开启全网商机
登录/注册
2024NCZ000905宁夏回族自治区道路运输事务中心2024年信息系统等保测评及密评服务项目二级系统等保测评的采购需求
招标详情
一、采购标段
| 2024NCZ(略) | 项目名称:宁夏回族自治区道路运输事务中心2024年信息系统等保测评及密评服务项目 |
| 二级(略) | 分包类型:服务类 |
| 公开招标 | 预算金额(略)000.00 |
| 总价(略) | 是否属于技术复杂,否 |
| 否 |
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、(略)
1.满足《中华人民共和国政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履(略)
1.5 具有依法(略)
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.供应商在中国政府采购网((略)gov.cn)未被列入政府采购严重违法失信行为记录名单,在“信用中国”网站((略)gov.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业: (略)
4.合格投标人的其他资格要求:
| 1 | 供应商须具有《网络安全等级测评与检测评估机构服务认证证书》,并在中国网络安全等级保护网的《全国网络安全等级测评与检测评估机构目录》中,并提供证明材料。 |
三、商务要求
采购(略)(实施)的时间(期限)一年
四、技术要求
(略)
| 1 | C(略)-测试评估认证服务 | 二级系统等保测评 | 等级保护测评。针对2个等级保护二级信息系统按照《信息安全技术网(略)求对测评对象进行技术评估。针对测评信息进行分析评估,形成整体测评结论,出具网络安全等级保护测评报告。 | 1 | (略)000.00 | 标的1-测试评估认证服务:1、等级保护测评 宁夏网络货运信息监测系统(二级)、宁夏交通建设工程质量监督管理系统(二级)。 2、等级保护测评服务内容及工作要求 等级测评的目的是准确掌握系统当前的安全保护水平与国家信息系统安全等级保护基本要求、信息系统安全等级保护测评要求等有关等级保护标准规范要求之间的差距,查找系统中可能存在的安全弱点和缺陷,从而能够有针对性地实施安全建设和整改,后续的安全整改和检查工作提供有针对性地参考和依据。测评内容包括如下部分: 2.1安全物理环境 2.1.1物理位置选择 测评内容如下: a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 2.1.2物理访问控制 测评内容如下: 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 2.1.3防盗窃和防破坏 测评内容如下: a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; b) 应将通信线缆铺设在隐蔽安全处; c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。 2.1.4防雷击 测评内容如下: a) 应将各类机柜、设施和设备等通过接地系统安全接地; b) 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 2.1.5防火 测评内容如下: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 2.1.6防水和防潮 测评内容如下: a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; c) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 2.1.7防静电 测评内容如下: a) 应采用防静电地板或地面并采用必要的接地防静电措施; b) 应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 2.1.8温湿度控制 测评内容如下: a)应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 2.1.9电力供应 测评内容如下: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; c) 应设置冗余或并行的电力电缆线路为计算机系统供电。 2.1.10电磁防护 测评内容如下: a) 电源线和通信线缆应隔离铺设,避免互相干扰; b) 应对关键设备实施电磁屏蔽。 2.2安全通信网络 2.2.1网络架构 本项要求包括: a) 应保证网络设备的业务处理能力满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 2.2.2通信传输 本项要求包括: a) 应采用校验技术或密码技术保证通信过程中数据的完整性; b) 应采用密码技术保证通信过程中数据的保密性。 2.2.3可信验证 本项要求包括: 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 2.3安全区域边界 2.3.1边界防护 本项要求包括: a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制; c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制; d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 2.3.2访问控制 本项要求包括: a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 2.3.3入侵防范 本项要求包括: a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为; c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 2.3.4恶意代码和垃圾邮件防范 本项要求包括: a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 2.3.5安全审计 本项要求包括: a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 2.3.6可信验证 本项要求包括: a) 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 2.4安全计算环境 2.4.1身份鉴别 本项要求包括: a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 2.4.2访问控制 本项要求包括: a) 应对登录的用户分配账户和权限; b) 应重命名或删除默认账户,修改默认账户的默认口令; c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 2.4.3安全审计 本项要求包括: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; d) 应对审计进程进行保护,防止未经授权的中断。 2.4.4入侵防范 本项要求包括: a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; b) 应关闭不需要的系统服务、默认共享和高危端口; c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 2.4.5恶意代码防范 本项要求包括: 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 2.4.6可信验证 本项要求包括: a) 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 2.4.7数据完整性 本项要求包括: a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 2.4.8数据保密性 本项要求包括: a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 2.4.9数据备份恢复 本项要求包括: a) 应提供重要数据的本地数据备份与恢复功能; b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。 2.4.10剩余信息保护 本项要求包括: a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 2.4.11个人信息保护 本项要求包括: a) 应仅采集和保存业务必需的用户个人信息; b) 应禁止未授权访问和非法使用用户个人信息。 2.5安全管理中心 2.5.1系统管理 本项要求包括: a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 2.5.2审计管理 本项要求包括: a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 2.5.3安全管理 本项要求包括: a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 2.5.4集中管控 本项要求包括: a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; f) 应能对网络中发生的各类安全事件进行识别、报警和分析。 2.6安全管理制度 2.6.1安全策略 本项要求包括: 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 2.6.2管理制度 本项要求包括: a) 应对安全管理活动中的各类管理内容建立安全管理制度; b) 应对管理人员或操作人员执行的日常管理操作建立操作规程; c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。 2.6.3制定和发布 本项要求包括: a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 2.6.4评审和修订 本项要求包括: 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 2.7安全管理机构 2.7.1岗位设置 本项要求包括: a) 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; b) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; c) 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。 2.7.2人员配备 本项要求包括: a) 应配备一定数量的系统管理员、审计管理员和安全管理员等; b) 应配备专职安全管理员,不可兼任。 2.7.3授权和审批 本项要求包括: a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度; c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 2.7.4沟通和合作 本项要求包括: a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 2.7.5审核和检查 本项要求包括: a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。 2.8安全管理人员 2.8.1人员录用 本项要求包括: a) 应指定或授权专门的部门或人员负责人员录用; b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核; c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 2.8.2人员离岗 本项要求包括: a) 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; b) 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 2.8.3安全意识教育和培训 本项要求包括: a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; b) 应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训; c) 应定期对不同岗位的人员进行技能考核。 2.8.4外部人员访问管理 本项要求包括: a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; c) 外部人员离场后应及时清除其所有的访问权限; d) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 2.9系统整体测评 系统整体测评主要是在单项测评的基础上,通过测评分析系统在安全控制间、层面间和安全区域间三个方面存在的关联作用,验证和分析不符合项是否影响系统的安全保护能力,同时分析系统与其他系统边界安全性是否影响系统的安全保护能力,综合测试分析系统的整体安全性是否合理。具体内容包括:安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构安全测评。 2.9.1安全控制间安全测评 安全控制间安全测评主要对同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用进行测评,同时,也包括对《基本要求》的要求项与同一区域、同一层面上的非《基本要求》要求的安全控制之间的安全测评。依据不同层面的划分,分类分析各个层面中安全控制间存在的关联作用,从系统层面上分析考察单元测评中确定的不符合项对系统整体安全保护能力的影响,及不符合项整改的必要性。 2.9.2安全层面间安全测评 层面间安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。在进行层面间安全测评时,可以考虑不同层面的两个不同安全控制,也可以同时考虑两个以上不同安全控制的相互作用。 2.9.3安全区域间安全测评 区域间安全测评主要考虑互联互通(包括物理上和逻辑上的互联互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用。一般边界区域都会和内部某个或某些区域之间发生数据交换;内部不同区域之间也可能因为业务的需要而发生数据交换,需要重点测评这些区域之间的关联作用。 2.9.4系统结构安全测评 系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。系统结构安全测评的测评范围是整个信息系统,包括被测系统与其他信息系统边界之间的安全测评。信息系统整体结构的安全性主要是指从安全的角度,分析信息系统整体结构的安全性(从安全角度看系统)。整体安全防范的合理性主要是指从系统的角度,分析信息系统安全防范的合理性(以系统的观点看安全防范(体系))。 从系统整体结构层面分析系统的安全防范能力,对于外部安全威胁的防范主要可以从系统网络访问控制和系统外联边界控制等几个方面考虑:在系统网络层面上,保证系统网络访问控制能力,限制设备访问,防范非法设备从内部接入系统;在系统外联边界上,通过各种防护手段(防火墙、路由控制等)和限制外联的通路(只存在于其它可控的系统的连接,不存在私自的拨号连出情况),增强系统的安全保护能力。整体安全防范的合理性,基于目前部署的安全体系,分析各种设备的安全配置在目前系统中部署是否合理,是否符合成本-效益原则,是否存在重复投资和冗余配置,是否在启用安全措施的同时对系统性能和实际业务需求带来较大负面影响。 | 一年 |
采购需求附件:
五、合同管理安排
合同类型: (略)
服务类
服务内容二级系统等保测评
履约保(略)(不得超(略))
甲方责任1) 在乙方进行项目实施过程中需提供必要的配合。保障乙方顺利开展工作。 2) 按照(略),按时向乙方支付项目费用。 3) 在乙方进行项目实施过程中提供必要的资料。 4) 甲方在乙方提交(略) 10 个工作日内,组织开展成果复核,并提交验收。 5) 项目成果知识产权规甲方所有。
乙方责任1) 合同签订后7日之内,完成本(略),并报甲方审核。 2) 严格按照甲(略),并提交成果。 3) 按合同要求按时完成项目内容,并按照要求及时向甲方通报项目进展情况。 4) 因技术等原因需对设计方案和工期作调整的,应及时上报甲方审批。若乙方未按时 提出调(略),乙方应采用原设计和工期继续执行。 5) 乙方必须遵守国家相关保密规定,自觉维护国家安全,并与甲方签订保密协议。 6) 项目执行中做好安全生产,防止安全事故发生。 7) 乙方除需向甲方提供相关法律法规规定的售后服务外,还应按其投标文件中的承诺 向甲方提供其他售后服务。
违约责任乙方在投标文件中的各项技术参数及承诺应在本合同中完全响应。乙方(略)变承诺、变更合同要求,甲方将追究乙方相应违约责任。 1.未经甲方许可,乙方不得将项目的主体、关键性工作转包给他人,否则(略)条件终止合同,同时乙方需赔偿由此给甲方造成的损失,赔偿金额不低于(略)10%。 2.乙方逾期交付或未能完成约定的服务任务,每逾期一日按照合同总价款 0.5‰向甲方支付违约金; 逾期超过30日的, 甲方有权解除合同。甲方解除合同的, 乙方应在合同解除后5日内支付违约金并退还甲方全部已支付合同款。 3.甲、乙双方无正当理由均不得提前终止本合同,否则应向对方支付服务费总额10 %的违约金;约定的违约金低于实际损失的,不足部分应据实赔偿。 4.若乙方交付的成果不符合甲方要求,乙方应根据甲方提出的修改意见完善并在合同 约定期限内交付合格成果,如成果提(略), 乙方应按本合同第十一条 第二款规定承担相应的违约责任。 5.乙方应遵守国家相关保密法律法规政策及项目保密规定,若因乙方原因造成泄密事故,乙方自行承担相应责任,且甲方有权要求乙方因此给甲方造成的损害进行赔偿。 6.乙方应执(略),若因乙方自身原因发生安 全生产事故,乙方自行承担全部责任。
不可抗力1. 自然灾害、政府行为、社会异常事件等不能预见、(略)事件对乙方履行合同产生影响时,乙方应及时(略),并在合(略)20 天,向甲方提供事件详情以及合同不能履行、或部分不能履行、或需要延期履行的有关机关出具的客观有效证明及乙方的综合情况报告。 3.乙方若(略),则不能认可有不可抗力事件的发生,乙方应按 本合同的约定承担相应的违约责任。
服务期限一年
验收标准(附验收方案)1.乙方交付甲方项目成果进行验收的地点为: 甲方所在地 。 2.甲方验收“成果”的标准及依据见甲方审核通过的项目策划书或实施方 案。 (验收方案附件):
服务地点(范围) 甲方所在地
付款条件(进度和方式)/
六、评审方法及评审细则
评标方法:
最低评标价法
综合评分法
评审细则类别: (略)
| 1 | 投标报价 | 10 | 满足招标文件要求且报价最低的供应商的报价为评标基准价,供应商的价格分统一按下列公式计算:投标报价得分=(评标基准价/投标报价)×10 ,除报价明显低于其他通过符合性审查供应商的报价又不能做出合理解释的投标报价被拒绝外,最低报价得10分,得分结果由高分到低分依次排列为各自最终得分。 |
| 2 | 项目理解 | 12 | 供应商需描述对项目各阶段的理解,项目阶段应至少包括:项目准备阶段、系统调研和方案编制阶段、现场测评阶段、综合分析和评估阶段、整改指导和验证阶段、测评报告编制阶段等内容。对项目实施内容理解深刻、分析全面、思路清晰、符合等级保护要求,内容完整、可操作性强的得12分;对项目实施内(略)思路混乱,符合等级保护测评要求,内容简单粗略,阶段划分(略),方案内容不适用本项目需求、套用其他项目内容、不利于本项目目标实现,未分阶段划分的,得6分;未(略)。 |
| 3 | 项目实施 | 12 | 实施方案包括但不限于实施内容、方法、阶段任务实施计划安排、人员配置职责分工、风险控制措施等。实施方案内容详尽具体、阐述清晰明了,对实施重点分析透彻且能够抓住技术工作的核心内容;针对测评项的测评方法可行;能明确阐述各阶段工作任务实施计划,计划安排有序;人员配置完善、明确人员数量,详细介绍各人员经验,人员职责分工明确,工作(略),能有效支撑项目实施,人员配备充足;能够全面分析测评中对系统可能造成的风险,提出切(略),得12分;实施方案内容能够提供工作思路,对实施工作(略),方案内容完整;针对测评项的测评方法可行但仍需完善;能概括阐述各阶段工作任务实施计划;人员配置能明确人员数量,方案有人员分工和职责划分;风险点覆盖全面,各项风险规避措施得当的,得10分; 实施方案内容完整与要点相符,且适用本项目,但方案深度欠缺;针对测评项的测评方法操作有一定难度;各阶段工(略)施有遗漏,措施阐述欠详细的,得8分; 实施方(略),未详细展开阐述;针对(略)存在瑕疵,人员配置不足,风险防(略),得6分;未提供的不得分。 |
| 4 | 安全保密措施 | 12 | 针对等级保护测评编制保密安全方案,包括人员、终端、存储介质、文档、电子资料等信息保密和防泄露相关措施全面具体、详实、阐述清晰明了,针对性强,能完全满足本次项目需求的,得12分; 方案包含以上全部内容,能够覆盖保密控制点,保密(略),整体方案具有可行性,能满足本次项目需求的,得10分;方案不能完全覆盖保密控制点,内容简单粗略,阐述内容模糊,保密措施阐述不够详细的,提出的措施有待完善的得8分;保密措施有遗漏的,方案内容存在不一致、非专门针对本项目或不适用本项目特性、套用其他项目内容、不利于本项目目标实现的,得6分;未提供的不得分。 |
| 5 | 类似业绩 | 5 | 供应商近三年内具有类似网络安全等级保护测评案例,每提供一个得1分,最多得5分,没有不得分(提供合同复印件并加盖公章)。 |
| 6 | 服务承诺 | 7 | 投标人针对本项目提供服务承诺,承诺事项包括明(略)。能提供以上服务并做出相应说明,内容完整准确、过程描述清晰得7分;满足部分承诺事项,描述不清(略)。 |
| 7 | 风险管理 | 12 | 项目风险管理需根据项目情况识别可能存在的项目风险进行风险规避论述。风险管理考虑全面,有针对性,措施完善,可操作性强的得12分;风险管理基本全面,规避措施有待完善的得10分;风险管理内容粗浅,规避措施描述模糊,部分内容无法实施的得8分;风险管理仅有简单提纲,规避措施欠缺,不适用本项目的得6分;未提供不得分。 |
| 8 | 服务方案 | 12 | 针对(略),安排的测评人员应具体到物理和环境安全、网络和通信安全、设(略)的,人员定位、岗位(略),方案(略)有所欠缺,人员配备能够满足项目需要,人员(略),但不够具体的得10分;配备的测评人员从业时间短、项目经历少,人员岗位职责有划分模糊的得8分;配置的测评人员为实习生、缺少项目经历,人员配备不能够满足项目需要,人员岗位职责未做划分或划分粗略的得6分;未提供不得分。 |
| 9 | 项目经理资质 | 6 | 项目经理资质:项目经理具备信息安全保障人员(CISAW)证书、 注册信息安全工程师(CISP-CISE)、注册信息安全审计师(CISP-A)每具备一项得2分,满分6分; (提供相关证书复印件加盖公章及供应商为其缴纳的近半年内连续三个月社保证明) |
| 10 | 等保(略) | 4 | 等保项目组成员资质:除项目经理外项目组成员必须具有网络安全等级测评师证书,同时具有CISP或CISSP的,每有1名得1分,最高得4分。(提供相关证书复印件加盖公章及供应商为其缴纳的(略) |
| 11 | 供应商综合技术能力1 | 5 | 供应商具有《CNAS检验机构认可证书》、《CNAS实验室认可证书》、ISO/ISO27001《信息安全管理体系认证证书》、ISO9001《质量管理体系认证证书》、ISO/IEC20000《信息技术服务管理体系认证证书》,有一项得1分,满分5分。(提供相关证书复(略)) |
| 12 | 供应商综合技(略) | 3 | 供应商具有中国网络安全审查技术与认证中心(略)3分,二级得2分,三级得1分,没有不得分。(提供相关证书复印件并加盖公章) |
| 合计: | (略) | ||
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询(略),可根据实际情(略)。供应商认为采购文件、采购(略)害的,应按照《政府采购质疑和投诉办法》规定执行。
附件(2)
政府采购项目采购需求.doc下载预览
验收方案(参考样本).doc下载预览
招标进度跟踪
2024-04-17
中标通知
2024NCZ000905宁夏回族自治区道路运输事务中心2024年信息系统等保测评及密评服务项目二级系统等保测评的采购需求
当前信息
招标项目商机
暂无推荐数据
400-688-2000
欢迎来电咨询~
