一、招标人
名称:****
地址:**市**区官塘桥路200号
二、招标项目名称
交通集团信息系统等级保护2.0测评服务项目
三、招标需求
为做好重要信息系统网络安全的保卫工作,通过该评测工作及时发现系统安全隐患并迅速进行整改,从而全面提升重要信息系统的网络安全防护水平,以保障系统的安全、高效、稳定运行。****集团重要信息系统进行等保2.0测评服务进行采购。
四、最高投标限价
本项目设最高限价150000元,投标报价不得高于限价,高于限价的作废标处理。
五、投标人资格要求
1.具有独立承担民事责任的能力,提供营业执照、税务登记证等证明文件(“三证合一”的提供“营业执照”,****事业单位法人证书);
2.具有健全的财务会计制度,****事务所出具的2023年度财务审计报告复印件;
3.有依法缴纳税收和社会保障资金的良好记录(提供参加本次采购活动前一年内(至少一个月)依法缴纳税收和社会保障资金的相关证明材料);
4.采购人根据采购项目的特殊要求规定的特定条件:******部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”。(提供证书复印件并加盖公章)。
六、服务内容
(一)服务系统
OA系统、印章系统、集团官网、财务用友系统包括但不限于办公系统、业务系统、数据库、服务器等。
(二)服务要求
1.等级保护测评。协助用户完成相应系统的定级备案工作,按照用户现状参照所定等级对应的技术要求进行测评分析,对评估对象的现状作记录,包括物理安全、网络安全、主机安全、应用安全、数据安全及备份和恢复;按照用户系统现状对应的管理要求进行测评分析,对评估对象的现状作记录,包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
(1)识别信息安全风险。通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
(2)增强安全防护能力。依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
(3)测评结果分析
包括:单项测评结果判定、单元测评结果判定、整体测评分析、形成测评分析报告、针对测评分析报告的整改建议
2. 渗透测试。选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。
(1)渗透测试的内容
工作内容包括渗透测试及提供漏洞修复方案。
本次渗透测试工作为黑盒测试。
(2)需要包含如下阶段
前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。
信息搜集阶段:采用各种方法搜集用户方的所有相关信息。
威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。
渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。
后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
(3)渗透测试工作要求
本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危害用户应用系统的工作行为,遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自修改、拷贝用户数据,不得泄露、传播用户的敏感信息,如有违反将负法律责任。
3.服务成果。本次安全服务应提交以下成果:
(1)《信息系统等级测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
(2)《信息系统渗透测试报告》,包含但不限于如下方面的内容:渗透测试的方法、目标、范围。测试的人员、时间、策略。测试的工具、风险规避措施。测试的过程、漏洞利用截图,测试的结果等。
4.服务人员要求
(1)项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。
(2)项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。
工具配备要求
(1)投标人必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web漏洞扫描系统。
(2)投标人必须在技术方案内明确专项检查所需要的所有技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。
6.复测要求
根据测评报告,完成整改后,投标人需进行复测,******部门认可的测评报告。
七、评标办法
本次招标确定中标人1名,采用“综合评分法”的评标办法,从投标报价、公司及人员资质、案例业绩、测评方案及组织方案等方面进行综合评价,最终按综合得分由高到低排名,取最高分为中标人。
若出现总得分相同时,以报价部分得分高者优先,报价部分得分也相同时,以商务部分得分高者优先,若商务部分得分也相同,由评委会确定排名顺序。
八、付款方式
取得**部门认可的测评报告后一次性支付。
九、招标文件的获取
1、招标文件领取时间:2024 年9月21日-9月25日(上午9:00-11:00,下午14:00-17:00)
2、招标文件领取地点:**市官塘桥路200****集团2****管理部办公室
3、联系人:江工/官工 0511-****2380
4、☆领取招标文件时须携带①投标人营业执照原件及复印件(加盖公章)②法人授权委托书③法人或授权委托人身份证原件及复印件(加盖公章)至**市官塘桥路200****集团2号楼二楼进行登记,并缴纳300元招标文件领取费后领取纸质或电子招标文件。
5、本项目采取资格后审的方式,接受报名不代表资格审核通过。
6、招标文件领取费300元,不退,****银行账户上转账到以下的指定账户:
户名:****
开户银行:****公司**分行
银行账号:484****20453
(附言:交通集团信息系统等级保护2.0测评服务项目招标文件领取费)
十、投标文件要求
投标人应仔细阅读招标文件的所有内容,按招标文件的要求提供投标文件,并保证所提供全部资料的真实性,以确保其投标对招标文件做出实质性响应。否则,其投标可能被拒绝。
投标人须按招标文件的要求提供投标文件,招标人不退投标文件。
1、投标人应提交投标文件正本一份、副本一份,并胶装成册,投标文件每一页都必须加盖投标人公章,并保证相互间的一致性。投标时,投标单位应将投标文件正本和副本分开密封,并在投标文件和信封正面标明“正本”和“副本”字样。正本和副本不一致时,以正本为准。
2、所有投标文件都必须在封袋骑缝处加盖投标人公章、企业法定代表人或其委托代理人的签字或印章,并进行密封,否则招标人有权拒绝接受投标文件。
3、投标人应在招标文件要求提交投标文件的截止时间前递交投标文件,逾期送达指定地点的投标文件将被拒绝。
十一、投标截止时间及投标文件提交地点
投标截止时间:2024年9月29日 14:30分。
投标文件提交地点:****集团2号楼二楼会议室
十二、开标时间及地点
开标时间:2024年9月29日 14:30分
开标地点:****2号楼二楼会议室
*开标时****公司及人员)及业绩原件备查
十三、监督部门
本招标项目的监督部****集团****委员会办公室。联系电话:0511-****0126