我單位決定對南通市大數(shù)據(jù)發(fā)展集團有限公司所開發(fā)和維護的公共基礎(chǔ)數(shù)據(jù)庫和公共信息平臺以及數(shù)據(jù)整合與共享系統(tǒng)、南通市云數(shù)據(jù)中心系統(tǒng)進行等級保護測評�,以明確信息系統(tǒng)現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的安全隱患和不足�,明確整改方向�,降低系統(tǒng)被攻擊的風險�。
本次測評服務(wù)預(yù)算:拾萬貳仟元�����;
一����、本項目測評范圍
序號 | 系統(tǒng)名稱 | 備案情況 |
1 | 公共基礎(chǔ)數(shù)據(jù)庫和公共信息平臺以及數(shù)據(jù)整合與共享系統(tǒng) | 三級 |
2 | 南通市云數(shù)據(jù)中心系統(tǒng) | 三級 |
二、測評單位要求
1��、投標人具有公安部門網(wǎng)絡(luò)安全等級保護評估中心頒發(fā)的《網(wǎng)絡(luò)安全等級保護測評機構(gòu)推薦證書》��,提供證書復(fù)印件(加蓋公章)���;
三�、測評內(nèi)容
1�����、總體要求:
A.完成上述系統(tǒng)安全等級測評工作����,測評后經(jīng)用戶方確認,出具符合網(wǎng)絡(luò)安全等級保護測評要求的測評報告�����;
B.對上述系統(tǒng)不符合網(wǎng)絡(luò)安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的���,提出可行性整改方案�����,提供相應(yīng)的安全整改建議書����。
2、質(zhì)量要求:
A.等級測評及服務(wù)原則:符合性原則���、標準性原則����、規(guī)范性原則���、可控性原則��、整體性原則�����。
B.網(wǎng)絡(luò)安全等級保護定級及測評服務(wù)依據(jù):
《中華人民共和國網(wǎng)絡(luò)安全法》
《GB/T22239-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》���,
《GB/T28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》,
《GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南》��,
《GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護實施指南》。
3�、網(wǎng)絡(luò)安全等級保護測評內(nèi)容:
A.安全技術(shù)測評:包括物理安全、網(wǎng)絡(luò)安全����、主機系統(tǒng)安全��、應(yīng)用安全和數(shù)據(jù)安全等五個方面的安全測評�����;
B.安全管理測評:安全管理機構(gòu)����、安全管理制度、人員安全管理�、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評
4、提供整改咨詢服務(wù)��,根據(jù)所測系統(tǒng)的最終測評報告�����,對系統(tǒng)現(xiàn)狀提出安全整改建議并協(xié)助整改工作����,以期達到整改目的�����。
四����、測評原則:
1�����、客觀性和公正性原則:
測評人員應(yīng)當沒有偏見��,在最小主觀判斷情形下�,按照評估雙方相互認可的評估方案,基于明確定義的測評方式和解釋��,實施評估活動����。
2、可重復(fù)性和可再現(xiàn)性原則:
依照同樣的要求�,使用同樣的評估方式,對每個評估實施過程的重復(fù)執(zhí)行應(yīng)該得到同樣的結(jié)果�����。可再現(xiàn)性和可重復(fù)性的區(qū)別在于��,前者與不同評估者評估結(jié)果的一致性有關(guān)��,后者與同一評估者評估結(jié)果的一致性有關(guān)����。
3�����、連續(xù)性原則:
確保在高速變化的信息安全環(huán)境中�,在有效的服務(wù)期間內(nèi),保證采購方風險評估結(jié)論的準確性和及時性���,對于采購方單位新增設(shè)的信息資產(chǎn)和服務(wù)���,或新建立的信息化項目,進行局部系統(tǒng)的重新評估����。從經(jīng)濟上��,降低了采購方單位的成本����,從信息安全性上���,保證信息安全測評的動態(tài)穩(wěn)定性�����。
4�、擴展性原則:
在評估過程結(jié)束后��,信息安全測評過程要保持擴展性��,從擴展的屬性上進一步加強測評結(jié)束后采購方的安全管理有效性和可用性���。
5�、保密原則:
在測評過程中�,需嚴格遵循保密原則,雙方簽訂保密協(xié)議�����,對服務(wù)過程中涉及到的任何用戶信息未經(jīng)允許不向其他任何第三方泄漏,以及不得利用這些信息損害采購方利益����。
6、互動原則:
在整個測評過程中���,強調(diào)采購方的互動參與��,每個階段都能夠及時根據(jù)采購方的要求和實際情況對測評的內(nèi)容��、方式做出相關(guān)調(diào)整����,進而更好的進行風險評估工作��。
7��、最小影響原則:
測評工作應(yīng)該盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行����,不能對業(yè)務(wù)的正常運行產(chǎn)生明顯的影響(包括系統(tǒng)性能明顯下降�����、網(wǎng)絡(luò)阻塞、服務(wù)中斷等)��,如無法避免����,則應(yīng)做出說明。
8�、規(guī)范性原則:
網(wǎng)絡(luò)安全等級保護測評服務(wù)的實施必須由專業(yè)的測評服務(wù)人員依照規(guī)范的操作流程進行,對操作過程和結(jié)果要有相應(yīng)的記錄��,并提供完整的服務(wù)報告���。
9��、質(zhì)量保障原則:
在整個測評過程中����,須特別重視項目質(zhì)量管理��。項目的實施將嚴格按照項目實施方案和流程進行�����,并由項目協(xié)調(diào)小組從中監(jiān)督,控制項目的進度和質(zhì)量���。
五�、測評人員和時限要求:
1����、測評駐場人員要求:本次測評至少需要1名高級測評師,1名中級測評師�����, 2名初級測評師���。本次等保測評項目不得轉(zhuǎn)包或者分包����,所有駐場測評師必須是中標公司自己的正式員工,所有駐場測評師必須持證上崗��,響應(yīng)文件中應(yīng)提供項目組成員名單���、社保主管部門出具的響應(yīng)單位為其繳納社保的證明、相關(guān)證書復(fù)印件等���,未經(jīng)采購方同意��,項目組成員不得更改���。
2���、測評時間要求:按照被測單位要求,合同簽訂完畢一周內(nèi)啟動測評工作����。
3、測評期限要求:簽訂合同后60天內(nèi)完成網(wǎng)絡(luò)安全等級保護測評并出具蓋章報告�����,并完成備案����。
4、本項目不接受聯(lián)合體投標���。
六�����、服務(wù)地點
采購方指定地點�����。
七�����、付款時間和條件
1.本項目所涉及的測評費用,在每個系統(tǒng)完成測評提交測評報告的10個工作日內(nèi)���,由采購方一次性付清全款�。
2.如遇集團突發(fā)情況調(diào)整導致項目不能做完或無法出具報告的:所涉及系統(tǒng)測評予以終止��。
八����、評分標準
采用綜合評分法,按照供應(yīng)商資質(zhì)�����、技術(shù)能力����、服務(wù)能力和報價均能滿足采購招標需求要求且綜合評分最高的為中標第一候選人,如得分有相同的�,則技術(shù)商務(wù)分高的單位排名在前,如技術(shù)商務(wù)分得分也相同��,則通過抽簽方式確定排序��。若中標單位放棄資格�,由中標第二候選人單位中標,以此類推����。
條款 | 評分因素 | 評分標準 |
技術(shù)商務(wù)標 (50分) | 公司 資質(zhì) (8分) | 1.具有信息安全管理體系認證證書(ISO27001)的得2分,沒有不得分�����; 2.具有質(zhì)量管理體系認證證書(ISO9001)的得2分���,沒有不得分�����; 3.具有中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心(CCRC)頒發(fā)的信息安全風險評估服務(wù)資質(zhì)的得2分��,沒有不得分����; 4.具有中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心(CCRC)頒發(fā)的信息系統(tǒng)安全運維服務(wù)資質(zhì)的得2分,沒有不得分����; 證明材料: 提供證明材料復(fù)印件并加蓋供應(yīng)商公章。 |
技術(shù) 實力 (24分) | 1.投標企業(yè)連續(xù)四年在CNAS能力驗證結(jié)果均為“滿意”的得2分�����; 2.投標企業(yè)出具任意一年CNAS能力驗證計劃結(jié)果通知單��,得分最高的得4分�����。 證明材料: 提供中國合格評定國家認可委員會出具的能力驗證計劃結(jié)果證書��、能力驗證計劃結(jié)果通知單復(fù)印件并加蓋投標企業(yè)公章���。 |
承擔本次項目的項目負責人(唯一)具備: 3.高級測評師得2分����; 4.信息安全保障人員認證證書(CISAW)得2分�����; 5.重要信息系統(tǒng)安全等級保護培訓2分����; 7.(ISC)2注冊信息系統(tǒng)安全專家(CISSP)得2分。 證明材料: (1)高級測評師需提供中國網(wǎng)絡(luò)安全等級保護網(wǎng)查詢頁面截圖���; (2)提供證明材料復(fù)印件加蓋公章�����; (3)提供近三個月社保記錄復(fù)印件并加蓋投標企業(yè)公章�����。 |
承擔本次項目的項目團隊人員具備: 8.ISG技能鑒定證書(合格)得2分 9.中華人民共和國人力資源和社會保障部����、工業(yè)和信息化部批準頒發(fā)的“信息安全工程師”證書得2分���。 10.高級測評師��,每人次得1分����,最高得2分。 11.信息安全保障人員認證證書(CISAW)���,每人次得0.5分��,最高得2分�。 12.重要信息系統(tǒng)安全等級保護培訓證書(CIIP-T)��,每人次得0.5分�����,最高得2分�。 證明材料: (1)高級測評師需提供中國網(wǎng)絡(luò)安全等級保護網(wǎng)查詢頁面截圖; (2)提供證明材料復(fù)印件加蓋公章���; (3)提供近三個月社保記錄復(fù)印件并加蓋投標企業(yè)公章�。 |
成功 案例 (6分) | 1.2019年以來大數(shù)據(jù)局或者政府信息中心(大數(shù)據(jù)中心)等保三級測評案例:每個案例得0.5分��,最高得2分����; 2.單個案例連續(xù)3年以上(含3年)得2分����; 3.單個用戶累計5年以上得2分���。 證明材料:提供合同復(fù)印件并加蓋供應(yīng)商公章。 |
服務(wù) 能力 (12分) | 1.提供本項目信息系統(tǒng)測評方案���,方案良好的得6-4分�����,方案一般的得3-1分�,不提供方案的不得分��; |
2.必要的服務(wù)響應(yīng)能力:到場服務(wù)響應(yīng)時間�����,1小時內(nèi)到現(xiàn)場響應(yīng)且響應(yīng)時間最快的得6分��,其次得3分���,到場響應(yīng)時間超過3小時不得分�; 證明材料:到場響應(yīng)服務(wù)時間以百度地圖(map.baidu.com)截圖為準。 |
注:上述條款技術(shù)商務(wù)標的資料需提供復(fù)印件并加蓋單位公章�。 |
報價標(50分) | 投標響應(yīng)基準價 | 滿足招標文件要求且報價最低的投標響應(yīng)報價為投標響應(yīng)基準價,其價格分為50分�����,按下列公式計算: 投標響應(yīng)報價得分=(投標響應(yīng)基準價/投標響應(yīng)報價)×報價權(quán)值×100 |
其它詳細內(nèi)容詳見附件
附件 等保測評項目評分招標文件11.23
