张家口职业技术学院信息系统等级保护测评项目招标公告
  • 发布人:Zjkzy5
  • 时间:2024-07-03
  • 点击:0
  • 来源:

一、招标内容:

1.项目介绍

为了提升学院各信息系统的安全保护能力,加强信息安全管理,根据《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护基本要求》等法规和标准的要求,需对张家口职业技术学院教务系统(三级)、门户网站系统(二级)两个信息系统相应指标进行测评。通过实施等保测评,准确反映学院待测信息系统的安全防护能力现状,对发现的问题进行深入分析,提出安全整改建议,指导完成安全技术与管理的整改,最终出具信息系统等级保护测评报告、整改建议。

2.项目预算:

本项目最高限价为:人民币11.4万元。

二、采购清单及服务时间

本次参与信息系统安全等级保护测评的为以下信息系统,相应的等级如下:

序号

信息系统名称

安全保护等级

业务信息安全(S)

系统服务安全(A)

1

教务系统

第三级

第三级

第三级

2

门户网站系统

第二级

第二级

第二级

服务时间:合同签订后50个工作日完成

三、供应商资质要求

1.投标人应当遵守我国的有关法律、法规,具备《中华人民共和国政府采购法》第二十二条规定的条件;

2.提供有效的营业执照、税务登记证、组织机构代码证(或三证合一的营业执照)(复印件加盖公章)

3.投标人须提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》(复印件加盖公章)

4.本项目不接受联合体投标。

资格审查要求:以上材料提交截止时间为2024年7月8日(星期一)12:00;请以邮寄方式或彩色扫描件发送电子邮件方式提交。

邮寄地点:河北省张家口市经开区胜利南路50号张家口职业技术学院现代教育技术中心(知行楼904室)

电子邮箱:zzyxdjyjszx@126.com

联系人电话:米老师 0313-8201290

四、技术要求

1.信息系统备案

协助张家口职业技术学院按照《信息安全等级保护备案实施细则》要求完成定级、备案材料的整理及在公安机关相关部门备案工作。

2.初次测评

检查张家口职业技术学院被测系统现状,参照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面进行差距分析,依据《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019),对系统进行初次安全评估。

通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。初次测评内容如下:

安全物理环境:包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。

安全通信网络:包括网络架构、通信传输、可信验证等内容。

安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。

安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。

安全管理中心:包括系统管理、审计管理、安全管理、集中管控等内容。

安全管理制度:包括安全策略、管理制度、制定和发布、评审和修订等内容。

安全管理机构:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等内容。

安全管理人员:包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等内容。

安全建设管理:包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等内容。

安全运维管理:包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等内容。

3.等保整改

协助张家口职业技术学院按照《信息安全等级保护管理办法》《关于开展信息系统等级保护安全建设整改工作的指导意见》《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)等有关管理规范和技术标准,制定安全管理制度、落实安全责任,建议安全技术设施,落实安全技术措施。

通过安全建设整改,确保信息系统通过相应级别的安全等级评测。

4.二次测评

此阶段是网络安全等级测评完整实施阶段,通过对整改后的系统进一步分析和梳理,并按照《等级测评报告模板2021版》编写等级测评报告。

5.报告编制

通过对现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,然后进行整体测评和风险分析,形成等级测评结论,按照《信息系统安全等级测评报告模版(2021年版)》编写等级测评报告。

五、售后要求与文档提交要求

1.售后服务要求

(1)免费咨询服务:自项目验收之日起一年。

(2)售后服务机构及服务团队构成:

投标人的项目成员要求至少4名安全等级保护测评师服务,其中不少于1名高级测评师,不少于1名中级测评师。

2.服务文档的提交要求

(1)测评方案;

(2)整改建议;

(3)测评报告;

(4)公安部门出具的信息系统安全等级保护备案证明。

六、验收标准及支付方式

项目验收:

1.等级保护测评工作最终目标是输出等级保护测评报告,该项目将产生一定数量的文档。

2.投标人应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。

3.投标人应提交验收报告,验收报告需双方代表签字、单位盖章认可。 

项目交付后由采购人根据合同、招标文件、报价文件组织验收。

项目文档:

1.投标人提供的资料应使用国际单位制(SI),语言为中文。

2.资料的组织结构清晰、逻辑性强。资料内容要正确、准确、一致、清晰、完整。如所供资料不能达到要求时,投标人应免费给予补充。

3.投标人资料的提交应及时充分,满足项目进度要求。

4.投标人完成项目后应提供以下文档:

序号

文档名称

提交数量

备注

1

《测评方案》

2

纸质签字版

2

《整改建议》

2

纸质签字版

3

《测评报告》

2

纸质盖章版

4

《备案证明》

2

/

注:实施期不包含整改时间

支付方式:项目验收合格后,7个工作日内,凭发票支付款项。

七、质量保证与技术服务

1.质量保证

投标人在项目方案设计、实施、验收的各个阶段,均应满足各系统正常稳定运行的要求。

投标人出具的等保测评报告应满足张家口公安局相关部门的认可,并完成相应系统的等级保护备案工作。

2.技术服务与保密要求

1)现场服务人员要求

投标人应与招标方签订保密协议,对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害询价方的权益,否则询价方有权追究投标人的责任。

投标人工作中的过程和文档,应具有规范性,便于项目跟踪和控制。

2)技术支持服务要求

测评工作本身也会引入安全风险,必须加强测评过程中的风险控制。项目实施前,双方应充分讨论并明确测评对系统可能带来的风险和隐患,确定测评对象、测评方法和工具。

(1)操作的申请和监护

测评操作必须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程,事前申请,并在专责人员的指导和监护下进行。

(2)人员与数据管理

重视保密工作,加强测评过程中的保密管理,确保参与测评工作人员的可靠、稳定,防止敏感信息泄漏。

(3)测评对象选择

优先选择备用设备(系统)或临时搭建的模拟环境进行测评,避免影响在线系统运行。

3)保密要求

投标人承担被测评单位敏感信息的保密责任,在项目实施过程中,双方需要复制对方提供的相关资料时,应提交书面申请,在得到对方书面同意后方可复制,并将数据内容记录成表,签字确认。

未经双方书面同意,不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。项目结束后,双方必须互相确认测评过程中提供的相关资料,相互承担保密责任。

八、评标办法

序号

评分因素

满分

评分内容

1

价格部分(10.00)

10.00

满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。

其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价 /投标报价)X10.00。

2

商务部分

(40.00)

10.00

投标单位自2021年6月1日起签订类似合同案例,每提供一个得2分,最多得10.00分。注:须提供完整的合同复印并加盖单位公章,否则不得分。

20.00

投标单位具有《2022年网络安全等级保护测评能力验证计划》(评价结果需为:满意(优秀))得5.00分;

投标单位具有《NECAS全国商品售后服务达标认证证书》(认证范围需包括等级保护测评)得5分。

投标单位具有数据管理能力成熟度(DCMM)证书得5.00分。

投标单位具有高新技术企业证书得5.00分。

10.00

项目团队提供1名同时具有安全防范评估师证书和测评师证书的人员得3.00分,缺项或不提供不得分。

项目团队提供1名同时具有中级测评师证书、PMP、CISP、数据安全评估师的人员得2.00分,缺一项或不提供不得分。

项目组提供一名同时具有初级或以上测评师证书、安全防范设计评估师证书、CIIP-A证书、售后服务高级管理师证书、PMP、数据安全官的人员得3.00分,缺一项或不提供不得分。

在项目测评过中基于对网络安全、数据恢复等应急处置的考虑,应提供一名同时具有NSATP-A(注册网络安全渗透评估专业人员)和高级信息安全管理工程师的人员得2.00分,缺一项或不提供不得分。

3

 

技术部分

(50.00)

20.00

根据投标人提供的整体实施计划与服务方案详细程度、可行性、合理性等进行评分:

服务方案内容详细完整、科学合理,针对性、操作性强,充分满足本项目需求,优秀得15.00-20.00分;良好得10.00-15.00分;一般得5.00-10.00分;较差得0-5.00分。

未提供任何的项目服务方案不得分。

20.00

根据采购需求制定详细的质量保证方案与质量控制措施:

提供的质量保证方案与质量控制措施内容完整、详实可行,针对性强,优于其他供应商,优秀得15.00-20.00分;良好得10.00-15.00分;一般得5.00-10.00分;较差得0-5.00分。

未提供质量保证方案与质量控制措施不得分。

10.00

提供的售后服务方案内容详细完整、科学合理,针对性、操作性强,充分满足本项目需求,优秀得7.00-10.00分;良好得3.00-7.00分;一般得1.00-3.00分;较差得1分。

未提供任何的售后服务方案不得分。

九、响应文件递交时间

响应文件递交截止时间:2024710日(星期)14:30,材料密封、盖章,并加盖骑缝章。

材料递交地点:河北省张家口市经开区胜利南路50号张家口职业技术学院现代教育技术中心(知行楼904室)

联系人电话:米老师 0313-8201290

、采购部门组织询价评审专家对响应文件进行评审,从投标报价、招标文件响应程度、方案等方面对所有投标人的投标文件进行综合评审得分最高的投标人中标

询价表.xlsx