张家口职业技术学院信息系统等级保护测评项目招标公告

正文内容

一、招标内容： *.项目介绍 为了提升学院各信息系统的安全保护能力，加强信息安全管理，根据《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护基本要求》等法规和标准的要求，需对*********教务系统（三级）、门户网站系统（二级）两个信息系统相应指标进行测评。通过实施等保测评，准确反映学院待测信息系统的安全防护能力现状，对发现的问题进行深入分析，提出安全整改建议，指导完**全技术与管理的整改，最终出具信息系统等级保护测评报告、整改建议。 *.项目预算： 本项目最高限价为：人民币**.*万元。 二、采购清单及服务时间 本次参与信息系统安全等级保护测评的为以下信息系统，相应的等级如下： 序号 信息系统名称 安全保护等级 业务信息安全（S） 系统服务安全(A) * 教务系统 第三级 第三级 第三级 * 门户网站系统 第二级 第二级 第二级 服务时间：合同签订后**个工作日内完成。 三、供应商资质要求 *.投标人应当遵守我国的有关法律、法规，具备《中华人民**国政府采购法》第二十二条规定的条件； *.提供有效的营业执照、税务登记证、组织机构代码证（或三证合一的营业执照）（复印件加盖公章） *.投标人须提供**部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》（复印件加盖公章） *.本项目不接受联合体投标。 资格审查要求：以上材料提交截止时间为****年*月*日（星期一）**:**；请以邮寄方式或彩色扫描件发送电子邮件方式提交。 邮寄地点：**省****经开区胜利南路**号*********现代教育技术中心（知行楼***室） 电子邮箱：*********** 联系人电话：米老师 ****-******* 四、技术要求 *.信息系统备案 协助*********按照《信息安全等级保护备案实施细则》要求完成定级、备案材料的整理及在**机关相关部门备案工作。 *.初次测评 检查*********被测系统现状，参照《信息安全技术网络安全等级保护基本要求》（GB/T *****-****）从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面进行差距分析，依据《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T *****-****），对系统进行初次安全评估。 通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。初次测评内容如下： 安全物理环境：包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。 安全通信网络：包括网络架构、通信传输、可信验证等内容。 安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。 安全计算环境：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。 安全管理中心：包括系统管理、审计管理、安全管理、集中管控等内容。 安全管理制度：包括安全策略、管理制度、制定和发布、评审和修订等内容。 安全管理机构：包括岗位设置、人员配备、授权和审批、沟通和**、审核和检查等内容。 安全管理人员：包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等内容。 安全建设管理：包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等内容。 安全运维管理：包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等内容。 *.等保整改 协助*********按照《信息安全等级保护管理办法》《关于开展信息系统等级保护安全建设整改工作的指导意见》《信息安全技术网络安全等级保护测评过程指南》（GB/T *****-****）、《信息安全技术网络安全等级保护安全设计技术要求》（GB/T *****-****）等有关管理规范和技术标准，制**全管理制度、落实安全责任，建议安全技术设施，落实安全技术措施。 通过安全建设整改，确保信息系统通过相应级别的安全等级评测。 *.二次测评 此阶段是网络安全等级测评完整实施阶段，通过对整改后的系统进一步分析和梳理，并按照《等级测评报告模板****版》编写等级测评报告。 *.报告编制 通过对现场测评获得的测评证据和资料，判定单项测评结果及单元测评结果，然后进行整体测评和风险分析，形成等级测评结论，按照《信息系统安全等级测评报告模版（****年版）》编写等级测评报告。 五、售后要求与文档提交要求 *.售后服务要求 （*）免费咨询服务：自项目验收之日起一年。 （*）售后服务机构及服务团队构成： 投标人的项目成员要求至少*名安全等级保护测评师服务，其中不少于*名高级测评师，不少于*名中级测评师。 *.服务文档的提交要求 （*）测评方案； （*）整改建议； （*）测评报告； （*）**部门出具的信息系统安全等级保护备案证明。 六、验收标准及支付方式 项目验收： *.等级保护测评工作最终目标是输出等级保护测评报告，该项目将产生一定数量的文档。 *.投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。 *.投标人应提交验收报告，验收报告需双方代表签字、单位盖章认可。 项目交付后由采购人根据合同、招标文件、报价文件组织验收。 项目文档： *.投标人提供的资料应使用国际单位制（SI），语言为中文。 *.资料的组织结构清晰、逻辑性强。资料内容要正确、准确、一致、清晰、完整。如所供资料不能达到要求时，投标人应免费给予补充。 *.投标人资料的提交应及时充分，满足项目进度要求。 *.投标人完成项目后应提供以下文档： 序号 文档名称 提交数量 备注 * 《测评方案》 * 纸质签字版 * 《整改建议》 * 纸质签字版 * 《测评报告》 * 纸质盖章版 * 《备案证明》 * / 注：实施期不包含整改时间 支付方式：项目验收合格后，*个工作日内，凭发票支付款项。 七、质量保证与技术服务 *.质量保证 投标人在项目方案设计、实施、验收的各个阶段，均应满足各系统正常稳定运行的要求。 投标人出具的等保测评报告应满足*****局相关部门的认可，并完成相应系统的等级保护备案工作。 *.技术服务与保密要求 *）现场服务人员要求 投标人应与招标方签订保密协议，对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据侵害询价方的权益，否则询价方有权追究投标人的责任。 投标人工作中的过程和文档，应具有规范性，便于项目跟踪和控制。 *）技术支持服务要求 测评工作本身也会引入安全风险，必须加强测评过程中的风险控制。项目实施前，双方应充分讨论并明确测评对系统可能带来的风险和隐患，确定测评对象、测评方法和工具。 （*）操作的申请和监护 测评操作必须遵守现场运行规章制度，确保系统安全稳定运行。如需在线测试，按照相关工作规程，事前申请，并在专责人员的指导和监护下进行。 （*）人员与数据管理 重视保密工作，加强测评过程中的保密管理，确保参与测评工作人员的可靠、稳定，防止敏感信息泄漏。 （*）测评对象选择 优先选择备用设备（系统）或临时搭建的模拟环境进行测评，避免影响在线系统运行。 *）保密要求 投标人承担被测评单位敏感信息的保密责任，在项目实施过程中，双方需要复制对方提供的相关资料时，应提交书面申请，在得到对方书面同意后方可复制，并将数据内容记录成表，签字确认。 未经双方书面同意，不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。项目结束后，双方必须互相确认测评过程中提供的相关资料，相互承担保密责任。 八、评标办法 序号 评分因素 满分 评分内容 * 价格部分（**.**） **.** 满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分。 其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价 /投标报价)X**.**。 * 商务部分 （**.**） **.** 投标单位自****年*月*日起签订类似合同案例，每提供一个得*分，最多得**.**分。注:须提供完整的合同复印并加盖单位公章，否则不得分。 **.** 投标单位具有《****年网络安全等级保护测评能力验证计划》（评价结果需为：满意（优秀））得*.**分； 投标单位具有《NECAS全国商品售后服务达标认证证书》（认证范围需包括等级保护测评）得*分。 投标单位具有数据管理能力成熟度（DCMM）证书得*.**分。 投标单位具有高新技术企业证书得*.**分。 **.** 项目团队提供*名同时具有安全防范评估师证书和测评师证书的人员得*.**分，缺项或不提供不得分。 项目团队提供*名同时具有中级测评师证书、PMP、CISP、数据安全评估师的人员得*.**分，缺一项或不提供不得分。 项目组提供一名同时具有初级或以上测评师证书、安全防范设计评估师证书、CIIP-A证书、售后服务高级管理师证书、PMP、数据安全官的人员得*.**分，缺一项或不提供不得分。 在项目测评过中基于对网络安全、数据恢复等应急处置的考虑，应提供一名同时具有NSATP-A（注册网络安全渗透评估专业人员）和高级信息安全管理工程师的人员得*.**分，缺一项或不提供不得分。 * 技术部分 （**.**） **.** 根据投标人提供的整体实施计划与服务方案详细程度、可行性、合理性等进行评分： 服务方案内容详细完整、科学合理，针对性、操作性强，充分满足本项目需求，优秀得**.**-**.**分；良好得**.**-**.**分；一般得*.**-**.**分；较差得*-*.**分。 未提供任何的项目服务方案不得分。 **.** 根据采购需求制定详细的质量保证方案与质量控制措施： 提供的质量保证方案与质量控制措施内容完整、详实可行，针对性强，优于其他供应商，优秀得**.**-**.**分；良好得**.**-**.**分；一般得*.**-**.**分；较差得*-*.**分。 未提供质量保证方案与质量控制措施不得分。 **.** 提供的售后服务方案内容详细完整、科学合理，针对性、操作性强，充分满足本项目需求，优秀得*.**-**.**分；良好得*.**-*.**分；一般得*.**-*.**分；较差得*分。 未提供任何的售后服务方案不得分。 九、响应文件递交时间 响应文件递交截止时间：****年*月**日（星期三）**:**，材料密封、盖章，并加盖骑缝章。 材料递交地点：**省****经开区胜利南路**号*********现代教育技术中心（知行楼***室） 联系人电话：米老师****-******* 十、采购部门组织询价评审专家对响应文件进行评审，从投标报价、招标文件响应程度、方案等方面对所有投标人的投标文件进行综合评审，得分最高的投标人中标。