| **** | 项目名称:****中国(**)跨境电商综合试验区公共服务平台适配改造项目 | |
| 中国(**)跨境电商综合试验区公共服务平台适配改造项目(二标段:网络安全等保测评及商用密码应用安全性评估服务) | 分包类型:服务类 | |
| 公开招标 | 预算金额110000.00 | |
| 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目:否 | |
| 否 | 是否适宜由中小企业提供:否 | |
| (三)面向中小企业预留采购份额无法确保充分供应、充分竞争,****政府采购目标实现的情形。 | 不适宜面向中小企业证明材料:||
| 10 | ||
| 否 | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。标书代写
二、供应商资格条件
1.满足《****政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民**国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.****政府采购网(www.****.cn****政府采购严重违法失信行为记录名单,在“信用中国”网站(www.****.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业: 1是 0否
4.合格投标人的其他资格要求:
| 1 | 供应商须具有《网络安全等级测评与检测评估机构服务认证证书》,并在中国网络安全等级保护网最新发布的《网络安全等级保护测评机构服务认证获证机构名录》中,并提供证明材料; |
| 2 | 供应商须具有《商用密码检测机构资质证书(商用密码应用安全性评估)》,****管理局最新发布的《商用密码检测机构(商用密码应用安全性评估业务)资质申请通过技术评审的机构名单》中,并提供证明材料。 |
三、商务要求
采购标的交付(实施)的时间(期限)自测评服务合同签订之日起至项目通过验收。
国家标准、行业标准、地方标准等标准、规范符合国家、行业、地方相关标准、规定。
其他商务要求(1)按采购人项目管理要求,提供给采购人与项目相关的技术文档,并进行标准化管理。 (2)收到采购人的服务请求,供应商项目组成员应立即给予响应,必要时开展现场服务。 (3)现场测评活动中,依据有关规定,规范测评,排查系统的风险点,并协助采购人完成漏洞修复或风险降低工作,根据需要开展复测。 (4)针对本次项目内容,供应商应对采购人的隐患整改、风险消除等提供必要的技术咨询和指导。 (5)所出具的报告应符合法律法规、标准规范要求,使用标准模板。
采购标的交付地点(范围)****
付款条件(进度和方式)第一笔付款:在合同签订后,甲方在收到乙方提交发票并确认无误后的30个工作日内支付合同总价50%; 第二笔付款:初验合格后,甲方在收到乙方提交发票并确认无误后的30个工作日内支付合同总价的30%; 第三笔付款:项目全部实施完毕、终验合格后,甲方在收到乙方提交发票并确认无误后的30个工作日内支付剩余合同总价20%。(最终付款方式以正式合同签订为准。)
四、技术要求
货物类 服务类 工程类
| 1 | C****0000-测试评估认证服务 | 中国(**)跨境电商综合试验区公共服务平台适配改造项目(二标段:网络安全等保测评及商用密码应用安全性评估服务) | 二标段:网络安全等保测评及商用密码应用安全性评估服务 | 1 | 110000.00 | 标的1-测试评估认证服务:1.网络安全等级保护测评技术要求 按照《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2020)和有关规定及要求,对本项目信息系统进行等级保护测评工作,协助完成对系统测评中提出的不符合项进行整改,并编制《网络安全等级保护测评安全整改建议书》《网络安全等级保护测评报告》。 (1)安全技术测评:包括但不限于安全通信网络、安全区域边界、安全计算环境、****中心、安全物理环境五个方面的安全测评, (2)安全管理测评:包括但不限于安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理五个方面的安全测评。 (3)渗透测试:对平台开展全面的渗透测试服务,要求渗透人员在不同的位置(**从内部网络、从互联网等位置)利用各种手段对信息网络进行测试,以期发现和挖掘系统中存在的漏洞,提供渗透测试报告。 (4)提出安全整改建议:包括但不限于从安全通信网络、安全区域边界、安全计算环境、****中心、安全物理环境、安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理中的所有指标逐项对信息系统中相关的资产进行核查、测评。对信息系统进行安全现状分析,形成相应的安全问题列和整改建议,并对第三方整改情况进行复测。 (5)协助编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助采购人制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。 (6)****机关要求的(年度)信息系统安全保护等级测评报告。 (7)服务交付物:《网络安全等级保护测评安全整改建议书》《网络安全等级保护测评报告》。 2.商用密码应用安全性评估技术要求 依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、GB∕T43206-2023《信息安全技术信息系统密码应用测评要求》、GB∕T43207-2023《信息安全技术信息系统密码应用设计指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》等相关测评标准,对本项目信息系统开展商用密码应用与安全性评估工作,查找不足以及存在的安全隐患,为密码安全提供科学评价。从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面对信息系统密码应用进行检测评估,检测评估的内容包含但不限于以下内容: (1)实用性:对商用密码应用方案的适用性进行评估; 物理和环境测评内容:身份鉴别、电子门禁记录数据的完整性、视频记录数据完整性、密码模块实现等。 网络和通信测评内容:身份鉴别、内部网络安全接入(第三级信息系统要求)、访问控制信息完整性、通信数据完整性、通信数据保密性、集中管理通道安全、密码模块实现等。设备和计算测评内容:身份鉴别、远程管理鉴别信息保密性、访问控制信息完整性、敏感标记完整性、重要程序或文件完整性、日志记录完整性、密码块实现。 应用和数据测评内容:身份鉴别、访问控制信息和敏感标记完整性、数据传输保密性、数据存储保密性、数据传输完整性、数据存储完整性、日志记录完整性、重要应用程序的加载和卸载、抗抵赖。 (2)密钥管理测评内容:理清密钥流转的关系,对信息系统内的密钥(尤其是进出密码产品和密码模块的密钥)进行全生命周期的安全检查,包括密钥的生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁,包括密码算法的强度、密钥管理的安全性、加密和解密过程的安全性等方面,确认所有密钥管理操作都是由符合GM/T0005《随机性检测规范》和GM/T0028《密码模块安全技术要求》规定的密码产品或密码模块实现;安全管理测评内容:包括制度管理测评、人员管理测评、建设运行测评、应急处置测评。 (3)风险评估及服务交付物 通过系统评估,及时发现系统脆弱性,识别变化的风险,了解系统安全状况。根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险、技术隐患和风险、业务隐患和风险,以及提出对应隐患和风险的措施和策略,编制《商用密码应用方案安全性评估报告》《商用密码应用安全性评估整改建议书》,《商用密码应用平**全性评估报告》。 3.项目实施要求 (1)客观性和公正性要求 在最小主观判断情形下,按照双方相互认可的方案,基于明确定义的测评方式和解释,实施评估活动。 (2)保密要求 中标人必须对技术文件以及由采购人提供的所有内部资料、技术文档和信息予以保密。中标人必须与采购人签订保密协议,未经采购人书面许可,中标人不得以任何形式向第三方透露有关本项目的任何内容。 (3)最小影响要求 测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经采购人同意后实施,在项目实施过程中,需有可行性的风险规避处置措施。 (4)规范性要求 网络安全等级保护测评、商用密码评估项目的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。 (5)质量保障与项目管理要求 在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,****小组从中监督,控制项目的进度和质量。 4.其他要求 (1)供应商应保证投标项目在采购人条件成熟时应立即开展实施; (2)供应商在项目实施过程中应服从采购人的统一领导和协调,采购人有权裁决供应商的责任范围,供应商必须执行,在采购人限定的时间内解决问题。如果供应商不能按时完成测评内容,采购人有权中止项目、索赔或拒付款项。标书代写 | 自测评服务合同签订之日起至项目通过验收。 |
采购需求附件:
五、合同管理安排
合同类型: 货物类 服务类 工程类
服务类
服务内容(1)按采购人项目管理要求,提供给采购人与项目相关的技术文档,并进行标准化管理。 (2)收到采购人的服务请求,供应商项目组成员应立即给予响应,必要时开展现场服务。 (3)现场测评活动中,依据有关规定,规范测评,排查系统的风险点,并协助采购人完成漏洞修复或风险降低工作,根据需要开展复测。 (4)针对本次项目内容,供应商应对采购人的隐患整改、风险消除等提供必要的技术咨询和指导。 (5)所出具的报告应符合法律法规、标准规范要求,使用标准模板。
国家标准、行业标准、地方标准等标准、规范符合国家、行业、地方相关标准、规定。
履约保证金无
甲方责任甲乙双方任何一方不履行本合同义务或者履行合同义务不符合本合同约定的,均视为违约。违约方应当承担继续履行、采取补救措施或者赔偿损失等违约责任。
乙方责任甲乙双方任何一方不履行本合同义务或者履行合同义务不符合本合同约定的,均视为违约。违约方应当承担继续履行、采取补救措施或者赔偿损失等违约责任。
违约责任违约方的全部赔偿责任,包括但不限于因合同、侵权、违约或者违反保证或其他引起的赔偿,累计不超过合同总金额的100%。
不可抗力指地震、台风、火灾、水灾、战争以及其他双方不能预见、不能避免并不能克服的客观情况
保密供应商对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务: (1)中标方应按要求与采购人签署保密协议。 (2)主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。 (3)不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的采购人关于该项目的商业秘密。 (4)不得向不承担同等保密义务的任何第三人披露采购人关于该项目的秘密。 (5)不得允许(包括出借、赠予、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用采购人关于该项目的秘密。 (6)不论何种原因终止参与采购人关于该项目的工作后,都不得利用该项目之秘密为其他与采购人有竞争关系的企业(包括自办企业)服务。 (7)如发现采购人关于该项目的秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,****公司报告。
服务期限自测评服务合同签订之日起至项目通过验收。
验收标准(附验收方案)按照宁财规发〔2022〕10号《****政府采购履约验收管理暂行办法》执行。 (验收方案附件):
服务地点(范围)****
付款条件(进度和方式)第一笔付款:在合同签订后,甲方在收到乙方提交发票并确认无误后的30个工作日内支付合同总价50%; 第二笔付款:初验合格后,甲方在收到乙方提交发票并确认无误后的30个工作日内支付合同总价的30%; 第三笔付款:项目全部实施完毕、终验合格后,甲方在收到乙方提交发票并确认无误后的30个工作日内支付剩余合同总价20%。(最终付款方式以正式合同签订为准。)
六、评审方法及评审细则
评标方法:标书代写
最低评标价法标书代写
综合评分法
评审细则类别: 服务类细则类别
| 1 | 投标报价 | 10.00 | 投标人的价格分统一按下列公式计算:投标报价得分=(评标基准价/投标报价)×10。 评标基准价是指满足招标文件要求且投标价格最低的投标报价。除低于成本价的投标报价被拒绝外,最低报价得10分。(报价得分四舍五入保留2位小数) 备注:评标委员会认为投标人的报价明显低于其他通过符合性审查的投标人的报价,有可能影响质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会有权将其视为无效投标处理。标书代写 |
| 2 | 等保测评方案 | 20.00 | 投标人结合本项目业务系统、等**级情况编制等级保护测评技术方案,内容包含但不限于测评流程方案、测评方法、测评指标、甲方配合需求、组织管理方案。 方案内容全面详实,贴合本项目系统架构与等保级别,测评流程分阶段明确工期与交付物,测评指标精准匹配项目定级标准,组织管理岗位职责、质控复核、项目管控机制完整可直接进场实施,得20分; 方案完整覆盖全部要求模块,测评流程、测评方法、测评指标、配合需求、组织管理内容齐全,整体满足本项目等保测评实施需求,仅部分实施细节、量化清单未细化完善,得15分; 方案具备完整测评实施框架,流程、方法、指标基础内容齐全,配套基础人员分工与配合事项说明,但结合本项目业务、系统的定制化专项实施细则不足,得10分; 方案仅罗列部分基础内容,测评流程、测评方法表述笼统,测评指标照搬通用标准,配合需求、组织管理内容简略空洞,针对本项目的适配性、针对性较弱,得5分; 未提供等级保护测评技术方案,或方案无法支撑本项目测评实施,得0分。 |
| 3 | 密评方案 | 20.00 | 投标人结合本项目业务系统、密码应用场景定制编制密码测评技术方案,内容包含但不限于需求沟通确认、基础材料搜集整理和现场沟通采集、密码应用方案评估、系统评估、报告编制、应急处置六大模块。 方案内容全面详实,贴合本项目密码设备、加密业务实际场景,需求沟通明确,资料采集,密码方案评估、系统评估匹配商用密码管理规范,报告编制明确应急处置区分密码故障、突发风险制定分级处置预案,整套方案可行性高能立即投入到项目使用,得20分; 方案完整覆盖全部六大要求模块,需求沟通、资料采集、方案评估、系统实测、报告编制、应急处置内容齐全,整体满足本项目商用密码评估实施要求,仅部分落地执行细则、量化清单、分级处置流程未细化完善,得15分; 方案包含六大模块主体内容,具备完整密评实施整体框架,各环节基础工作内容均有描述,拥有基础资料收集清单与简易应急说明,但结合本项目加密业务、密码系统的专项评估细则不足,针对性偏弱,得10分; 方案仅涉及部分核心模块内容,需求沟通、资料采集、系统评估描述笼统简略,密码评估标准照搬通用文件,报告编制、应急处置内容单薄,缺少贴合本项目密码应用场景的专项管控措施,适配性较差,得5分; 未提供密码测评技术方案,或方案无法支撑本项目商用密码评估实施工作,得0分。 |
| 4 | 保密方案 | 6.00 | 投标人根据本项目测评场景制定保密方案,内容包含但不限于测试过程保密承诺、保密措施、保密管理制度。 方案内容全面详实,贴合本项目业务数据、系统访问保密场景,附加盖公章保密承诺函,全测评流程保密管控措施周密闭环,保密管理制度权责划分清晰、条款完整可直接落地执行,得6分; 方案完整覆盖全部要求内容,包含保密承诺、全流程保密措施、基础保密管理制度,整体可满足项目保密管控要求,仅部分现场管控、资料留存等执行细节未细化,得4分; 方案具备保密承诺、基础保密措施及简易制度框架,核心要素齐全但条款简略,缺少适配本项目测评工作的专项保密管控内容,针对性不足,得2分; 未提供保密方案,或方案内容无法满足项目保密管控需求,得0分。 |
| 5 | 类似业绩 | 3.00 | 投标人提供2024年1月1日至发布公告之日内(以合同签订时间或中标(成交)通知书落款时间为准),完成类似项目业绩的,每提供一个业绩得1分,满分3分。 要求:投标人需提供业绩的合同(合同扫描件必须包括与最终用户签订的合同首页、合同服务内容页、签字盖章页)或中标(成交)通知书的扫描件加盖公章,并放置在投标文件相应位置,需保证所提供的资料完整并清晰可辨。如出现模糊无法辨认的情况,评委有权视其为不合格资料,未提供或未按要求提供均不得分。标书代写 |
| 6 | 售后服务方案 | 6.00 | 投标人结合本项目等保、密评测评服务需求编制售后服务方案,内容包含但不限于售后服务机构(附机构证明材料、联系人、联系电话)、售后服务保障措施。 方案内容全面详实,配套完整本地服务机构资质证明、固定专属对接人员及全天候联络渠道,设置分级故障响应完善保障机制,贴合本项目需求可直接落地执行,得6分; 方案完整覆盖全部要求内容,明确服务机构信息、有效联系方式及常规售后保障措施,可满足项目基础售后需求,仅响应时限、上门服务细则未细化完善,得4分; 方案仅罗列基础售后框架,机构介绍、服务措施表述笼统单薄,缺少针对本项目测评报告答疑、整改支撑等专项服务内容,适配性较弱,得2分; 未提供售后服务方案,或方案无法保障项目后续服务需求,得0分。 |
| 7 | 服务团队1 | 8.00 | 1、拟派项目总负责人1名,在具有信息(或网络)安全等级测评师(高级)的前提下: ①具有电子技术类高级职称; ②具有计算机软件产品检验员证书; ③具有注册网络安全源代码审计专业人员(NSATP-SCA)证书; ④具有信息安全测评师证书。 以上证书每提供一个得2分,最多得8分。未提供不得分。 注:供应商需提供对应证书复印件、提供在本单位在职有效证明,并加盖供应商公章。 |
| 8 | 服务团队2 | 3.00 | 2、拟派网络等级保护测评服务负责人1名具有: ①信息安全等级评测师(高级)证书或网络安全等级评测师(高级)证书; ②信息安全保障人员(CISAW)(认证方向:应急服务和风险管理); ③信息系统审计师证书; 以上证书每提供一个得1分,最多得3分。未提供不得分。 注:供应商需提供对应证书复印件、提供在本单位在职有效证明,并加盖供应商公章。 |
| 9 | 服务团队3 | 3.00 | 3、拟派密码测评负责人1名具有: ①商用密码应用安全性评估从业人员考核合格证 ②注册网络安全专业防御人员(NSATP-D); ③网络安全服务能力评价证书(CCSS应急响应能力); 以上证书每提供一个得1分,最多得3分。未提供不得分。 注:供应商需提供对应证书复印件、提供在本单位在职有效证明,并加盖供应商公章。 |
| 10 | 服务团队4 | 3.00 | 4、拟派测试团队人员具有以下证书: ①信息安全等级评测师(中级)证书或网络安全等级评测师(中级)证书; ②具有高级软件测试工程师证书; ③商用密码应用安全性评估从业人员考核合格证。 以上证书每提供一个得1分,最多得3分。未提供不得分。 注:供应商需提供对应证书复印件、提供在本单位在职有效证明,并加盖供应商公章。 |
| 11 | 企业实力 | 8.00 | 1、供应商应具有信息安全相关能力证明材料,具有中国网****认证中心颁发信息安全应急处理服务资质、信息安全风险评估资质,每具有1项得2分,最高4分; 2、投标人具有中国****委员会颁发的检验机构认可证书,得2分。 3、投标人具有信息系统安全运维服务资质证书,得2分。 注:提供清晰的证明材料并加盖供应商公章,否则不予认可。 |
| 12 | 拟投入的工具 | 10.00 | 供应商具有“弱口令扫描工具”、渗透测试系统”、“项目进度管理系统”、“归档核查工具”、“服务交付智能态势分析系统”类似功能的软件著作权证书或者专利的,具有1个得2分,本项最多得10分。 注:提供清晰的证明材料并加盖供应商公章,否则不予认可。 |
| 合计: | 100.00 | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。标书代写
免责声明: 本页面****政府采购有关法律法规要求由采购人或采购代理机构发布的,**政府采购网对其内容概不负责,亦不承担任何法律责任。