亳州市社会服务管理信息化云平台等级保护等级保护测评服务

2-亳州市社会服务管理信息化云平台等级保护等级保护测评服务项目招标文件询价人：亳州市数据资源管理局2021年12月10日PAGEPAGE13第一章投标人须知一、招标方式采取公开招标的方式进行招标。二、项目概况1.本次测评服务范围如下表：序号系统名称安全保护等级1亳州市社会服务管理信息化云平台三级2.项目内容：亳州市社会服务管理信息化云平台等级保护测评服务。3.其他相关要求：（1）工期要求：30工作日；（2）质量要求：符合公安机关网安部门要求的正式测评报告；（3）项目预算：9万元。三、投标人的资格要求：1、具有有效的营业执照；2、投标人具有有效的网络安全等级保护测评机构推荐证书；3、投标人须符合下列条件（投标人在投标文件中提供满足条件的承诺函）：(1)具有独立承担民事责任的能力；(2)具有良好的商业信誉和健全的财务会计制度；(3)具有履行合同所必需的设备和专业技术能力；(4)有依法缴纳税收和社会保障资金的良好记录；(5)参加本项目投标前三年内，在经营活动中没有重大违法记录；4、投标人在投标截止时间前不得被人民法院在信用中国网站（Http://）上列为失信被执行人。注：提供测评推荐证书扫描件及入围中国网络安全等级保护网（）全国等级保护测评机构推荐目录截图（截图需完整显示投标人名称），否则不予认定。四、服务需求1、本说明中提出的技术方案仅为参考，如无明确限制，各等保测评公司可以进行优化，提供满足我局实际需要的更优（或者性能实质上不低于的）服务方案，且此方案须经评委专家组评审认可；2、中标人必须确保整体通过有关主管部门验收,所发生的验收费用由中标人承担；投标人应自行勘察项目现场，如投标人因未及时勘察现场而导致的报价缺项漏项废标、或成交后无法完工，投标人自行承担一切后果；3、如对本采购有任何疑问或澄清要求，请按本采购文件中约定方式联系我局，或在接受答疑截止时间前联系我局，否则视同理解和接受，投标人对采购文件、采购过程、评标结果的质疑，应当在法定质疑期内一次性提出针对同一程序环节的质疑。五、项目概况依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求，对业主单位重要信息系统进行等级测评，包括：安全技术测评、安全管理测评等，形成差距分析报告，编制系统安全整改方案，编制和完善安全管理制度等。六、采购内容（一）指导思想和基本准则：根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》（公通字〔2007〕43号）、《关于信息系统安全等级保护工作的实施意见》（公通字〔2004〕66号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信[2009]1429号）、国家发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号），以及安徽省发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]967号）等文件精神，结合亳州市数据资源管理局工作实际，现拟对亳州市数据资源管理局亳州市社会服务管理信息化云平台实施等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力，为信息化建设的健康有序发展提供可靠保障。（二）等级保护测评主要包括以下几个方面：安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。形成差距分析报告：依据测评结果和《信息系统安全等级保护基本要求》（GB/T22239），对各信息系统进行安全现状分析，形成相应的差距分析报告。编制系统安全整改方案：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，结合差距分析结果，编制针对各信息系统的安全整改建设方案。编制和完善安全管理制度：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，协助制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。完成上述测评工作和实施整改后，最后中标人出具符合公安机关要求的（年度）信息系统安全保护等级测评报告。（三）工作要求：1.实施原则规范性原则：中标人工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。2.检测要求2.1访谈访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。在安全管理类测评任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，获取与安全管理有关的测评证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。在安全功能检查任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，为后续的检查和测试收集必要的系统基本信息并提供参考数据。2.2检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务。在物理安全测评任务中，测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。2.3测试测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描等测评任务中。在网络安全、主机安全和应用安全等测评任务中，测评人员将综合采用手工验证和工具测试方法对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。3.报价要求本项目报总价，报价包含完成本项目所需的全费用价格。成交后采购人不再另行追加任何费用，供应商应自行考虑报价风险。4.人员配备及要求中标人拟派的安全服务团队不得少于4人。项目经理需满足中级及以上测评师资质。现场测评结束后，提供一年的售后服务，既售后服务期内根据业主需求能及时安排参与现场测评的测评师到达现场协助整改工作和驻场指导。5.验收标准中标人按等保要求，完成规定工作内容，合同签订后2个月内交付所有信息系统测评报告。七、评标办法综合评分法1、磋商小组按照下表对进入综合评分的所有供应商的响应文件进行综合评分。2、本项目综合评分满分为100分，其中：技术资信分值占总分值的权重为70%，价格分值占总分值的权重为30%。具体评分细则如下：类别评分内容评分标准分值范围技术资信分（70分）测评方案及服务需求响应情况供应商提供等级保护测评方案，应符合政策及行业要求，具有可操作性。应包含项目概述、被测系统描述、测评目标、内容、测评方法、测评实施计划、人员安排、服务质量保证、服务风险控制等内容。方案要求描述是否清晰、科学规范、操作可行。磋商小组根据供应商测评方案与信息系统实际情况的贴合程度进行综合评价：项目概述、被测系统描述：1）方案清晰、科学规范、操作可行的，得3分；2）方案较为明确，具有一定可行性的，得2分；3）方案有待完善的，得1分；未提供不得分。测评目标、内容、测评方法：1）方案清晰、科学规范、操作可行的，得3分；2）方案较为明确，具有一定可行性的，得2分；3）方案有待完善的，得1分；未提供不得分。测评实施计划、人员安排：1）计划科学规范、人员安排得当的，得3分；2）计划较为明确，人员安排较为合理的，得2分；3）计划有待完善，人员安排不够合理得1分；未提供不得分。服务质量保证、服务风险控制：1）方案清晰、科学规范、操作可行的，得3分；2）方案较为明确，具有一定可行性的，得2分；3）方案有待完善的，得1分；未提供不得分。0-12分人员配备项目经理（1人）：1、供应商为本项目配备的项目经理具有等级测评师证书（高级），得3分。项目测评人员（除项目经理外）2、供应商为本项目配备的项目测评人员具有等级测评师证书（中级及以上的），每提供1人得2分，满分为8分。安全服务人员（除项目经理外）：3、供应商为本项目配备的安全服务人员具有中国网络安全审查技术与认证中心（原中国信息安全认证中心）颁发的信息安全保障人员认证(CISAW)类证书，每提供1人得3分，满分6分。4、供应商为本项目配备的安全服务人员具有工业和信息化部人才交流中心颁发的全国工业和信息化应用人才测评证书，每提供一人得3分，满分6分。5、投标人为本项目配备的渗透技术人员具有注册渗透测试工程师（CISP-PTE）证书的，每提供1人得2.5分，满分5分。除项目经理外，同一人员具有多个证书的可累计计分。注：响应材料须同时提供：（1）人员配备名单；（2）人员证书扫描件；（3）供应商为上述人员缴纳的连续近六个月（连续三个月）社保证明材料，社保证明具体格式详见供应商须知前附表。0-28分供应商业绩自2019年1月1日以来(以合同签订时间为准)，每提供一个医院信息系统测评案例的得1分，满分5分。注：响应文件中提供业绩合同扫描件，如合同中无法体现项目签订时间，项目内容等关键评审因素的，须另附业主证明扫描件(不区分履约中业绩和履约完成业绩)。0-5分供应商实力1、供应商具有国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书的，得5分；注：提供测评机构推荐证书扫描件及入围中国网络安全等级保护网（）全国等级保护测评机构推荐目录截图（截图需完整显示投标人名称），否则此项不得分。2、供应商被纳入省级及以上服务业标准化试点项目单位的，得5分。3、投标人参与地方网络安全标准制定的项目单位的，得5分。4、自2019年1月1日以来（以获奖或表彰时间为准），供应商获得地市级及以上行政主管部门感谢信（或表彰函）的，每获得一次得1分，满分5分。注：响应文件中提供获奖证书、批复、感谢信、颁奖单位颁奖文件、网上公示截图（具有其中之一即可）等证明材料。以上材料提供扫描件，须能体现供应商名称，如无法体现，须另附颁单位的相关证明材料扫描件，未提供或提供不全的不得分。0-20分体系认证投标人具有ISO9001质量管理体系认证证书、ISO20000服务管理体系认证证书、ISO27001信息安全管理体系认证证书、ISO14001环境管理体系认证证书、ISO45001职业健康安全管理体系，其认证范围均为“网络安全等级保护测评服务”的