- 发布人:Zjkzy5
- 时间:2024-07-03
- 点击:0
- 来源:
一、招标内容:
1.项目介绍
为了提升学院各信息系统的安全保护能力,加强信息安全管理,根据《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护基本要求》等法规和标准的要求,需对张家口职业技术学院教务系统(三级)、门户网站系统(二级)两个信息系统相应指标进行测评。通过实施等保测评,准确反映学院待测信息系统的安全防护能力现状,对发现的问题进行深入分析,提出安全整改建议,指导完成安全技术与管理的整改,最终出具信息系统等级保护测评报告、整改建议。
2.项目预算:
本项目最高限价为:人民币11.4万元。
二、采购清单及服务时间
本次参与信息系统安全等级保护测评的为以下信息系统,相应的等级如下:
序号 | 信息系统名称 | 安全保护等级 | 业务信息安全(S) | 系统服务安全(A) |
1 | 教务系统 | 第三级 | 第三级 | 第三级 |
2 | 门户网站系统 | 第二级 | 第二级 | 第二级 |
服务时间:合同签订后50个工作日内完成。
三、供应商资质要求
1.投标人应当遵守我国的有关法律、法规,具备《中华人民共和国政府采购法》第二十二条规定的条件;
2.提供有效的营业执照、税务登记证、组织机构代码证(或三证合一的营业执照)(复印件加盖公章)
3.投标人须提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》(复印件加盖公章)
4.本项目不接受联合体投标。
资格审查要求:以上材料提交截止时间为2024年7月8日(星期一)12:00;请以邮寄方式或彩色扫描件发送电子邮件方式提交。
邮寄地点:河北省张家口市经开区胜利南路50号张家口职业技术学院现代教育技术中心(知行楼904室)
电子邮箱:zzyxdjyjszx@126.com
联系人电话:米老师 0313-8201290
四、技术要求
1.信息系统备案
协助张家口职业技术学院按照《信息安全等级保护备案实施细则》要求完成定级、备案材料的整理及在公安机关相关部门备案工作。
2.初次测评
检查张家口职业技术学院被测系统现状,参照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面进行差距分析,依据《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019),对系统进行初次安全评估。
通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。初次测评内容如下:
安全物理环境:包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。
安全通信网络:包括网络架构、通信传输、可信验证等内容。
安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全管理中心:包括系统管理、审计管理、安全管理、集中管控等内容。
安全管理制度:包括安全策略、管理制度、制定和发布、评审和修订等内容。
安全管理机构:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等内容。
安全管理人员:包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等内容。
安全建设管理:包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等内容。
安全运维管理:包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等内容。
3.等保整改
协助张家口职业技术学院按照《信息安全等级保护管理办法》《关于开展信息系统等级保护安全建设整改工作的指导意见》《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)等有关管理规范和技术标准,制定安全管理制度、落实安全责任,建议安全技术设施,落实安全技术措施。
通过安全建设整改,确保信息系统通过相应级别的安全等级评测。
4.二次测评
此阶段是网络安全等级测评完整实施阶段,通过对整改后的系统进一步分析和梳理,并按照《等级测评报告模板2021版》编写等级测评报告。
5.报告编制
通过对现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,然后进行整体测评和风险分析,形成等级测评结论,按照《信息系统安全等级测评报告模版(2021年版)》编写等级测评报告。
五、售后要求与文档提交要求
1.售后服务要求
(1)免费咨询服务:自项目验收之日起一年。
(2)售后服务机构及服务团队构成:
投标人的项目成员要求至少4名安全等级保护测评师服务,其中不少于1名高级测评师,不少于1名中级测评师。
2.服务文档的提交要求
(1)测评方案;
(2)整改建议;
(3)测评报告;
(4)公安部门出具的信息系统安全等级保护备案证明。
六、验收标准及支付方式
项目验收:
1.等级保护测评工作最终目标是输出等级保护测评报告,该项目将产生一定数量的文档。
2.投标人应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
3.投标人应提交验收报告,验收报告需双方代表签字、单位盖章认可。
项目交付后由采购人根据合同、招标文件、报价文件组织验收。
项目文档:
1.投标人提供的资料应使用国际单位制(SI),语言为中文。
2.资料的组织结构清晰、逻辑性强。资料内容要正确、准确、一致、清晰、完整。如所供资料不能达到要求时,投标人应免费给予补充。
3.投标人资料的提交应及时充分,满足项目进度要求。
4.投标人完成项目后应提供以下文档:
序号 | 文档名称 | 提交数量 | 备注 |
1 | 《测评方案》 | 2 | 纸质签字版 |
2 | 《整改建议》 | 2 | 纸质签字版 |
3 | 《测评报告》 | 2 | 纸质盖章版 |
4 | 《备案证明》 | 2 | / |
注:实施期不包含整改时间
支付方式:项目验收合格后,7个工作日内,凭发票支付款项。
七、质量保证与技术服务
1.质量保证
投标人在项目方案设计、实施、验收的各个阶段,均应满足各系统正常稳定运行的要求。
投标人出具的等保测评报告应满足张家口公安局相关部门的认可,并完成相应系统的等级保护备案工作。
2.技术服务与保密要求
1)现场服务人员要求
投标人应与招标方签订保密协议,对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害询价方的权益,否则询价方有权追究投标人的责任。
投标人工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
2)技术支持服务要求
测评工作本身也会引入安全风险,必须加强测评过程中的风险控制。项目实施前,双方应充分讨论并明确测评对系统可能带来的风险和隐患,确定测评对象、测评方法和工具。
(1)操作的申请和监护
测评操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。
(2)人员与数据管理
重视保密工作,加强测评过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。
(3)测评对象选择
优先选择备用设备(系统)或临时搭建的模拟环境进行测评,避免影响在线系统运行。
3)保密要求
投标人承担被测评单位敏感信息的保密责任,在项目实施过程中,双方需要复制对方提供的相关资料时,应提交书面申请,在得到对方书面同意后方可复制,并将数据内容记录成表,签字确认。
未经双方书面同意,不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。项目结束后,双方必须互相确认测评过程中提供的相关资料,相互承担保密责任。
八、评标办法
序号 | 评分因素 | 满分 | 评分内容 |
1 | 价格部分(10.00) | 10.00 | 满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。 其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价 /投标报价)X10.00。 |
2 | 商务部分 (40.00) | 10.00 | 投标单位自2021年6月1日起签订类似合同案例,每提供一个得2分,最多得10.00分。注:须提供完整的合同复印并加盖单位公章,否则不得分。 |
20.00 | 投标单位具有《2022年网络安全等级保护测评能力验证计划》(评价结果需为:满意(优秀))得5.00分; 投标单位具有《NECAS全国商品售后服务达标认证证书》(认证范围需包括等级保护测评)得5分。 投标单位具有数据管理能力成熟度(DCMM)证书得5.00分。 投标单位具有高新技术企业证书得5.00分。 | ||
10.00 | 项目团队提供1名同时具有安全防范评估师证书和测评师证书的人员得3.00分,缺项或不提供不得分。 项目团队提供1名同时具有中级测评师证书、PMP、CISP、数据安全评估师的人员得2.00分,缺一项或不提供不得分。 项目组提供一名同时具有初级或以上测评师证书、安全防范设计评估师证书、CIIP-A证书、售后服务高级管理师证书、PMP、数据安全官的人员得3.00分,缺一项或不提供不得分。 在项目测评过中基于对网络安全、数据恢复等应急处置的考虑,应提供一名同时具有NSATP-A(注册网络安全渗透评估专业人员)和高级信息安全管理工程师的人员得2.00分,缺一项或不提供不得分。 | ||
3
| 技术部分 (50.00) | 20.00 | 根据投标人提供的整体实施计划与服务方案详细程度、可行性、合理性等进行评分: 服务方案内容详细完整、科学合理,针对性、操作性强,充分满足本项目需求,优秀得15.00-20.00分;良好得10.00-15.00分;一般得5.00-10.00分;较差得0-5.00分。 未提供任何的项目服务方案不得分。 |
20.00 | 根据采购需求制定详细的质量保证方案与质量控制措施: 提供的质量保证方案与质量控制措施内容完整、详实可行,针对性强,优于其他供应商,优秀得15.00-20.00分;良好得10.00-15.00分;一般得5.00-10.00分;较差得0-5.00分。 未提供质量保证方案与质量控制措施不得分。 | ||
10.00 | 提供的售后服务方案内容详细完整、科学合理,针对性、操作性强,充分满足本项目需求,优秀得7.00-10.00分;良好得3.00-7.00分;一般得1.00-3.00分;较差得1分。 未提供任何的售后服务方案不得分。 |
九、响应文件递交时间
响应文件递交截止时间:2024年7月10日(星期三)14:30,材料密封、盖章,并加盖骑缝章。
材料递交地点:河北省张家口市经开区胜利南路50号张家口职业技术学院现代教育技术中心(知行楼904室)
联系人电话:米老师 0313-8201290
十、采购部门组织询价评审专家对响应文件进行评审,从投标报价、招标文件响应程度、方案等方面对所有投标人的投标文件进行综合评审,得分最高的投标人中标。