Báo giá dịch vụ đánh giá an toàn thông tin hệ thống CNTT tại trụ sở Văn phòng VEC
bao-gia-dich-vu-danh-gia-an-toan-thong-tin-he-thong-cntt-tai-tru-so-van-phong-vec

Báo giá dịch vụ đánh giá an toàn thông tin hệ thống CNTT tại trụ sở Văn phòng VEC

Lượt xem: 1111

Kính gửi: Các Công ty cung cấp dịch vụ đánh giá an toàn thông tin

 

Tổng công ty Đầu tư phát triển đường cao tốc Việt Nam (VEC) có nhu cầu thuê dịch vụ đánh giá an toàn thông tin cho hệ thống CNTT tại Văn phòng Tổng công ty. Trên cơ sở yêu cầu dịch vụ (đính kèm) cho công tác đánh giá an toàn thông tin, VEC kính đề nghị quý Công ty báo giá để thực hiện dịch vụ.

Báo giá bao gồm thuế, phí và các chi phí cần thiết, hồ sơ năng lực, danh sách nhân sự đề xuất và kế hoạch để thực hiện nhiệm vụ theo đúng các yêu cầu về dịch vụ.

Đề nghị gửi báo giá về VEC trước 17h00 ngày 13/10/2025 theo địa chỉ: Tầng 3, tháp A, tòa nhà Central Point, số 219 Trung Kính, phường Yên Hòa, quận Cầu Giấy, Hà Nội (Ông Tô Văn Hà: 0912178580) hoặc email: duongcaotoc@tctvec.vn

Trân trọng./.


PHỤ LỤC: YÊU CẦU DỊCH VỤ ĐÁNH GIÁ AN TOÀN THÔNG TIN

(Kèm theo văn bản số 3256/CV-VEC ngày 03/10/2025 của Tổng công ty Đầu tư phát triển đường cao tốc Việt Nam)

 

1 . Các yêu cầu đối với đơn vị và nhân sự thực hiện dịch vụ đánh giá an toàn thông tin:

a. Đơn vị đánh giá an toàn thông tin

-  Có ít nhất 03 năm kinh nghiệm trong lĩnh vực an toàn thông tin.

-  Từng thực hiện tối thiểu 03 dự án tương tự về đánh giá và phân tích hệ thống (Compromise Assessment) cho tổ chức nhà nước hoặc doanh nghiệp

-  Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng do Bộ thông tin Truyền thông cấp trong đó có mục “Cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng, cung cấp dịch vụ giám sát an toàn thông tin mạng"

-  Là đối tác MSP triển khai dịch vụ rà soát của hãng tại Việt Nam

-  Chứng nhận về Pentest: CREST, ISO 27001.

  b. Nhân sự thực hiện đánh giá an toàn thông tin

Vị trí

Số lượng

Kinh nghiệm

Chứng chỉ yêu cầu

Trưởng nhóm đánh giá

01

Chuyên gia mức 2;

≥ 5 năm trong lĩnh vực bảo mật hoặc CNTT

OSWE, OSCE 3, OSCE, OSCP, Penetration Tester, CPSA hoặc tương đương

Chuyên gia kỹ thuật đánh giá

04

Chuyên gia mức 3; ≥ 2–3 năm đánh giá bảo mật hệ thống, mạng, ứng dụng

OSCE 3, OSCE, OSCP, Penetration Tester

Chuyên viên hỗ trợ

01

Chuyên gia mức 4; < 5 năm kinh nghiệm

Ưu tiên có CEH  hoặc đã tham gia khóa đào tạo cơ bản về ATTT

Ghi chú: Trường hợp đơn vị không có đủ chứng chỉ quốc tế, có thể chấp nhận chứng chỉ tương đương được cấp bởi các tổ chức đào tạo có uy tín trong nước như: Viettel, BKAV, VSEC, CyRadar,… nếu đi kèm minh chứng kinh nghiệm tương ứng.

 2. Phạm vi, nội dung công việc:

2.1  Phạm vi

Dịch vụ rà soát, đánh giá và phân tích hệ thống (Compromise Assessment):

-         Triển khai cài đặt cho số lượng 10 máy chủ và 120 máy người dùng của Tổng công ty và tiến hành thu thập dữ liệu.

-         Tiến hành rà soát và phân tích trên toàn bộ các máy chủ; hệ thống mạng; firewall; ứng dụng, CSDL nội bộ và máy người dùng (nếu có) trong phạm vi triển khai.

-         Xác thực sự cố bị xâm phạm hệ thống và đưa ra các biện pháp khắc phục ngắn hạn.

-         Phân tích và tìm ra nguyên nhân gốc rễ của sự cố vi phạm. Xây dựng kế hoạch khắc phục toàn diện và hành động cần thiết.

-         Thu thập tất cả các phát hiện và bằng chứng và lập báo cáo tổng kết.

-         Đưa ra các khuyến nghị về nâng cao an toàn bảo mật.

2.2 Yêu cầu công cụ rà soát, đánh giá và phân tích hệ thống

·        Công cụ, giải pháp đánh giá phải là sản phẩm chính hãng, có tài liệu chứng minh.

·        Công cụ, giải pháp đánh giá cần đáp ứng các tính năng sau:

-         Phát hiện và truy tìm dấu vết của phần mềm độc hại, hoạt động độc hại và APT.

-         Tìm kiếm các dấu vết khác nhau không chỉ giới hạn ở: các đường dẫn stagin, các cơ chế duy trì, cơ chế di chuyển bên, các khóa registry, vv…

-         Quét các thiết bị cuối với các chỉ báo xâm nhập IOC liên quan đến phần mềm độc hại tùy chỉnh theo kỹ thuật cơ chế duy trì và leo quyền ngang.

-         Kiểm tra tất cả các hệ thống đã được xác định để tìm kiếm các các chỉ báo xâm nhập IOC, kiểm tra các cơ chế duy trì có thể dẫn đến phát hiện phần mềm độc hại không xác định.

-         Kiểm tra tất cả các hệ thống được xác định cho các chỉ báo xâm nhập IOC. Xác định các mutex toàn cục cụ thể được sử dụng bởi các tiến trình.

-         Kiểm tra tất cả các hệ thống được xác định để tìm các chỉ báo xâm nhập IOC. Phát hiện rootkit, tệp ẩn và quy trình ẩn.

-         Phân tích Web Shell để thu thập bằng chứng.

-         Phân tích nhật ký sự kiện để thu thập bằng chứng.

-         Phát hiện và xác định sự hiện diện của hoạt động tân công có mục tiêu trong mạng (nếu có).

-         Phát hiện được các mã độc tấn công có chủ đích, phân tích hành vi với dữ liệu từ các tấn công thực tế trên thế giới

-         Có tính năng quản trị tập trung qua nền tảng web

-         Có tính năng tìm kiếm, lọc các thông tin của máy chủ

-         Hoạt động dựa trên cách thức đánh giá rủi ro về các tấn công, tránh các cảnh báo giả

-         Phát hiện được các hành vi độc hại của mã độc

-         Tìm kiếm, điều tra phân tích các dấu vết lây nhiễm với mã độc

-         Phát hiện các dịch vụ không có chữ ký số hoặc giả mạo chữ ký số

-         Phát hiện được thời điểm mã độc bắt đầu phát tán, lây nhiễm

-         Có tính năng cập nhật thêm các thông tin tình báo an ninh mạng cập nhật để hỗ trợ rà quét

-         Có tính năng rà quét offline, cho phép rà quét các mã độc mà không cần kết nối tới thành phần quản lý, phục vụ cho nhu cầu điều tra truy vết và ứng cứu sự cố

-         Phát hiện và phân tích được các tấn công dạng lây nhiễm

-         Có tính năng tự động điều tra phân tích giúp phát hiện các nghi vấn về nhiễm mã độc, phát hiện nguồn gốc lây nhiễm

-         Có phân quyền cho các tài khoản trên hệ thống

-         Hỗ trợ báo cáo, thống kê, tìm kiếm

-         Hỗ trợ định dạng báo cáo đa dạng: PDF, CSV, Dashboard

-         Hỗ trợ tích hợp với hệ thống SIEM

-         Hỗ trợ tích hợp với giải pháp Threat Intelligence (TI)

-         Công cụ có khả năng cấu hình giới hạn tài nguyên sử dụng (Ram, CPU) đối với các máy chủ, máy trạm (Có hình ảnh/ tài liệu chứng minh)

-         Công cụ có khả năng cấu hình quản lý kết quả rà soát theo từng bộ phận phòng ban.

Công cụ có cơ chế phân loại đánh giá tự động theo các cấp độ rủi ro.

3. Phát hành báo cáo đánh giá an toàn thông tin:

Đơn vị thực hiện có trách nhiệm cung cấp cho Tổng công ty Đầu tư phát triển đường cao tốc Việt Nam các Báo cáo đánh giá an toàn thông tin bao gồm

- 01 báo cáo đánh giá tổng thể (Executive Report – trình bày ngắn gọn).

- 01 báo cáo kỹ thuật chi tiết (Technical Report – mô tả đầy đủ các phát hiện).

- 01 bộ đề xuất biện pháp xử lý, kế hoạch hành động ưu tiên.

-  File quét lỗ hổng, log kiểm thử (nếu có).

4. Tiến độ thực hiện

- Tiến độ thực hiện: rà soát và phân tích 1 lần trong vòng 30 ngày liên tục (kể cả ngày nghỉ, ngày lễ, tết theo quy định) kể từ ngày ký hợp đồng.

Ngày đăng: 09:06:00 06-10-2025



Tin tức khác


» Xem tất cả

Thông báo

Tin tức - Sự kiện mới

  • TIN ẢNH   |
  • TIN VIDEOS

© 2009 - Bản quyền thuộc về VEC. Mọi thông tin, hình ảnh trích xuất từ Website này phải ghi rõ nguồn của VEC.
Thống kê truy cập: 2,246,415 | Đang online: 13