为深入贯彻网络强国重要思想,坚决履行网信工作“防风险保安全”使命任务,积极培育良好的网络安全生态,加快构建“四位一体”网络安全共建共治共享新格局,根据《四川省加强网络安全工作三年行动计划(2022—2024年)》重点任务安排,现面向社会公开遴选四川省“网络安全医院”服务平台(以下简称服务平台)第一批入驻单位。现将有关事项公告如下。
一、遴选目的
服务平台由省委网信办组织建设,通过设立网络安全门诊,吸引优秀网络安全企事业单位入驻,为全省各级党政机关、企事业单位等责任主体提供咨询等服务,供其开展网络安全规划计划、系统建设、运维管理、风险排查处置、应急保障等相关工作时参考。
二、服务平台门诊设置
根据责任主体需求,结合服务平台建设运营情况,首批共设置9个门诊类别,包括:网络和通信安全、终端安全、身份与访问安全、数据安全、应用安全、安全管理、安全服务、安全测评等8个专业门诊和1个综合门诊。云安全、物联网安全、移动安全、工业互联网安全等门诊将于后续批次开设并组织遴选。
(一)网络和通信安全门诊,提供网络边界和网络通信安全防护所需的软硬件能力服务,如防火墙、入侵检测与防御、防病毒网关、网络上网行为管理及审计、高级持续性威胁(APT)防护、虚拟专网、网络隔离与交换、网络边界完整性检测、抗拒绝服务攻击设备等。
(二)终端安全门诊,提供主机、服务器、PC等终端网络安全防护所需的软硬件能力服务,如终端安全管理、终端威胁检测与响应、终端防病毒、主机/服务器加固、恶意代码防护、入侵攻击线索排查等。
(三)身份与访问安全门诊,提供身份认证与访问安全控制所需的软硬件能力服务,如身份认证与权限管理、运维审计堡垒机、数字证书等。
(四)数据安全门诊,提供数据安全治理和保护所需的软硬件能力服务,如数据库安全、数据脱敏、数据加密、数据资产识别、数据分类分级、数据合规审查、数据泄露防护、存储备份与恢复等。
(五)应用安全门诊,提供网页、API、邮件等互联网应用安全防护所需的软硬件能力服务,如Web应用防火墙、Web应用安全扫描及监控、网页防篡改、API安全、邮件安全等。
(六)安全管理门诊,提供网络安全综合管理所需的软硬件能力服务,如态势感知、资产测绘与风险动态管理、欺骗防御、威胁情报、日志分析与审计、安全响应自动化、安全事件管理等。
(七)安全服务门诊,提供网络安全运营所需的技术能力服务,如安全运维、攻击面和暴露面排查、风险评估、渗透测试、安全审计、应急处置、攻击取证溯源、检测评估、攻防演练、安全培训教育等。
(八)安全测评门诊,提供网络安全相关测评所需的技术能力服务,如等级保护测评、商用密码应用安全性评估等。
(九)综合门诊,提供综合性网络安全咨询服务,如网络安全规划建设、网络安全运维管理、网络安全风险排查整改、重大活动保障等咨询。
三、遴选原则
(一)坚持公平公正、开放竞争、优中选优,第一批遴选入驻的单位总数不超过50家,每家单位申报入驻的门诊类别不超过5个。
(二)坚持技术实力与服务能力兼顾,申报单位应具有良好的技术团队、资质设备等技术实力和必要的本地化产品交付、技术支撑等服务能力。
(三)坚持单位自愿与网信部门推荐相结合,申报单位应至少有省内1个市(州)党委网信办推荐。
四、遴选流程
遴选流程包括自主申报、形式审核、专家评审、名单确定等环节。
(一)自主申报。申报单位根据自身情况和申报要求,确定拟申报门诊,并按要求准备和提交申报材料。
(二)形式审核。省委网信办组织对申报材料开展符合性审核,达到基本要求的单位进入专家评审环节。
(三)专家评审。由网络安全技术、市场等方面专家组成评审专家组,按照服务平台遴选标准,分资料评审和现场答辩两个阶段进行评审打分,并根据“资料得分×70%+现场答辩×30%”计算申报单位综合得分情况,提出服务平台各门诊入驻单位建议名单。
各门诊原则上按照1:2(实际遴选入驻单位数量:进入答辩环节的申报单位数量)比例选取资料评审得分靠前的单位进入现场答辩,不足该比例的全部进入答辩。申报单位围绕基本情况、技术能力、入驻申报门诊所具备的优势等情况进行现场答辩,具体安排另行通知。
答辩中如发现申报资料不属实等情况,评审专家组将视情扣取该申报单位的资料评审得分,对情节严重者直接取消申报资格。
(四)名单确定。服务平台各门诊入驻单位建议名单,经5个工作日公示无异议后生效。
五、申报条件
申报单位需同时满足基础条件和所申报门诊有关要求。
(一)基础条件
1.在中华人民共和国境内注册成立,具有独立法人资格,具有相关部门颁发的合法经营证照。
2.社会责任感强,信誉和经营状况良好,遵守中华人民共和国现行法律、法规及规章,未发生重大网络安全事件或泄漏国家秘密等相关事件,参加专业门诊遴选的单位在遴选前3年内无重大违法记录,参加综合门诊遴选的单位在遴选前5年内无重大违法纪录。被列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中的单位不得参加遴选。
注:此处所称重大违法记录,是指因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。“较大数额罚款”指200万元以上(本公告涉及的金额币种均指人民币,以上均包括本数,下同)的罚款,法律、行政法规以及国务院有关部门明确规定相关领域“较大数额罚款”标准高于200万元的,从其规定。
3.在中华人民共和国境内从事网络安全相关经营活动,具备相关工作环境、研究环境、设备工具以及其它必要保障措施。
4.申报单位的子公司或分支机构不得同时进行申报。
5.自觉接受各级网信部门的监督、检查、指导,以及接受服务对象的监督和评价。
(二)门诊要求
1.网络和通信安全门诊、终端安全门诊、身份与访问安全门诊、数据安全门诊、应用安全门诊、安全管理门诊申报要求
(1)申报单位注册或开办资金人民币500万元以上,网络安全从业年限不低于3年,正式职工数量不少于100人。申报单位注册地在川或在川至少设有1个固定办事机构(分公司、子公司、办事处等,下同)。
(2)拥有高水平网络安全技术人员。单位正式职工中,拥有一定数量的网络安全技术相关高级工程师或持证人员;实际从事申报门诊方向的技术人员不少于20人。
(3)在申报门诊方向具有技术优势。如承担过省部级(含)以上相关科研项目或课题;获得省部级(含)以上相关科技奖励;获得相关技术专利、软件著作权等;参与过国家、行业相关标准制定等;持有相关机构颁发的资质证书等。
(4)申报方向相关产品服务具有较好的市场销售业绩和服务绩效。2021年至今,完成不同服务对象50万元以上相关项目合同不得少于10个,且有金额超200万元的项目合同(申报方向金额超500万元的相关项目合同超过2个,也可认定为符合本要求)。不存在因各阶段验收未通过或申报单位原因而终止合同的项目。
2.安全服务门诊申报要求
(1)申报单位注册或开办资金在200万元人民币以上,网络安全从业年限不低于3年,申报单位注册地在川或在川至少设有1个固定办事机构,在川正式职工不少于20人。
(2)拥有高水平网络安全技术人员。在川正式职工中,从事网络安全服务的技术人员占比不低于60%或不少于20人,拥有一定数量网络安全相关证书(如CISP、CISAW、CISSP等)人员。
(3)在网络安全服务领域具有技术优势。如具有网络安全技术服务特色工具(厂家授权、采购等);具有中国网络安全审查技术与认证中心(中国网络安全审查认证和市场监管大数据中心)、中国信息安全测评中心等机构颁发的相关服务资质;在中央和国家机关、川内省级部门组织的实战攻防类赛事活动中获得优异成绩;支撑保障过省部级(含)以上重大活动;入选四川省、市两级网信部门或安全中心四川分中心技术支撑单位(有效期内)等。
(4)具有较好的网络安全服务业绩和绩效。2021年至今,完成不同服务对象30万元以上网络安全服务项目合同不得少于10个,且有金额在60万元以上的项目,不存在因各阶段验收未通过或申报单位原因而终止合同的项目。
3.安全测评门诊申报要求
(1)申报单位注册或开办资金在500万元人民币以上,网络安全从业年限不低于3年,正式职工数量不少于20人,申报单位注册地在川或在川至少设有1个固定办事机构,在川从事测评的相关技术人员(正式职工)不得少于10人。
(2)具有公安、密码等部门颁发的等级保护测评、商用密码应用安全性评估等相关资格证书或授权。
(3)在网络安全测评领域具有技术优势。如承担过申报方向省部级(含)以上科研项目或课题;获得省部级(含)以上科技奖励;获得相关技术专利、软件著作权等;参与过国家、行业相关方向标准制定;具有测评所需的技术工具等。
(4)具有较好的网络安全测评服务业绩和绩效。2021年至今,从事等保测评的,在川完成不同服务对象测评项目不少于100个,不存在因各阶段验收未通过或申报单位原因而终止合同的项目。
4.综合门诊申报要求
(1)2021年以来,申报单位每年营收均达到10亿元以上,网络安全从业年限不低于5年,单位正式职工数量不少于500人。申报单位注册地在川或在川至少3个市(州)设有固定办事机构,如不满足该条件的,需承诺在入驻后6个月内达到以上条件。
(2)拥有高水平网络安全技术人员。从事网络安全的技术人员数量不少于200人,持有网络安全相关证书(如CISP、CISAW、CISSP等)的人员不少于50人。在川机构正式职工数量不少于50人。
(3)至少具有1类由中国网络安全审查技术与认证中心(中国网络安全审查认证和市场监管大数据中心)或中国信息安全测评中心等相关权威机构颁发的网络安全相关服务资质认证。
(4)在网络安全领域具有技术优势。如承担过相关方向省部级(含)以上科研项目或课题;获得省部级(含)以上科技奖励;获得相关专利、软件著作权等;获得省级(含)以上网络安全相关赛事奖项;参与过国家、行业标准制定;支撑保障过省部级(含)以上重大活动等。
(5)至少满足国家信息安全漏洞共享平台(CNVD)技术组支撑单位、国家信息安全漏洞库(CNNVD)一级支撑单位、国家计算机网络应急处理协调中心—国家级应急服务支撑单位其中1项(有效期内)。
(6)具有较好的市场销售业绩和服务绩效。2021年至今,每年至少完成30个不同对象的网络安全项目,其中建设类在200万元以上项目、服务类在60万元以上项目均不低于10个,且不存在因各阶段验收未通过或申报单位原因而终止合同的项目。
六、其它
服务平台入驻有效期为2年,期满后重新组织遴选。省委网信办将建立入驻单位考核评估和退出机制,定期组织综合评估,对不符合基本要求的将采取强制退出措施。入驻单位可自愿申请退出。