一、项目概况
1、项目名称:芳草街街道智慧蓉城系统等保测评项目
2、采购项目简介:
******部、网信办信息系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故,依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全等级保护管理办法》(公通字[2007]43号)和《中华人民**国网络安全法》等标准规范,芳草街街道拟开展智慧蓉城系统网络安全等级保护测评工作。
此次依据的标准包括但不限于以下内容:
(1)《中华人民**国网络安全法》
(2)《信息安全等级保护管理办法》(公通字[2007]43号)
(3)《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
(4)《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
(5)《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)
(6)《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)
(7)《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
(8)《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
(9)《网络安全等级保护测评高风险判定指引》(T/ISEAA 001-2020)
3、项目性质:非政府采购。
4、比选地点:****316会议室
二、项目工作内容及要求
(一)工作内容:
依据《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019),按照《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)要求,采取相应的测评方法(包括:访谈、检查、测试),按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
| 序号 | 信息系统 | 安全等级 |
| 1 | 芳草街街道智慧蓉城系统 | 三级 |
具体服务内容包括:
协助被测信息系统进行定级、备案材料的编写,协助采购方到**监管等部门办理备案手续,确保信息系统安全保护等级定级准确、备案完整。
按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)对系统从技术、安全管理等方面进行安全等级测评工作。
形成问题汇总及整改意见报告。根据测评结果,对等级测评结果进行汇总统计,并编制系统等级保护测评问题汇总及整改意见报告,列出被测系统中存在的主要问题和整改意见。
协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询与支撑服务。
编制并提交等级保护测评报告,****机关有关部门备案,且能满足合规性要求。
(二)测评要求
根据项目需求,为保障信息安全现场测评过程安全可控,明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程:
| 序号 | 关键实施 阶段 | 工作要求 |
| 1 | 确定测评 范围 | 明确本次被测评信息系统的范围,包括每个信息系统的范围、信息系统的边界等。 |
| 2 | 获得信息系统的信息 | 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 |
| 3 | 确定具体的测评对象 | 初步确定每个信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。 |
| 4 | 确定测评工作的方法 | 根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法。 |
| 5 | 制定测评工作计划 | 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 |
| 6 | 实施等级保护测评 | 实施测评,包括人工检查、工具扫描等方式。 |
| 7 | 项目总结 | 对测评结果进行总结、汇报 |
(三)测评内容
1、按照信息系统等级保护测评依据开展测评工作(包括不限于以下项目)
(1)安全物理环境测评:物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
(2)安全通信网络测评:安全通信网络测评应当包含:网络架构、通信传输、可信验证等。
(3)安全区域边界主机安全测评:安全区域边界测评应当包含:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(4)安全计算环境测评:安全计算环境测评应当包含:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
(5****中心测评:系统管理、审计管理、安全管理、集中管控。
2、信息系统管理安全测评
(1)安全管理制度测评:安全管理制度测评应当包含:安全策略、管理制度、制定与发布、审批和修订。
(2)安全管理机构测评:安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和**、审核和检查。
(3)安全管理人员测评:安全管理人员测评应当包含:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
(4)安全建设管理测评:安全建设管理测评应当包含:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
(5)安全运维管理测评:安全运维管理测评应当包含:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
(四)项目管理要求
供应商必须提供完整的项目管理方案,供应商需要针对以下项目管理要求进行项目管理服务要求进行承诺,未提供项目管理服务承诺为无效供应商。
(1)投标供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
(2)应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力;
(3)投标供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
(4)投标供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。
(5)测评工具要求
① 采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
② 采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
③ 采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障;
④ 测评机构所使用的测评工具不会对单位系统产生破坏或负面影响以及不影响信息系统正常开展。
三、资质要求
(一)参照《****政府采购法》,符合第二十二条规定的条件:
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
7.本项目特定资格条件:****研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》或《网络安全服务认证证书等级保护测评服务认证》。
(二)其他规定条件:
本项目不接受联合体参加本次采购活动。
四、禁止参加本次采购活动的供应商
参照《****政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)的要求,采购人将通过“信用中国”网站(www.****.cn)、“中国政府采购网”网站(www.****.cn)等渠道查询供应商在响应文件递交截止日前的信用记录并保存信用记录结果网页截图,拒绝列入失信被执行人名单、重大税收违法失信主体、政府采购严重违法失信行为记录名单中的供应商参加本项目的采购活动。
五、比选须知
1、比选控制价70,000.00元(大写:柒万元整),比选报价高于此价,比选文件无效。
2、比选申请文件提交:于2024年12月6日**时间上午10:00前递交至**高新区****316会议室。(比选人需提前报名,我们将对营业范围进行审核,未经报名前来递交文件视为无效;逾期未报名或未递交申请文件者视为自动放弃参选资格)。
3、比选开标:2024年12月6日**时间上午10:00,超过比选截止期送达的比选申请文件将被拒收,并原封退还给参选人。
4、比选申请文件的装订、密封与标志:
(1)比选申请文件的装订要求:参选人应将比选申请文件的比选函部分、报价部分和资信资料用A4(210m×297m)型纸打印装订成册。比选申请文件的正本一份装入一个密封袋内。
(2)在比选申请文件的密封袋上应标明比选项目名称、参选人名称。在密封处加贴密封条,并在密封条上加盖参选人公章。
5、比选活动供应商代表或法定代表人需带身份证原件。
6、报名截止日期:2024年12月5日下午14:30,报名联系人:蒋老师028-****3362,报名者需提供****公司营业执照发送至****@qq.com邮箱。
六、比选申请文件
(一)内容
1、比选函
2、资信资料
(1)《营业执照》复印件、供应商必须具备《网络安全等级测评与检测评估机构服务认证证书》或《网络安全服务认证证书-等级保护测评服务认证》
(2)《授权委托书》原件、法人身份证复印件、委托代理人身份证复印件。
3、测评方案
4、比选报价单
5、参选人社保证明
七、评审标准:
本项目采用综合评分法,评分表如下:
| 序号 | 评分因素 | 分值 | 评分标准 | 评分因 素类别 |
| 1 | 报价 | 30% (30分) | 满足招标文件要求且最后报价最低的投标人的价格为投标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算: 投标报价得分=(投标基准价/最后投标报价)x30。 | 共同评分因素 |
| 2 | 技术方案 | 10% (10分) | 根据投标人针对本项目的技术方案进行综合评分:①项目实施流程、②项目管理、③测评风险控制、④项目实施时间计划、⑤项目组织架构,上述内容均符合实际情况、内容完善详细、描述准确、分析内容齐全、条理结构清晰、层次细化完善完全响应项目要求的得10分;每有一项缺项的扣2分,每有一处内容存在内容不足的扣1分,扣完为止。 | 技术类评分因素 |
| 3 | 专业测评技术人员要求 | 30% (30分) | 拟派项目经理1名: 1、信息(网络)安全等级评测师(高级)证书; 2、注册信息安全专业人员(CISP)证书; 3、注册信息系统审计师(CISA)证书; 4、重要信息系统安全等级保护培训证书(CIIP-T); 5、软件性能测试高级工程师; 6、信息系统安全专业认证(CISSP)证书。 以上证书每提供一个得2分,最多得12分,未提供不得分 拟派技术负责人1名: 1、信息(网络)安全等级测评师(高级)证书; 2、商用密码应用安全性评估从业人员考核合格证书; 3、注册信息安全专业人员(CISP)证书; 4、注册网络安全渗透评估专业人员(NSATP-A)证书; 5、信息安全保障人员认证证书(CISAW); 6、工业****考试中心颁发的网络信息安全工程师证书; 7、信息技术应用创新考试评价证书--信息安全工程师; 8、软件性能测试高级工程师。 以上证书每提供一个得1分,最多得8分,未提供不得分 拟派项目团队: 所有人员具有信息安全等级测评师证书或网络安全等级测评师证书且获得该证书,满足要求后以下证书每提供一个得1分,最多得10分,此项一人多证可重复得分,未提供不得分。 1、注册信息安全专业人员(CISP)证书; 2、信息技术应用创新考试评价证书--信息安全工程师; 3、信息安全保障人员认证(CISAW)证书; 4、网络安全能力认证(CCSC)证书; 5、软件测试工程师。 注:①项目经理、技术负责人应分别由不同人员构成,不得计入项目组成员 | 共同评分因素 |
| 4 | 历史案例 | 30% (30分) | 供应商自2021年1月1日至今在**省内每有1个等保测评相关案例得3分,最多得30分。提供相关合同复印件或授权书加盖投标人公章。 | 共同评分因素 |
八、其他要求
1、各参选单位的项目投标人和报名人均必须为本单位社保购买人,如果不是将取消参选资格。
2、参选单位不得存在关联性,否则将取消参选资格。
****
2024年12月2日
比 选 函
致 (比选人名称):
1.根据你方的提供的 的项目清单,遵照有关规定,经研究报名须知后,我方愿以人民币(大写) 元(RMB¥ 元)的比选报价,并承诺按本项目清单中要求及相关规范完成该项目。
2、我方已详细审核并确认全部比选相关要求。
3、我们所递交的比选申请文件已充分考虑了各种外部因素对比选报价的影响;我们完全同意你方规定的投标截止时间;完全同意比选须知的规定,若我单位在比选后擅自撤回比选申请文件、拒绝对比选报价按规定或是由于自身的过错而不能缔结合同,及比选人发现我单位的比选申请文件资料有隐瞒、欺诈行为的,将取消比选资格。
4、其他补充说明: {补充说明事项}
比选申请人: (盖章)
单位地址:
法定代表人: (签字和盖章)
日期:_____年____月____日
授权委托书
本授权书声明: (姓名)系 (参选人名称)的法定代表人,现授权委托 ****公司的合法代理人,以本公司的名义参加 (比选人)的 项目的比选活动。代理人在比选过程中所签署的一切文件和处理一切与之有关的一切事务,本法定代表人予以承认。
特此委托
注:附法人代表及代理人身份证复印件
代理人(签字或盖章): 身份证号:
参选人(盖章):
法定代表人(签字或盖章):
年 月 日
换一批