申报人。中央层面通过国务院口岸工作部际联席会议统筹推进全国“单一窗口”建设,地方层面由各省(区、市)人民政府牵头形成“单一窗口”建设协调推进机制,负责推动相关工作的具体落实。
国家发展改革委、外交部、商务部联合发布的《推动共建丝绸之路经济带和21世纪海上丝绸之路的愿景与行动》提出:沿线国家宜加强信息互换、监管互认、执法互助的海关合作,以及检验检疫、认证认可、标准计量、统计信息等方面的双多边合作,推动世界贸易组织《贸易便利化协定》生效和实施。改善边境口岸通关设施条件,加快边境口岸“单一窗口”建设,降低通关成本,提升通关能力。加强供应链安全与便利化合作,推进跨境监管程序协调,推动检验检疫证书国际互联网核查,开展“经认证的经营者”(AEO)互认。降低非关税壁垒,共同提高技术性贸易措施透明度,提高贸易自由化便利化水平。
国务院关于改进口岸工作支持外贸发展的若干意见(国发〔〕16号)提出:依托电子口岸公共平台,推进国际贸易“单一窗口”建设,加快推进形成电子口岸跨部门共建、共管、共享机制。推动“单一窗口”共享数据标准化,完善和拓展“单一窗口”的应用功能,进一步优化口岸监管执法流程和通关流程。按照年底在沿海口岸、年在全国所有口岸建成“单一窗口”的目标,加快推广上海自贸试验区“单一窗口”建设试点经验,条件成熟的地区可探索建立与区域发展战略相适应的“单一窗口”。同时,加强风险分析和综合研判,推动监控指挥、全程可视化物流监控体系建设。推进出入境证件电子化,推广旅客自助式通关系统和车辆“一站式”电子验放系统。加快实现信息互换、监管互认、执法互助,扩大联合执法、联合查验范围。进一步优化监管执法流程,逐步由“串联执法”转为“并联执法”。在全面实施关检合作“三个一”(一次申报、一次查验、一次放行)的基础上,逐步向“单一窗口”转变,实现口岸相关部门信息共享共用。探索对进出境运输工具、货物实施“联合查验、一次放行”等通关新模式,减少重复查验。
国务院关于印发中国(广东)自由贸易试验区总体方案的通知(国发〔〕18号)提出:按照权责一致原则,建立行政权责清单制度,明确政府职能边界。深化行政审批制度改革,最大限度取消行政审批事项。推进行政审批标准化、信息化建设,探索全程电子化登记和电子营业执照管理,建立一口受理、同步审批的“一站式”高效服务模式,建设市场准入统一平台和国际贸易“单一窗口”,实现多部门信息共享和协同管理。
(二)项目建设目标
总体目标
以广州电子口岸为依托,全面深化和提升关检合作“三个一”通关模式改革,建设和完善反映口岸管理部门、企业实际需求并具有充分开放性的公共平台,加强口岸管理部门和地方行政管理部门的信息系统连接和数据交换。实现贸易和运输企业通过“单一窗口”平台一点接入、一次性递交满足口岸管理部门要求的格式化单证和电子信息;口岸管理部门处理状态通过“单一窗口”平台反馈给申报人;口岸管理部门按照确定的规则,共享监管资源,实施联合监管。力争初步建成符合国际“单一窗口”建设管理规则和通行标准、适应经济社会发展需要、有广州特色的“单一窗口”试点工程。
具体目标
加强口岸管理部门和地方行政管理部门的信息系统连接和数据交换。
实现贸易和运输企业通过“单一窗口”实现一点接入、一点受理、一点反馈。
围绕国际贸易进出口环节实现货物申报、运输工具申报、舱单申报、跨境电子商务、国际会展、国际邮件快件、物流服务、进出口许可、企业资质、支付结算、加工贸易、信息查询、三互作业、危险品申报、原产地证明、市场采购、通关物流动态、智能化运营支撑等系统功能。
(三)服务范围
等级保护测评服务商需严格遵守国家现行最新的有关标准,客观公正地开展测评工作,维护项目业主单位的合法权益。
等级保护测评服务商在测评有关项目过程中,需符合市信息化项目主管部门的统一要求,并按照项目业主单位的要求及时准确地汇报测评情况,并根据相关测试规范和标准开展测试工作。
等级保护测评服务商要将信息化项目测评中发现的重大问题及时向项目业主汇报。
按照相关法律法规、标准要求,完成该系统网络安全等级保护测评工作,提交符合公安部网络安全等级保护测评报告格式要求的《网络安全等级保护测评报告》。
等级保护测评服务商提供以上基本测评服务应全部计入报价之中,不得向项目业主单位收取其它任何费用。
(四)工期要求
自签订测评服务合同之日起,至最终完成验收测评工作,收到广州国际贸易单一窗口建设项目测评报告,达到国家规定的信息安全要求,并完成向市公安局提交验收测评备案,收到提交验收测评备案回执。
(五)人员要求
1.磋商供应商须成立一个专业队伍为采购人服务,该项目的人员应至少包括:项目负责人、项目实施技术人员。
2.项目负责人拥有中级或以上的网络安全等级保护测评师证书,并将全程负责本项目的管理、技术质量管控。具体负责:项目进度控制、编写项目周报、召开例会、编制技术方案及项目总结报告等技术文档、协调采购人及被测单位等工作。
3.磋商供应商必须向采购人保证人员组织的稳定性,在本项目结束前,参加本项目的人员变动必须取得采购人书面同意。
4.应具备信息系统等级保护测评工作经验,精通等级保护测评技术,能分析测评过程中存在的风险。
5.具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。
6.具有能根据用户信息系统安全防护问题的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度的能力。
7.具有对发生的突发性安全事件进行分析和解决的能力。
8.应了解、掌握并能应用等级保护测评国家和行业标准。
9.需根据等级保护测评工作中发现的安全隐患,提供详细的安全加固建议报告。
10.严格遵守信息安全保密制度,做好数据在存储、传输过程中的保密措施,不得泄露项目的一切信息。
11.项目实施技术人员应具有信息安全等级保护测评师初级或以上证书。
(六)服务质量
1.服务过程应做好风险预防措施,测评人员应该仅以发现系统安全问题为目的,不得采取对被测系统带有破坏性的信息安全测试。
2.测评人员应严格依照测评大纲开展工作。
3.按与采购人签订的合同中规定按时、保质完成测评工作,并提交测评报告。
三、磋商供应商资质及证书业绩要求
1.★磋商供应商必须具备从事信息安全等级保护测评工作能力单位,提供《网络安全等级保护测评机构推荐证书》原件扫描件。
磋商供应商开展等级保护测评,具备信息安全等级保护测评项目业绩,并具有完善的质量保证体系。磋商供应商必须具有良好的企业信誉,充足的技术队伍,稳定的组织机构。
2.前期为本采购项目提供整体设计、规范编制或者项目管理、监理等服务的供应商,不得参加该本次采购活动。
3.单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目报价。
四、基本原则
1.规范性原则:严格遵循国家、行业相关规范、标准开展工作。
2.最小影响原则:做好风险预防措施,尽可能避免对在运网络和信息系统造成影响;测评人员应该仅以发现系统安全漏洞为目的,不得采取对被测系统带有破坏性的信息安全测试。
3.公平公正原则:按照统一标准开展等级保护测评工作,确保等级保护测评工作能够客观、真实地反应各被测网站安全等级保护现状。
五、测试依据
测评参考相关标准与文件主要包括如下内容:
1)测评标准:
GB-计算机信息系统安全保护等级划分准则
GB/T-信息安全技术网络安全等级保护基本要求
GB/T-信息安全技术信息系统安全等级保护定级指南
GB/T-信息安全技术网络安全等级保护测评要求
GB/T-信息安全技术网络安全等级保护测评过程指南
GB/T-信息安全技术网络安全等级保护实施指南
GB/T-信息安全技术网络安全等级保护安全设计技术要求
六、测评工作内容要求
根据《GB/T-信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系统保护等级需求,协助采购人对现有的信息系统进行等级保护备案,编写信息系统定级备案表和信息系统定级报告,并协助向公安局提交定级备案材料,取得信息系统定级备案证明。
对采购人现有信息系统开展安全保护符合性测评、作差距分析、并提出整改建议与编写验收测评报告。
根据《GB/T-信息安全技术网络安全等级保护基本要求》等标准组织开展信息系统等级保护符合性测评,衡量“广州国际贸易单一窗口建设项目”的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
依据信息系统的安全保护等级,通过人员访谈、文档审查、实地察看、配置检查、工具检测等方法从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,判断网站现有的安全保护水平与国家信息安全等级保护管理规范和技术标准要求项之间的符合情况。
对信息系统进行整体、全面、公正的评估,对不符合项进行风险分析,编写符合公安部网络安全等级保护测评报告格式要求的《网络安全等级保护测评报告》,最终完成安全等级保护验收测评工作,达到国家规定的信息安全要求,并完成向市公安局提交验收测评备案。
七、测评工具要求
在等级保护测评过程中,应采用询问、检查、测试、工具扫描等多种手段组合的方式。
依据《广东省计算机信息系统安全保护条例》第三十条规定,安全服务机构生产、销售或提供网络渗透、扫描工具,需到地级及市公安机关备案。
报价的供应商提供项目实施所需安全工具,需出具有关部门的具备正式性质的作业工具备案通知书,若非原生产厂家,需要出具所使用安全工具原生产厂家正版使用以及无偿技术服务支持承诺书。若引起任何知识产权或者相关法律纠纷,由成交供应商承担责任并补偿因此对目标单位造成对损失。