当前位置: 网站首页 >> 校务公开 >> 招标信息 >> 正文

太阳成tyc7111cc2023年度网络安全等级保护测评服务招标公告

2023年11月17日 15:16 来源:信息中心  作者: 点击:[]

一、谈判项目:2023年度网络安全等级保护测评服务

二、采购需求

本次项目预算金额:50000元(伍万圆整),超过此价格报价视为无效。

(一)项目目标

根据公安部关于开展重要信息系统和重点网站安全执法检查的工作要求,为更好的贯彻落实国家、省有关部门关于网络安全的要求,有效应对当前苏州市工业园区工业技术学校网络安全面临的威胁与挑战,全力做好苏州市工业园区工业技术学校重要信息系统网络安全保卫工作,亟需对苏州市工业园区工业技术学校的核心系统展开等保评测工作,通过该评测工作及时发现系统安全隐患并迅速进行整改,从而全面提升苏州市工业园区工业技术学校重要信息系统的网络安全防护水平,保障系统的安全、高效、稳定运行。

(二)供应商资格要求

1. 具有独立承担民事责任的能力;

2. 具有良好的商业信誉和健全的财务会计制度;

3. 具有履行合同所必需的设备和专业技术能力;

4. 有依法缴纳税收和社会保障资金的良好记录;

5. 参加采购活动前三年内,在经营活动中没有重大违法记录和行贿记录;

6. 具备网络安全等级测评与检测评估机构服务认证证书;

7. 被列为2023年度江苏省网络安全技术支撑机构或苏州市网络安全技术支撑单位名单;

8. 法律、行政法规规定的其他条件。

(三)项目实施内容

序号

项目名称

级别

服务类别

1

苏州市工业园区工业技术学官网系统

二级

网络安全等级保护测评服务

备注

通过对网络与信息系统进行系统边界梳理、资产识别、威胁分析、脆弱性识别、等保差距检查、安全渗透测试等一系列方式方法来实现信息系统的安全防护,建立信息安全防护体系,提高安全防护保障能力。

(四)等保测评内容

根据国家对网络安全等级保护工作的相关法律和技术标准要求,结合系统保护等级开展实施与之相应的测评工作,完成网络安全等级保护的测评后,提交信息系统的测评报告至本地公安等保办,等保测评主要包括以下内容:

1、安全物理环境

安全物理环境具体包括10个控制点:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护

2、安全通信网络

安全通信网络具体包括3个控制点:网络结构、通信传输、可信验证

3、安全区域边界

安全区域边界具体包括6个控制点:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证

4、安全计算环境

安全计算环境具体包括11个控制点:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信计算、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护

5、安全管理中心

安全管理中心具体包括4个控制点:系统管理、审计管理、安全管理、集中管控

6、安全管理制度

安全管理制度具体包括3个控制点:管理制度、制定和发布、评审和修订

7、安全管理机构

安全管理机构具体包括5个控制点:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查

8、安全管理人员

安全管理人员具体包括4个控制点:人员录用、人员离岗、安全意识教育及培训、外部人员访问管理

9、安全建设管理

安全建设管理具体包括10个控制点:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择

10、安全运维管理

安全运维管理具体包括14个控制点:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理

(五)测评实施原则

客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。

保密原则:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。

最小影响原则:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。

规范性原则:网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录。

质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,控制好项目的进度和质量。供应商应严格依照上述原则和国家等级保护2.0相关标准开展项目实施工作。

系统安全原则:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。

测评师规范原则:检测实施方工作人员必须通过公安部的等级保护等级测评师认证,持证上岗,经项目委托方确认资格后方可实施检测。

(六)其它说明

报价要求:本项目采用总价包干的方式。包括收集资料费、调查费、会议费、评审费、人员费、培训费、交通费、办公设备费、食宿费、风险费、保险费、税金、利润等政策性文件规定及合同包含的所有风险、责任等各项应有费用。合同价格不因服务期延长、物价变动及规范性、指导性、政策性文件等发生变化等因素而调整。

供应商必须说明其是否响应采购文件中提出的全部服务内容与要求,如果以其中某些条款不响应时,应在文件中逐条列出,未列出的视同响应。


(七)安全服务技术要求

按照《信息系统安全等级保护基本要求》等相关标准,对苏州市工业园区工业技术学校信息系统实施等保测评评估服务,明确信息系统存在的问题和不足,主要包括:

测评分析:通过调查问卷、人员访谈、文档查看、现场勘查、人工检查、记录分析、渗透测试等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与等级保护相应等级基本要求之间的差距,给出测评分析结果,提出信息系统的安全保护需求。

管理体系规划设计:针对信息系统的安全需求,规划设计管理体系,包括组织体系和制度体系。

技术体系规划设计:针对信息系统的安全需求和信息安全方针策略,规划设计技术体系,包括技术防护体系、技术管控体系和技术恢复体系。

安全评估具体技术要求如下:

评估范围

1

苏州市工业园区工业技术学校官网系统

时间要求

1

本次测评项目签订合同后60个工作日内完成,具体项目流程分为前期准备、现场实施、报告分析与编制、检查验收、总结验收五个阶段。


1

对相关重要信息系统进行等级保护测评分析。客观的评价以上重要信息系统在等级保护工作中取得的成绩,按照科学的评估方法,对信息系统的安全现状进行测评分析,分析信息系统保护现状和信息安全等级保护基本要求之间的差距,评估目前信息系统是否符合国家及行业等级保护的相关标准,并出具信息系统测评分析报告,为开展系统等级保护整改建设奠定基础。

2

协助苏州苏州市工业园区工业技术学校信息中心建立信息安全等级保护管理体系。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,结合等级保护提出的安全管理体系与等级保护基本要求之间的差距,在信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面指导并协助建立健全符合相应等级要求的安全管理制度。

3

协助苏州市工业园区工业技术学校信息中心进行信息安全等级保护安全技术整改。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,结合差距分析报告,综合重要信息系统的特点,明确安全需求,设计符合相应等级要求的信息系统安全技术建设整改方案,协助开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

报告文档

1

等级测评应出具测评分析报告,包含但不限于如下方面的内容:

《苏州市工业园区工业技术学校等级测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论等

《苏州市工业园区工业技术学校信息安全整改建议》,对评估过程中发现的安全漏洞及风险,供应商提出安全整改建议,包括但不限于如下方面:修改系统参数或配置文件、修改口令或用户授权、软件升级、系统补丁升级,及部署安全产品措施等。

宣贯国家信息系统等级保护政策,明确开展等级保护工作的目标、内容和要求;

全面掌握信息安全等级保护工作的政策、技术标准和实施办法,加强信息安全等级保护工作专业人员队伍建设;

使信息系统用户能够具备协助测评机构开展测评工作的能力,保障测评工作质量;

指导IT从业人员规划、设计和建设基于等级保护标准的信息系统及信息安全保障体系;

项目验收

1

本次项目的正式交付至少包括以下文件:

《苏州市工业园区工业技术学校等级测评报告》

《苏州市工业园区工业技术学校信息安全整改建议》

2

供应商应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。

3

供应商应提交验收流程、验收方法和验收依据。

4

供应商应提供交付件归档办法和方式。

(八)采购综合说明

采购特别要求

响应单位应本着认真负责的态度组织项目团队,响应文件中的项目组主要成员名单,在成交后不经采购人允许不得随意更改,否则,采购人有权作为违约处理直至终止合同。

响应单位必须具备江苏省信息安全等级保护协调小组颁发的信息安全等级保护测评机构推荐证书,必须具备独立完成本项目的能力,具有较强售后服务能力,成交后不得进行任何转包和分包。

响应单位应承诺响应文件中提供的响应单位资格、资质证明文件不存在隐瞒、与实际情况不符等情况,采购人保留在响应单位成交后对其相关资质、资格和能力进行考察验证的权利,如果存在重大差异,采购人有权取消或终止合同。

投标人提供2021年至今合同类业绩证明(至少5份合同复印件)。

总体要求:响应单位在提供本项目技术标书时,应提供可完成本技术标书中各项要求的项目方案,至少应包括下列内容:

服务机构基本情况介绍;

对本项目的理解;

项目实施思路、方法;

项目组织架构及分工职责;

项目交付成果目录(详细清单)及主要内容介绍;

项目验收标准或原则的建议;

既往案例:须提供本单位2021年至今实施等级保护测评案例及相关证明文件(不少于5个)

相关附件(包括投标要求提供的资料以及响应单位认为有必要提供的其他相关资料)

方案编制要求

响应单位提供的方案要求包括但不限于以下组成部分:

需求分析

等级测评方案

实施细则

工作流程图

参照标准

成功案例

项目实施组织管理要求

根据苏州市工业园区工业技术学校信息办的要求,项目开展过程中的主要工作均由成交人谋划、部署、执行,要求成交单位的团队成员应为信息安全及企业信息安全服务专家,既深刻了解国际、国内信息安全的发展状况,又熟悉苏州市工业园区工业技术学校信息化的实践和发展趋势,并能有机地结合国内外先进的安全服务经验,从而为苏州市工业园区工业技术学校信息办提供最有效的安全服务方案。

项目团队在项目经理统一安排下开展具体工作,项目实施期间,项目经理必须进行协调、监督项目的进度和质量,及时发现问题和风险,提出改进措施,确保项目实施成功。

信息安全与知识产权要求

响应单位在投标文件中应说明项目实施过程中如何保证信息安全与知识产权保护事宜。应承诺严格遵守招标人关于信息安全方面的规定,自觉保守招标人的商业秘密。招标人为方便项目实施所提供给响应单位的工作流程、管理模式、试验数据、规程、程序等相关资料文档以及开发过程中所产生的资料、文档、数据均属于招标人的信息资产,响应单位应承诺成交后,在项目实施过程中保证这些信息在项目期间及项目后规定时间内的安全。

(九)服务期要求

本次测评项目签订合同后60 个工作日内完成,具体项目流程分为前期准备、现场实施、报告分析与编制、检查验收、总结验收五个阶段。

(十)响应文件需递交材料

1.文件组成:

(1)关于资格文件的声明函(附件1);

(2)竞争性磋商报价表(附件2);

(3)企业法人授权委托书;

(4)供应商磋商代表本人有效身份证件复印件、企业法人身份证复印件;

(5)磋商供应商法人营业执照副本复印件;

(6)2021年以来类似项目业绩一览表;

(7)磋商供应商投入本项目的团队人员配置情况表;

(8)等级保护测评方案。

(9)其他应需要提交的材料

2.文件要求:

(1)响应文件数量:一本正本,二本副本,需装订成册;

(2)响应文件以中文为准;

注:欢迎符合条件的响应单位前来参加。请各响应单位将符合以上要求的文件及证书加盖响应单位公章后装订成册密封送达,封面注明响应单位名称、投标项目名称、联系人、联系电话。

3.响应文件递交时间、地点:

(1)递交响应的截止时间:2023年11月30日17时;

(2)响应递交地点:苏州工业园区松涛街208号;

(3)响应递交联系人、联系方式:徐海波(0512-62932402)

(十一)评分标准:

本次磋商采用综合评分法,即在响应文件满足磋商文件全部实质性要求且按评审因素的量化指标评审得分最高的供应商为成交供应商。采购人书面授权磋商小组直接确定成交供应商。

1.价格得分(50分)

价格分统一采用低价优先法计算,即满足磋商文件要求且最后报价最低(未超采购预算)的供应商的价格为磋商基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:

磋商报价得分=(磋商基准价/最后磋商报价)×价格权值×100

2.测评方案内容比较及供应商质量保证(50分)

(1)测评服务方案的完整性和专业性比较(20分)

Ø 针对服务内容及服务方法有详细说明(5分);

Ø 有规范的服务标准及详细工作流程(5分);

Ø 等级保护测评过程中的风险规避措施(5分);

Ø 项目实施方案包括时间计划、工具配备及人员的分工安排等(5分)。

(2)教育行业案例(10分)

Ø 提供2021年1月1日至今签订的教育行业等级保护测评项目业绩比较,每提供一份得2分,最高10分。

(3)本地化人员服务机构比较(5分)

Ø 在苏州市具有固定售后服务场所并满足15人及以上测评师(提供本地缴纳近三个月社保证明)(5分)。

(4)供应商实力比较(15分)

1) 获得2022-2023苏州市网络安全技术支撑优秀单位(3分);

2) 具有中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质证书的(3分);

3) 具有江苏省企业信用贯标证书(3分)。

4) 项目经理具有IT服务项目经理资格证书(ITSS)(3分)

5) 项目组成员具有注册信息安全工程师证书、注册渗透工程师(CISP- PET)证书、CCSC网络安全能力认证证书(3分)


采购(甲方)单位为苏州市工业园区工业技术学校

联系人:徐海波 电话:0512-62932402