位置>千里马招标网> 招标中心> 2023年网站群三级等保测评服务项目采购询价公告
您尚未开通该权限!
咨询客服:400-688-2000,掌握更多商机线索!
- 咨询:400-688-2000查看全部商机
项目概况
按照采购计划,拟对(略)进行(略)采购,潜在供应商应在网上下载获取采购文件,并于(略)前提交响应文件。
一、项目基本情况
项目编号:NJTSCICM2023-S009/XE(略)
项目名称:(略)
采购方式:(略)
预算金额:(略)
最高限价(如有):(略)
采购需求:(略)
合同履行期限:(略)
工期(供货期)要求:(略)
本项目(不接受)联合体投标。
二、申请人的资格要求
1.服务商应当具备下列一般条件
(1) 具有独立承担民事责任的能力;
(2) 具有良好的商业信誉和健全的财务会计制度;
(3) 具有履行合同所必需的人员和专业技术能力;
(4) 有依法缴纳税收和社会保障资金的良好记录;
(5) 参加政府采购活动前3年内,在经营活动中没有重大违法记录;
(6) 法律、行政法规规定的其他条件。
2.服务商需具备以下特殊条件
(1) 服务商出具针对本项目所提供的维保服务人员本单位缴纳社会基本养老保险近3个月的社保缴费凭证。
(2) 服务商具有**部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”(提供证(略))。
3.拒绝下述供应商(略)
(1) 供应商单位负责人为同(略)同供应商,不得参加同一合同项下的采购活动。
(2) 凡为采(略),不得再参加本(略)。
(3) 供应商被“信用中国”网站((略)gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
三、(略)
(一)项目范围
序号 | 等保测评系统名称 | 定级 |
1 | 网站群 | 三级 |
(二)项目测评内容
1.项目依据
按照网络安全等级保护2.0标准开展本次等保测评工作,测评的指(略):
《中华人民**国网络安全法》
《信息安全等(略)(公通字[20(略))
《信息系统安全保护等级定级指南》(GB/T 22240-2008)
《信息安全技术 网络安全等级保护基本要求》(GB/T (略)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T (略)
《信息安全技术 网络安全等级保护测评要求》(GB/T (略)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T (略)
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
《信息系统安全管理测评》(GA/T 713-2007)
《信息安(略)
《信息安全风(略)(GB/T 20984-2(略))
《信息安全风险管理指南》(GB/Z (略)
《信息安全管理体系要求》(GB/T 22080-2008)
《信息安全管(略)(GB/T 22081-2008)
《信息系统安全管理要求》(GB/T 20269-2006)
《信息安全事件分类分级指南》(GB/Z (略)
《信息(略)(GB/Z 20985-2007)
《信息系统灾难恢复规范》(GB/T 20988-2007)
《信息安全应急响应计划规范》(GB/T 24363-2009)
2.服务内容及说明
2.1 等保保护测评
等保测评覆盖安全技术测评和安全管理测评两大类10个方面。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等5个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等5个方面的安全控制测评。
2.1.1 等保(略)
根据国家对网络安全等级保护工作的相关法律和技术标准要求,结合本项目的系(略),具体检查内容应包括:
(1)安全(略)
测评(略):物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
(2)安全通信网络
测评内容主要包括:(略)
(3)安全区域边界
测评内容主要包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(4)安全计算环境
测评内容主要包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范(略)
(5)安全管理中心
测评(略):系统管理、审计管理、安全管理、集中管控等。
(6)安全管理制度
测评内容主要包括:安全策略、管理制度、制定和发布、评审和修订等。
(7)安全管理机构
测评内容主要包括:岗位设置、人员配备、授权和审批、沟通和**、审核和检查等。
(8)安全管理人员
测评内容主要包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
(9)安全建设管理
测评内容主要包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
(10)安全运维管理
测评内容主要包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
2.1.2等保测评目标
(1)识别信息安全风险。通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
(2)增强安全防护能力。依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
(3)测评结果分析
单项测评结果判定
单元测评结果判定
整体测评分析
形成测评分析报告
针对测评分析报告的整改建议
2.2 渗透测试
选取可能发起攻击的测试点,使用渗透测试(略)薄弱环节,找出可能发生的恶意攻击事件和违规行为。
2.2.1 渗透测试内容
工作内容包括渗透测试及提供漏洞修复方案。本次渗透测试工作为黑盒测试。
(1)需要包含如下阶段
前期交互阶段:与用户组织进行讨论,确定渗透测试范(略)。
信息搜集阶段:(略)
威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
漏洞分析阶段:综合前(略),从中分析和理解,找出攻击途径和攻击方法。
渗透(略):针对确定好的攻击途径和攻击方法实施渗透攻击,获取(略)。
后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
(2)渗透测试工作要求
本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危(略),遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自(略),不得泄露、传播用户的敏感信息,如有违反将负法律责任。
3.服务成果
本次安全服务应提交以下成果:
《信息系统等级(略),包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
《信息系统渗透测试报告》,包含但(略):渗透测试的方法、目标、范围;测试的人员、时间、策略。测试的工具、风险规避措施;测试的过程、漏洞利用截图,测试的结果等。
4.项目总体要求
1)合同签订后60个日历日内完成相关测评工作。测评单位需根据学校实际情况合理安排测评进度,学校可(略),供应商需要配合学校进行进度的合理安排。项目工作人员需遵守等保检测规定,采用符(略),如因违规操作造成对检测系统的破坏,则应承担相应责任。
2)测评单位必须针对此次测评给出详细方案,内容包含测评计划、测评实施、风险管控、协助整改。要求方案充分考虑到高校特性,结合业务要求,提出切实可行的整改方案。
3)测评单位需针对此次测评列出本项目组织管理架构及主要参与人员情况介绍。要求组织管理架构及人员配备科学完整,项目负责人、项目组人员有参与高校项目的管理经验。项目实(略),保证各安全层面的测评全面有效,能够发现实际存(略),现场实施人员均需持有等级保护测评师证书。项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟(略),能够应对可能的突发性安全事件应急工作。
4)供应商必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web 漏洞扫描系统。供应商必须(略),至少包含以下内容:名称、(略)。
5)在测评过程中保证客观性和公正性原则,测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
6)测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统(略)),如无法避免,则应做出说明。详细描述在测评过程中如何通过技术手段控制(略)过程中出现的异常情况如何处理,保证学校系统正常运行以及测评的可进行性。
7)协助整改,针对差距测评结果,给学校提出合理、可行的整改方案和建议,并在整改完毕后给出系统定级报告。
8)提供详尽、明确的技术培训,同时提供本次乃至后续的培训方案,方案应包含网络安全相关课程内容以及详细培训体系流程。
9)本次等级保护测评项目不得转包或者分包,所有驻场测评师必须持证上岗,未经采购方同意,项目组成员不得更改。
5.项目实施方案要求
供应商需根据本项目服务内容编制详细的项目实施方案,包括测评内容、测评指标以及测评方法的详细方案;测评工作流程;测评工作的详细实施方案;测评过程中的渗透测试服务方案;测评工具的详细介绍;培训方案;人员配置方案以及供应商认为需要提供的其它方案。
6.项目服务期限
供应商应当在合同签订后60个日历日内完成采购文件规定的项目并交付学校使用。
7.项目验收标准及要求
项目完成后,供应商须按照项(略),按国家、行业或企业等标准,提供相应的服务内容及交付成果,供应商完成全部项目内容并经采购人验收合格后,项目整体验收合格。
8.付款条件
项目合同签订、成交供应商人员服务到位后,采购人一次性(略)有工作,采购人于一个月内完成项目验收,并支付剩余20%尾款。每次付款前成交供应商应向采购人开具发票,采购人收到发票并确认无误后10日内向成交供应商支付相应款项。
四、评标方法和定标原则
(1) 参加(略)采购活动的供应商,应当按照(略)文件的规定一次报出不得更改的价格。
(2) (略)小组应当从质量和服务均能满足采购文件实质性响应要求的供应商中,根据综合评分法确定成交供应商。
(3) 评分标准
评分项 | 评分标准 | 分值 | 备注 | |
一、报价部分(20分) | ||||
服务价格 (20分) | 满足招标文件要求且投标报价最低的报价为评审基准价,其价格为满分。其他投标人的价格分统一按照下列公式计算:报价得分=(评审基准价/报价)×20(小数点后保留两位)。 | 20分 | ||
二、商务部分(48分) | ||||
公司资质(24分) | 投标人具有中国网络安全审查技术与认证中心颁发的(信息安全应急处理)信息安全服务资质认证证书(CCRC),得4分,未按要求提供的不得分。 | 4分 | ||
投标人具有中国网络安全审查技术与认证中心颁发的(安全运维)信息安全服务资质认证证书(CCRC)的得4分,未按要求提供的不得分。 | 4分 | |||
投标人具有国家信息安全漏洞库(CNNVD)技术支撑单位等级证书的得4分,未按要求提供的不得分。 | 4分 | |||
投标人具有ISO27001(信息安全管理体系)认证,且认证范围包含网络安全等级保护测评的得4分,未按要求提供的不得分。 | 4分 | |||
投标人具有ISO9001(质量管理体系)认证,且认证范围包含网络安全等级保护测评的得4分 ,未按要求提供的不得分。 | 4分 | |||
投标人具有ISO20000信息技术服务管理体系)认证,且认证范围包含网络安全等级保护测评的得4分,未按要求提供的不得分。 | 4分 | |||
人员资质 (14分) | 项目经理资质(6分) | 项目经理为高级测评师,且同时具有项目管理专业人士资格认证(PMP)、注册信息系统安全师(CISSP)、证书的得6分;仅有高级测评师证书的得2分。 | 6分 | 须提供证书或证明复印件并加盖公章。 |
项目组成员资质(8分) | 项目组成员(除项目经理外)中每有1名具有中级或高级等级测评师证书,且同时具有CISAW证书或CISP的,每提供一(略),最高得6分,其他情况不得分。 | 6分 | ||
投标人提供的项目组渗透人员具备注册信息安全渗透测试工程师(CISP-PTE)证书的,每提供一位人员得1分,最高得2分。其他(略)。 | 2分 | |||
等级保护测评案例 (10分) | 投标人2021年1月1日以来完成过类似等级保护测评项目案例,每个案例得2分,最高得10分。 | 10分 | 须提供合同(略)。 | |
三、(略)(32分) | ||||
测评方案(20分) | 测评内容 (20分) | 包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个方面的得20分;每少一个测评点扣2分。 | 20分 | |
组织方案(12分) | 服务组织架构 (3分) | 测评服务组织架构:具体负责技术、(略),不合要求的酌情扣分。 | 3分 | |
项目进度安排 (3分) | 项目(略)(根据工作量、工作强度合理安排进度)的得3分,不合要求的酌情扣分。 | 3分 | ||
风险管控能力 (3分) | 风险管控措施合理且切实可行的得3分,不符(略)。 | 3分 | ||
保密管控能力 (3分) | 保密(略)(保密管理措施切实可行)的得3分,不符合要求酌情扣分。 | 3分 | ||
合计 | 100分 |
五、响应文件提交
截止时间:(略)
地点:(略)
1.响应文件的组成
(1) 在有效期内的企业营业执照副本复印件;
(2) 响应单位法定代表人身份证复印件;
(3) 响应单位代理人身份证复印件;
(4) 授权委托书(格式见附件);
(5) 《响应报价一览表》、《(略)采购表》(格式见附件);
(6) 《参加(略)(格式见附件);
(7) 《承诺书》(格式见附件);
(8) 《邮(略)(格式见附件)。
2.文件的签署和密封要求
(1)(略)响应单位对所响应的采购内容需严格按照《(略)采购表》填写;
(2)响应文件叁份且装订成册,并明确标明“正本”和“副本”。响应文件正本和副本如有不一致之处,以正本为准;
(3)(略)响应文件均应采用打印或使用不能擦去的黑色或蓝色墨水书写,由响应单位法定代表人或其授权代表在(略)文件要求处亲自签署或盖章,并在(略)响应文件(正本)的每一页上加盖公章,未加盖公章的视为无效页;
(4)(略)响应文件须装袋密封,封口处须加盖单位公章,密封袋及相应文件封面上应注明采购项目名称、项目编号、响应单位名称、地址、联系人、联系电话等;
(5)采购单位有权拒绝未按上述要求制作的(略)响应文件。
六、合同模板(律师审核后的合同)
见附件。
七、(略)
自本公告发布之日起3个工作日。
八、其他补充事宜
无
九、凡对本次采购提出询问,请按以下方式联系。
项目联系人:(略)
电 话:(略)
注册会员享贴心服务
项目查询服务
·让您全面及时掌握全国各省市拟建、报批、立项、施工在建项目的项目信息
·帮您跟对合适的项目、找对准确的负责人,全面掌握各项目的业主单位、设计院、总包单位、施工企业的项目经理、项目负责人的详细联系方式
·帮您第一时间获得全国项目业主、招标代理公司和政府采购中心发布的招标、中标项目信息
项目定制服务
·根据您的关注重点定制项目,从海量的项目中筛选出符合您的要求和标准的工程并及时找出关键负责人和联系方式
·根据您的需要,向您指定的手机、电子邮箱及时反馈项目进展情况
- 猜你喜欢
- 更多南京市招标采购信息
- 招商银行深圳分行综合布线系统工程采
- 09月26日
- 安徽省港口运营集团有限公司关于家用
- 09月26日
- 天津地区信息系统等级保护测评服务通
- 09月26日
- 中粮菏泽网络基础架构升级改造竞价采
- 09月26日
- 随县林权管理服务中心存储设备等自行
- 09月26日
- 华东政法大学“中国近代期刊数据库”
- 09月26日
- 华东政法大学“威科先行法律、财税信
- 09月26日
- 重点勘探领域解释评价软件模块测试与
- 09月26日
- 衡阳市耒阳市文化旅游广电体育局关于
- 09月26日
- 衡阳市耒阳市文化旅游广电体育局关于
- 09月26日
- 常宁市水口山高级中学关于米类的网上
- 09月26日
- 衡阳市耒阳市第四中学关于装修工程的
- 09月26日
-
南京市建材网
南京市采购信息网
南京市政府公开信息
南京市公共资源交易网
南京市电力交易中心
南京市交易中心
南京市房产交易中心
南京市工程交易中心
南京市钢铁交易中心
南京市建设交易中心
南京市招投标交易中心
南京市政府交易中心
南京市造价信息网
南京市市政工程信息网
南京市水利工程信息网
南京市通信工程信息网
南京市医药招标网
南京市建筑招标网
南京市工程招标网
南京市建设招标网
南京市施工招标
南京市装饰工程招标
南京市建设工程网
南京市水利招标信息网
南京市电力招标网
南京市建委招投标网
南京市建筑管理网
南京市建设信息港
南京市教育招标网
南京市装修招标
南京市人力和社会保障局
南京市建设网
南京市总包工程
南京市政府工程招标
南京市工程施工招标
南京市工程公开项目
南京市工程采购信息
南京市招标投标采购平台
南京市省市工程建设网