呼和浩特住房公积金管理中心安全等级保护测评项目

1、呼和浩特住房公积金管理中心“安全等级保护测评项目”采购参数一、项目总体情况1.1项目名称呼和浩特市住房公积金管理中心安全等级保护测评项目。1.2项目背景根据内蒙古自治区计算机信息系统安全保护办法（内蒙古自治区人民政府令第183号）的要求，信息系统使用单位应选择符合法定条件的安全等级测评机构对等级保护二级及以上的信息系统进行测评，其中三级系统每年至少测评一次，二级系统每两年至少测评一次。根据（内蒙古自治区人民政府令第183号）的要求，每年度应对呼和浩特市住房公积金管理中心信息系统开展一次安全测评和安全防护整改加固工作。随着网络安全日益严重，呼和浩特市住房公积金管理中心部署了网上营业厅平台信息系统

2、，为降低信息系统方面的安全缺陷，为检验信息系统防御能力、发现安全隐患、降低信息泄露风险，增强应对信息系统突发和紧急事件，降低信息安全紧急事件的影响，应开展信息安全等级保护、渗透测试、应急保障建设和加固工作。1.3项目预算价项目预算价：60,000元。二、采购项目参数本项目内容包括：等级保护测评服务、渗透测试服务、系统安全应急响应服务。以上服务内容，当甲方信息系统发生变更时，可在限定数量内与规模相当的信息系统调整。供应商必须根据采购人需求，提供合理可行的整体设计方案和具体实现方式，设计方案优劣将作为评标重要依据。供应商为本项目服务所需的软硬件工具，由供应商根据服务要求自行采购，免费提供本项目服务

3、，产权归属不变。2.1等级保护服务针对本项目的等保服务技术方案：供应商按照国家及行业信息安全等级保护管理规范和技术标准，判断信息系统的安全保护能力与国家及行业要求之间的符合程度的差距分析测评方案。测评技术方案应包括（但不限于）：对本次测评工作的说明、定级梳理、备案、采用的技术方案、测试方法、测试工具使用，测评过程中的风险控制，以及需要采购人了解的其它问题。具体内容： 2.1.1技术测评物理和环境安全 物理安全测评通过访谈和检查的方式评测物理环境安全保障情况。主要涉及对象为信息系统机房。 具体测评内容包括： （1）物理位置的选择 （2）物理访问控制 （3）防盗窃和防破坏 （4）防雷击 （5）防火

4、 （6）防水和防潮 （7）防静电 （8）温湿度控制 （9）电力供应 （10）电磁防护网络和通信安全 网络安全测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以及网络安全设备等三大类。 具体的测评内容如下所示： （1）网络架构 （2）通信传输 （3）边界防护 （4）访问控制 （5）入侵防范 （6）恶意代码防范 （7）安全审计 （8）集中管控设备和计算安全 主机系统安全测评通过访谈、检查和测试的方式，测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。 具体测评内容包括： （1）身份鉴别 （2）访问控制 （3）安全审计 （4）

5、入侵防范 （5）恶意代码防范 （6）资源控制 应用和数据安全 应用安全测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统。具体测评内容包括： （1）身份鉴别 （2）访问控制 （3）安全审计 （4）软件容错 （5）资源控制 （6）数据完整性 （7）数据保密性 （8）数据备份恢复 （9）剩余信息保护 （10）个人信息保护安全策略和管理制度 安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。 具体测评内容包括： （1）管理制度 （2）安全策

6、略 （3）制定和发布 （4）评审和修订安全管理机构和人员 安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。 具体测评内容包括： （1）岗位设置 （2）人员配备 （3）授权和审批 （4）沟通和合作 （5）审核和检查 （6）人员录用 （7）人员离岗 （8）安全意识教育和培训 （9）外部人员访问管理安全建设管理 系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。 具体测评内容包括： （1）定

7、级和备案 （2）安全方案设计 （3）产品采购和使用 （4）自行软件开发 （5）外包软件开发 （6）工程实施 （7）测试验收 （8）系统交付 （9）等级测评 （10）服务供应商选择 安全运维管理 通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、各类运维人员，涉及内容有开发方的运维管理制度、信息中心关于运维服务团队的各类管理制度、操作规程文件、执行过程记录等对象。 具体测评内容包括： （1）环境管理 （2）资产管理 （3）介质管理 （4）设备维护管理 （5）漏洞和风险管理 （6）网络和系统安全管理 （7）恶意代码防范管理 （8）配置管理 （9）密

8、码管理 （10）变更管理 （11）备份与恢复管理 （12）安全事件处置 （13）应急预案管理 （14）外包运维管理2.2渗透测试服务通过多种方法，每季度对信息系统主机、数据库、应用、网络和安全设施开展一次全方位的渗透测试，编制渗透测试报告，针对发现的问题制定加固方案。渗透测试内容应至少包括以下测试：弱口令测试、身份认证测试、SQL Injection 测试、Cross Site Script 测试、Web Services 测试、SSL 测试、文件操作测试等2.3系统安全应急响应服务对安全监测发现的问题，在第一时间通知，并根据客户需要，协助消除安全隐患，并对一些安全事件为客户提供应急响应方案。

9、2.4云计算安全扩展要求 针对云计算环境安全扩展要求主要增加的内容包括：“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“云计算环境管理”等具体测评内容：物理和环境安全物理位置选择网络和通信安全网络架构访问控制入侵防范安全审计集中管控设备和计算安全身份鉴别访问控制安全审计入侵防范资源控制镜像和快照保护应用和数据安全数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护安全建设管理云服务商选择供应链管理安全运维管理云计算环境管理2.5投标方应具备在测评工作中与测评工作有关的电子数据分析、鉴定、取证的能力和资质并提供证明。2.6投标方应具备以2015新版测评方法开展

10、测评工作及报告编制的能力。2.7投标方应具备对测评全过程进行质量监督的能力并提供相关证明第五章 投标人资质证明及有关文件要求 投标人应提交证明其有资格参加投标和成交后有能力履行合同的文件，并作为其响应文件的一部分。所有文件必须真实可靠、不得伪造，否则将按内蒙古政府采购中心关于对投标投标人提供虚假材料的处罚决定予以相应处罚。一、供应商的资格要求1、具备中华人民共和国政府采购法第二十二条规定的条件；2、应具备省级及以上信息安全等级保护工作协调（领导）小组办公室 （简称等保办）颁发的等级保护测评机构推荐证书。外地测评机构（安全服务机构）需按照内蒙古自治区计算机信息系统安全保护办法要求完成项目所在地盟

11、市级以上公安机关备案并提供相关证明。二、投标人的资格性证明文件1.投标人经年检的营业执照副本、自然人的身份证明； 2委托代表投标时的法人代表授权书原件；3近年经审计的财务状况报告（含报表和附注），新注册企业提供近期财务状况报告；4投标企业近一年内的纳税证明（以税务机关提供的纳税凭证为准）；5投标企业近一年内为企业员工缴纳社保资金的凭证；6参加政府采购前三年内在经营活动中没有重大违法记录书面声明;以上文件除要求提供原件以外，均要求提供复印件并加盖投标人公章，未提供或提供的文件过期失效的，均为无效投标。三、投标人应提供的其它材料1能够真实反映3年来投标企业具有类似业绩的有效证明材料，如中标通知书或

12、服务合同等；2具备履行合同所必须的设备和专业技术能力的证明材料，包括生产、办公场所、机构设置、技术力量、服务能力、质量管理等；3. 投标方需具备国家信息安全测评信息安全服务资质（安全工程类一级），环境管理体系、职业健康安全管理体系、质量管理体系认证证书，且具有高新技术企业及企业综合AAA信用等级证书4投标人认为需要提供的证明文件及资料。以上文件资料除要求提供原件的以外，其它均要求提供复印件并加盖投标人公章，除在本招标文件中明确规定不提供为无效投标外，其余均供评委在评审打分时参考，未提供或提供的资料不全，有可能影响投标人的得分。第六章 评标原则和方法一、 评标原则评标活动遵循公开、公平、公正、择

13、优的原则进行。评委会将综合分析投标人的各项指标，而不以单项指标的优劣评选出预中标人。二、评标办法（一）本次招标采用百分制综合评分法进行评标，即在最大限度地满足招标文件实质性要求前提下，按照招标文件中规定的各项因素进行综合评审后，以评标得分最高的投标人作为中标候选供应商或者中标供应商的评标办法。（二）本次评标内容分为价格、技术与商务两个部分，各部分依据如下原则评定。1价格权值占总分值的25%。价格权值占 25%，即投标报价占 25 分。在价格评标项中，按下列公式计算：投标报价得分（评标基准价/投标报价）价格权值100（注：满足招标文件要求且投标价格最低的投标报价为评标基准价。）最低报价不是中标的

14、唯一依据。商务与技术权值占总分值的 75%，即 75 分。具体评标办法见下表：评审因素评分标准分值构成1、报价得分25分 2、商务部分35分3、技术部分40分投标报价评标基准价确定方法满足招标文件要求通过初步评审的且投标报价最低的为评标基准价。投标报价得分（25分）投标报价得分（评标基准价/投标报价）25%100中小企业投标报价得分（评标基准价/（投标报价94%）25%100注：投标人是否属于中小企业由评审委员会根据关于印发中小企业划型标准规定的通知（工信部联企业2011300号）确定。投标人需提供中小企业声明函及相关主管部门出具的证明材料。商务部分项目人员配备及项目质量监督能力（15分）人员

15、配备是否合理、投标方应具备常驻内蒙古自治区的高级测评师不少于2名，中级测评师不少于3名，初级测评师不少于10名，并提供自治区内连续6个月以上社保证明。全具备得15分，高级测评师每少一名扣5分，最高扣10分，中级测评师每减少一名扣2分，最高扣5分，初级测评师每减少1个扣0.5分，最高扣4分。投标方应具备对测评全过程进行质量监督的能力并提供相关证明，具有1分，没有不得分。（查验证书复印件加盖公章） 信誉、荣誉（5分）具备全国等保测评机构先进（优秀）荣誉的得2分，全国网络安全管理先进单位荣誉的得2分，企业综合AAA信用等级证书的得1分（查验证书复印件加盖公章）机构能力及业绩（10分）投标人具备完善的

16、经营、管理、财务体系得4分，提供2015年以来类似信息系统等级保护测评业绩（单个合同金额在100万以上）每有一个得0.5分，最高得6分。（查验合同复印件加盖公章）投标人能力资质（5分）具有国家信息安全测评信息安全服务资质（安全工程类一级）的得1分，环境管理体系、职业健康安全管理体系、质量管理体系认证证书的得3分，每少一项扣1分，具有高新技术企业的得1分技术部分等级保护测评方案（5分）等级保护测评方案完整、合理，包括时间安排、人员组织分工、风险规避等，优5分，良3分，一般1分。投标人测评工作电子数据分析能力（20分）投标方应具备在测评工作中有关电子数据分析、鉴定、取证的能力和资质，并提供证明。投

17、标人具有电子数据司法鉴定许可证得10分；（查验司法鉴定许可证证书复印件加盖公章，司法鉴定许可证证书负责人与投标人工商营业执照法人为同一人）投标人具有5年及以上司法鉴定经验得10分。（以机构成立之日起算，查验营业执照复印件加盖公章）。投标产品的性能要求响应程度（3分）依据国家强制标准信息系统安全等级保护基本要求三级系统测评项目不少于290项，二级系统测评项目不少于175项。1、优于以上标准得3分；2、满足得1分；3、不满足不得分。售后服务体系、售后承诺（2分）投标人承诺测评后提供整改服务并承诺提供测评外其他增值服务项目，经评委认为有效的每有一项得1分， 最高得2分。投标产品的整体质量状况 （3分）投标人具有出具