常州市应急地理信息平台等5个系统信息安全风险检查评估项

1、常州市政府采购中心常州市政府采购中心常州市应急地理信息平台等常州市应急地理信息平台等 5 5 个系统信息个系统信息安全风险检查评估项目竞争性谈判安全风险检查评估项目竞争性谈判文件文件常采竞常采竞 2 20 01 16 6 0 03 39 92 2- -2 2 号号采购人：常州市经信委采购人：常州市经信委集中采购机构：常州市政府采购中心集中采购机构：常州市政府采购中心 20162016 年年 9 9 月月常州市政府采购中心常州市政府采购中心2前附表前附表项号内 容 规 格1项目名称：常州市应急地理信息平台等 5 个系统信息安全风险检查评估项目项目编号： 常采竞20160392-2 号2谈判保证金

2、数额：元（本项目不需要）户名：常州市政府非税收入专户 开户银行：工商银行常州分行营业部账号：11050201090000998953采购人联系方式： 戴先生，联系电话：0519-856812794响应文件份数：正本壹份、副本 贰 份 5响应文件提交接收时间：2016 年 10 月 12 日下午 1：30 响应文件提交截止时间：2016 年 10 月 12 日下午 1：30 响应文件提交地点：常州市政府采购中心 9 楼 902 室 联系人：朱先生系电话： 6谈判会议时间：2016 年 10 月 12 日下午 1：30地点：常州市政府采购中心 9 楼 902 会议室7

3、评审办法：最低评标价法8报价次数：至少 2 次常州市政府采购中心常州市政府采购中心3目目 录录竞争性谈判公告竞争性谈判公告.2 2第一章第一章 总总 则则.3 3第第二二章章 响响应应文文件件 .5 5第第三三章章 响响应应文文件件密密封封和和提提交交.8 8第四章第四章 谈判报价谈判报价.9 9第五章第五章 谈判、评审、评定成交谈判、评审、评定成交.1010第六章第六章 采购内容及要求采购内容及要求.1414第七章第七章 格式附表格式附表.1515常州市政府采购中心常州市政府采购中心2竞争性谈判采购公告竞争性谈判采购公告常采竞20160392-2 号常州市政府采购中心受常州市经信委委托，就常

4、州市应急地理信息平台等5 个系统信息安全风险检查评估项目实行竞争性谈判方式采购，有关事项公告如下。一、项目名称及编号一、项目名称及编号项目名称：常州市应急地理信息平台等 5 个系统信息安全风险检查评估项目项目编号：常采竞20160392-2 号二、项目简要说明：二、项目简要说明：为进一步保障信息系统的安全，完善业务信息网络安全系统，控制由于系统漏洞、病毒、黑客攻击等原因引起的重大网络危害，常州市经济和信息化委员会拟对以下 5 个系统实施信息安全风险检查评估和安全服务项目，具体 5 个系统为：常州市应急地理信息平台、常州国土资源“一张图”系统、智慧旅游公共服务平台、常州市河道湖泊管理处泵闸站信息

5、化系统以及自来水控制系统。三、供应商资格条件：、供应商资格条件：1、供应商须符合政府采购法第二十二条规定；2、供应商须具有国家信息安全信息测评中心或信息安全认证中心颁发的信息安全服务资质证书、江苏省信息安全检查评估机构备案证书以及江苏省两化融合信息安全示范服务机构资质；3、供应商须至少具有 CISP 认证工程师和信息安全保障认证人员各 1 名；4、2014 年以来须具有 20 万元及以上行政机关事业单位信息安全服务项目案例 3 个（含）以上（提供合同）；5、投标人所有相关资质必须与投标主体保持完全一致，不接受投标主体以外的母公司、子公司或者关联公司的资质，不接受联合体投标，中标后不允许分包、转

6、包。四、四、谈判文件领取的时间和地点谈判文件领取的时间和地点：供应商自公告之日起自行下载谈判文件。五、响应文件提交及谈判信息：五、响应文件提交及谈判信息：响应文件提交截止暨开标时间：2016 年 10 月 12 日下午 1：30。响应文件提交暨开标地点：常州市政府采购中心 9 楼 902 室。六、联系方式：六、联系方式：采购中心联系人：朱卫华 联系电话传真电话联系地址：常州市龙锦路 1259-2 号网 址：http:/ 1258 号 常州市政府采购中心 2016 年 9 月 30 日常州市政府采购中心常州市政府采购中心4第一章第一章

7、总总 则则一、采购项目：一、采购项目：常州市应急地理信息平台等 5 个系统信息安全风险检查评估项目二、供应商的资格要求：二、供应商的资格要求：见谈判公告见谈判公告三、谈判费用三、谈判费用供应商应自行承担其编制、提交响应文件以及参加招竞争性谈判活动所产生之一切费用。无论竞争性谈判活动中的做法和结果如何(包括采购单位决定取消采购的)，采购人和集中采购机构对上述费用不负任何责任。四、谈判文件四、谈判文件、谈判文件的组成 本文件及依法对本文件所作的书面更正内容均为谈判文件的组成部分。、谈判文件的更正供应商在收到谈判文件后，如有疑问需要澄清，应在答疑会议 1 日前以书面形式向集中采购机构提出，如无疑问,

8、视作供应商完全响应谈判文件的条款和要求。集中采购机构作出的澄清或修改将公告通知所有谈判文件收受人。谈判文件各项条款最终解释权归常州市政府采购中心，供应商对集中采购机构提供的谈判文件所做出的推论、解释和结论，集中采购机构概不负责。供应商由于对谈判文件的任何推论和误解以及集中采购机构对有关问题的口头解释所造成的后果，均由供应商自负。集中采购机构有权对已发出的谈判文件进行必要的澄清或修改，并以更正公告形式通知所有供应商。集中采购机构可视具体情况，延长响应文件提交截止时间和谈判时间，并将此变更以公告形式通知所有谈判文件收受人。公告通知以江苏省政府采购网和常州市政府采购网所发布的为准。五、供应商的义务五

9、、供应商的义务1、供应商应当认真阅读谈判文件，完全明了采购项目之名称、用途、数量、质量和交货日期，完全明了供应商所应具备的资格条件。常州市政府采购中心常州市政府采购中心52、供应商应当按照谈判文件的要求编制响应文件。响应文件应对谈判文件提出的实质性要求和条件作出完全响应。3、供应商应在响应文件提交截止时间前，将密封的响应文件送达指定地点。4、供应商不得相互串通谈判报价，不得排挤其他供应商的公平竞争，损害采购人或者其他供应商合法权益。供应商不得与采购人串通，损害国家利益，公众利益或者他人的合法权益。5、供应商在响应文件提交截止时间前，对所提交的响应文件可以补充、修改或者撤回，并书面通知集中采购机

10、构。补充、修改的内容为响应文件的组成部分。常州市政府采购中心常州市政府采购中心6第第二二章章 响响应应文文件件六、响应文件组成六、响应文件组成一式 叁 份，壹份正本， 贰 份副本。响应文件应当符合谈判文件的要求，并应包括但不限于下列内容。1、供应商情况说明：供应商简介（含供应商规模、银行资信、技术能力及装备水平等） 、人员情况、典型项目介绍。2、供应商资格审查材料，证明供应商符合资格要求的证明材料包括但不限供应商资格审查材料，证明供应商符合资格要求的证明材料包括但不限于以下材料（所有项目若有缺失或无效将可能导致无效响应且不允许在响应文于以下材料（所有项目若有缺失或无效将可能导致无效响应且不允许

11、在响应文件提交截止后补正。响应文件中提供复印件，件提交截止后补正。响应文件中提供复印件，并将原件（或公证件）同时携带并将原件（或公证件）同时携带至谈判现场备查，否则视作无效响应文件至谈判现场备查，否则视作无效响应文件）：）：1）响应函（附件一） ；2）法定代表人资格证明书（附件二） ，授权委托书（附件三） ，供应商法定代表人或者委托代理人的身份证；3）有效的营业执照（事业单位的可提供组织机构代码证） ； 4）有效的税务登记证；5）供应商资格要求涉及的证明材料。3、谈判报价：谈判报价的具体要求见谈判文件第四章。4、项目技术和实施方案，应当包括但不限于如下主题：1）项目技术方案2）项目组织实施方案

12、和管理计划3）培训方案(含培训承诺中的所有培训，费用均由供应商负担)4）技术支持、售后服务方案5）优惠条款或承诺。6）其他。4 4、其他评审相关材料：、其他评审相关材料：1）供应商应提交的各类证明资料；2）典型项目合同常州市政府采购中心常州市政府采购中心73）供应商参与本项目的技术人员一览表（提供姓名、学历、年龄、资质证书情况、以往参加类似项目情况、在本项目中的责任等） ，明确负责本项目的项目经理、技术负责人，提供相关人员的职称或资格证书复印件，提供项目经理、技术负责人、本项目技术人员的劳动合同和社保缴费记录证明；4）供应商相关荣誉证明资料；5)其他相关材料。七、供应商应认真检查谈判文件的内容

13、是否齐全，如有遗漏，应及时向集七、供应商应认真检查谈判文件的内容是否齐全，如有遗漏，应及时向集中采购机构索取，否则责任自负。中采购机构索取，否则责任自负。八、响应文件的制作应当符合以下要求八、响应文件的制作应当符合以下要求1、供应商应准备响应文件的正本 1 套，副本 2 套，在每一份响应文件上要明确注明“正本” 或“副本”字样。一旦正本和副本内容有差异，以正本为准。2、响应文件正本必须打印。供应商应按照要求，在正本规定的地方加盖单位公章或由供应商法定代表人（或其委托代理人）签字，副本可通过正本复印。3、全套响应文件应无修改和行间插字。如有修改，须在修改处加盖供应商法定代表人或其委托代理人的印鉴

14、。4、谈判报价清晰准确，不存在影响其他供应商评分的严重错误。 九、在响应文件提交截止时间之前的密封完好的响应文件可以接受。九、在响应文件提交截止时间之前的密封完好的响应文件可以接受。十、谈判保证金十、谈判保证金（本项目不需要）（本项目不需要）1、供应商必须按要求在响应文件提交截止时间前向集中采购机构交纳谈判保证金 元整元整（以到账为准,拒绝以个人名义缴纳） ，谈判保证金可采用银行转账方式，缴纳后自行到常州市政府采购中心综合科领取收据。2、在谈判时，响应文件中必须提供谈判保证金收款收据复印件(或执原件备查),对于未按要求提交谈判保证金的，其响应文件将作为无效响应文件处理，不予参加评审。常州市政府

15、采购中心常州市政府采购中心83、未成交供应商的谈判保证金在将在中标通知书发出后的一周内予以全额退还（无息） ，请未成交供应商自行开具加盖本单位公章的财务收据到采购中心综合科办理退款。4、成交供应商的谈判保证金将转入履约保证金，待合同按约履行完毕后的7 个工作日内全额退还（无息） ，履约保证金另有约定的除外。5、供应商出现下列情况，集中采购机构报经主管部门批准同意后有权取消其中标资格，并没收其谈判保证金。1)供应商在提交后又撤回其响应文件；2)成交供应商未能在谈判文件规定的期限提交履约担保；3)成交供应商无正当理由拒绝签订合同；4)由于供应商的原因导致中标无效的。常州市政府采购中心常州市政府采购

16、中心9第第三三章章 响响应应文文件件密密封封和和提提交交十一、响应文件的密封与标志十一、响应文件的密封与标志1、供应商应将响应文件密封。2、所有封袋上都应写明供应商名称、采购项目名称，采购项目编号，年月日。3、所有响应文件都必须在封袋骑缝处加盖供应商公章。4、供应商违反上述规定的，其响应文件将被作为无效响应文件，不予拆封和参加评审。十二、响应文件提交，截止时间和地十二、响应文件提交，截止时间和地点点供应商须在竞争性谈判采购公告规定的响应文件提交截止时间之前在指定地点将响应文件提交给集中采购机构。供供应应商商在在提提交交响响应应文文件件时时须须提提供供法法定定代代表表人人或或代代理理人人身身份份

17、证证原原件件，未未提提供供的的，集集中中采采购购机机构构不不接接受受其其响响应应文文件件，不不予予参参加加谈谈判判和和评评审审。十三、响应文件的修改和撤回十三、响应文件的修改和撤回在响应文件提交截止时间之前，供应商可以对所提交的响应文件进行修改和撤回，但所提交的修改或撤回通知必须按谈判文件的规定进行编制、密封、标志（在包封上标明“修改”或“撤回”字样，并注明修改或撤回的时间）和提交。响应文件提交截止时间之后，供应商不得修改或撤回响应文件。 常州市政府采购中心常州市政府采购中心10第四章第四章 谈判报价谈判报价十四、十四、项目总价应包括谈判文件所确定的采购范围相应货物或者服务的供项目总价应包括谈

18、判文件所确定的采购范围相应货物或者服务的供货、包装、运输、保险、安装调试管理、劳务、培训、办公设备、设备、工具、货、包装、运输、保险、安装调试管理、劳务、培训、办公设备、设备、工具、耗材、运送工具及耗材、利润、风险、税金及政策性文件规定等各项应有费用，耗材、运送工具及耗材、利润、风险、税金及政策性文件规定等各项应有费用，以及为完成该项货物或者服务项目所涉及到的一切相关费用。以及为完成该项货物或者服务项目所涉及到的一切相关费用。 十五、谈判报价方式十五、谈判报价方式1、供应商应按照谈判文件中提供的格式完整、正确填写开标一览表。开标一览表中的报价应与分项报价表的总价完全一致，如有不一致的，以开标一

19、览表的报价为准。报价货币为人民币，评标时以人民币为准。2、供应商应按照谈判文件规定格式填报投分项报价表。3、培训服务费用报价：由各供应商根据企业自身情况自行决定是否单列。如供应商单列培训费用，则自行将谈判文件所提供的“分项报价表”格式扩展。4、售后服务费用报价：同上。5、供应商需对每部分报价包含的服务内容进行明确说明。如有特别承诺，也需明确说明。6、本项目的最高限价为 2121 万万元元，项目总价高于最高限价的作为无效响应处理。7、谈判报价次数：本项目采用至少二次报价，响应文件的谈判报价作为首次报价，在谈判小组评审谈判结束后，所有继续参加谈判的供应商在规定时间内同时提交最终报价。8、其他要求常

20、州市政府采购中心常州市政府采购中心11第五章第五章 谈判、评审、评定成交谈判、评审、评定成交十六、谈判会议时间和地点十六、谈判会议时间和地点见前附表十七、评审、评定成交方法十七、评审、评定成交方法本项目采用最低评标价法，响应文件满足谈判文件全部实质性要求且最终报价最低的供应商为成交供应商。十八、十八、谈判评审会议谈判评审会议谈判评审会议按谈判文件中规定的时间、地点举行，由集中采购机构主持，在有关部门监督下进行。采购人、所有供应商和政府采购管理机关等有关监督部门的代表参加会议。供应商应由法定代表人或者委托代理人携带身份证明原件准时参加谈判会议，并签名报到以证明其出席。 十九、十九、由监督部门会同

21、供应商代表检查响应文件的密封情况，或由公证机关监督。检查完毕后，供应商退场，由谈判小组开始组织评审。二十、二十、集中采购机构在响应文件提交截止时间前收到的所有合格响应文件，谈判评审时都予以拆封，集中采购机构对谈判评审过程予以记录。二十一、响应文件出现下列情况之一的，将作为无效响应文件处理，无效二十一、响应文件出现下列情况之一的，将作为无效响应文件处理，无效响应文件不予参加评审。响应文件不予参加评审。1、响应文件未按规评定成交志、密封、盖章的；2、响应文件未加盖供应商公章的；3、授权委托书无供应商公章、法定代表人的印鉴（或签名） ，或委托书非原件的；4、供应商未通过报名的或者在名称上和法人地位上

22、与报名情况发生实质性的改变的；常州市政府采购中心常州市政府采购中心125、供应商不符合谈判文件中规定资格要求的，或者资格要求证明材料提供不齐全的；6、响应文件未按谈判文件规定的格式、内容和要求编制，响应文件字迹潦草、模糊、难以辨认；7、供应商在一份响应文件中，对同一采购项目报有两个或多个报价，且未书面确定以哪个报价为准的；8、供应商在谈判报价中存在严重错误，并影响对其他供应商的评价的；9、响应文件材料所述情况和所附相关资料不实的；10、供应商以他人的名义投标、串通投标、以行贿手段谋取中标或者以其他弄虚作假方式投标的。11、逾期送达的响应文件；12、未按谈判文件要求缴纳谈判保证金的；13、供应商

23、的最终谈判报价超出采购预算或者最高限价的；14、谈判文件明确规定无效的其他情形，或者其他被谈判小组认定无效的情况；15、不符合法律、法规和谈判文件规定的其他实质性要求的。二十二、评审、评定成交二十二、评审、评定成交评审由集中采购机构依法组建的谈判小组负责。由谈判小组出具书面评审报告并推荐成交供应商。二十三、响应文件的澄清二十三、响应文件的澄清1、为了有助于响应文件的审查、评价和比较，谈判小组可以书面方式要求供应商对响应文件中含义不明确、对同类问题表述不一致或者明显文字和计算错误的内容作必要的澄清、说明或者补正。供应商的澄清、说明或者补正应以书面方式进行并不得超出响应文件的范围或者改变响应文件的

24、实质性内容。2、响应文件中的大写金额和小写金额不一致时的，以大写金额为准；单价乘数量不等于总价，数量符合谈判文件要求，以单价计算金额为准；单价金额小数点有明细错位的，应以总价为准，并修改单价；缺项漏项或者数量不符合缺项漏项或者数量不符合谈判文件要求的作为无效响应文件处理；谈判文件要求的作为无效响应文件处理；对不同文字文本响应文件的解释发生常州市政府采购中心常州市政府采购中心13异议的，以中文文本为准。3、所有澄清或说明必须以书面方式正式为之，由法定代表人或其代理人的签名或盖章。4、供应商拒不按照谈判小组要求作出澄清、说明或者补正的，作为无效响应处理。二十四、评审中作为终止竞争性谈判活动的情况二

25、十四、评审中作为终止竞争性谈判活动的情况1、因情况变化，不再符合规定的竞争性谈判采购方式适用情形的2、出现影响采购公正的违法、违规行为的；3、供应商的报价均超过了采购预算，采购人不能支付的；4、因重大变故，采购任务取消的。二十六、授予合同，合同条款二十六、授予合同，合同条款1、成交供应商应当在成交公告发出之日起的三十日内与采购人签订合同。2、成交供应商应按采购人要求的时间、地点派代表前来与采购人具体商谈签订合同。谈判文件、成交供应商的响应文件及澄清文件等，均为签订合同的依据。3、采购人在授予合同时有权对“响应文件”中的货物及配置在合法范围内进行调整。4、成交供应商因不可抗力导致无法按期签订合同

26、的，应当在不可抗力发生之日起 5 日内提出，并提供书面证据，采购人及成交供应商互不承担任何责任及损失。如成交供应商无正当理由未按期签订合同的，视为自动放弃中标资格，并承担违约责任。5 5、货款支付：、货款支付：（1）合同签订后 10 个工作日内支付合同总价 60的预付款；（2）其余 40%合同款在项目验收合格后 10 个工作日内支付。常州市政府采购中心常州市政府采购中心14第六章 采购内容及要求常州市应急地理信息平台等5 个系统信息安全风险检查评估项目技术要求一、项目概况一、项目概况此次信息安全风险检查评估的 5 个系统为：常州市应急地理信息平台、常州国土资源“一张图”系统、智慧旅游公共服务平

27、台、常州市河道湖泊管理处泵闸站信息化系统以及自来水控制系统。常州市应急地理信息平台是在智慧常州空间框架下，基于电子政务网云计算环境，建立较为完善的应急专业（公共）地理信息数据体系，与市应急联动成员单位及相关部门之间形成应急地理信息资源共享交换机制的系统，实现应急联动成员单位在“应急一张图”上联合指挥，全面提升信息化条件下政府应急管理能力和水平。常州市应急地理信息平台集地理信息数据共享、资源管理中心、信息服务、辅助决策与业务应用为一体，为政府治安防控决策、应急处置提供专业地理信息服务。常州国土资源“一张图”系统是遥感影像、土地利用现状、基本农田、土地利用总体规划、矿产资源、基础地理，以及遥感监测

28、等多源信息的集合，与国土资源管理规划计划、审批、利用、补充、开发、执法等行政管理系统叠加，共同构建的统一综合监管平台。智慧旅游公共服务平台主要分为三个子系统，分别为常州旅游网，主要是电脑端包含常州所有旅游相关的信息，提供了旅游商品的在线预订，用户可以直接在线注册购买景点门票，酒店预订，自由行套餐和乡村旅游产品，并且可以直接通过支付宝，银联、微信实现在线支付、提供了便民服务系统、提供了旅游活动相关资讯，二是游常州微网站，是与微信相关接口开发的微信端的常州智慧旅游系统，此系统提供了产品预订、公共服务、常州市政府采购中心常州市政府采购中心15智慧影像、语音导游、龙城攻略、在线客服等功能；三是乐在常州

29、 APP 客户端（IOS、android）主要提供产品预订、在线实时客服、公共服务、产品预订等功能。常州市河道湖泊管理处泵闸站信息化系统包括现场操作子系统、远程操作子系统、远程监控子系统、远程数据分析与查询子系统、手机客户端查询子系统。现场操作子系统以 MCGSE7.6 组态软件作为开发平台、以 EVC 语言作为编辑软件，触摸屏和 PLC 之间通过交换机实现业务数据的交换和现场控制；远程操作子系统以 IFIX 组态软件作为开发平台、以 VB 语言作为编辑软件，将远程采集的业务数据直接写入实时数据库（IFIX）和存储数据库（SQL）；远程数据查询与分析子系统基于 GIS 的客户端平台、以 Jav

30、a 语言作为编程软件，通过应用服务器访问数据库既可以实时查询业务数据，又可以查询任意时段的业务数据；视频监控子系统是以科达视频监控客户端为软件平台，由于受带宽的限制，监控内容视频存储内容采用泵闸站前端存储的方式，工作人员通过公网或局域网查看各站点的视频图像，该监控系统既可以实现白天的监控，又可以开启夜间模式实现夜晚的监控，并可对各站点室内的球机摄像机云台进行远程控制，各站点的录像硬盘容量为 3T，视频内容存储满后可自动进行覆盖，工作人员可对各个泵闸站 30 天内的视频录像进行回调；除了上述子系统外，该信息化工程还增设手机客户查询端子系统，该子系统以 APP 软件作为开发平台，工作人员可通过手机

31、实时查询各泵闸站水情、雨情、工情和视频。自来水控制系统是工控系统，主要用于水厂生产的自动控制、监控及生产数据的采集。为进一步保障信息系统的安全，完善业务信息网络安全系统，控制由于系统漏洞、病毒、黑客攻击等原因引起的重大网络危害，常州市经济和信息化委员会拟对以上 5 个系统实施信息安全风险检查评估和安全服务项目。二、完成目标二、完成目标根据常州市地理信息平台等 5个系统现有的网络架构和正常运行的业务系统可能存在的安全漏洞风险级别，针对不同漏洞选择针对性的安全解决方案，解决现有的系统安全问题。完善业务信息网络安全系统，控制由于系统漏洞、病毒、黑客攻击等原因引起的重大网络危害。从物理安全、网络安全、

32、应用安全、系统安全和管理安全五个层次分别加以实施。三、项目实施内容三、项目实施内容常州市政府采购中心常州市政府采购中心16（一）风险评估对象及内容评评估估对对象：象：本次风险评估项目实施的对象为常州市应急地理信息平台、常州国土资源“一张图”系统、智慧旅游公共服务平台、常州市河道湖泊管理处泵闸站信息化系统以及自来水控制系统，对各系统的组织架构、策略体系、人员安全、物理安全、网络（含）安全设备、服务器系统及应用（含数据库、中间件）系统进行风险评估。投标人必须在项目建设的各个阶段及时提交测评成果，主要包括（但不限于）以下内容：信息系统资产调查报告信息系统资产赋值报告信息系统现状分析报告信息系统风险评

33、估报告信息安全整体解决方案信息安全体系建议报告系统渗透测试报告系统加固报告评评估内容：估内容：1、资产边界分析（1）分析待评估资产范围；（2）划分内部资产子系统；（3）对各子系统进行边界确认；（4）确定最终资产子系统边界；2、资产识别常州市政府采购中心常州市政府采购中心17（1）根据资产表格进行资产审计；（2）分组对本地、非本地区域资产进行有效录入登记；（3）每类资产明细需要审计资产详细配置与当前状态；3、威胁识别（1）从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理威胁识别；（2）从网络拓扑、地址分配、VLAN 划分、路由协议、准入控

34、制、访问控制等多个方面进行网络威胁识别；（3）从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护等多方面进行系统威胁识别；（4）从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多个方面进行应用威胁识别；（5）从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个方面进行管理威胁识别。4、脆弱性识别（1）从物理准入控制、机房温湿度控制、机房防 尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理脆弱性识别；（2）从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、日常运维等多方面进行系

35、统脆弱性识别；（3）从网络拓扑、地址分配、VLAN 划分、路由协议、准入控制、访问控制、日常运维等多个方面进行网络脆弱性识别；（4）从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码常州市政府采购中心常州市政府采购中心18安全、审计安全、日常运维等多个方面进行应用脆弱性；（5）从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性识别；5、已有安全措施登记（1）识别已有操作系统安全策略；（2）识别已有应用系统安全策略；（3）识别已有网络系统安全策略；（4）识别已有安防系统安全策略；（5）识别已有机房系统安全策略；6、风险分析（1）根据收集的用户数据进行分析，评估要素关系映射

36、；（2）根据评估要素关系进行风险值计算（3）形成风险评估报告；（4）针对风险评估报告的解决方案；7、应用系统渗透性测试在相关部门的授权下，对常州市流动人口信息管理系统和门户网站进行渗透测试，并提供相关渗透测试报告。 8、系统加固服务依据评估结果，和用户方共同制定系统加固实施方案，依据方案实施加固，并输出完整的系统加固实施记录。四、其他要求四、其他要求1、协助整改安全服务常州市政府采购中心常州市政府采购中心19协助用户落实以下安全保护技术措施：（一）系统重要部分的冗余或备份措施；（二）系统安全加固措施。服务目标：全面给出相应的安全隐患和脆弱性报告，以及安全性整改建议。使用户对系统安全性状况和整体

37、安全状况有全面具体的了解，保护用户不遭受新的安全性威胁带来的损失，保护安全与性能的平衡。达到以下目标：及时提供操作系统安全漏洞信息，并协助作出相应处理或给予建议解决方案；及时发现系统配置漏洞，并协助作出相应处理或给予建议解决方案；及时通报应用软件安全漏洞，并协助作出相应处理或给予建议解决方案；保证操作系统的安全等级与最新安全技术的同步，保障应用系统的安全；及时通报数据备份硬、软件系统的动转情况，对存在的安全隐患给出解决方案。2、安全顾问服务总总体体规规划咨划咨询询服服务务提出信息系统安全防护对策，协助用户方对信息系统进行安全体系建设，制定安全方案，保证信息系统的安全运行；对系统集成项目、应用软

38、件集成项目、安全集成项目等进行安全方案咨询服务，并负责安全性审查和实施过程的全面监控。安全管理体系咨安全管理体系咨询询服服务务依照用户方管理要求内容，协助建立、完善、监督、执行相关安全保护管理制度。（一）计算机机房安全管理制度；（二）安全管理责任人、信息审查员的任免和安全责任制度；常州市政府采购中心常州市政府采购中心20（三）网络安全漏洞检测和系统升级管理制度；（四）操作权限管理制度；（五）用户登记制度；（六）信息发布审查、登记、保存、清除和备份制度，信息群发服务管理制度。五、项目实施原则五、项目实施原则客客观观性和公正性原性和公正性原则则测评人员应当没有偏见，在最小主观判断情形下，按照测评双

39、方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。可重复性和可再可重复性和可再现现性原性原则则依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。连续连续性原性原则则确保在高速变化的信息安全环境中，在有效的服务期间内，保证招标方风险评估结论的准确性和及时性，对于招标方单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低了招标方单位的成本，从信息安全性上，保证信息安全评估的动态稳定性。扩扩展性原展性原则则在风

40、险评估过程结束后，倡导信息安全评估过程要保持扩展性，从扩展的属性上进一步加强评估结束后被评估用户单位的安全管理有效性和可用性。保密原保密原则则在风险评估过程中，需严格遵循保密原则，招标方与投标方签订保密协议，常州市政府采购中心常州市政府采购中心21对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害用户利益。互互动动原原则则在整个风险评估过程中，强调用户的互动参与，每个阶段都能够及时根据用户的要求和实际情况对评估的内容、方式做出相关调整，进而更好的进行风险评估工作。最小影响原最小影响原则则风险评估工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运

41、行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。规规范性原范性原则则信息安全风险评估服务的实施必须由专业的评估服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。质质量保障原量保障原则则在整个风险评估过程中，将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。六、测评技术要求六、测评技术要求按照GB/T 20984-2007风险评估和等级保护要求,对信息系统进行安全评估，明确信息系统存在的问题和不足，主要包括：1、差距分析通过、调查问卷、人员访谈、文档查看

42、、现场勘查、人工检查、记录分析、技术测试、渗透测试等方式进行安全技术和安全管理方面的评估，判断安全技术和常州市政府采购中心常州市政府采购中心22安全管理的各个方面与等级保护相应等级基本要求之间的差距，给出差距分析结果，提出信息系统的安全保护需求。2、风险评估对信息系统重要资产进行风险评估，分析并确定不能接受的安全风险，然后确定额外安全措施并判断对超出等级保护基本要求部分实施额外安全措施的必要性，提出信息系统的额外安全保护需求。3、管理体系规划设计针对信息系统的安全需求，规划设计管理体系，包括组织体系和制度体系。4、技术体系规划设计针对信息系统的安全需求和信息安全方针策略，规划设计技术体系，包括

43、技术防护体系、技术管控体系和技术恢复体系。5、实施运作（1） 依据管理体系规划设计和技术体系规划设计的成果，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。（2）在时间和经费上对安全建设项目进行总体考虑，分到不同时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。七、项目进度及实施要求七、项目进度及实施要求本项目服务开始时间以合同签订日为准，已建系统和网站的信息安全风险评估一个月内完成，在建系统的信息安全风险评估和安全服务与软件项目开发周期同步进行。常州市政府采购中心常州市政府采购中心23常州市政府采购中心常州市政府采购中心24第七章第七章

44、格式附表格式附表附件一：附件一：响响 应应 函函致：常州市政府采购中心我单位收到贵单位“常采竞2016 号”谈判文件后，经详细研究，我们决定参加该项目采购活动。为此，我方郑重声明以下诸点，并负法律责任。1、按谈判文件规定的各项要求，向采购人提供所需货物与服务。谈判报价包括但不限于谈判文件及其准备（包括现场踏勘、技术核对等）、设备（包括备品备件、专用工具）、技术资料、设计、制造、检验、包装、技术资料、发货、运输、装卸至现场指定地点、安装调试、技术指导培训、质保期及维保服务和谈判文件所要求的相关服务等全部内容。2、我方承诺质保期为 年。3、如果我方中标，我方愿意在签订合同时支付履约保证金，承诺提供

45、集中采购机构在谈判文件中要求的所有资料，全面履行谈判文件规定的每一项要求，按期、按质、按量完成任务。4、我方承诺该响应文件在该项目的全过程中保持有效，不作任何更改和变动。5、我们愿按中华人民共和国合同法履行自己的全部责任。6、我方同意按谈判文件规定交纳谈判保证金，遵守贵机构有关采购活动的各项规定。7、愿意提供谈判文件中要求所有资料，并保证完全真实准确，若有虚假和违背，我公司愿意承担由此而产生的一切后果。8、与本次采购活动有关的正式通讯地址为：地 址： 电 话： 传 真： 供应商法定代表人或代理人（签字或盖章）： 供应商名称（公章）： 日 期： 年 月 日.常州市政府采购中心常州市政府采购中心2

46、5附件二：附件二：法定代表人资格证明书法定代表人资格证明书单位名称:地址:姓名: 性别: 年龄: 职务:系 的法定代表人。为实施 （常采竞2016号 的工作，签署上述项目的响应文件、进行合同谈判、签署合同和处理与之有关的一切事务。特此证明。 供应商：（公章） 法定代表人签字或盖章：日期： 年 月 日法定代表人身份证（复印件）粘贴处常州市政府采购中心常州市政府采购中心26附件三：附件三：授权委托书授权委托书本授权委托书声明：_（供应商名称）的_（法定代表人姓名、职务）代表供应商授权_（被授权人的姓名、职务）为 （常采竞2016号）项目竞争性谈判的合法代理人，全权负责参加本次政府采购项目的采购活动、签订合约以及与之相关的各项工作。本供应商对代理人的签名负全部责任。本授权书于_年_月_日签字生效，特此声明。法定代表人签字或盖章： 日期：职务： 联系电话：单位名称： 地址：身份证号码：委托代理人签字或盖章： 日期：职务： 联系电话：