根据《****采购管理办法》,我院拟采取竞争性磋商方式采购信息系统等级保护测评服务。欢迎符合条件的供应商参加。
一、项目基本情况
2.项目编号:****
3.采购方式:竞争性磋商
4.预算金额(最高限价):15万元
二、投标人资格要求
(一)对投标人的要求
1.具备独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法交纳税收和社会保障资金的良好记录;
5.****政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
(二)本项目特定条件
本项目不接受联合体投标,不得转包、分包或以其它联营挂靠形式分包给其他单位或个人,否则采购人有权单方面终止合同,另选供应商。
(三)资格审查
1.投标人资格要求——(一)对投标人的要求第1项,提供营业执照复印件;
2.投标人资格要求——(一)对投标人的要求第2至5项,提供承诺函;
注:所有承诺函、复印件、打印件、资格证明等资料需与原件一致,并加盖投标供应商鲜章。
三、服务内容
一、技术服务要求
| 序号 | 服务内容 |
| 1 | 信息系统等保测评 |
| 2 | 渗透测试服务 |
1.测评对象
| 序号 | 系统名称 | 等级 |
| 1 | 警院及一卡通系统 | 二级 |
| 2 | 门户站群系统 | 二级 |
| 3 | 数字校园系统 | 二级 |
| 4 | 高校安全运维管理平台 | 二级 |
2.测评内容
2.1测评内容应包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安****管理中心等五个方面的安全测评;
(2)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评;
(3)系统整体测评:控制间测评、层面间测评、区域间测评、系统结构安全测评。
2.2.形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计;通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《主要安全问题及整改建议》,列出被测信息系统中存在的主要问题以及整改意见。
(1)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务。整改完成后,进行复测。复测完成后,提供合法有效的《网络安全等级保护测评报告》。
(2)等级测评,至少包括:按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。
(3)编制测评报告,采购方完成信息系统安全整改后,对整改后的信息系统进行复测,出具正式的测评报告,送**部门办理备案手续。
3.验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内容:
(1)渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在 SQL、Cookie 注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
| 注入 | 失效的身份认证 |
| 敏感信息泄露 | XML 外部实体(XXE) |
| 失效的访问控制 | 安全配置错误 |
| 跨站脚本(XSS) | 不安全的反序列化 |
| 使用含有已知漏洞的组件 | 不足的日志记录和监控 |
(2)漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
4.安全要求
供应商在项目实施过程中,必须遵守以下技术原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究供应商的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:供应商的工作中的过程《主要安全问题及整改建议》、《网络安全等级保护测评报告》、《漏洞报告》具有很好的规范性,可以便于项目的跟踪和控制,测评******部颁布的《信息系统安全等级测评报告模板》。
(4)可控性原则:等保测评服务的进度要按照磋商文件的要求,保证采购人对于测评工作的可控性。
(5)整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求测评要求涉及的各个层面。
(6)安全性原则:等保测评服务工作应不得影响系统和网络的正常运行;测评工作不得对现有信息系统的正常运行、业务的正常开展产生任何影响。
(7)测评机构资质及人员要求:
从事信息系统检测评估相关工作人员无违法记录。
工作人员仅限于中华人民**国境内的中国公民,且无犯罪记录。
测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
四、服务标准及要求
1.供应商提供的服务应符合或优于以下《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》、《GB/T 28448-2019信息安全技术信息系统安全等级保护测评要求》、《GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求》、《GBT28449-2018信息安全技术网络安全等级保护测评过程指南》、《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》》、《GB/T 22080-2016 信息技术 安全技术信息安全管理体系要求》、《GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南》等标准的要求。
2.供应商应保证所提供的服务或其任何一部分均不会侵犯任何第三方的专利权、商标权或著作权,因此发生的产权纠纷责任由供应商承担全部责任。
3.****管理部门的指导,接受采购人的监督。
4.供应商每季度及时向采购人通告本项目服务范围内有关服务的重大事项及其进度。
五、验收及付款
1.验收标准:按照《财政****政府采购需求和履约验收管理的指导意见》(财库(2016)205 号)文件相关要求、本项目采购公告、投标文件、项目合同进行验收。
2.付款方式:签订合同后,支付合同总金额的50%;收到最终测评报告后10个工作日内,支付合同总金额的50%;
六、报价及成交要求
1.报价包含完成本项目采购内容的全部费用,包括但不限于服务、人工、成本、设计、食宿、交通、安全及税金等一切与完成本项目相关的费用,采购人不再支付其他费用。
2.本项目为一次报价,报价在磋商结束后,现场统一提交。如投标人的报价明显低于其他投标人的报价,有可能影响质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,应当将其作为无效报价处理。
3.报价不得明显高于市场价格。如采购人经市场调研或包括其他供应商在内的其他组织、人员提供证明证实,报价明显高于同类服务市场价格的,供应商应当在合理的时间内提供书面说明,必要时提交相关证明材料;供应商不能证明其报价合理性的,应当将其作为无效报价处理,采购人并有权取消成交资格。
4.报价单格式
报价单
项目名称:****信息系统等级保护测评服务采购项目
| 报价(元) | 备注 |
| 小写: 元 大写: | 完成本项目年度所有服务的全部费用 |
供应商名称:
法人或代表人签字 :
时间:
备注:报价单需单独密封。
七、评分标准(综合评分法)
| 序号 | 评分因素及权重 | 分值 | 评分标准 |
| 1 | 报价30% | 30分 | 满足采购公告要求且报价最低的供应商的价格为评审基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:报价得分=(评审基准价/供应商报价)×30%×100。 注:评分的取值按四舍五入法,保留小数点后两位。 |
| 2 | 测评方案16% | 16分 | 根据供应商针对本项目提供的测评方案进行评价,内容包含但不限于: ①测评流程步骤、②审计方法、③项目文档、④项目质量管理、⑤项目进度管理、⑥项目风险管理、⑦项目保密管理、⑧网络安全培训方案有缺项的扣2分,扣完为止。 每有一处存在不完整有缺陷/不满足实际情况(不完整有缺陷指:内容缺失、只有单纯的文字描述、凭空编造、前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误等。不满足实际情况指:不具备实施的可能性、套用其他项目方案、引用科学原理错误、前后内容互相矛盾、不符合采购需求、存在与本项目无关的内容、不可能实现的夸大情形等任一情形)扣1分,扣完为止。 本项满分16分。 |
| 3 | 投标人机构技术团队情况31% | 31分 | 1、项目负责人: 项目负责人具有NITS信息技术计算机网络安防技术高级科目证书(工****交流中心)、信息安全等级测评师高级测评师、工业****考试中心颁发的软件测评工程师,每提供一个得3分,最多得9分,未提供不得分。 2、项目技术负责人: 项目技术负责****应急中心颁发的CCSC网络安全技术一级证书、信息安全等级测评师中级测评师、中国网****认证中心颁发的信息安全保障人员认证证书(CISAW应急服务专业级)、工业****考试中心颁发的软件测评工程师、**部****评估中心颁发的国家重要信息系统保护人员CIIP-A证书,每提供一个得2分,最多得10分,未提供不得分。 3、项目组成员(除项目负责人、项目技术负责人外): (1)项目组成员中具有工业****考试中心颁发的软件测试证书的得2.4分,未提供不得分。; (2)项目组成员中具有****测评中心颁发的注册网络安全渗透评估专业人员(NSATP-A)专业级证书的得2.4分,未提供不得分。; (3)项目组成员中具有中国网****认证中心颁发的信息安全保障人员认证证书(CISAW)的得2.4分,未提供不得分。 (4)******部****评估中心颁发的国家重要信息系统保护人员CIIP-A证书的得2.4分,未提供不得分。 (5)项目组成员中具有工业****考试中心颁发的软件质量检验师证书的得2.4分,未提供不得分。 注:以上所有人员均须提供证书复印件及人员在职证明材料复印件,并加盖供应商鲜章。 |
| 4 | 业绩12% | 12分 | 供应商2022年1月1日至今承担过信息安全测评类项目的每个得2分,最高得12分。 注:供应商提供中标(成交)通知书或合同复印件并加盖供应商鲜章。转包或分包项目不得分,没提供不得分。 |
| 5 | 机构情况11% | 11分 | 1、供应商具有中国****委员会实验室认可证书(CNAS)信息安全性检测范围得6分,未提供不得分; 2、供应商具有检验检测机构资质认定证书(CMA)信息安全性范围得5分,未提供不得分; 注:以上证书须提供在有效期内的证书复印件或相关证明材料并加盖供应商鲜章。 |
注
1.
八、报名、投标及开标
1.报名时间:2024年12月9日至2024年12月13日(节、假日除外);本次采购采用邮箱方式报名,邮箱地址:****67792@qq.com;投标人以收到邮箱回复为报名程序完成,若未收到回复,请于报名当日及时联系采购人确定,否则责任由投标人自行承担。
报名内容:(1)报名项目;(2)报名供应商全称,附营业执照或法人登记证书等证明图片;(3)报名人姓名、身份证号码、联系方式,报名人为授权委托报名的,附授权委托书及授权委托人身份证等证明图片;法人直接报名的,附身份证等有效证明图片。逾期不再受理。
2.投标截止及开标时间:投标截止时间为2024年12月19日9:00
时,开标时间2024年12月19日9:00时。各投标单位须将投标文件(一套)按要求密封递交到开标地点,迟于开标时间递交或不符合采购公告规定的投标文件恕不接受(不接受邮寄)。
3.提交标书和评标地点设在**市凯江路二段32号****南校区行政楼5楼501会议室。如有变化,将提前1日通知。
4.各供应商按照本项目采购公告相关要求自行准备资料,装订成册。
5.采购公告要求提供复印件证明材料的,包含原件的影印件或复印件。复印件须清晰可见,内容模糊不清,无法辨识内容的视为无效响应文件。
6.参与现场开标的投标人员须持有效身份证明及授权证明。
公司法人参加投标的,应持本人身份证或有效身份证明;属于授权委托的,需提供授权委托证明(加盖鲜章)及受委托人本人身份证或有效身份证明。
7.采购人:****
地 址:**市**区凯江路二段32号
联系人:骆老师、钟老师
电 话:199****7937、199****7848
业务咨询联系人:黄老师
联系电话:199****7030
********办公室
2024年12月6日
换一批