合肥马拉松官方网站系统网络安全等级保护测评项目招标文件
一、招标人:
合肥马拉松组委会办公室
电话:0551-62648635
二、投标人资格:
1、符合《政府采购法》要求;
2、具有有效的营业执照;
3、投标人需持有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书;
4、投标人须符合下列条件(投标人在投标文件中提供满足条件的承诺函):
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加本项目投标前三年内,在经营活动中没有重大违法记录;
5、投标人在投标截止时间前不得被人民法院在信用中国网站(Http://www.creditchina.gov.cn)上列为失信被执行人。
三、项目预算:预算总金额78000.00元。
四、付款条件:
完成合同全部工作并出具符合公安机关要求的信息系统安全保护等级测评报告后,甲方在收到乙方开具的发票后在30个工作日内一次性支付合同款。
五、采购需求:详见附件1。
六、投标报价要求:
定价招标(投标人对招标文件作出全面响应和承诺)。
七、评标办法:
须不少于3家企业参与投标,本项目采用定价招标,通过综合评分法,从投标单位的测评方案及服务需求响应情况等方面进行综合评审,对实质上响应招标文件的投标人,由各评委独立记名打分。经统计,得出各投标人的最终评审分,按最终评审平均分由高到低依次排列,确定最高得分者为中标单位。
八、投标时间:
密封提交投标响应书及报价截止时间为2024年7月10日下午17:30分。
附件:1.采购需求
2.评分标准
合肥马拉松组委会办公室
2024年7月04日
附件1
采购需求
一、服务范围
系统名称如下表所示:
序号 |
信息系统名称(以最新备案为准) |
安全等级 |
1 |
合肥马拉松官方网站系统 |
三 |
二、投标人的资格要求:
1、符合《政府采购法》要求;
2、具有有效的营业执照;
3、投标人需持有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书;
4、投标人须符合下列条件(投标人在投标文件中提供满足条件的承诺函):
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加本项目投标前三年内,在经营活动中没有重大违法记录;
5、投标人在投标截止时间前不得被人民法院在信用中国网站(Http://www.creditchina.gov.cn)上列为失信被执行人。
三、服务需求
1、项目概况
依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求,对业主单位重要信息系统进行等级测评,包括:安全技术测评、安全管理测评等,形成差距分析报告,编制系统安全整改方案,编制和完善安全管理制度等。
2、采购内容
(1)指导思想和基本准则:
根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》(公通字〔2007〕43 号)、《关于信息系统安全等级保护工作的实施意见》(公通字〔2004〕66 号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861 号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信[2009]1429 号)等文件精神,结合合肥马拉松工作实际,现拟对合肥马拉松官方网站系统重要信息系统实施等级保护测评,以进一步完善信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,为信息化建设的健康有序发展提供可靠保障。
(2)等级保护测评主要包括以下几个方面:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全测评。
安全管理测评:包括安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理五个方面的安全测评。
形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB/T22239),对各信息系统进行安全现状分析,形成相应的差距分析报告。
编制系统安全整改方案:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,结合差距分析结果,编制针对各信息系统的安全整改建设方案。
编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
完成上述测评工作和实施整改后,最后中标人出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
工作要求:
实施原则
规范性原则:中标人工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
可控性原则:测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性;
整体性原则:测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购人有权追究责任。
检测要求
(1)访谈
访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中,访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。
在安全管理类测评任务中,测评人员依据定制的测评指导书(访谈问题列表)对相关人员进行访谈,获取与安全管理有关的测评证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。
在安全功能检查任务中,测评人员依据定制的测评指导书(访谈问题列表)对相关人员进行访谈,为后续的检查和测试收集必要的系统基本信息并提供参考数据。
(2)检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中,检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务。
在物理安全测评任务中,测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据(如机房的温湿度情况),用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。
在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中,测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据(如相关措施的部署和配置情况,特定设备的端口开放情况等),用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。
在安全管理类测评任务中,测评人员主要采用文档查阅与分析的检查方法来获取测评证据(如制度文件的编制情况),用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。
(3)测试
测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中,测试方法主要应用在手工验证、漏洞扫描等测评任务中。
在网络安全、主机安全和应用安全等测评任务中,测评人员将综合采用手工验证和工具测试方法对特定安全技术措施的有效性进行测试,测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求,并进一步应用于对目标系统进行安全性整体分析。
三、报价要求
本项目报总价,报价包含完成本项目所需的全费用价格。成交后采购人不再另行追加任何费用,供应商应自行考虑报价风险。
四、人员配备及要求
中标人拟派的安全服务团队不得少于 4 人。项目经理需满足中级及以上测评师资质。现场测评结束后,提供一年的售后服务,既售后服务期内根据业主需求能及时安排参与现场测评的测评师到达现场协助和指导整改工作。
五、验收标准
中标人按等保要求,完成规定工作内容,合同签订后 1个月内交付所有信息系统测评报告。
六、其它要求
本项目形成的相关资料、文档的知识产权及所有权归采购人所有,未经许可,不得运用。
附件2
评分标准
类别 |
评分内容 |
评分标准 |
分值范围 |
技术资信分(90分) |
测评方案及服务需求响应情况 |
供应商提供测评方案,方案符合政策及行业要求,服务需求是否 响应招标文件要求、方法原理清晰,具有可操作性,评审小组酌 情评审。 1.测评方案至少应包含:项目概述、被测系统描述、测评对象和指 标、测评方法与工具、测评内容和实施、人员安排、服务质量保 证、服务风险控制等方面的内容,测评内容、服务质量及风险控 制内容。评委对各家测评实施方案进行横向比较:详实得5分、良好得3分、一般得1 分。 2.信息安全加固:根据网络与信息系统安全方面存在的不足和缺 陷,实施安全加固服务。评委对各家方案进行横向比较:详实得 5 分、良好得3 分、一般得1 分。 3.网络边界监测:根据专网情况,提供有效手段监测终端计算机 (windows 主机、linux 主机)、网闸及交换机两网互联或脱离 专网环境的情况,事件发生后及时通过邮件或短信通知,确保专 网数据安全。评委对各家方案进行横向比较:详实得5 分、良好得3 分、一般得1 分。。 4.安全事件处置与应急响应:对网络和系统具体安全事件进行处 置与应急响应。方案要科学、合理、可行、全面。评委对各家方案进行横向比较:详实得5 分、良好得3 分、一般得1 分。 |
0-20分 |
人员配备 |
1、项目经理(1人): 投标人为本项目配备的项目经理需具备等级测评师证书(高级),且同时具备下列证书的,每项得2分,满分12分。 1)注册信息安全工程师(CISP)证书; 2)信息安全保障人员认证(CISAW)类证书; 3)高级信息系统监理证书; 4)高级大数据技术工程师证书; 5)高级网络安全工程师证书; 6)软件测试工程师证书。 2、测评人员(除项目经理外): 投标人为本项目配备的测评人员每具备一个等级测评师证书(初级及以上),且同时具备下列证书的,每项得2分,满分12分。(同一测评人员具有下列多个证书的,按照一个证书计算,只得2分) 1)全国工业和信息化应用人才测评证书; 2)重要信息系统保护人员(证书类别:CIIP-A)证书; 3)高级大数据技术工程师证书; 4)高级数据中心运维工程师证书; 5)高级软件架构师证书; 6)软件测试工程师证书。 注:响应材料须同时提供:(1)人员配备名单;(2)人员证书复印件;(3)投标人为上述人员缴纳的连续近六个月社保证明材料,社保证明材料须为下列之一:○1社保局官方网站查询的缴费记录截图;○2社保局的书面证明材料;○3经投标人委托的第三方人力资源服务机构或与投标人有直接隶属关系的机构可以代缴社保,但须提供有关证明材料。 |
0-24分 |
|
供应商业绩 |
自2019年1月1日以来(以合同签订时间为准),每提供一个党政机关或事业单位系统测评业绩的得2分,满分10分。 注:响应文件中提供业绩合同扫描件,如合同中无法体现项目签订时间,项目内容等关键评审因素的,须另附业主证明扫描件(不区分履约中业绩和履约完成业绩)。 |
0-10分 |
|
供应商实力 |
1、供应商具有中国网络安全审查技术与认证中心颁发的“信息安全风险评估”服务资质认证证书,“信息安全应急处理”服务资质认证证书的,每提供一个得2分,共4分。 2、供应商具有信息系统风险分析工具系统V1.0计算机软件著作权登记证书、国密算法专用分析工具系统V1.0计算机软件著作权登记证书,每提供一个得3分,共6分。 3、供应商具有市场监督管理局颁发的“检验检测机构资质认定证书(CMA)”的,得3分; 4、供应商具有中国合格评定国家认可委员会(CNAS)颁发的检验机构认可证书,得3分; 5、供应商被纳入省级及以上服务业标准化试点项目单位的,得3分。 6、投标人参与地方网络安全标准制定的项目单位的,得3分。 7、自2019年1月1日以来(以获奖或表彰时间为准),供应商获得地市级及以上行政主管部门感谢信(或表彰函)的,每获得一次得1分,满分4分。 注:响应文件中提供证书、批复、感谢信、颁奖单位颁奖文件、网上公示截图(具有其中之一即可)等证明材料。以上材料提供扫描件,须能体现供应商名称,如无法体现,须另附颁单位的相关证明材料扫描件,未提供或提供不全的不得分。 |
0-26分 |
|
体系认证 |
投标人具有ISO 9001质量管理体系认证证书、ISO 20000服务管理体系认证证书、ISO 27001信息安全管理体系认证证书、ISO 14001环境管理体系认证证书、ISO 45001职业健康安全管理体系,其认证范围均为“网络安全等级保护测评服务”的,每个得1分,满分5分。 注:投标文件中提供证书扫描件作为评审依据,证书中应能体现发证机构已获得认监委认证,并同时在投标文件中提供在认监委网站对证书发证机构的查询截图作为评审依据。 |
0-5分 |
|
本地化服务 |
供应商满足下列条件之一的,得 5 分: (1)在安徽省注册成立; (2)在安徽省设有售后服务机构; (3)承诺成交即设立本地化服务机构。 注:(1)如供应商在本地注册成立的,响应文件中提供营业执照扫描件或影印件; (2)如供应商在安徽省设有售后服务机构的,响应文件中提供售后服务机构证明材料扫描件或影印件。 (3)如供应商承诺成交即设立本地化服务机构的,响应文件中提供承诺。 (4)本地系指安徽省。 |
0-5分 |
|
价格分 (10分) |
价格分统一采用低价优先法,即满足磋商文件要求且价格最低的最后报价为评标基准价,其价格分为满分10分。其他供应商的价格分统一按照下列公式计算: 最后报价得分=(评标基准价/最后报价)×10%×100 |
0-10分 |