2023年网站群三级等保测评服务项目采购询价公告
| 招标编号 | 【正式会员登录后可浏览】 | 采购业主 | 【正式会员登录后可浏览】 |
招标公司 | 【正式会员登录后可浏览】 |
|---|---|---|---|---|---|
| 联系人 | 【正式会员登录后可浏览】 | 联系电话 | 【正式会员登录后可浏览】 | 通讯地址 | 【正式会员登录后可浏览】 |
| 邮政编码 | 【正式会员登录后可浏览】 | 截止日期 | 【正式会员登录后可浏览】 |
公告摘要
各有关单位请于2023.10.07前与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。
部分信息内容如下:(查看详细信息请登录)
项目概况
按照采购计划,拟对****年网站群三级等保测评服务项目进行询价采购,潜在供应商应在网上下载获取采购文件,并于****年**月*日**点(**时间)前提交响应文件。
一、项目基本情况
项目编号:NJTSCICM****-S***/XE********
项目名称:****年网站群三级等保测评服务项目
采购方式:询价
预算金额:捌万伍仟元整(人民币)
最高限价(如有):捌万伍仟元整(人民币)
采购需求:三级等保测评服务
合同履行期限:自合同签订之日起至**日历日之内
工期(供货期)要求:自合同签订之日起至**日历日之内
本项目(不接受)联合体投标。
二、申请人的资格要求
*.服务商应当具备下列一般条件
(*) 具有独立承担民事责任的能力;
(*) 具有良好的商业信誉和健全的财务会计制度;
(*) 具有履行合同所必需的人员和专业技术能力;
(*) 有依法缴纳税收和社会保障资金的良好记录;
(*) 参加政府采购活动前*年内,在经营活动中没有重大违法记录;
(*) 法律、行政法规规定的其他条件。
*.服务商需具备以下特殊条件
(*) 服务商出具针对本项目所提供的维保服务人员本单位缴纳社会基本养老保险近*个月的社保缴费凭证。
(*) 服务商具有**部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”(提供证书复印件并加盖公章)。
*.拒绝下述供应商参加本次采购活动
(*) 供应商单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动。
(*) 凡为采购项目提供项目管理、监理、检测等服务的供应商,不得再参加本项目的采购活动。
(*) 供应商被“信用中国”网站(ww.creditchina.gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
三、项目需求
(一)项目范围
序号
等保测评系统名称
定级
*
网站群
三级
(二)项目测评内容
*.项目依据
按照网络安全等级保护*.*标准开展本次等保测评工作,测评的指标、内容及其程序需严格执行如下规范要求:
《中华人民**国网络安全法》
《信息安全等级保护管理办法》(公通字[****]**号)
《信息系统安全保护等级定级指南》(GB/T *****-****)
《信息安全技术 网络安全等级保护基本要求》(GB/T *****-****)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T *****-****)
《信息安全技术 网络安全等级保护测评要求》(GB/T *****-****)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T *****-****)
《信息安全技术 网络安全等级保护定级指南》(GB/T *****-****)
《信息系统安全管理测评》(GA/T ***-****)
《信息安全等级保护等级测评实施细则》
《信息安全风险评估规范》(GB/T *****-****)
《信息安全风险管理指南》(GB/Z *****-****)
《信息安全管理体系要求》(GB/T *****-****)
《信息安全管理实用规则》(GB/T *****-****)
《信息系统安全管理要求》(GB/T *****-****)
《信息安全事件分类分级指南》(GB/Z *****-****)
《信息安全事件管理指南》(GB/Z *****-****)
《信息系统灾难恢复规范》(GB/T *****-****)
《信息安全应急响应计划规范》(GB/T *****-****)
*.服务内容及说明
*.* 等保保护测评
等保测评覆盖安全技术测评和安全管理测评两大类**个方面。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等*个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等*个方面的安全控制测评。
*.*.* 等保测评内容
根据国家对网络安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:
(*)安全物理环境
测评内容主要包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
(*)安全通信网络
测评内容主要包括:网络架构、通信传输、可信验证等。
(*)安全区域边界
测评内容主要包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(*)安全计算环境
测评内容主要包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
(*)安全管理中心
测评内容主要包括:系统管理、审计管理、安全管理、集中管控等。
(*)安全管理制度
测评内容主要包括:安全策略、管理制度、制定和发布、评审和修订等。
(*)安全管理机构
测评内容主要包括:岗位设置、人员配备、授权和审批、沟通和**、审核和检查等。
(*)安全管理人员
测评内容主要包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
(*)安全建设管理
测评内容主要包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
(**)安全运维管理
测评内容主要包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
*.*.*等保测评目标
(*)识别信息安全风险。通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
(*)增强安全防护能力。依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
(*)测评结果分析
单项测评结果判定
单元测评结果判定
整体测评分析
形成测评分析报告
针对测评分析报告的整改建议
*.* 渗透测试
选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。
*.*.* 渗透测试内容
工作内容包括渗透测试及提供漏洞修复方案。本次渗透测试工作为黑盒测试。
(*)需要包含如下阶段
前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。
信息搜集阶段:采用各种方法搜集用户方的所有相关信息。
威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。
渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。
后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
(*)渗透测试工作要求
本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危害用户应用系统的工作行为,遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自修改、拷贝用户数据,不得泄露、传播用户的敏感信息,如有违反将负法律责任。
*.服务成果
本次安全服务应提交以下成果:
《信息系统等级测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
《信息系统渗透测试报告》,包含但不限于如下方面的内容:渗透测试的方法、目标、范围;测试的人员、时间、策略。测试的工具、风险规避措施;测试的过程、漏洞利用截图,测试的结果等。
*.项目总体要求
*)合同签订后**个日历日内完成相关测评工作。测评单位需根据学校实际情况合理安排测评进度,学校可能因为各类突发状况导致测评周期的不确定性,供应商需要配合学校进行进度的合理安排。项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
*)测评单位必须针对此次测评给出详细方案,内容包含测评计划、测评实施、风险管控、协助整改。要求方案充分考虑到高校特性,结合业务要求,提出切实可行的整改方案。
*)测评单位需针对此次测评列出本项目组织管理架构及主要参与人员情况介绍。要求组织管理架构及人员配备科学完整,项目负责人、项目组人员有参与高校项目的管理经验。项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。
*)供应商必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web 漏洞扫描系统。供应商必须在技术方案内明确专项检查所需要的所有技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。
*)在测评过程中保证客观性和公正性原则,测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
*)测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。详细描述在测评过程中如何通过技术手段控制和规避可能对学校业务系统造成的影响。对于项目实施过程中出现的异常情况如何处理,保证学校系统正常运行以及测评的可进行性。
*)协助整改,针对差距测评结果,给学校提出合理、可行的整改方案和建议,并在整改完毕后给出系统定级报告。
*)提供详尽、明确的技术培训,同时提供本次乃至后续的培训方案,方案应包含网络安全相关课程内容以及详细培训体系流程。
*)本次等级保护测评项目不得转包或者分包,所有驻场测评师必须持证上岗,未经采购方同意,项目组成员不得更改。
*.项目实施方案要求
供应商需根据本项目服务内容编制详细的项目实施方案,包括测评内容、测评指标以及测评方法的详细方案;测评工作流程;测评工作的详细实施方案;测评过程中的渗透测试服务方案;测评工具的详细介绍;培训方案;人员配置方案以及供应商认为需要提供的其它方案。
*.项目服务期限
供应商应当在合同签订后**个日历日内完成采购文件规定的项目并交付学校使用。
*.项目验收标准及要求
项目完成后,供应商须按照项目采购服务内容及要求,按国家、行业或企业等标准,提供相应的服务内容及交付成果,供应商完成全部项目内容并经采购人验收合格后,项目整体验收合格。
*.付款条件
项目合同签订、成交供应商人员服务到位后,采购人一次性支付全部项目款**%;成交供应商完成项目合同的所有工作,采购人于一个月内完成项目验收,并支付剩余**%尾款。每次付款前成交供应商应向采购人开具发票,采购人收到发票并确认无误后**日内向成交供应商支付相应款项。
四、评标方法和定标原则
(*) 参加询价采购活动的供应商,应当按照询价文件的规定一次报出不得更改的价格。
(*) 询价小组应当从质量和服务均能满足采购文件实质性响应要求的供应商中,根据综合评分法确定成交供应商。
(*) 评分标准
评分项
评分标准
分值
备注
一、报价部分(**分)
服务价格
(**分)
满足招标文件要求且投标报价最低的报价为评审基准价,其价格为满分。其他投标人的价格分统一按照下列公式计算:报价得分=(评审基准价/报价)×**(小数点后保留两位)。
**分
二、商务部分(**分)
公司资质(**分)
投标人具有中国网络安全审查技术与认证中心颁发的(信息安全应急处理)信息安全服务资质认证证书(CCRC),得*分,未按要求提供的不得分。
*分
投标人具有中国网络安全审查技术与认证中心颁发的(安全运维)信息安全服务资质认证证书(CCRC)的得*分,未按要求提供的不得分。
*分
投标人具有国家信息安全漏洞库(CNNVD)技术支撑单位等级证书的得*分,未按要求提供的不得分。
*分
投标人具有ISO*****(信息安全管理体系)认证,且认证范围包含网络安全等级保护测评的得*分,未按要求提供的不得分。
*分
投标人具有ISO****(质量管理体系)认证,且认证范围包含网络安全等级保护测评的得*分 ,未按要求提供的不得分。
*分
投标人具有ISO*****信息技术服务管理体系)认证,且认证范围包含网络安全等级保护测评的得*分,未按要求提供的不得分。
*分
人员资质
(**分)
项目经理资质(*分)
项目经理为高级测评师,且同时具有项目管理专业人士资格认证(PMP)、注册信息系统安全师(CISSP)、证书的得*分;仅有高级测评师证书的得*分。
*分
须提供证书或证明复印件并加盖公章。
项目组成员资质(*分)
项目组成员(除项目经理外)中每有*名具有中级或高级等级测评师证书,且同时具有CISAW证书或CISP的,每提供一位人员得*分,最高得*分,其他情况不得分。
*分
投标人提供的项目组渗透人员具备注册信息安全渗透测试工程师(CISP-PTE)证书的,每提供一位人员得*分,最高得*分。其他情况不得分。
*分
等级保护测评案例
(**分)
投标人****年*月*日以来完成过类似等级保护测评项目案例,每个案例得*分,最高得**分。
**分
须提供合同复印件并加盖公章。
三、技术部分(**分)
测评方案(**分)
测评内容
(**分)
包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理**个方面的得**分;每少一个测评点扣*分。
**分
组织方案(**分)
服务组织架构
(*分)
测评服务组织架构:具体负责技术、调研、管理、实施人员分工明确,总分*分,不合要求的酌情扣分。
*分
项目进度安排
(*分)
项目进度安排合理(根据工作量、工作强度合理安排进度)的得*分,不合要求的酌情扣分。
*分
风险管控能力
(*分)
风险管控措施合理且切实可行的得*分,不符合要求酌情扣分。
*分
保密管控能力
(*分)
保密管理合理(保密管理措施切实可行)的得*分,不符合要求酌情扣分。
*分
合计
***分
五、响应文件提交
截止时间:****年**月*日**点(**时间)
地点:**省******神农路*号
*.响应文件的组成
(*) 在有效期内的企业营业执照副本复印件;
(*) 响应单位法定代表人身份证复印件;
(*) 响应单位代理人身份证复印件;
(*) 授权委托书(格式见附件);
(*) 《响应报价一览表》、《询价采购表》(格式见附件);
(*) 《参加本项目成员一览表》(格式见附件);
(*) 《承诺书》(格式见附件);
(*) 《邮寄承诺函》(格式见附件)。
*.文件的签署和密封要求
(*)询价响应单位对所响应的采购内容需严格按照《询价采购表》填写;
(*)响应文件叁份且装订成册,并明确标明“正本”和“副本”。响应文件正本和副本如有不一致之处,以正本为准;
(*)询价响应文件均应采用打印或使用不能擦去的黑色或蓝色墨水书写,由响应单位法定代表人或其授权代表在询价文件要求处亲自签署或盖章,并在询价响应文件(正本)的每一页上加盖公章,未加盖公章的视为无效页;
(*)询价响应文件须装袋密封,封口处须加盖单位公章,密封袋及相应文件封面上应注明采购项目名称、项目编号、响应单位名称、地址、联系人、联系电话等;
(*)采购单位有权拒绝未按上述要求制作的询价响应文件。
六、合同模板(律师审核后的合同)
见附件。
七、公告期限
自本公告发布之日起*个工作日。
八、其他补充事宜
无
九、凡对本次采购提出询问,请按以下方式联系。
项目联系人:韩老师
电 话:***-********
合同模板.docx
询价采购函.docx
询价附件.docx
文件下载
- 招标导航
-
施工准备 土地整理 三通一平
工程施工 地基与基础工程 桩基工程 预应力工程 防水工程 保温工程 爆破工程 加固除险工程 改造改建工程 回填工程 燃气工程 防腐工程 电气防雷工程 空调采暖工程 地下室 停车场 钢结构 膜结构 给排水 声屏障 道路工程 桥梁工程 市政工程
园林景观绿化 古建筑 喷泉 水幕 雕塑 草坪 亮化工程 照明 灯光
弱电 安防 综合布线 消防工程 门禁 救生 智能建筑 有线电视 数字会议 广播 音响工程 大屏幕
装饰装修 吊顶 粉刷 彩绘 幕墙 外立面
工程服务 审计 监理 勘察 规划 设计
建筑材料 门窗 座椅 地板 混凝土构件 水泥 建筑钢材 木构件 涂料 拦污栅 除尘器 管材 土工材料 土工格栅 土工布
更多>>
为保证您能够顺利投标,请在投标或购买招标文件前向招标代理机构或招标人咨询投标详细要求,有关招标的具体要求及情况以招标代理机构或招标人的解释为准。
