省文旅厅等级保护安全管理工作标准化服务项目比选公告

　　根据工作需要，福建省旅游信息中心将通过比选方式选定一家供应商负责执行省文旅厅等级保护安全管理工作标准化服务项目。现将有关事项公告如下：

　　一、项目名称

　　省文旅厅等级保护安全管理工作标准化服务项目

　　二、项目经费

　　费用控制在人民币贰拾万元（¥200000元）以内，项目所发生的所有费用（包括但不限于：人工、交通、结案或验收、税收等费用）均包含在报价中。

　　三、项目内容

　　（一）项目概况：

　　省文旅厅持续推进数字文化和智慧旅游建设，通过信息技术集成应用推动电子政务、公共服务、行业管理、文化遗产保护等方面工作，业务系统规模不断扩大。随着业务信息系统的陆续建设和运行，在信息资产管控、安全监督审计、整体安全管控等网络安全实际工作过程中，缺少标准化工作流程、风险管控以及计划管理、监督实施等有效管理手段，信息安全管理能力亟需完善提升。

　　（二）技术和服务要求：

　　1.项目目标

　　（1）服务目标

　　依据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)国家标准开展本次安全管理标准化服务工作，达到以下目标：

　　①提供安全管理服务支持，通过定制标准化、流程化的工作程序，对等级保护工作环节中的信息、数据、人员、事件和计划等进行全面管控。

　　②逐步建立健全相关管理制度，提高网络安全的工作效率和质量，降低人为出错率，帮助本单位建立体系化、标准化、规范化的安全管控能力。

　　③基于网络安全等级保护基本要求，开展等级保护建设、运行、维护、管理、监督检查等全过程的安全管控工作。

序号	服务类型	工作目标	服务内容	效果
1、	资产梳理标准化管控	制订资产管理标准化管控制度和流程，便于在线快速查看资产情况	1.业务系统标准化管理服务 2.IT资产标准化管理服务 3.业务网络拓扑标准化管理服务	信息资产管控能力提升
2、	人员管理标准化	1.从单位视角出发，收集信息系统运维人员，并进行维护更新； 2.可视化展示信息资产关联内部管理人员以及运维人员，避免人员变动导致信息交接不准确； 3.明确工作边界、权限边界，维护人员授权情况，降低供应链第三方带来的风险； 4.应急事件能够第一时间找到对应处置人员。	运维人员标准化管理服务	安全监督审计能力提升服务
3、	等级保护安全管理标准化	根据等级保护国标，梳理出标准化流程： 梳理归档历年等级保护工作数据； 1.提供了解等级保护工作的渠道，规范各服务商的等级保护过程材料； 2.为第三方服务商提供标准化等级保护数据收集模块，可视化展示等级保护工作成果。	等级保护工作数据标准化管理服务	安全监督审计能力提升服务
		根据等级保护国标，结合客户实际需求，定制安全管理流程，推动日常全管理工作开展并形成执行记录；	安全管理咨询与流程定制服务	安全监督审计能力提升服务
4、	安全服务结质量管控	从客户角度结合等级保护工作数据标准化管理服务，把关安全服务进度与结果	安全运维流程及数据管理服务	运维安全管控能力提升服务
5、	整体安全咨询	从客户角度结合各系统安全现状，安全管理运行情况多维度全局思考，提供智能高效的网络防护方案咨询	整体安全风险与安全决策数据咨询服务	运维安全管控能力提升服务

　　2.项目范围

　　（1）人员对象

　　与信息系统相关的人员：组织机构领导、信息化经办人员、硬件厂家维保人员、软件开发与维护人员、安全服务厂商等。

　　（2）业务系统

序号	系统名称	等级保护级别
1	福建省文化和旅游厅政府门户网站	三级
2	福建省文化和旅游人力资源统计和管理系统	二级
3	福建省重点景区（点）监测网上直报系统	二级
4	网上办事系统（福建省旅游协会）	二级
5	福建省文化旅游项目管理系统（含android手机端）	三级
6	入闽旅游奖励系统	二级
7	福建省文化监管平台（网吧平台）	二级
8	星光灿烂文明旅游网络平台	二级
9	福建省旅游VR数据资源管理系统	二级
10	福建省智慧旅游云集群服务管理平台（含:多语种旅游门户网）	二级
11	“双公开双公示”系统	二级
12	省地一体化视频监测与会商系统	三级
13	福建省文旅专项资金数据库	二级

　　（3）其他对象

　　包括信息系统相关的网络设备、安全设备、服务器等硬件、软件等资产。.

　　3.服务期限

　　2021年1月1日-2021年12月31日；由供应商向我方出具为期3年的安全审计系统使用授权书，提供不少于30个管理对象系统使用授权（需提供承诺函，未提供视为无效投标）。

　　4.服务内容

　　（1）信息资产管控（技术要求响应1）

　　制订资产管理制度，提供资产标准化资产管理模板流程，整合信息资产管控工作：涉及业务系统、IT资产、业务网络拓扑、在线管理。解决业务资产数据格式不统一，数据质量低，资产数据更新不及时等问题。具体服务内容如下：

　　①业务系统标准化管理服务（技术要求响应2）

　　结合平台标准化的资产模块为业务系统标准化管理提供支撑，并在业务系统信息相关的界面上展示各类软件的定级状态、备案状态和测评状态，以及业务系统信息总体信息完整度、设备相关的等级保护要求指标差距情况等并提供资产信息可视化展示服务。

　　②IT资产标准化管理服务（技术要求响应3）

　　结合平台标准化的资产模块为IT资产标准化管理提供支撑，包含部署在政务云平台上的IT资产、社会化云计算服务上IT资产等场景的IT资产。提供与设备信息有关的网络设备、安全设备、服务器（含虚机）、系统基础软件、数据库软件、中间件软件、安全防护软件等各种IT资产的在线信息录入、信息编辑维护、查看相应增删改记录等，并在IT资产信息总体信息完整度、设备相关的等级保护要求指标差距情况等。

　　③业务网络拓扑标准化管理服务（技术要求响应4）

　　结合平台标准化网络拓扑规范，核实现状网络结构情况，收集网络区域划分情况，通过平台可视化的展示网络拓扑情况，为日常工作提供符合实际情况的网络结构。

　　（2）安全监督审计（技术要求响应5）

　　缺少安全监督管理制度与流程。结合平台规范化、标准化的等级保护实施流程、安全工作归档能力、定制化的安全管理计划与流程、人员管理能力，让安全隐患得到及时得跟踪和处置，安全工作成果得到沉淀，安全工作可持续的开展，同时降低供应链第三方带来的风险。

　　①运维人员标准化管理服务（技术要求响应6）

　　制订人员管理标准化流程，管理运维人员授权，管理对象授权。

　　收集整合维护人员信息，结合实际责任分工，与信息资产进行关联进一步明确工作边界、授权边界，通过流程下发运维、应急处置等任务，降低供应链第三方带来的风险。

　　②等级保护工作数据标准化管理服务（技术要求响应7）

　　制订等级保标准化制度和流程，提供规范性、流程合理性的技术咨询工作：A.收集历年等级保护工作数据，归档到平台；B.提供标准化差距分析模板，规范服务等级保护工作流程，统一进行可视化管控，加强服务过程管控。

　　③安全计划管理与流程定制服务（技术要求响应8）

　　结合单位实际情况制订安全工作实施计划，配套平台创建安全工作实施流程。为安全工作的管控提供可落地的流程支撑。

　　通过流程落实安全管理的基础性工作，通过这些规范、扎实的工作，切实地提升安全工作的实施进度准确性以及把控安全工作实施质量。

　　（3）运维安全管控（技术要求响应9）

　　制订安全运维流程，管控安全工作开展情况。依托平台提取安全事件、安全漏洞、安全差距等安全运行数据，为本单位整体运行维护提供安全风险管控依据，为安全服务规划、安全防护规划提供决策支撑。

　　①安全运维流程及数据管理服务：（技术要求响应10）

　　制订安全运维流程，开展安全工作核实包括核实日常安全工作情况，针对未及时开展的安全工作、未及时处置的安全问题，分析具体原因优化流程，通过平台推进安全工作常态化开展。

　　②整体安全风险与安全决策数据咨询服务：（技术要求响应11）

　　汇聚单位整体安全运行数据的手段，通过平台运行过程提供安全需求总体趋势、安全风险总体趋势、各系统等级保护工作总体趋势等数据，为本单位其它系统提供安全风险管控依据，发现安全问题其他系统能够举一反三及时响应处置，为安全规划、安全决策提供决策支撑，提供智能高效的网络防护咨询。

　　（4）配套硬件（技术要求响应12）

　　本次服务提供2台硬件专用设备支撑服务开展，并包含三年原厂售后质保。

　　①专用设备1：管理工作站（技术要求响应13）

　　规格：Intel至强W2123处理器； Intel C422系列芯片组 ；内存16G；硬盘容量2*1T SATA； P400  2G显卡，板载千兆网卡；≥500W电源；容积不大于25L立式机箱； 1*键盘鼠标,27寸液晶显示器。

　　②专用设备2：应用服务器（技术要求响应14）

　　规格：机架式服务器； 至强E-2124处理器； Intel C246主板芯片组； 硬盘容量2*2T SATA； 内存16G； Intel RSTe阵列卡；≥300W电源； 2个板载10/100/1000 Mb以太网RJ-45端口。

　　（5）安全审计系统功能（技术要求响应15）

　　本次采购依托供应商组建服务团队及提供一套集成以下功能的、一体化的安全审计系统（具体功能详下方）,推进本项目相关工作落地执行。参与等级保护工作与日常安全运维工作整体过程的安全管理员、系统管理员、第三方人员等各种角色，都可在各平台下分别完成日常工作相关的建设、运行、维护及管理、监控等工作。安全审计系统包括但不少于以下功能：

　　①系统列表功能（技术要求响应16）

　　系统列表的管理功能中提供本单位的系统列表，并且根据等级保护工作的不同阶段展示对应阶段的系统和状态。（提供相关功能截图证明）

　　②资产信息功能（技术要求响应17）

　　资产信息模块中具备自动化发现有关资产的能力，能够在硬件设备和软件设备的梳理上提供建设性的参考意见，为各类资产录入时提供便利化操作。提供网络拓扑和逻辑拓扑生成功能，并允许通过该功能对拓扑图进行实时的编辑、修改、下载拓扑图等，通过拓扑图能够体现了应用系统的硬软件构成，并可查看各个硬软件的详细信息等。

　　③安全风险功能（技术要求响应18）

　　安全风险的管理功能中提供至少3种第三方漏扫产品的结果导入与标准化梳理，支持漏洞信息自定义关联资产操作。提供展示相关单位/部门的软、硬件设备的各项安全漏洞情况，并在相关的界面上展示安全漏洞总体趋势、安全漏洞整改工作总体情况以及安全风险工作维护事件记录。

　　④制度运行功能（技术要求响应19）

　　制度运行的管理功能中应能提供对审批流程的自定义定制化设定的功能，能够增删改相应的字段，并能设置审批模式、启用状态等。（提供相关功能截图证明）

　　⑤需求任务功能（技术要求响应20）

　　需求任务的管理功能中提供展示任务的总体趋势、任务来源分布、任务完成情况的相关报表数据、以任务责任部门的视角展示任务相关报表数据。提供对个人任务的汇总和管理，并且支持转为计划，转为待办，并且支持任务和计划的拆分。

　　⑥知识库功能（技术要求响应21）

　　知识库管理功能中提供等级保护合规推荐策略基线库查阅的相关功能，可按照安全物理环境、安全区域边界等10大类型进行查阅，并且支持按照设备、软件、分类、类型等条件进行查阅。

　　⑦指标差距功能（技术要求响应22）

　　指标差距的管理功能中提供指标差距的指标评估和差距整改的总体趋势，以及安全物理环境、安全通信网络、安全区域边界等10个安全层面的综合评分情况，以及总体的指标评估进度和整改进度和当前的总体平均分，并且体现相关的需求和任务的列表以及体现本单位各个系统当前指标差距的评估进度、整改进度和评分情况。（提供相关功能截图证明）

　　⑧等级测评功能（技术要求响应23）

　　等级测评的管理功能中应提供对相应信息系统进行等级测评所涉及的测评申请、测评准备、测评方案、现场测评及测评报告等工作的过程管理，提供各个过程中所涉及的文档材料的在线编辑、文档生成、文件上传和材料打包等功能。

　　⑨后台管理功能（技术要求响应24）

　　后台管理支持对等级保护指标参数的关键要点、参照指标、整改指导、检查指导等方面的自定义编辑，同时提供的等级保护安全基线内容进行管理。（提供相关功能截图证明）

　　（三）时间要求：

　　服务期限内按比选文件及采购人要求完成等级保护安全管理工作标准化服务。

　　（四）商务要求：

　　1.付款方式：合同签订且成交单位开具发票后15个工作日内支付合同总价70%，完成服务结案或验收后且成交单位开具发票后15个工作日内支付合同总价30%。

　　2.项目服务：安排专门团队负责对接采购人，做好服务的执行、结案或验收等工作，并应对突发事件。

　　四、采购形式

　　通过比选方式选择一家供应商承接该项目。请有意参加本项目的供应商，按要求向福建省旅游信息中心提交相关材料。由福建省旅游信息中心组建比选小组，对供应商基本情况和所提供材料及报价进行审核，采用综合评分法，选取一家作为成交人。

　　五、评审方法和评分标准

　　（一）综合评分综述

　　本次比选采购采用综合评分法，总分100分，其中技术部分63分、商务部分22分，价格部分15分。比选小组将对提交最后报价的合格供应商从技术、商务及报价部分分别进行评分，并汇总出技术、商务及报价部分的综合得分。综合得分最高的供应商将被推荐为第一成交候选供应商，综合得分第二高的供应商将被推荐为第二成交候选供应商，其他候选供应商以此类推。如果出现相同的综合得分，则最后技术分高的供应商排序在前优先推荐；如果最后技术分仍相同，则商务部分得分高的供应商优先排序在前推荐。评分过程中采取四舍五入法，保留小数2位。

　　（二）具体评审标准和方法：

　　1.技术部分满分63分（技术部分的实际得分低于技术部分总分50%的按无效投标处理）

评标项目	评标分值	评标方法描述
1.投标文件响应情况	57	根据供应商针对招标文件“招标内容及要求”中“技术和服务要求”章节的响应情况，由评委将依据供应商所提供的技术参数偏离表，并综合考虑供应商对所投产品的说明以及对招标文件响应情况等方面，参照招标文件中技术参数的要求进行评价：技术要求响应评分项共24项，完全响应招标文件要求的得57分，每偏离一项扣2.375分；
	2	供应商或供应商所投服务商的安全审计系统提供安全制度、安全机构、安全人员、安全建设、安全运维等五个方面管理功能，能够提供对管理流程执行中涉及的审批流程、协商流程进行控制，并对审批、协商等过程进行记录。提供相关功能截图证明，部分满足得1分，全部满足得2分，其他情况不得分。
	2	供应商或供应商所投服务商的安全审计系统中定级备案管理功能提供信息系统定级内部评审、信息系统定级报告内部评审等功能，且支持内部多级评审机制（最低支持到二级以上的评审机制）。提供相关功能截图证明，全部满足得2分，其他情况不得分。
	2	供应商或供应商所投服务商的安全审计系统提供安全运行监测分析功能，且支持输出到大屏，可根据采购人需求对监测分析功能和展示界面进行调整。安全运行监测分析应包括：安全运行、安全风险、制度运行、等保合规；提供相关功能截图证明，部分满足得1分，全部满足得2分，其他情况不得分。

　　2.商务部分满分22分

评标项目	评标分值	评标方法描述
1、综合实力	2	供应商具备国家权威检测机构颁发的信息安全服务资质证书(安全工程类)和网络安全技术服务类ISO9001:2015质量管理体系认证证书，提供证明材料复印件（原件备查），材料齐全的得2分，其他情况不得分。
	1	供应商为省级及以上网络安全技术支撑单位。提供相关证明材料复印件（原件备查）得1分，其他情况不得分。
	1	供应商或供应商所投服务商具有《信息安全等级保护安全建设服务机构能力评估合格证书》，提供相关证明材料（原件备查）得1分，其他情况不得分。
	1	供应商或供应商所投服务商本次服务使用的安全审计系统具备《计算机软件著作权登记证书》的，提供相关证明材料（原件备查）得1分，其他情况不得分。
	3	根据供应商提供2017年1月1日至今（以中标通知书时间为准）类似项目业绩的有效证明文件进行评分：每提供一份完整合格的业绩项目的得1分，满分3分（完整合格业绩项目：须含中标公告（提供相关网站中标公告的下载网页并注明网址）、中标通知书复印件、采购合同文本复印件，以及能够证明该业绩项目已经采购人验收合格的相关证明文件复印件，未同时提供以上各项证明材料的，该项业绩不给予计分，原件备查）。
	3	供应商或供应商所投服务商的安全审计系统厂商具有自主知识产权，提供截止招标公告发布之日前取得的《等保合规推荐策略基线管理系统》、《等级保护标准规范管理系统》、《等级保护基本要求指标管理系统》、《等级保护政策法规管理系统》相关著作权证书（原件备查），每提供一项得1分，满分3分，其他情况不得分。
	1.5	根据供应商提供2017年1月1日至今类似本项目的用户满意度评价，每提供一份评价为满意或良好及以上的得0.5分，满分1.5分。用户满意度评价（或感谢信、表扬信等能表现用户满意的）需加盖用户公章，原件备查。
	3	供应商或供应商所投服务商具备《信息系统安全集成》、《信息安全应急处理》、《信息安全风险评估》相关证书的（原件备查），每提供一份证书得1分，满分3分，其他情况不得分。
	1.5	根据供应商所承诺的故障服务响应时间和服务内容，承诺3小时内到达现场的得1分，承诺2个小时到达现场的得1.5分，超过3小时的不得分。
	2	根据供应商投标文件编制的规范性、清晰度、完整性及响应招标文件程度进行评价：文件编制完整性好，内容齐全、表述准确、条理清晰，内容无前后矛盾的得2分，部分满足得1分，其他情况不得分。
2、人员要求	3	供应商投入项目的项目经理具有项目管理协会认证的项目管理专业人士（PMP）资格认证、IT服务项目经理（ITSS）资格认证、国家注册信息安全专业人员（CISP）证书。提供证明材料复印件（原件备查）及截止投标时间前6个月社保缴纳证明，每提供一份证书得1分，满分3分，其他情况不得分。 注：若证书属于非中文描述，应提供具有翻译资质的机构翻译的中文译本，不提供不得分。

　　3.价格部分满分15分

　　4.评审分数计算方法

　　（1）供应商综合得分=技术分+商务分+价格分

　　（2）技术分=比选小组所有评委技术评分合计数/比选小组评委人数

　　（3）商务分=比选小组所有评委商务评分合计数/比选小组评委人数

　　（4）价格分部分采用低价优先法计算，即满足比选文件要求且最后报价最低的供应商的价格为比选基准价，其价格分为满分。其他供应商的价格分（简称为其他比选报价）统一按照下列公式计算：比选报价得分=（比选基准价／其他比选报价）×价格权值×100。

　　六、供应商资质要求

　　（一）供应商需提供的资质证明文件

　　1.企业法人营业执照三证合一副本复印件（加盖公章）。

　　2.法人代表及供应商代表的有效身份证明复印件（加盖公章）。

　　3.法定代表人授权书原件（必须法定代表人签字并加盖公章)。

　　（二）供应商应当具备

　　政府采购法第二十二条第一款规定的条件，提供下列材料：

　　（1）法人或者其他组织的营业执照等证明文件，自然人的身份证明。供应商是企业或个体工商户的，则提供工商部门注册的有效的营业执照复印件；供应商是事业单位的，则提供有效的“事业单位法人证书”复印件；供应商是非企业专业服务机构的，则提供执业许可等证明材料；供应商是自然人的，则提供自然人的身份证明复印件。

　　（2）提供负责本项目的主要人员的人员情况汇总表。

　　（3）无犯罪、违法证明。提供参加采购活动前3年内在经营活动中没有重大违法记录的书面声明，以及无行贿犯罪承诺函（承诺函由供应商自拟）。

　　（4）财务状况报告。提供会计师事务所出具的近两年任意一年审计报告，至少包括“资产负债表、利润表、现金流量表”；或者提供开户许可证和响应截止时间前六个月内基本开户银行出具的资信证明；或者提供财政部门认可的政府采购专业担保机构出具的担保函。

　　（三）经营业绩良好，近几年没有发生重大安全责任事故或投诉事件。

　　（四）本项目不接受联合体参与报价。

　　供应商未按报价资格要求完整提供证明材料的，或响应文件中的资格描述与证明材料不一致的，视为资格条件不符合；所提供材料须加盖公章和骑缝章。

　　七、响应文件的编制

　　供应商根据以上要求编制响应文件，内容包括但不限于（1）资格相关材料；（2）报价表（单独成册）。请供应商认真、详细地制定响应文件。响应文件正本一份、副本两份。响应文件须用A4幅面纸张打印，应编制封面、目录、页码，必须用线装或胶装（为永久性、无破坏不可拆分）装订成册，并在相应位置签名并加盖公章，须加盖骑缝章或逐页盖章并在封面加盖公章，在封面标明“正本”“副本”字样。副本可用正本的复印件，正本与副本内容如有不一致，则以正本为准。

　　八、提交响应文件时间

　　请供应商务必于2020年12月25日下午17:30前将响应文件（密封，贴封条并加盖公章）寄送至福建省旅游信息中心（地址：***

　　联系人***

　　联系电话***

　　福建省旅游信息中心

　　2020年12月23日