位置>千里马招标网> 招标中心> 陕西省地震局等级保护测评及安全防护服务项目采购公告
您尚未开通该权限!
咨询客服:400-688-2000,掌握更多商机线索!
- 咨询:400-688-2000查看全部商机
根据《**省地震局政府采购实施细则(修订)》,现对**省地震局地震综合业务信息系统和**省地震局门户网站信息系统信息安全(略)测评项目进行公开采购,具体事项说明如下:
一、项目概况
项目名称:**省地震局(略)测评及安全防护服务项目
采购单位:(略)
项目预算:(略)
二、工作内容
根据国家《信息安全(略)管理办法》(公通字[2007]43号)、《关于推动信息安全(略)测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)、《**省信息安全(略)安全建设整改工作指导意见》(陕等保办2011 2号)等相关文件要求,此次项目拟对以下信息系统开展定级备案、等级测评及(略),并提供测评报告。信息系统名称及安全保护等级如下表:
序号 | 系统名称 | 系统等级 | 服务 |
1 | **省地震局门户网站信息系统 | 三级 | 等级测评服务 |
2 | **省地震局地震综合业务信息系统 | 二级 | 等级(略) |
三、项目服务内容
系统调研:在系统相关人员的协助下,对信息系统进行(略),了解系(略)。
现场测评:根据国家等级测评的相关标准及已编制的相关(略)测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果。
分析整改:根据前述工作内容,分析信息系统安全情况与(略)基本要求的差距,提供差异化测评服务,并进行风险分析,可根据现场情况出具科学合理的整改建议及整改方案,配合采购单位安全整改工作。
结论报告:根据前述工作内容,分析当前信息系统安全保护能力是否符合相应等级的安全要求,针对整改项进行再次测评,提供安全等级符合性测评服务,出具相关系统测评报告。
配合验收:整理项目过程中(略),提交系统相关人员,做好验收汇报和整改工作。
四、(略)
营业执照副本(事业单位法人证书副本)、税务登记证副本(非盈利性事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);
法定代表人委托授权书,法定代表人或事业单位法人参加招标只需提供其身份证;
具有国家信息安全(略)工作协调小组办公室颁发的《网络安全(略)测评机构推荐证书》;
本项目不接受联合体投标。
备注:(略)
五、其他要求
1. 测评人员要求:本项目的测评人员需具有1年或1年以上测评工作经验,项目经理和质量负责人必须具备丰富的安全服务经验及相关资质认证,并提供人员管理及配备方案,并确保人员稳定。如需更换测评人员,须由采购单位同意。
2. 人员配备:投标方参与此项目组人员不少于5人(其中高级测评师不少于1人,中级测评师不少于2人),提供现场服务的测评师不少于2人(至少1名中级)。投标人必须为本项目成立本地化(略)测评小组,由测评小组组长统一负责,测评小组组长具有一定的技术及管理知识和经验,能容易地与客户沟通,能很好的执行与完成测评工作,并根据适当情况增加测评人员。
3. 投标人应按(略)测评要求制定测评过程中产生的文档,做到科学、规范、详尽、统一。
六、(略)
在本次(略)测评项目中,服务商须提交主要成果文档包含如下:
1.《信息系统安全(略)项目计划书》;
2.《信息系统安全(略)测评方案》(**省地震局门户网站信息系统);
3.《信息系统安全(略)测评方案》(**省地震局地震综合业务信息系统);
4.《信息系统安全(略)测评报告》(**省地震局门户网站信息系统);
5.《信息系统安全(略)测评报告》(**省地震局地震综合业务信息系统);
6.《信息系统整改建议书》(含两个系统);
7.《信息系统安全(略)整改方案》(含两个系统);
8.对出现的网络安全事件或问题提供溯源和解决;
9.相关网络安全预案及《安全管理制度》等资料;
10.提供不少于2次全局范围关于网络安全的培训内容。
七、项目技术标准及要求
(一)总体要求
根据国家《信息安全(略)管理办法》(公通字[2007]43号)与《信息安全技术 网络安全(略)基本要求》GB/T22239-2019要求,等级测评工作须覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容,并根据现场实际情况完成风险分析工作,最终为完善(略)安全防护体系提供指导依据。
具体工作内容:
1. **省地震局门户网站信息系统三级等保测评,包含门户网站子系统和数据服务子系统,需公司依据等保(略),形成测评报告、整改报告,同时修改完善对应的信息系统备案相关资料。
2. **省地震局(略),该系统用于汇集**省测震台网、强震台网、前兆台网等数据,通过业务专网与中国地震台网中心及各学科台网传输系统相连接,交换相关数据。需公司依据等保二级要求进行信息系统测评,形成测评报告、整改报告,同时修(略)。
3. 根据等保要(略),提供制度完善、网络安全预案修正以及网络安全相关方案的编制等服务。包含但不限于**省地震局现有安全相关各项(略)案的修订,网络安全相关方案或报告如安全自查报告、安全保障方案等资料的编制。
4. 提供日常(略)。
5. 提供全局范围内针对终端用户、以及针对管理部门有关法律法规等的公开培训,不少于两次。
从合同签订时间起30个工作日完成等保测评和报告提交的所有工作;同时从合同签订时间起一年内提供制度完善与方案编制、应急响应与安全事件处置、配合检查、电话支持、安全咨询等服务在内的安全维保服务。
(二)第一阶段:(略)
信息安全(略)工作共分为五步,分别是:“定级、备案、建设整改、等级测评、监督检查”。该项目主要完成系统的安全测评工作,依据安全技术和安全管理两个方面的测评要求,分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个安全类别进行安全测评。
1. (略)测评要求
服务商在测评过程中要求按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全技术 信息系统安全(略)实施指南》(GB/T25058-2010)、《信息安全技术 网络安全(略)基本要求》(GB/T22239-2019)、《信息安全技术 网络安全(略)测评要求》(GB/T28448-2019)、《信息安全技术 网络安全(略)测评过程指南》(GB/T28449-2018)等相关的标准规范开展等级测评工作,对系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共10个层面进行安全(略)测评。
2. (略)测评流程及内容
(略)测评过程中要求服务商严格按照下列流程开展工作,具体工作流程如下:
(1) 测评准备阶段:是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
(2) 方案编制阶段:是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书,形成测评方案。
(3) 现场测评阶段:是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格按(略),分步实施所有测评项目,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
(4) 分析与报告编制阶段:是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现(略)过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整(略),并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成《(略)。
(三)第二阶段:(略)
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机信息系统是否安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,通常该分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机信息系统是否安全的一种评估方法。这个过(略),通常该分(略),并且从这(略)。
(四)第三阶段:(略)
采用Fortify SCA 工具,对系统进行(略)。内容包括但不限于:
1.审核应(略)
2.审核应用代码中是否有一般性的漏洞类型;
3.审核应用代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞;
4.审核应用系统中三方组件及产品的漏洞隐患;
5.结合黑盒渗透测试方法,对应用(略)结果验证;
6.发现安全隐患,确定后给出加(略)
7.对应用代码中不符合安全规范的部分进行规范;
8.对今后应用(略)。
(五)第四阶段:(略)
针对系统进行漏洞扫描,涉及漏洞包括OWASP TOP 10等主流安全漏洞,包括:SQL注入、XSS跨站脚本、伪造跨站点请求(CSRF)、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击(略)
(六)第五阶段:(略)
(略)采用专业工具扫描(漏洞扫描采用产品必须为商业化产品)、人工评估、渗透测试三种相结合的方式,对目标系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面。其他评估内容应至少包括网络设备与防火墙、Web服务、文件服务、Mail服务、数据库问题、跨站脚本攻击、其他服务、其他问题等。
(七)第六阶段:(略)
建设整改咨询工作以等级测评和(略)发现的安全问题为工作重点,编写《信息系统安全建设整改建议》;将信息系统的安全建设整改需求落实到可操作的安全技术和管理上,提出能够实现的技术参数或制度及其具体规范。
(八)第七阶段:(略)
1.政策、安全意识培训
对网络安全知识进行宣传培训。内容包括:网络安全法律法规知识普及、典型信息安全事件知识案例讲解、安全保密意识建立以及前沿信息安全技术知识培训等。
2.安全(略)
针对(略)全相关的检查方法进行培训,确保项目建设完成后技术人员可(略)
(九)第八阶段:(略)
为期一年的(略)工作中,服务方将向**省地震局提供包括制度完善与方案编制、应急响应与安全事件处置、配合检查、电话支持、安全咨询等服务在内的安全维保服务。具体服务时效如下:
(1) 制度完善与方案编制服务
服务方提供制度完善与方案编制等服务。服务时效5X8小时,同时按需提供现场服务,得到通知后4小时内到现场。
(2) 应急响应(略)
针对本次项目,服务方提(略)。在接到用户故障报修电话10分钟内响应。对客户信息网络应用系统突发的信息安全事件进行响应、处理、恢复、取证、跟踪、事后分析的方法及过程。对于网络安全事件处置按需提供现场服务,得到通知后1小时到现场。
(3) 配合检查服务
服务方免费协助**省地震局响应**机关、单位内部以及第三方机构针对信息系统安全(略)工作的检查工作。服务内容包括协助**省地震局准备、完善各类资料文档,配合检查过程中的答疑及技术支持及其他现场检查的响应。
(4) 电话支持服务
每周7天/每天24小时不间断的电话支持服务,解答**省地震局在使用过程中遇到的问题,及时提出解决(略)。电话响应时间不小于10分钟,根据不同响应需求到达现场,解决问题不超过24小时。
(5) 安全咨询服务
服务方为**省地震局免费提供一年技术咨询服务,包括信息系统整改建设咨询服务以及其他相关安全咨询服务,一旦接到用户的服务请求,技术服(略),帮助客户解决信息安全相关技术问题,全面配合**省地震局做好业务系统全保障工作。
八、采购响应方式
采购响应时间:(略)
采购响应文件递交地点:**市碑林区边家村水文巷4号防震减灾科技大楼9楼
联系人:(略)
电话:(略)
本次采购接受邮寄,供应商可将资质材料复印件加盖公章连同采购响应文件一并邮寄。
九、(略)
合同签订后7个工作日内付合同额的50%,合同验收后7个工作日支付合同额的47%,剩余3%履约保证金完成全部服务支持后支付。
十、采购响应文件要求
采购响应文件应严格按照采购需求做出实质性响应,包含以下内容:
1.对测评准备(现状调研)、方案编制、现场测评、报告编制等内容进行详细描述;
2.对(略)方案及内容进行详细描述;
3.明确服务(略)
4.明确合理的实施周期和进度表;
5.提供整个测评项目实施过程中的风险防范措施,并明确保密责任与赔偿承诺;
6.服务承诺及保障措施;
7.其他认为需要补充的合理化建议。
备注:(略)
十一、评标
本项目评审使用综合评分法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、项目实施方案、项目人员从业经验(略)审得分计入总得分。
(一)商务及技术标评分办法表
评审内容 | 评分标准 | 分值 | 汇总 | |
报价 | 价格 | 综合评分法中的价格分采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格(略)。 投标报价每偏离基准价5%扣1分,计算公式如下:投标得分=10-【(投标(略))】/(基准价*5%)。 | 10 | 10 |
技术 | 服务方案及措施评审 | 供应商结合采购单位实际需求,提供完整的项目工作流程和实施方案,对等级测(略)果具有详细说明。优计5分,良计4-2分,差计(略)。 | 5 | 30 |
对渗透测试的人员配置、渗透测试流程、渗透测试工作方法、工作成果具有详细说明。人员配置优秀,工作方法科学合理、完善。优计(略),良计7-3分,差计3-0分。 | 10 | |||
对项目组成员工作分配、工作职责及项目(略)学,进度安排科学紧凑。优计5分,良计4-2分,差计1-0分。 | 5 | |||
具有明确保密责任与承诺;具有严格的项目质量管理方案、过程控制及监控手段;具有严格的风险管理方案。优计5分,良计(略),差计(略)。 | 5 | |||
针对本(略),培训采购人指(略),培训内容应包括针对主机安全、(略),了解产品结构、工作原理,并能排除一般故障。根据培训大纲和培训内容安排合理,能完全满足本项目需要的计3-5分;培训方案设计较差、部分满足本项目需要的,计1-3分;未提供不得分。 | 5 | |||
团队技术能力 | 项目组人员不少于5人(其中高级测评师不少于1人,中级测评师不少于2人),保证提供现场服务的测评师不少于2人(至少包含1名中级),满足得5分,其他情况不得分。 注:以上人员需提供近三个月社保缴纳证明,资质证书证明材料复印件加盖供应商公章。 | 5 | 20 | |
项目组负责人具备高级测评师证书,同时具备CISP证书,满足的得5分;项目组成员具备中级及以上测评师证书,同时具备CISAW证书,满足的得5分,其他情况不得分。 注:以上人员需提供近三个月社保缴纳证明,资质证书证明材料复印件加盖供应商公章。 | 10 | |||
项目组成员(略),每提供一个证书得1分,最高得5分,没有不得分。 注:(略) | 5 | |||
售后 | 售后服务 | 针对本项目具有设计全面且可行的售后服务方案,主要针对日常和(略),根据能够提供安全事件后的溯源服务情况得1-6分;根据能够提供重保期间的远程或现场服务得1-4分;其他情况不得分。 | 10 | 10 |
商务及业绩 | 公司实力 | 在测评期间,供应商(略),供应商能提供《信息安全服务资质认证证书》(信息安全风险评估)证明得5分,没有不得分。 注:(略) | 5 | 30 |
为保障测评服务质量,供应商应具备: ISO9001质量管理体系认证证书得5分; ISO27001信息安全管理体系认证证书得5分; 具有中国网络安全审查技术与认证中心颁发的信息安全风险评估资质证书二级及以上证书得5分;三级证书得3分。 满分15分。注:(略) | 15 | |||
业绩 | 供应商提(略)(以合同签订时间为准,需提供合同复印件至少应包括合同首页、服务内容页、合同价格页及合同盖章页并加盖供应商公章,其他(略))。每份计2分,满分10分。 | 10 |
(二)评标规则
各评委必须按照本办法据实评分。凡评分不符合本办法规定者,为无效评分。
评标过程中,各种数字计算均精确至小数点后两位。
评标委员会根据总分由高到低对供应商进行排名;得分相同的,按投标报价由低到高进行排名;得分且报价相同的,按技术标得分由高到低排名。按照上述排名办法由评标委员会推荐前三名供应商为中标候选人。
评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,有关情况(略),再行评定。
评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。
本评标办法解释(略)。
十二、定标
**省地震局根据评标结果确定成交单位,并向成交单位发(略),对未成交单位不做未中标原因解释,成交单位(略)。
**省地震局
2022年8月12日
注册会员享贴心服务
项目查询服务
·让您全面及时掌握全国各省市拟建、报批、立项、施工在建项目的项目信息
·帮您跟对合适的项目、找对准确的负责人,全面掌握各项目的业主单位、设计院、总包单位、施工企业的项目经理、项目负责人的详细联系方式
·帮您第一时间获得全国项目业主、招标代理公司和政府采购中心发布的招标、中标项目信息
项目定制服务
·根据您的关注重点定制项目,从海量的项目中筛选出符合您的要求和标准的工程并及时找出关键负责人和联系方式
·根据您的需要,向您指定的手机、电子邮箱及时反馈项目进展情况
- 猜你喜欢
- 更多西安市招标采购信息
- 人力资源管理系统年度维保项目结果公
- 08月12日
- 湖南省国土空间调查监测所关于数码线
- 08月12日
- 湖南省卫生健康委员会关于其他广告服
- 08月12日
- 湖南省高速公路交通警察局长沙支队关
- 08月12日
- 中国太原煤炭交易中心有限公司市场化
- 08月12日
- 普信国际工程咨询有限公司关于集成电
- 08月12日
- 2022年上海热线展会短视频管理平
- 08月12日
- 中核龙安有限公司新OA协同办公系统
- 08月12日
- 关于采购网络安全运维服务的公告
- 08月12日
- 清华大学附属中学核心机房设备升级项
- 08月12日
- 郑州大学地下工程研究院地下工程灾变
- 08月12日
- 郑州市第二人民医院医保移动支付接口
- 08月12日
-
西安市建材网
西安市采购信息网
西安市政府公开信息
西安市公共资源交易网
西安市电力交易中心
西安市交易中心
西安市房产交易中心
西安市工程交易中心
西安市钢铁交易中心
西安市建设交易中心
西安市招投标交易中心
西安市政府交易中心
西安市造价信息网
西安市市政工程信息网
西安市水利工程信息网
西安市通信工程信息网
西安市医药招标网
西安市建筑招标网
西安市工程招标网
西安市建设招标网
西安市施工招标
西安市装饰工程招标
西安市建设工程网
西安市水利招标信息网
西安市电力招标网
西安市建委招投标网
西安市建筑管理网
西安市建设信息港
西安市教育招标网
西安市装修招标
西安市人力和社会保障局
西安市建设网
西安市总包工程
西安市政府工程招标
西安市工程施工招标
西安市工程公开项目
西安市工程采购信息
西安市招标投标采购平台
西安市省市工程建设网