- 發布人:Zjkzy5
- 時間:2024-07-03
- 點擊:641
- 來源:
一、招標內容:
1.項目介紹
為了提升學院各信息系統的安全保護能力,加強信息安全管理,根據《信息安全等級保護管理辦法》《信息安全技術信息系統安全等級保護基本要求》等法規和標準的要求,需對張家口職業技術學院教務系統(三級)、門戶網站系統(二級)兩個信息系統相應指標進行測評。通過實施等保測評,準確反映學院待測信息系統的安全防護能力現狀,對發現的問題進行深入分析,提出安全整改建議,指導完成安全技術與管理的整改,最終出具信息系統等級保護測評報告、整改建議。
2.項目預算:
本項目最高限價為:人民幣11.4萬元。
二、采購清單及服務時間
本次參與信息系統安全等級保護測評的為以下信息系統,相應的等級如下:
序號 | 信息系統名稱 | 安全保護等級 | 業務信息安全(S) | 系統服務安全(A) |
1 | 教務系統 | 第三級 | 第三級 | 第三級 |
2 | 門戶網站系統 | 第二級 | 第二級 | 第二級 |
服務時間:合同簽訂后50個工作日內完成。
三、供應商資質要求
1.投標人應當遵守我國的有關法律、法規,具備《中華人民共和國政府采購法》第二十二條規定的條件;
2.提供有效的營業執照、稅務登記證、組織機構代碼證(或三證合一的營業執照)(復印件加蓋公章)
3.投標人須提供公安部第三研究所頒發的《網絡安全等級測評與檢測評估機構服務認證證書》(復印件加蓋公章)
4.本項目不接受聯合體投標。
資格審查要求:以上材料提交截止時間為2024年7月8日(星期一)12:00;請以郵寄方式或彩色掃描件發送電子郵件方式提交。
郵寄地點:河北省張家口市經開區勝利南路50號張家口職業技術學院現代教育技術中心(知行樓904室)
電子郵箱:zzyxdjyjszx@126.com
聯系人電話:米老師 0313-8201290
四、技術要求
1.信息系統備案
協助張家口職業技術學院按照《信息安全等級保護備案實施細則》要求完成定級、備案材料的整理及在公安機關相關部門備案工作。
2.初次測評
檢查張家口職業技術學院被測系統現狀,參照《信息安全技術?網絡安全等級保護基本要求》(GB/T 22239-2019)從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等層面進行差距分析,依據《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019),對系統進行初次安全評估。
通過對系統現狀的分析和梳理,發現系統現有安全措施與等級保護基本要求的差距,提出安全整改建議,以指導后續安全整改工作。初次測評內容如下:
安全物理環境:包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等內容。
安全通信網絡:包括網絡架構、通信傳輸、可信驗證等內容。
安全區域邊界:包括邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等內容。
安全計算環境:包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護等內容。
安全管理中心:包括系統管理、審計管理、安全管理、集中管控等內容。
安全管理制度:包括安全策略、管理制度、制定和發布、評審和修訂等內容。
安全管理機構:包括崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查等內容。
安全管理人員:包括人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理等內容。
安全建設管理:包括定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評、服務供應商選擇等內容。
安全運維管理:包括環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理等內容。
3.等保整改
協助張家口職業技術學院按照《信息安全等級保護管理辦法》《關于開展信息系統等級保護安全建設整改工作的指導意見》《信息安全技術網絡安全等級保護測評過程指南》(GB/T 28449-2018)、《信息安全技術網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)等有關管理規范和技術標準,制定安全管理制度、落實安全責任,建議安全技術設施,落實安全技術措施。
通過安全建設整改,確保信息系統通過相應級別的安全等級評測。
4.二次測評
此階段是網絡安全等級測評完整實施階段,通過對整改后的系統進一步分析和梳理,并按照《等級測評報告模板2021版》編寫等級測評報告。
5.報告編制
通過對現場測評獲得的測評證據和資料,判定單項測評結果及單元測評結果,然后進行整體測評和風險分析,形成等級測評結論,按照《信息系統安全等級測評報告模版(2021年版)》編寫等級測評報告。
五、售后要求與文檔提交要求
1.售后服務要求
(1)免費咨詢服務:自項目驗收之日起一年。
(2)售后服務機構及服務團隊構成:
投標人的項目成員要求至少4名安全等級保護測評師服務,其中不少于1名高級測評師,不少于1名中級測評師。
2.服務文檔的提交要求
(1)測評方案;
(2)整改建議;
(3)測評報告;
(4)公安部門出具的信息系統安全等級保護備案證明。
六、驗收標準及支付方式
項目驗收:
1.等級保護測評工作最終目標是輸出等級保護測評報告,該項目將產生一定數量的文檔。
2.投標人應對所有正式交付件的綜合質量審查負責,指定各交付件的相關責任人,明確相關職責。
3.投標人應提交驗收報告,驗收報告需雙方代表簽字、單位蓋章認可。?
項目交付后由采購人根據合同、招標文件、報價文件組織驗收。
項目文檔:
1.投標人提供的資料應使用國際單位制(SI),語言為中文。
2.資料的組織結構清晰、邏輯性強。資料內容要正確、準確、一致、清晰、完整。如所供資料不能達到要求時,投標人應免費給予補充。
3.投標人資料的提交應及時充分,滿足項目進度要求。
4.投標人完成項目后應提供以下文檔:
序號 | 文檔名稱 | 提交數量 | 備注 |
1 | 《測評方案》 | 2 | 紙質簽字版 |
2 | 《整改建議》 | 2 | 紙質簽字版 |
3 | 《測評報告》 | 2 | 紙質蓋章版 |
4 | 《備案證明》 | 2 | / |
注:實施期不包含整改時間
支付方式:項目驗收合格后,7個工作日內,憑發票支付款項。
七、質量保證與技術服務
1.質量保證
投標人在項目方案設計、實施、驗收的各個階段,均應滿足各系統正常穩定運行的要求。
投標人出具的等保測評報告應滿足張家口公安局相關部門的認可,并完成相應系統的等級保護備案工作。
2.技術服務與保密要求
1)現場服務人員要求
投標人應與招標方簽訂保密協議,對過程數據和結果數據嚴格保密,未經授權不得泄露給任何單位和個人,不得利用此數據侵害詢價方的權益,否則詢價方有權追究投標人的責任。
投標人工作中的過程和文檔,應具有規范性,便于項目跟蹤和控制。
2)技術支持服務要求
測評工作本身也會引入安全風險,必須加強測評過程中的風險控制。項目實施前,雙方應充分討論并明確測評對系統可能帶來的風險和隱患,確定測評對象、測評方法和工具。
(1)操作的申請和監護
測評操作必須遵守現場運行規章制度,確保系統安全穩定運行。如需在線測試,按照相關工作規程,事前申請,并在專責人員的指導和監護下進行。
(2)人員與數據管理
重視保密工作,加強測評過程中的保密管理,確保參與測評工作人員的可靠、穩定,防止敏感信息泄漏。
(3)測評對象選擇
優先選擇備用設備(系統)或臨時搭建的模擬環境進行測評,避免影響在線系統運行。
3)保密要求
投標人承擔被測評單位敏感信息的保密責任,在項目實施過程中,雙方需要復制對方提供的相關資料時,應提交書面申請,在得到對方書面同意后方可復制,并將數據內容記錄成表,簽字確認。
未經雙方書面同意,不得向第三方透露項目和涉及雙方企業信息安全、技術成果的任何內容。項目結束后,雙方必須互相確認測評過程中提供的相關資料,相互承擔保密責任。
八、評標辦法
序號 | 評分因素 | 滿分 | 評分內容 |
1 | 價格部分(10.00) | 10.00 | 滿足招標文件要求且投標價格最低的投標報價為評標基準價,其價格分為滿分。 其他投標人的價格分統一按照下列公式計算:投標報價得分=(評標基準價 /投標報價)X10.00。 |
2 | 商務部分 (40.00) | 10.00 | 投標單位自2021年6月1日起簽訂類似合同案例,每提供一個得2分,最多得10.00分。注:須提供完整的合同復印并加蓋單位公章,否則不得分。 |
20.00 | 投標單位具有《2022年網絡安全等級保護測評能力驗證計劃》(評價結果需為:滿意(優秀))得5.00分; 投標單位具有《NECAS全國商品售后服務達標認證證書》(認證范圍需包括等級保護測評)得5分。 投標單位具有數據管理能力成熟度(DCMM)證書得5.00分。 投標單位具有高新技術企業證書得5.00分。 | ||
10.00 | 項目團隊提供1名同時具有安全防范評估師證書和測評師證書的人員得3.00分,缺項或不提供不得分。 項目團隊提供1名同時具有中級測評師證書、PMP、CISP、數據安全評估師的人員得2.00分,缺一項或不提供不得分。 項目組提供一名同時具有初級或以上測評師證書、安全防范設計評估師證書、CIIP-A證書、售后服務高級管理師證書、PMP、數據安全官的人員得3.00分,缺一項或不提供不得分。 在項目測評過中基于對網絡安全、數據恢復等應急處置的考慮,應提供一名同時具有NSATP-A(注冊網絡安全滲透評估專業人員)和高級信息安全管理工程師的人員得2.00分,缺一項或不提供不得分。 | ||
3 ? | 技術部分 (50.00) | 20.00 | 根據投標人提供的整體實施計劃與服務方案詳細程度、可行性、合理性等進行評分: 服務方案內容詳細完整、科學合理,針對性、操作性強,充分滿足本項目需求,優秀得15.00-20.00分;良好得10.00-15.00分;一般得5.00-10.00分;較差得0-5.00分。 未提供任何的項目服務方案不得分。 |
20.00 | 根據采購需求制定詳細的質量保證方案與質量控制措施: 提供的質量保證方案與質量控制措施內容完整、詳實可行,針對性強,優于其他供應商,優秀得15.00-20.00分;良好得10.00-15.00分;一般得5.00-10.00分;較差得0-5.00分。 未提供質量保證方案與質量控制措施不得分。 | ||
10.00 | 提供的售后服務方案內容詳細完整、科學合理,針對性、操作性強,充分滿足本項目需求,優秀得7.00-10.00分;良好得3.00-7.00分;一般得1.00-3.00分;較差得1分。 未提供任何的售后服務方案不得分。 |
九、響應文件遞交時間
響應文件遞交截止時間:2024年7月10日(星期三)14:30,材料密封、蓋章,并加蓋騎縫章。
材料遞交地點:河北省張家口市經開區勝利南路50號張家口職業技術學院現代教育技術中心(知行樓904室)
聯系人電話:米老師?0313-8201290
十、采購部門組織詢價評審專家對響應文件進行評審,從投標報價、招標文件響應程度、方案等方面對所有投標人的投標文件進行綜合評審,得分最高的投標人中標。
