|
一、服务提供商资质要求
1、具备质量管理体系认证(ISO9000);
2、具备中国信息安全测评中心颁发的信息安全服务证书(安全开发类)一级及以上资质;
3、具备中国信息安全测评中心颁发的信息安全服务证书(风险评估类)二级及以上资质;
4、具备中国电子信息行业联合会颁发的信息系统建设和服务能力等级证书CS4级及以上资质;
5、具备中国国家信息安全漏洞库(CNNVD)技术支撑单位一级及以上资质;
6、具备CNCERT网络安全应急服务支撑单位甲级及以上资质;
二、服务内容要求
1、提供针对省统筹平台(一期)(JAVA语言,共约430万行)的代码审计服务;
2、服务方案完整,明确服务依据及服务原则,要求采用动态检测+静态分析+黑盒渗透测试方式,通过审核应用系统源代码安全漏洞检测、合规性检查及第三方组件风险隐患排查等服务手段,提供代码审计服务报告并给出加固解决方案。服务方案内容包含但不限于准备阶段、场景调研阶段、分析审核阶段、总结报告阶段,详细阐述各阶段服务内容、服务方式、服务输出物等内容。
3、服务工具要求(要求提供截图证明):
1)分析能力:支持按项目制定规则集,能够与开源代码检测工具,Findbugs, CheckStyle工具进行无缝集成;支持增量扫描,即仅分析本次有代码变动的源文件,且扫描速度提升;扫描速度提升20%以上,无变动的的项目可以秒级完成。
2)测试管理能力:能够提供对项目的源代码相互调用关系的架构分析;支持实时检查git地址,防止重复创建;支持一个git地址下批量建多个扫描任务;支持一个项目支持配置多个代码位置。
3)安全评分评级:提供对项目结果进行评分评级功能,出具评分评级报告。可以根据项目的重要性,漏洞的级别,漏洞审计的结果等因素对评分进行权重设计,自定义各项评分因子。
4)安全审计能力:能够提供项目的多次测试结果的比较报告,详细列出表比较情况,列出漏洞的“新增、续存、已修复”的数量以及具体漏洞点,漏洞列表树,以“新增”“复发”“已修复”展现;漏洞审计时能够显示产生问题的文件、代码、发现日期、审计日志及对应说明和修复建议;多次扫描后,未达到修复标准的记录,如果相关代码没有变化,发现日期为首次发现的日期。
5)服务工具应为服务提供商自主知识产权产品,要求提供计算机软件著作权登记证书;并应兼容国家信息安全漏洞库(CNNVD),要求提供兼容性资质证书。
三、服务人员要求
1)项目经理1人:具备计算机应用技术、计算机网络等通信技术类专业全日制硕士研究生(含)以上学历;具备信息系统安全专业认证(CISSP)有效安全认证证书;具备国际项目管理师(PMP)证书或人社部颁发的信息系统项目管理师证书;具备CISA证书。
2)团队人员1人(项目经理除外):具备网络安全、信息安全、计算机、通信技术类相关专业全日制本科及以上学历;具备CISP或CISSP或CISA或CISAW认证。
3)人员需提供有效的身份证正反面扫描件、学历证明文件(毕业证或学位证或学信网截图)、劳动合同、资格证书扫描件、自2025年1月起任意连续2个月社保缴纳证明。
|
