一、项目概况
1、项目名称:信息系统等保测评整改服务
2、招标范围:为6个信息系统提供等级保护整改服务,其中三级系统2个,二级系统4个。
3、资金来源:企业自筹。
4、最高限价:4万元
5、地点:宜宾市。
二、资格要求
1、投标人须满足《中华人民共和国政府采购法》第二十二条要求,包括:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必须的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加此采购活动前三年内,在经营活动中没有重大违法记录;
(6)法律、行政法规规定的其他条件;
(7)不允许联合体投标;
2、投标供应商须具备的其他资质如下:
(1)供应商的注册资金不低于500万元;
(2)供应商经营范围应包含“计算机系统集成”或“网络与信息安全管理咨询服务”;
(3)供应商须具备“网络与信息安全管理咨询、信息系统安全集成、信息安全系统技术服务”等以上三项中任意一项的ISO9001、ISO27001质量体系认证证书。
供应商需向宜宾市清源水务集团有限公司提供如下服务:提供网络、主机、应用系统安全加固设计方案(方案中需明确划分应用系统和硬件设备的整改负责范围,并明确硬件设备型号、参数及参考价格);提供符合等级保护要求的安全管理制度集服务;提供宜宾市清源水务集团有限公司在等级保护整改中所需的技术指导、咨询服务;配合指定的测评机构进行等保验收测评工作,以确保顺利通过等保测评(2 个三级系统、4个二级系统)。
根据国家信息安全等级保护相关政策要求,对宜宾市清源水务集团有限公司信息系统进行整体等级保护整改工作,并通过国家权威测评机构测评,最终通过公安部的备案认可。通过本次项目实现提升宜宾市清源水务集团有限公司信息安全水平和符合国家政策两项目标:
1. 要提升宜宾市清源水务集团有限公司信息安全管理水平,从组织、人员、制度和技术各个方面解决信息安全问题,形成符合宜宾市清源水务集团有限公司特点的整体信息安全保障体系;
2. 符合等级保护政策要求,达到等级保护三级\二级管理要求,并通过相关权威测评机构等保测评;
两个目标是一致的,符合等级保护政策是外在动力,提升信息安全管理水平是内在需求。
符合性原则:项目建设要符合国家等级保护政策和标准规范要求,通过专业等级保护测评机构的测评,最终在公安部门及上级主管单位完成备案;
适度安全原则:安全防护工作的根本性原则,指安全防护工作应根据重要信息系统的安全等级,平衡效益与成本,采取适度的安全技术和管理措施;
可控性原则:指相关的项目组人员(供应商)应具备可靠的职业素质和专业素质;项目实施过程中技术工具的使用可控,避免引入新的风险;项目过程可控性:要对整个安全防护项目进行科学的项目管理,实现项目过程的可控性;
最小影响原则:从项目管理层面和技术管理层面,项目的实施过程对信息系统正常运行的影响降低到最低限度,以确保日常业务的正常运行;
保密性原则:供应商项目参与人员签署协议,承诺对所进行的安全防护工作保密,确保不泄露重要信息系统安全防护工作重要和敏感信息。
前瞻性原则:为应对2019年12月1日施行的等保2.0新的相关标准,供应商在设计方案时应具备前瞻性,尽量减少宜宾市清源水务集团有限公司在等保整改建设方面的重复性投入。
国家信息安全相关文件:
《中华人民共和国网络安全法》
《关于信息安全等级保护工作的实施意见》
《信息安全等级保护管理办法》
《关于开展全国重要信息系统安全等级保护定级工作的通知》
《公安机关信息安全等级保护检查工作规范》
《关于开展信息安全等级保护安全建设整改工作的指导意见》
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》以及其他相关文件。
国信安标委组织制定的国家标准:
计算机信息系统安全保护等级划分准则
信息安全技术信息系统安全保护等级定级指南
信息安全技术信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护基本要求
信息安全技术信息系统安全等级保护管理要求
信息安全技术网络基础安全技术要求
信息安全技术信息系统通用安全技术要求
信息安全技术操作系统安全技术要求
信息安全技术数据库管理系统安全技术要求
信息安全技术信息系统安全工程管理要求
信息安全技术服务器安全技术要求
信息安全技术信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评要求
(六)设计独立
投标设计方案并非最终实施的设计方案,投标单位在中标后在必要时,须根据甲方之要求进行调整,且投标单位不得插手甲方设备采购流程。
四、评审办法及标准建议
本项目评审办法采用综合评分法。
详细评标办法
本项目实施工期为 60 个自然日(即2019年12月1日前,60 个自然日内完成所有整改内容并通过正式测评、完成备案流程止),方案设计制定工期15个自然日,在评标流程前完成,且不计入实施工期内。
(二)项目保密要求
投标商须保证对本项目实施中所获得任何资料和信息严格保密,并与宜宾清源水务集团有限公司签订保密责任书。
(三)项目培训要求
投标商在中标后,需要针对本次项目提供至少 1 个工作日的安全培训服务,包含安全设备介绍、日常运维操作等知识,同时针对技术类安全整改和管理类安全整改结果进行培训,便于宜宾市清源水务集团有限公司后期管理及运维。服务方应将培训费用(含培训教材费)及各项支出列入投标总价中。
(四)项目验收要求
成立由宜宾市清源水务集团有限公司采用专家验收会(或其它方式)组织项目整体验收。
按照宜宾市清源水务集团有限公司的要求,乙方(中标服务商)在宜宾市清源水务集团有限公司指导下,制定项目档案计划。
在服务到期后 5 天内,由用户单位采取组织会议集中验收方式进行项目验收,乙方(中标服务商)应提交项目验收的文件资料包括:
项目验收申请表;
项目合同和有关修改、调整情况的纪要文件;
各系统、设备实施服务过程文档、成果材料;
重大问题处理记录表(如有);
技术类和管理类安全整改报告;
安全设备实施报告;
项目总结报告;
项目实施所涉及到的相关统计数据资料、设备健康档案、整改培训、相关服务更新资料等文档汇集成册交付宜宾市清源水务集团有限公司。
六、递交投标文件地点:宜宾市路源街1号宜宾市清源水务集团有限公司(二楼会议室)
七、递交投标文件时间:2019年 9 月25日9时30分
八、联系方式
招标人:宜宾市清源水务集团有限公司
地址:宜宾市南岸路源街1号
电子邮箱:qyswztb@qq.com
联系人:钟先生、母女士
电话:0831-2331316
1、项目名称:信息系统等保测评整改服务
2、招标范围:为6个信息系统提供等级保护整改服务,其中三级系统2个,二级系统4个。
3、资金来源:企业自筹。
4、最高限价:4万元
5、地点:宜宾市。
二、资格要求
1、投标人须满足《中华人民共和国政府采购法》第二十二条要求,包括:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必须的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加此采购活动前三年内,在经营活动中没有重大违法记录;
(6)法律、行政法规规定的其他条件;
(7)不允许联合体投标;
2、投标供应商须具备的其他资质如下:
(1)供应商的注册资金不低于500万元;
(2)供应商经营范围应包含“计算机系统集成”或“网络与信息安全管理咨询服务”;
(3)供应商须具备“网络与信息安全管理咨询、信息系统安全集成、信息安全系统技术服务”等以上三项中任意一项的ISO9001、ISO27001质量体系认证证书。
(二)服务内容
从技术方面和管理方面对6个信息系统,其中二级系统4个(供水调度系统、公司官方网站、热线客户服务系统、人力资源流程管理系统),三级系统2个(营销业务管理系统、清源水务主体网络)等级整改提供方案设计、协助设备选型、指导、咨询等服务,协助宜宾市清源水务集团有限公司进行整改。供应商需向宜宾市清源水务集团有限公司提供如下服务:提供网络、主机、应用系统安全加固设计方案(方案中需明确划分应用系统和硬件设备的整改负责范围,并明确硬件设备型号、参数及参考价格);提供符合等级保护要求的安全管理制度集服务;提供宜宾市清源水务集团有限公司在等级保护整改中所需的技术指导、咨询服务;配合指定的测评机构进行等保验收测评工作,以确保顺利通过等保测评(2 个三级系统、4个二级系统)。
(三)服务期限
合同签订起至宜宾市清源水务集团有限公司完成所有等保整改、测评流程,并合格备案完成为止。三、技术要求
本次采购是对宜宾市清源水务集团有限公司营销业务管理系统、供水调度系统、官方网站、热线客户服务系统、人力资源流程管理系统、主体网络系统等6个信息系统提供等级保护整改服务。(一)总体要求
应严格按照国家相关法律、法规,根据差距评估报告,结合等级保护三级/二级的相关要求项,通过网络构架调整,安全设备部署并正确地配置其安全功能来实现。从制度、管理、应用、数据、主机、网络、桌面等各个层面分析存在的威胁和风险、明确不同的安全需求,对安全人员管理、安全计算环境、安全区域边界、安全通信网络、安全管理中心等方面进行建设和完善。协助宜宾市清源水务集团有限公司完成等级保护安全整改,设备选型,安全规划。。(二)服务范围
所有纳入等级保护范围的软件,硬件,网络环境及其他重要资产。(三)方案目标
通过详细设计方案设计工作实现以下目标:根据国家信息安全等级保护相关政策要求,对宜宾市清源水务集团有限公司信息系统进行整体等级保护整改工作,并通过国家权威测评机构测评,最终通过公安部的备案认可。通过本次项目实现提升宜宾市清源水务集团有限公司信息安全水平和符合国家政策两项目标:
1. 要提升宜宾市清源水务集团有限公司信息安全管理水平,从组织、人员、制度和技术各个方面解决信息安全问题,形成符合宜宾市清源水务集团有限公司特点的整体信息安全保障体系;
2. 符合等级保护政策要求,达到等级保护三级\二级管理要求,并通过相关权威测评机构等保测评;
两个目标是一致的,符合等级保护政策是外在动力,提升信息安全管理水平是内在需求。
(四)建设原则
宜宾市清源水务集团有限公司在项目实施过程中,将遵循以下原则:符合性原则:项目建设要符合国家等级保护政策和标准规范要求,通过专业等级保护测评机构的测评,最终在公安部门及上级主管单位完成备案;
适度安全原则:安全防护工作的根本性原则,指安全防护工作应根据重要信息系统的安全等级,平衡效益与成本,采取适度的安全技术和管理措施;
可控性原则:指相关的项目组人员(供应商)应具备可靠的职业素质和专业素质;项目实施过程中技术工具的使用可控,避免引入新的风险;项目过程可控性:要对整个安全防护项目进行科学的项目管理,实现项目过程的可控性;
最小影响原则:从项目管理层面和技术管理层面,项目的实施过程对信息系统正常运行的影响降低到最低限度,以确保日常业务的正常运行;
保密性原则:供应商项目参与人员签署协议,承诺对所进行的安全防护工作保密,确保不泄露重要信息系统安全防护工作重要和敏感信息。
前瞻性原则:为应对2019年12月1日施行的等保2.0新的相关标准,供应商在设计方案时应具备前瞻性,尽量减少宜宾市清源水务集团有限公司在等保整改建设方面的重复性投入。
(五)设计依据
本项目《信息系统等级保护安全体系建设方案》的设计过程中将严格按照国家的相关法律标准展开,符合宜宾市清源水务集团有限公司实际需求及满足等级保护建设规范,主要依据的标准文件包含如下:国家信息安全相关文件:
《中华人民共和国网络安全法》
《关于信息安全等级保护工作的实施意见》
《信息安全等级保护管理办法》
《关于开展全国重要信息系统安全等级保护定级工作的通知》
《公安机关信息安全等级保护检查工作规范》
《关于开展信息安全等级保护安全建设整改工作的指导意见》
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》以及其他相关文件。
国信安标委组织制定的国家标准:
计算机信息系统安全保护等级划分准则
信息安全技术信息系统安全保护等级定级指南
信息安全技术信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护基本要求
信息安全技术信息系统安全等级保护管理要求
信息安全技术网络基础安全技术要求
信息安全技术信息系统通用安全技术要求
信息安全技术操作系统安全技术要求
信息安全技术数据库管理系统安全技术要求
信息安全技术信息系统安全工程管理要求
信息安全技术服务器安全技术要求
信息安全技术信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评要求
(六)设计独立
投标设计方案并非最终实施的设计方案,投标单位在中标后在必要时,须根据甲方之要求进行调整,且投标单位不得插手甲方设备采购流程。
四、评审办法及标准建议
本项目评审办法采用综合评分法。
详细评标办法
| 评审内容 | 评分因素 | 分值 | 评审标准 | 说明 |
| 商务部分(35分) | 投标人机构情况 | 15 | 1.投标人具备质量管理体系认证证书ISO9001、信息安全管理体系认证ISO/IEC 27001,以上证书全部提供得5分,缺一项不得分。 2.投标人能同时提供中国信息安全测评中心(CNITSEC)颁发的信息安全风险评估服务资质(一级及以上)与中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估资质(三级及以上)的得5分,能够提供任意其中一个的得2分,没有不得分。 3.投标人具备的软件测试资质获得CNAS检验机构认可的,得5分,没有不得分。 |
资质或资格证 书复印件加盖 投标人公章 |
| 投标人业绩 | 15 | 投标人提供自2017年1月1日以来的项目案例 1.提供一份等级保护测评或整改项目案例得5分,没有不得分,满分5分。 2.提供一份软件测评或整改项目案例得5分,没有不得分,满分5分。 3.提供一份信息安全风险评估的项目案例得5分,没有不得分,满分5分。 |
合同证明材料 复印件加盖投标人公章 |
|
| 标书规范 | 5 | 投标文件制作规范,技术方案没有细微偏差情形的得5分;有一项细微偏差扣1分,直至该项分值扣完为止。 | \ | |
| 技术部分(55分) | 项目测试方案 | 30 | 1.全部满足招标文件技术要求内容的,得10分; 2.评审委员会对测评方案进行综合评审后,测评方案优秀的得10分,良好的得7分,一般的得3分。 3. 评审委员会对设计方案总体报价(主要针对设计方案中设备价格总计)进行对比,总体报价最低的得10分,高于最低价格30%以内得5分;高于最低价格30%但不高于最低价格50%得2分;高于最低报价50%以上不得分。 |
|
| 项目团队 | 25 | 1.本项目的技术负责人同时具备软件测评高级工程师、信息系统测评高级工程师证书、注册信息安全管理人员(CISO)证书、信息安全保障人员(CISAW)证书、注册信息系统审计师(CISP-A)证书、信息系统工程监理高级工程师证书的得10分;不能同时提供的,每提供一个以上证书得1分,满分10分。 2.本项目的项目经理同时具有软件评测高级工程师、注册信息安全管理人员(CISO)、信息系统审计师、信息系统工程监理高级工程师、信息系统测评高级工程师;同时具有以上全部认证的得10分;不能同时提供的,每提供一个以上证书得1分,满分10分。 3. 本项目实施团队中测试人员具有软件测试工程师每1人得1分,没有不得分,最高2分;具有信息系统测评工程师每1人得1分,没有不得分,最高2分。具有CISP证书,每1人得0.5分, 没有不得分,最高1分。满分5分。 |
提供相关人员 证书证明材料 、近三个月内投标人为其购买过社保的证明,加盖投标人公章。 |
|
| 价格部分(10分) | 价格评分 | 10 | 采用最优基准价法。所有经初步评审合格的参选人的服务费报价进行对比,服务费报价最低值即为参选总报价的最优基准价,最优基准价价格评分为满分10分,其他报价的得分计算方式为:高于最优基准价格的,每高1%(不足1%的按1%计算)扣0.3分;扣完为止。偏差率=100%×(参选人报价-评标基准价)/评标基准价。(以上所有计算取小数点后两位,第三位四舍五入)。 | \ |
五、售后实施服务要求
(一)项目周期要求本项目实施工期为 60 个自然日(即2019年12月1日前,60 个自然日内完成所有整改内容并通过正式测评、完成备案流程止),方案设计制定工期15个自然日,在评标流程前完成,且不计入实施工期内。
(二)项目保密要求
投标商须保证对本项目实施中所获得任何资料和信息严格保密,并与宜宾清源水务集团有限公司签订保密责任书。
(三)项目培训要求
投标商在中标后,需要针对本次项目提供至少 1 个工作日的安全培训服务,包含安全设备介绍、日常运维操作等知识,同时针对技术类安全整改和管理类安全整改结果进行培训,便于宜宾市清源水务集团有限公司后期管理及运维。服务方应将培训费用(含培训教材费)及各项支出列入投标总价中。
(四)项目验收要求
成立由宜宾市清源水务集团有限公司采用专家验收会(或其它方式)组织项目整体验收。
按照宜宾市清源水务集团有限公司的要求,乙方(中标服务商)在宜宾市清源水务集团有限公司指导下,制定项目档案计划。
在服务到期后 5 天内,由用户单位采取组织会议集中验收方式进行项目验收,乙方(中标服务商)应提交项目验收的文件资料包括:
项目验收申请表;
项目合同和有关修改、调整情况的纪要文件;
各系统、设备实施服务过程文档、成果材料;
重大问题处理记录表(如有);
技术类和管理类安全整改报告;
安全设备实施报告;
项目总结报告;
项目实施所涉及到的相关统计数据资料、设备健康档案、整改培训、相关服务更新资料等文档汇集成册交付宜宾市清源水务集团有限公司。
六、递交投标文件地点:宜宾市路源街1号宜宾市清源水务集团有限公司(二楼会议室)
七、递交投标文件时间:2019年 9 月25日9时30分
八、联系方式
招标人:宜宾市清源水务集团有限公司
地址:宜宾市南岸路源街1号
电子邮箱:qyswztb@qq.com
联系人:钟先生、母女士
电话:0831-2331316
2019年09月17日
