为加强我校网络系统安全,学校需要开展网络安全等级保护测评服务。就所需“网络平台等级保护”项目采用公开询价方式进行采购,欢迎符合本次采购要求的供应商前来参加本次谈判采购活动。
一、采购服务内容:网络平台等级保护
二、采购预算: 5万元;本次采购服务项目的每次报价均不得高于预算为有效投标报价。超预算的投标报价为无效投标报价。无效投标报价的投标文件不进行评审,也不得标。
三、投标供应商资格要求:
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必须的设备和专业技术能力;
4、有依法缴纳税收和社会保障资金的良好记录;
5、参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6、具有公安部第三研究所(国家认证认可委员会批准的认证机构)认证发放的《网络安全等级测评与检测评估机构服务认证证书》;
7、法律、行政法规规定的其他条件。
四、采购内容及需求:
(一)项目概况:
九州最新官网中国有限公司是一所公办全日制中等职业学校,地处江海之通津,东方之巨港,融汇东西方文化的长三角港口城市——苏州太仓。学校创建于1984年,原名太仓工业学校,先后经历了1997年与江苏省太仓职业高级中学组建太仓职教集团,2002年与太仓市广播电视大学合署办公,2004年与太仓师范学校组建健雄职业技术学院,职教中心暂停运作;2006年与健雄职业技术学院中高职分离,太仓职教中心恢复独立运作。2010年3月更名为九州最新官网中国有限公司。学校是江苏省四星级中等职业学校、江苏省高水平现代化职业学校、教育部现代学徒制试点单位、江苏省现代学徒制试点单位、江苏省现代化示范性职业学校、江苏省中等职业学校领航计划建设单位。
随着教育网络信息化的程度越来越高,网络安全问题也应运而生。为更好的贯彻落实《中华人民共和国网络安全法》和网络安全等级保护制度,有效应对当前网络安全面临的严峻威胁与挑战,全力做好重要信息系统网络安全保卫工作,亟需对重要信息系统展开等保评测工作,通过该测评工作及时发现系统安全隐患并迅速进行整改,从而全面提升重要信息系统的网络安全防护水平,保障系统的安全、高效、稳定运行。
(二)项目要求
序号 |
系统名称 |
等保测评级别 |
1 |
双元E+平台系统 |
二级 |
(1)项目依据
《中华人民共和国网络安全法》
《关于加强党政机关计算机信息系统安全和保密管理的若干规定》
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息系统安全保护等级定级指南》(GB/T 22240-2008)
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息系统安全管理测评》(GA/T 713-2007)
《信息安全等级保护等级测评实施细则》
《信息安全风险评估规范》(GB/T 20984-2007)
《信息安全风险管理指南》(GB/Z 24364-2009)
《信息安全管理体系要求》(GB/T 22080-2008)
《信息安全管理实用规则》(GB/T 22081-2008)
《信息系统安全管理要求》(GB/T 20269-2006)
《信息安全事件分类分级指南》(GB/Z 20986-2007)
《信息安全事件管理指南》(GB/Z 20985-2007)
《信息系统灾难恢复规范》(GB/T 20988-2007)
《信息安全应急响应计划规范》(GB/T 24363-2009)
(2)项目工作内容
根据国家对网络安全等级保护工作的相关法律和技术标准要求,结合系统保护等级开展实施与之相应的测评工作,完成网络安全等级保护的测评后,提交信息系统的测评报告至本地公安等保办,等保测评主要包括以下内容:
服务内容 |
供应方应按照等级保护2.0标准至少进行如下项目评测; l 安全物理环境 安全物理环境主要涉及的方面包括但不限于环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。 安全物理环境具体包括至少以下10个控制点: 物理位置选择 (G)、 物理访问控制(G)、防盗窃和防破坏 (G)、 防雷击 (G)、防火(G)、防水和防潮(G) 、防静电(G) 、温湿度控制(G)、电力供应(A)、电磁防护(S) l 安全通信网络 安全通信网络包括网络架构、数据传输、可信安全在内的安全。 网络安全至少包括3个控制点: 网络架构 (G)、通信传输 (G)、可信验证 (S) l 安全区域边界 l安全区域边界是包括边界安全设备、边界访问控制、边界安全防护在内的安全措施。 安全区域边界至少包括6个控制点: 边界防护 (G)、访问控制 (G)、入侵防范(G) 、可信验证 (S)恶意代码防范 (G)、安全审计 (G)。 l 安全计算环境 安全计算环境是包括终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件的安全。 安全计算环境至少包括10个控制点: 身份鉴别(S)、访问控制 (S)、安全审计(G) 、可信验证(S) 、入侵防范(G) 、恶意代码防范(G)、数据完整性(S) 、数据备份恢复(A) 、剩余信息保护(S)、个人信息保护 (S)。 l 安全管理中心 安全管理中心包括系统管理、审计管理、安全管理、集中管控四个层面的安全措施。 安全管理中心包括2个控制点: 系统管理(G) 、审计管理(G)。 l 安全管理制度 安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。 安全管理制度至少包括4个控制点: 安全策略(G) 、管理制度 (G)、制定和发布(G)、评审和修订(G) 。 l 安全管理机构 安全管理机构主要是在单位的内部结构上建立一整套从单位最高管理层(董事会)到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。 安全管理机构至少包括5个控制点: 岗位设置(G)、人员配备(G)、授权和审批(G)、沟通和合作(G)、审核和检查(G) l 安全管理人员 对人员安全的管理,主要涉及两方面: 对内部人员的安全管理和对外部人员的安全管理。 安全管理人员至少包括4个控制点: 人员录用(G)、人员离岗(G)、安全意识教育及培训(G)、外部人员访问管理(G) l 安全建设管理 安全建设管理分别从定级、设计建设实施、验收交付、测评等方面考虑,关注各项安全管理活动。 安全建设管理至少包括10个控制点: 定级和备案(G) 、安全方案设计(G)、产品采购和使用(G)、自行软件开发(G)、外包软件开发(G)、工程实施(G)、测试验收(G)、系统交付(G)、等级测评(G)、服务供应商管理(G)。 l 安全运维管理 安全运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。 安全运维管理至少包括14个控制点: 环境管理(G)、资产管理(G)、介质管理(G)、设备维护管理(G)、漏洞和风险管理(G)、网络与系统安全管理(G)、恶意代码防范管理(G)、配置管理(G)、密码管理(G)、变更管理(G)、备份与恢复管理(G)、安全事件处置(G)、应急预案管理(G)、外包运维管理(G)。 |
交付产品 |
1.信息系统安全等级测评委托协议书(合同) 2.保密协议 3.信息系统安全等级保护测评方案 4.信息系统安全等级保护整改建议方案 5.信息系统安全等级保护测评报告 |
服务人员 要求 |
1)项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。 2)项目组人员必须熟练掌握网络安全相关标准与规范,具备丰富的网络安全测评工作经验,具有成熟的网络安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。 |
工具配备 要求 |
1)投标人必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、Web漏洞扫描系统。 2)投标人必须在技术方案内明确专项检查所需要的所有技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。 |
项目培训 |
在项目实施前期,供应方必须组织双方相关人员,进行集中培训,讲解操作规范、测评对象与内容、主要事项等工作内容。 测评服务结束后,供应方必须对被测单位进行至少一次集中培训,主要讲解被测信息系统的等保测评结果,以及系统架构总体安全情况及安全运维等培训内容。定期或者不定期组织我单位人员参加公司举办的信息安全相关培训等内容(至少一次)。 |
售后服务与维保 |
在项目结束后一年内,根据用户的整体运维情况,开展至少每半年的技术交流会,并根据情况对用户的整体架构的优化和改进提出建议,并对相关的新技术进行介绍。随着业务需求的进一步提高,当现有应用系统无法满足客户的需求时,通过团队高级工程师重新规划、提供更先进、更高效、更可靠的解决方案,以满足服务需求。 在项目结束后一年内,为等保清单中的软硬件产品提供技术维保服务,如遇到用户系统重大升级或其他需与本项目的设备的运维单位和部门协调时也适用于以下方案,具体如下: 1、当用户系统发生重大变更时,为用户提供变更的方案的审核以及在变更时间内的现场技术支持服务。 2、对发生的故障进行总结并形成问题报告,经过逐级提交、诊断、确认、处理和回复等环节,处理解决需要项目组的分析确认,问题有解决方案后,将解决方案反馈给用户。据提交问题的进行分析,制定解决方案并进行实施的解决,同时做好变更记录。将解决方案汇总后及时向用户作出回复,并将分析过程和问题产生原因形成报告,并建立技术服务文档,并规范技术文档资料方面技术人员查阅沟通。 3、系统发生紧急故障时,由当地合作伙伴提供7*24响应时间和1小时到达现场的支持服务;如非紧急的情况发生,工程师在接到问题报告后,提供5*8响应时间,和远程或下一个工作日到达现场的支持服务一小时之内提供电话支持服务。 4、配合采购人开展漏洞扫描服务,一年两次;渗透测试服务,一年一次;全年不限次数网络安全咨询服务,服务期3年。 |
五、评审方法及评分标准
1.价格:最高为10分
第一步:投标报价低于或等于预算价格的,为有效投标报价。超预算的投标报价或招标文件规定的报价为无效投标报价。无效投标报价的投标文件不进行评审,也不得标。
第二步:在所有有效投标报价中满足招标文件要求,且投标价格最低的投标报价为评标基准价,其价格分为10分,其他投标人的价格分按照下列公式计算(计算结果四舍五入保留两位小数)。
投标报价得分=(评标基准价/投标报价)×10%×100
2.详细评审(90分)
技术方案及综合能力(90%) |
技术方案(40分) |
8分 |
技术方案内以表格方式列出等级保护测评的具体内容,至少包含以下内容:测评项、测评方法、测评内容。提供对等保测评流程、测评步骤、测评关键点、双方配合事项有详细的说明比较; |
8分 |
技术方案中列出现场测评过程工作模版,至少包含以下内容:测评调研表模版、测评指导书模版、结合现场调研后的具体情况,确定现场测评的组织体系和协调机制模板、现场记录模板、分析模板、质量控制模板、测评结果模板、离场前初步总体结论内容模版、测评报告模版、被测评方确认模板比较; |
8分 |
技术方案中以表格方式架构渗透性测试方法,内容至少包含以下内容:方法及方法分类、常用技术手段、主要测试对象比较、渗透测试路径和内容、渗透性测试可能存在的脆弱性比较; |
8分 |
技术方案中对项目过程中的重点、难点、关键点、风险点把控比较,对于等保测评各阶段流程中的重点、难点、关键点和风险点的识别进行综合评分。 |
8分 |
技术方案中包括等保培训的内容及课时安排、培训流程、培训特点及培训课件模板 |
测评服务能力证明(21分) |
6分 |
投入本项目的主要技术服务人员资质要求: (1)项目经理同时具备信息安全等级测评师(高级)证书、CISP(注册信息安全专业人员)证书、CIIPT(国家重要信息系统保护人员)证书、CISAW(信息安全保障人员)证书、CISSP证书。具备全部五个得6分,具备其中四个得3分,其他情况不得分。 |
6分 |
(2)拟投入人员中具有信息安全等级测评师(中级)证书人数达到3人及以上得6分,2人得4分,1人得2分。 |
6分 |
(3)拟投入人员中具有CISP(注册信息安全专业人员)证书人数达到5人及以上得6分,3-4人得4分,1-2人得2分。 |
3分 |
(4)拟投入人员中具有CISP-PTE(专业渗透测试人员)证书,每有一人得1分。 以上人员需提供投标单位为其缴纳的近3个月社保证明,证书及证明材料需提供复印件,并加盖公章。 |
企业综合实力(21分) |
3分 |
投标企业具有ISO9001质量管理体系认证证书(认证范围必须含:信息安全等级保护测评),(3分)提供证书复印件加盖公章。 |
3分 |
投标企业ISO27001网络安全管理体系认证证书(认证范围必须含:信息安全等级保护测评),(3分),提供证书复印件加盖公章。 |
3分 |
投标企业具有ISO 14001 环境管理体系证书,(3分),提供证书复印件加盖公章。(3分) |
3分 |
投标企业具有ISO 20000 信息技术服务管理体系证书,(3分),提供证书复印件加盖公章。 |
3分 |
投标企业具有中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质,(3分),提供证书复印件加盖公章。 |
3分 |
投标企业具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质,(3分),提供证书复印件加盖公章。 |
3分 |
投标企业具有中国电子工业标准化技术协会颁发的ITSS信息技术服务运行维护标准符合性证书,(3分),提供证书复印件加盖公章。 |
相关案例证明(8分) |
8分 |
投标企业提供近1年内相关行业等级保护测评案例,每提供一个得1分。(8分) 以上测评系统需提供合同复印件加盖公章。 |
六、提交响应文件及谈判时间、地点:
1.请有意投标的公司按附件格式要求填写评分表,按附件格式要求自制谈判响应文件,于2024年5月16日16:10之前盖章密封至开标地点进行现场开标,逾期为无效响应。联系人:吴福喜,联系电话:53283019。
2.学校将组织由监察、校务监督委员会等参与的评审小组,进行本项目开标工作,中标方式为评分分数最高者中标,中标结果见学校公告。
3.开标时间:2024年5月16日下午四点十分。
4.开标地点:太仓市东仓南路108号尚德楼304室。
5.投标文件份数:正本1份,副本2份
七、公告期:本谈判文件公告期为公告之日起四个工作日。
九州最新官网中国有限公司
2024年5月13日