项目编号:BBSZJRMFY-2020-FC
蚌埠市中级人民法院
网络安全等级保护复测服务项目
招 标 文 件
招标单位:蚌埠市中级人民法院
日期:二〇二〇年十二月
投标须知
序号 | 项 目 | 内 容 |
1 | 项目名称 | 网络安全等级保护复测服务项目 |
2 | 建设单位 | 安徽省蚌埠市中级人民法院 |
3 | 建设地点 | 安徽省蚌埠市中级人民法院 |
4 | 招标范围 | 详见技术参数 |
5 | 资格审查方式 | 资格在开标现场审查 |
6 | 投标报名期 | 2020年 12 月 18 日----2021年 1 月 8 日 |
7 | 信誉要求 | 不得:①被列入法院失信被执行人名单 ②因拖欠农民工工资被列入“黑名单” ③存在重大税收违法行为 ④被列入严重违法失信企业名单 |
8 | 联系方式 | 联系人: 王华照 电话: 0552-3131596 |
9 | 标书递交份数 | 投标文件正本一份,副本一份,中标与否概不退还。 |
10 | 投标截止期 | 2021年 1 月 8 日 9 时 |
11 | 开标地点 | 蚌埠市中级人民法院办公楼十楼 |
12 | 开标时间 | 2021年 1 月 8 日 9 时 |
一、项目概况
依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求,对蚌埠市中级人民法院重要信息系统进行网络安全等级保护测评,包括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编制和完善安全管理制度等。
二、项目实施内容
序号 | 待测系统名称 | 安全保护等级 | 备注 |
1 | 蚌埠市两级法院司法查控系统 | 三级 |
三、项目预算
9万元
四、工期要求:
一个月
五、投标人资格要求
投标人需具备国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书;
六、需求内容:
1. 等保测评:完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作;
2. 工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作;
3. 整改建议:投标人应根据现场测评中发现的问题,分析与GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301、ITIL和ITSS等行业最佳实践之间的差距,按照网络安全等级保护标准要求提出安全整改建议;
4. 编制测评报告:完成上述测评工作和整改加固实施后,投标人最后出具符合公安机关要求的各信息系统网络安全等级保护测评报告。
5. 信息安全培训:投标人需要为采购方提供线上线下、在服务期内不少于每年2次的信息安全技术培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度,信息安全管理制度和相关流程等。
七、等级保护测评内容
1. 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;
2. 安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
3. 安全物理环境:安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
4. 安全通信网络:安全通信网络测评是对网络系统安全防护情况进行测评,包括网络架构、通信传输、可信验证等方面的安全状况。
5. 安全区域边界:安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。
6. 安全计算环境:安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。
7. 安全管理中心:安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测评。
8. 安全管理制度:安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。
9. 安全管理机构:安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
10. 安全管理人员:安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。
11. 安全建设管理:安全建设管理测评是对建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、 工程实施、测试验收、系统交付、 等级测评、服务供应商选择等情况进行测评。
12. 安全运维管理:安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、 应急预案管理、外包运维管理等情况进行测评。
八、测评依据
1. 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
2. 《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
3. 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
4. 《信息安全技术 网络安全等级保护测评过程指南》(GB∕T 28449-2018)
九、工作要求:
1. 规范性原则:成交供应商工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
2. 标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
3. 可控性原则:测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性;
4. 整体性原则:测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
5. 最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
6. 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购人有权追究责任。
十、报价要求
本项目报总价,报价包含完成本项目服务期间所产生的一切费用(含验收费用),采购人后期不再另行追加费用。
十一、人员配备
供应商拟派的安全服务团队不得少于3人(至少包括1名高级测评师、2名中级测评师)。安全服务团队在合同约定期内派驻采购人到指定地点办公,成交供应商需保证在实施阶段主要技术人员必须是全职。
十二、验收标准
1. 成交供应商按等保要求,完成规定工作内容,提供相关过程文档,能够按照等保2.0标准出具公安部门认可的测评报告。
2. 成交供应商按招标文件要求,完成安全服务规定的工作内容,提供相关过程文档,能够出具蚌埠市中级人民法院认可的验收报告。
十三、投标文件的组成
1. 投标函、法人代表授权委托书原件。
2. 报价表。
3. 服务承诺。
4. 资格证明文件:营业执照(复印件)、资质证明(测评机构推荐证书)
5. 业绩案例。
6. 其他材料
所有复印件需加盖单位公章。
十四、评分细则
本项目技术分值占总分值的权重为 45%,资信分值占总分值的权重为20%,价格分值占总分值的权重为 35%。具体评分细则如下:
类别 | 评分内容 | 评分标准 | 分值范围 |
技术分 (45分) | 服务方案 | 1、项目实施方案:工作范围清晰,具有完整的风险说明及风险规避处置措施,项目实施计划和测评内容以及项目管理方案可行性合理。评委对各家测评实施方案进行横向比较,详实:7-10、良好:3-6 一般:1-2、较差:0。 2、培训宣贯方案:工作范围清晰,具有完整的培训计划、培训方案以及线上线下结合的培训方案和配套工具,提供实际培训、宣贯案例介绍。评委对各家培训宣贯方案进行横向比较,详实:3-5、一般:1-2、较差:0。 3、项目管理方案:工作范围清晰,具有完整的项目管理方法论和内容。评委对各家项目管理方案进行横向比较,详实:3-5、一般:1-2、较差:0。 | 0-20分 |
项目人员配备 | 投标人针对本项目需求拟配备的项目团队应设置项目经理、培训讲师等,具体评审指标如下: 1、项目经理:具有中级(含)以上等级测评师证书,得2分;具有注册信息安全专业人员(CISP)证书,得2分;具有网络与信息安全认证讲师(CCSRP)证书,得2分;具有信息安全保障人员(CISAW)证书,得2分;本小项满分8分。 2、培训讲师:具有高级测评师证书,得2分;具有网络与信息安全认证讲师(CCSRP)证书,得2分;具有重要信息系统保护人员(证书类别:CIIP-T)证书,得2分;具有信息安全保障人员(CISAW)证书,得2分;本小项满分8分。 3、项目团队其他成员(不包括项目经理和培训讲师)全部具有初级(含)以上等级测评师证书,得4分,否则不得分 。 注:以上证书须证书扫描件或复印件。 | 0-20分 | |
项目实施工具 | 投标人具有自主研发的关键信息基础设施安全检查工具箱的,得5分。 注:投标文件中提供本单位产权的软件著作权扫描件/复印件。 | 0-5分 | |
资信分 (20分) | 投标人业绩 | 供应商提供自2017年01月01日以来等保测评服务业绩合同(以合同签订日期为准): 具有市级(含)及以上等保测评服务业绩,每提供一个得5分;最高得10分。 注:投标文件中须提供业绩合同的扫描件/复印件,合同扫描件至少提供封面、服务内容和签字盖章页; | 0-10分 |
售后服务能力 | 1.投标人在完成测评工作后应为甲方提供常态化的安全技术支撑、网络与信息安全培训、宣贯服务,提供售后服务承诺书,得 5 分。 注:投标文件中须提供售后服务承诺书。 2.投标人具有国家互联网应急中心颁发的“网络与信息安全应急人员认证”培训机构证书的,得 5分。 注:投标文件中须提供证书扫描件。 | 0-10分 | |
价格分 (35分) | 投标报价 | 价格采用低价优先法计算,即满足招标文件要求且最终报价最低的价格为评审基准价,其价格分为满分,其他投标人的价格分按照下列公式计算: 最终报价得分=(评审基准价/最终报价)×35%×100。 | 0-35分 |
投标人得分计算方法 | 各投标人的技术标得分为各评委所评技术标合计分值的算术平均值(取小数点后两位,第三位的数字四舍五入)。 投标人总得分=技术分得分+资信分得分+价格分得分 | ||