福建省特种设备检验研究院安全运维技术服务（2020年2月至2021年1月）采购公告

序号

评分界定

分值

1、技术因素（满分65分）

1-1

根据投标人响应文件对招标文件要求中安全服务期限、安全服务范围、采购内容及要求的逐项响应承诺情况进行评分，完全满足招标文件要求的得33分，每负偏离1项扣2分，最低得0分。

33分

1-2

服务工具

投标人或所投安全服务商所采用的服务工具能够对web源代码进行扫描，检查代码中的网页木马，网页挂马以及网页暗链，并支持自定义规则。服务工具应为国产，具有投标人或所投安全服务商自主知识产权，具备定制化开发功能，提供《Web代码安全走查系统》的国家著作权证书复印件（原件备查）的得1分，同时提供著作权证书和功能截图证明的得2分，其它情况不得分，满分2分。

2分

投标人或所投安全服务商所采用的服务工具能够对网络空间资产进行探测，探测展示结果包含不限于：操作系统、Web容器、开发语言、安全防护、城市、年份、端口、协议等；并可以展示模糊查询对象的IP、地理位置、信息系统的应用开发语言、中间件及操作系统类型等；具有统计分析功能，可以统计站点、端口及IP数量，并具有省级地图展示功能；并提供截图。服务工具应为国产，具有投标人或所投安全服务商自主知识产权，具备定制化开发功能。提供《网络空间资产探测系统》的国家著作权证书复印件（原件备查）的得1分，同时提供著作权证书和功能截图证明的得2分，其它情况不得分，满分2分。

2分

投标人或所投安全服务商所采用的服务工具能够实现主机配置变更监控服务，实现主机安全配置核查和变更状态监控。关键服务器的安全配置一旦发生变化，能实时监测配置变更情况进行告警，对于可能的安全入侵行为进行告警，并提供功能截图。服务工具应为国产，具有投标人或所投安全服务商自主知识产权，具备定制化开发功能，提供《云主机入侵风险感知系统》的国家著作权证书复印件（原件备查）的得1分，同时提供著作权证书和功能截图证明的得2分，其它情况不得分，满分2分。

2分

投标人或所投安全服务商所采用的服务工具能够对信息系统进行等保综合管理，具有等保安全基线管理、安全管理制度设计、安全运维工作记录等功能，并提供截图。服务工具应为国产，具有投标人或所投安全服务商自主知识产权，具备定制化开发功能，提供《信息安全等级保护综合管理系统》的国家著作权证书复印件（原件备查）的得1分，同时提供著作权证书和功能截图证明的得2分，其它情况不得分，满分2分。

2分

投标人或所投安全服务商在本次项目的业务审计服务中所采用的工具有采用分布式数据存储的修复技术，提供详细的技术实现方法说明，且该技术实现方法获得省级及以上政府权威机构网站发表，提供网站证明截图及网址，提供该技术的省级及以上政府权威机构认证的相关证明材料（原件备查）得3分，否则不得分

3分

投标人或所投安全服务商在本次项目的业务审计服务中所采用的工具有采用在海量SQL语句归并技术，提供详细的技术实现方法说明，且该技术实现方法获得省级及以上政府权威机构网站发表，提供网站证明截图及网址，提供该技术的省级及以上政府权威机构认证的相关证明材料（原件备查）得3分，否则不得分

3分

投标人或所投安全服务商在本次项目的业务审计服务中所采用的工具有采用在海量数据中发现异常技术，提供详细的技术实现方法说明，且该技术实现方法获得省级及以上政府权威机构网站发表，提供网站证明截图及网址，提供该技术的省级及以上政府权威机构认证的相关证明材料（原件备查）得3分，否则不得分

3分

1-3

主机安全监控服务工具

根据投标人或所投安全服务商所采用的主机安全监控系统服务工具能够监控网页木马(webshell)，提供截图；投标人的演示者通过模拟黑客利用漏洞入侵应用系统，进行植入网页木马(webshell)等入侵行为，主机安全监控系统应能够在1分钟内发现网页木马并生成相关的告警，并能够查看告警信息和对应的敏感文件内容。投标人提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示（录屏演示时间为3至5分钟）。由评委进行横向比较评议并打分，优得3分，良的得2分，一般得1分，差的得0分。

3分

根据投标人或所投安全服务商所采用的主机安全监控系统服务工具对能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入Rootkit后门等行为，投标人提供包括账号口令、权限控制、敏感文件、可疑后门等黑客入侵痕迹监测功能截图。投标人的演示者通过模拟黑客利用系统漏洞，向被监控的应用系统主机添加隐藏账号(例如：hack$)，主机安全监控系统应能在1分钟内生成相关的告警，并能够查看告警信息和对应的黑客添加的系统账号名称。投标人提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示（录屏演示时间为3至5分钟）。由评委进行横向比较评议并打分，优得3分，良的得2分，一般得1分，差的得0分。

3分

根据投标人或所投安全服务商所采用的主机安全监控系统服务工具能够提供基线检查和管理功能，对常见的系统共享配置、帐号等默认策略进行检测和管理，而且能够自主添加和删除新的策略，并能够对检查结果准备进行分类统计。投标人的演示者通过模拟黑客利用系统漏洞，向被监控的应用系统主机更改主机系统安全审计策略(例如：审核帐号管理)，主机安全监控系统应能在1分钟内生成相关的告警，并能够查看告警信息和对应的黑客更改的安全审计策略。提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示（录屏演示时间为3至5分钟）。由评委进行横向比较评议并打分，优得3分，良的得2分，一般得1分，差的得0分。

3分

根据投标人或所投安全服务商所采用的主机安全监控系统服务工具上能展示所有监控主机资产信息，包括：分组/分类、IP地址/MAC、主机代号、标题/备注、主机名、操作系统、修改/锁定/删除。而且能够在主机监控页面上能直观展现告警趋势、监控详情、系统配置监控、采集记录情况。提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示（录屏演示时间为3至5分钟）。由评委进行横向比较评议并打分，优得3分，良的得2分，一般得1分，差的得0分。

3分

1-4

细微偏差

根据招标文件技术因素评分部分的细微偏差情形的内容，认定投标人的投标文件不存在细微偏差的，得3分；认定有细微偏差的，每一项扣0.5分，扣完为止。

3分

2、商务因素（满分25分）

2-1

公安部门和网安部门证书

投标人或所投安全服务商具备省级（或以上）公安部门网络安全事件应急处置安全服务(含试点)单位证书、省级（或以上）网络与信息安全信息通报中心支撑单位证书和省级（或以上）网络安全应急服务支撑单位证书，三证齐全的得2分，缺少其中一项不得分。需提供相关证明材料复印件，原件备查。

2分

2-2

安全服务证书

投标人或所投安全服务商获得国家信息安全测评中心颁发的信息安全服务资质证书(安全工程类二级及以上)和（风险评估二级及以上)，并获得信息安全等级保护安全建设服务机构能力评估合格证书。三证齐全的得2分，缺少其中一项不得分。需提供相关证明材料复印件，原件备查。

2分

2-3

公司实力

投标人或所投安全服务商具有省级（或以上）相关部门认证的高新技术企业证书、软件技术研发中心证书和信息网络安全企业工程技术研究中心证书，三证齐全的得2分，缺少其中一项不得分。需提供相关证书复印件，原件备查。

2分

2-4

综合实力

投标人或所投安全服务商具有信息网络安全软件公共技术服务类平台，平台主要内容须包含但不限于以下方面：高性能支撑网络系统、软件安全性测试平台、信息安全服务与技术支撑中心等，平台建设时间（以政府文件印发时间为起始时间）不低于5年，平台建设立项资金不少于500万。提供省级及以上政府部门立项批复的等证明文件复印件的得3分，否则不得分，原件备查。

3分

2-5

项目经理及团队成员资格证书

投标人或所投安全服务商本地化安全服务机构（公司、分公司、子公司）拟投入本项目的项目经理及团队人员：

1、项目经理（要求采用AB角互备管理方式）

1）投入本项目的A角项目经理须具备较强的项目管理能力与信息安全集成能力，即具有项目管理协会认证的项目管理专业人士（PMP）资格认证和国家注册信息安全专业人员（CISP）证书、中国网络安全审查技术与认证中心（CCRC）认证的信息安全保障人员工程师CISAW（安全集成专业级）证书。同时具有电子政务类云计算基础设施（IAAS层）安全或云计算应用软件安全服务类项目经验。须提供PMP证书复印件、CISP证书复印件、CISAW证书复印件、安全服务项目合同及项目经验证明材料和近12个月社保缴纳证明，原件备查。材料齐全的得3分。提供PMP证书复印件、CISP证书复印件、CISAW证书复印件的得2分。提供安全服务项目合同及项目经验证明材料的得1分，未提供不得分，满分3分。

注：以上各人员应为投标人或所投安全服务商的在职人员，需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料，否则不得分。

3分

项目经理及团队成员资格证书

投标人或所投安全服务商本地化安全服务机构（公司、分公司、子公司）拟投入本项目的项目经理及团队人员：

投入本项目的B角项目经理应有具备较强的项目管理能力与系统运维能力，即具有项目管理协会认证的项目管理专业人士（PMP）资格认证，并获得国产Linux工程师认证证书，两证齐全的得2分。须提供PMP证书复印件、Linux认证证书复印件和近12个月社保缴纳证明，原件备查。未提供不得分，满分2分。

注：以上各人员应为投标人或所投安全服务商的在职人员，需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料，否则不得分。

2分

项目经理及团队成员资格证书

投标人或所投安全服务商本地化安全服务机构（公司、分公司、子公司）拟投入本项目的项目经理及团队人员：

具有1名Web应用认证安全专家(CWASP)，具有CWASP L2(专家级)证书的得1分，证书能够在网站http://www.seczone.org/?p=58查询到，提供网页查询截图；提供相关证书复印件和近12个月社保缴纳证明。

注：以上各人员应为投标人或所投安全服务商的在职人员，需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料，否则不得分。

1分

项目经理及团队成员资格证书

投标人或所投安全服务商本地化安全服务机构（公司、分公司、子公司）拟投入本项目的项目经理及团队人员：

具有至少1名工程师有足够的系统维护能力和云安全维护能力和，具有Linux系统认证工程师RHCE证书、云安全知识认证C-CCSK证书，并获得国家信息安全测评中心认证的注册信息安全专业人员（CISP）证书，材料齐全的得2分，其它情况不得分，满分2分；提供相关证书复印件和近12个月社保缴纳证明。

注：以上各人员应为投标人或所投安全服务商的在职人员，需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料，否则不得分。

2分

项目经理及团队成员资格证书

投标人或所投安全服务商本地化安全服务机构（公司、分公司、子公司）拟投入本项目的项目经理及团队人员：

具有至少1名工程师具有较强的信息安全咨询服务能力，获得ISO/IEC27001内审员认证、ISO/IEC27001Foundation证书，并获得国家信息安全测评中心认证的注册信息安全专业人员（CISP）证书，材料齐全的得2分，其它情况不得分，满分2分。提供相关证书复印件和近12个月社保缴纳证明。

注：以上各人员应为投标人或所投安全服务商的在职人员，需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料，否则不得分。

2分

项目经理及团队成员资格证书

投标人或所投安全服务商本地化安全服务机构（公司、分公司、子公司）拟投入本项目的项目经理及团队人员：

具有至少1名工程师获得中国网络安全审查技术与认证中心（CCRC）认证的信息安全保障人员工程师CISAW（安全集成专业级）证书，并获得信息安全测评中心认证的注册信息安全专业人员（CISP）证书的，得1分。提供相关证书复印件和近12个月社保缴纳证明。

注：以上各人员应为投标人或所投安全服务商的在职人员，需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料，否则不得分。

1分

项目经理及团队成员资格证书

投标人或所投安全服务商本地化安全服务机构（公司、分公司、子公司）拟投入本项目的项目经理及团队人员：

具有至少1名工程师获得中国网络安全审查技术与认证中心（CCRC）认证的信息安全保障人员工程师CISAW（安全运维专业级）证书，并获得信息安全测评中心认证的注册信息安全专业人员（CISP）证书的，得1分。提供相关证书复印件和近12个月社保缴纳证明。

注：以上各人员应为投标人或所投安全服务商的在职人员，需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料，否则不得分。

1分

2-6

安全服务业绩

类似业绩、经验：

根据投标人或所投安全服务商自2017年1月1日至今（以成交通知书发布时间为准）具备大型国家保障会议（厦门金砖会晤、G20峰会、数字峰会、一带一路等）网络安全保障服务项目案例，提供成交公告、成交通知书、采购合同关键页及感谢信，提供完整材料的得2分，未完整提供上述证明材料的不得分，满分2分。

2分

2-7售后及应急服务能力

为保障本地售后服务与应急响应服务的质量和快速便捷性，评委会根据投标人所依托安全服务商在项目实施所在地（福州市行政区域内）提供售后服务的机构设置情况进行评分：在福州市行政区域内设有公司的得2分，在福州市行政区域内设有分公司或子公司作为售后服务机构的得1分；其余情况不得分（提供工商管理局出具的公司或分公司或子公司机构设置证明，同时提供福州市本地设立分公司或子公司签订房屋租赁合同复印件，否则本项得0分）。满分2分。

2分

3、价格因素（满分10分）

3-1

磋商报价得分 =10×（最低有效报价÷最后磋商报价）

投标人若达到规定的价格扣除的条件的，按扣除后的评审价格进入价格因素评分。

10分

各有效投标人的综合得分＝技术因素＋商务因素＋价格因素