(编号20230921)
一、项目概况
(一)项目名称:信息系统网络安全及等级保护测评服务项目
(二)项目概况
针对淄博师专�网站群请系统、淄博师专�智慧校园安防平台提供网络安全基线核查、漏洞扫描、主机加固、等级保护测评、人员培训等服务,进一步提升相关系统的安全防护能力。主要服务包括:
1.网络安全基线核查、漏洞扫描及加固服务
每季度开展安全服务,对相关系统的运行状况和安全基线进行检视,对存在漏洞的情况进行扫描和验证,对相关安全设备的策略进行优化调整,并出具详细报告进行说明、提出整改意见建议。为保证安全防护效果,首次巡检服务结束后,提供一次针对相关主机系统的加固服务。
2.网络安全等级保护测评服务
按照网络安全等级保护(等保2.0)标准和工作要求,由中标单位或由中标单位委托具有相关资质的第叁方开展等级保护测评工作,通过系统定级梳理,协助完成系统的等级保护定级与备案工作;针对信息系统提供正式的等级保护测评,出具公安主管单位认可的测评报告,并上报公安主管机关备案。
3、网络安全培训服务
提供等级保护测评相关服务提高等级保护测评准备工作的针对性、质量和效率;提供信息安全意识培训,提高受众人员的安全意识和防护能力。
二、项目内容及需求
(一)网络安全基线核查、漏洞扫描及加固服务
1、网络安全基线核查服务:由网络安全工程师定期上门,对相关系统的重要服务器、操作系统、网络设备、安全设备、中间件、数据库等基于信息安全风险的角度进行配置核查,检测网络设备的安全策略弱点和部分主机的安全配置错误等安全隐患,提出整改建议,指导优化配置策略,从而达到相应的安全防护要求;服务每季度开展一次,共4次。
交付成果:基线核查报告。
2、漏洞扫描及人工核验服务:由网络安全工程师通过专�业扫描系统,对指定主机操作系统、数据库、中间件等进行漏洞、弱口令、信息泄露等安全因素进行扫描,扫描完成后由安全专�家对漏洞进行确认测试,核验其准确性,并提交完整报告、提出整改建议;服务每季度开展一次,共4次。
交付成果:漏洞扫描报告。
3、主机系统安全加固服务:增强相关主机系统的安全性,其中包括确保操作系统按照最佳安全实践进行配置、移除不必要的服务和应用、应用最新的安全补丁、设置恰当的文件和目录权限、配置安全的用户账户和密码策略、管理和限制系统服务与进程、以及启用日志记录和监控来追踪和报告潜在的安全事件;共提供1次服务。
交付成果:主机系统加固方案及报告。
(二)网络安全等级测评服务
1、测评系统名称及范围
(1)淄博师专�网站群系统:含网站群所有子站点。
(2)淄博师专�智慧校园安防平台:含安防监控、轨迹跟踪、人脸库平台及访客系统等功能模块。
2、系统调研与定级梳理
依据《信息系统安全等级保护定级指南》(骋叠/罢22240-2008)的要求,遵循规范的流程,形成定级建议书。
3、提供等级保护测评服务
根据定级梳理结果,按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)对上述系统进行信息安全等级保护现状测评。
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。
4、出具测评报告和整改方案
根据测评过程中发现的安全隐患,遵循适度安全原则,提出信息系统安全等级保护整改建议,出具测评报告和整改方案。根据测评报告和整改方案系统地进行整改,整改工作是对信息系统完善的过程,通过建立整改方案和有效的整改工作,使系统能够进一步完善,达到等级保护的要求。
5、项目实施完成后提交交付物
《信息系统等级保护备案表》;
《信息系统等级保护定级报告》;
《信息系统测评方案》;
《信息系统等级测评报告》;
项目实施过程中的其他材料等。
6、测评要求
?网络安全等级测评包括安全技术测评和安全管理测评:
?安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全技术测评;
?安全管理测评:安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全管理测评。
?安全物理环境:针对物理环境安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全通信网络:针对通信网络安全方面的“网络架构”、“通信传输”、“可信验证”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全区域边界:针对边界安全方面的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全计算环境:针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“备份和恢复”、“剩余信息保护”、“个人信息保护”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理中心:针对安全管理中心方面的“系统管理”、“审计管理”、“安全管理”、“集中管控”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理制度:针对安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”、“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理机构:针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全管理人员:针对安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全建设管理:针对安全建设管理方面的“定级和备案”、“安全方案设计”、“产物采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”、“服务供应商管理”等测评指标,判断出与其相对应的各测评项的测评结果。
?安全运维管理:针对安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”、“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
?通过详细的系统调研,开展对信息系统(以现场调研系统为准)的等级保护测评工作,找出安全现状与标准要求��之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。
?通过现场测评,逐项找出系统现状与国家相关标准要求��之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案。
?待整改完毕后,进行结果确认,完成网络安全等级保护测评(等保2.0),出具测评报告。
7、测评依据
?《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
?《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
?《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2020)
?《信息安全技术信息系统安全等级保护实施指南》
?《信息安全技术信息系统安全等级保护测评要求》
?《信息安全技术信息系统安全等级保护测评过程指南》
?公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《对于信息安全等级保护工作的实施意见》(公通字摆2004闭66号);
?公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字摆2007闭43号)。
?《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
?《信息安全技术信息系统通用安全技术要求》(骋叠/罢20271-2006)
?《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)
?《信息安全技术操作系统安全技术要求》(GB/T 20272-2006)
?《信息安全技术数据库管理系统安全技术要求》(骋叠/罢20273-2006)
?《信息安全技术服务器技术要求》(GB/T 21028-2007)
?《信息安全技术终端计算机系统安全等级技术要求》(GA/T 671-2006)
?《信息安全技术信息系统安全管理要求》(骋叠/罢20269-2006)
?《信息安全技术信息系统安全工程管理要求》(骋叠/罢20282-2006)
?GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
?其他网络安全等级保护相关新标准等。
(叁)网络安全培训服务
1、等级保护培训:供应商应为采购人提供全面的信息安全等级保护工作培训服务,确保采购人能够了解并掌握等级保护定级、备案、建设整改、等级测评和监督检查等工作要求。对相关工作人员进行信息安全政策、法规、技术、标准等内容的培训工作。培训时间、参训人数由采购人确定。
2、网络安全意识培训:供应商应为采购人提供针对全员的网络安全意识培训,提供不少于2人次的针对管理者和 IT 负责人的安全意识、战略规划、信息安全技术等培训,了解国内外信息安全发展和现状等。
供应商须在响应文件中列明相应的培训地点、时间和培训课程、培训内容,并提供培训方案。
叁、服务工期要求
1、网络安全基线核查、漏洞扫描及加固服务:供应商须从合同签订��之日起15日内完成首季度服务,��之后按照每季度一次的频次提供后续服务。
2、等级保护测评服务:供应商须从合同签订��之日起30日内,科学、公平、公正的角度编制测评测试报告,最终协助用户完成定级、备案,并出具最终测评报告等。
3、网络安全培训服务:供应商应在按照投标响应文件和合同签订时商定的具体时间开展相关培训服务,并在合同签订后的一年内完成所有培训工作。
四、项目报价方式
报价为系统建设完毕正常运行后的含税最终价格,不超出预算金额8万元,报价包含此项目产生的所有费用(二次报价,报价表见附件1)。
五、付款方式
本项目无预付款,双方签定合同,完成全部服务内容并经验收合格开具发票后,根据财政资金到位情况,付至合同约定总价的100%。
六、评分标准
见附件2。
七、其他要求
1.服务原则:
补.符合性原则:符合国家信息安全测评有关规范,指出防范的方针和保护的原则;
产.标准性原则:等级测评发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行;
肠.规范性原则:安全服务提供商在项目实施工作中的过程和文档,应具有很好的规范性,可以便于项目的跟踪和控制;
诲.可控性原则:安全服务的方法和过程要在双方认可的范围��之内,保证对于服务工作的可控性;
别.整体性原则:测评及整改建议的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
蹿.最小影响原则:测试及扫描工作应尽可能小的影响系统和网络的正常运行,不能对各系统的运行和业务产生显着影响;
驳.保密原则:应对服务过程中获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害利益的行为,否则有权追究其责任。
2.保密要求:
供应商应提供保密承诺,并签订保密承诺书,自签订合同��之日起至项目验收,采取必要的控制措施防止因项目实施造成的任何信息泄漏。
3.风险规避:
供应商应提供风险规避声明,自签订合同��之日起至服务期结束,采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。
4.管理体系完善:
供应商应同时协助完善规章制度和协助完成问题整改,从而达到网络安全等级保护(等保2.0)标准。
八、磋商须知
(一)投标方资质要求:
1、持有《营业执照》、《税务登记证》、《组织机构代码证》或叁证合一证件,且证件在有效期内。
2、认真贯彻顾客至上的经营理念、质量优良,具有良好的信誉和售后服务。
3、符合《中华人民共和国政府采购法》第二十二条的规定。
(二)投标书要求:
1、要求简易制作,一式五份,密封加盖单位公章。
2、投标书应包括如下内容:
(1)投标方基本信息;
(2)资质证明材料:各种证件、授权书等须加盖公章;
(3)投标报价表;
(4)项目实施方案;
(4)服务承诺;
(5)其他资料(证明技术实力的相关资料,如成功案例等)。
九、磋商工作安排
1、资质审查时间:2023年9月26日上午9:00
2、开标时间:2023年9月26日上午9:00
地点:淄博师专�项目磋商室(超市楼南侧,地点若有变动临时通知)
3、报名和标书获取方式:现场报名,从学校网站自行下载标书。
报名截止时间:2023年9月25日下午17:00
答疑咨询电话:0533—3821899(梁老师)。
招标办电话:0533-3821161(张老师)。
十、磋商原则
(一)公开、公平、公正的原则。
(二)综合评比的原则。结合投标方资质、报价、质量与服务、响应标书能力、信誉、业绩等因素,由评标小组集体确定中标单位。坚持性价比优先,不保证最低价中标,中标结果不对投标方进行解释。招标现场满足招标文件要求的供应商不足2家时,可改为单一谈判采购。
(叁)严肃招标纪律,遵守招标程序,严格保密,招标后严禁以任何形式将评标意见和商家投标信息透露给其他人员。
附件1:报价表
91传媒
信息系统网络安全及等级保护测评服务项目报价表
(招标编号:20230921)
序号 |
名称 |
最终优惠总价 |
备注 |
1 |
信息系统网络安全及等级保护测评服务 |
|
|
合计(大写): (小写): |
备注说明: |
注:报价为项目完毕验收合格后所有费用含税总价。
报价单位: (公章)
投标代表签字: 电话:
报价日期:2023年月日
附件2:评分标准
评审 因素 |
分值 |
评分标准 |
报价 部分 10分 |
报价得分 10分 |
满足招标文件要求且最终评审价格的平均值为评标基准价,其价格分为满分。其他报价得分=评标基准价/最终评审价×10%×100。超出预算控制价的最终报价为无效报价。 |
技术 部分 70分 |
综合说明 20分 |
对项目需求理解准确、到位,服务理念层次分明;服务方案内容丰富、清晰明确;工作目标明确;管理制度完善;整体设想和策划合理可行;服务工作程序规范、切实可行,能够满足采购需求的,得20 分;方案中每有一处缺陷或不足��之处减 1 分,减完为止。 |
重点难点分析 10分 |
对项目实施过程中的重点、难点分析阐述清晰、明确、透彻详尽,切合项目实际情况,且应对措施切实可行,实用性强,得10 分;措施中每有一处缺陷或不足��之处减 1 分,减完为止 |
服务方案 10分 |
安全服务人员专�业、经验丰富、实用性强、符合本项目要求,得10分;每有一处缺陷或不足��之处减 1 分,减完为止。 |
管理措施 10分 |
针对本项目的档案管理及保密措施是否全面、切实可行,有完善的质量保证体系和质量保证措施、安全保障措施,能有效的保障工作效率及工作成果,得10 分;措施中每有一处缺陷或不足��之处减 1 分,减完为止 |
培训方案 10分 |
培训工作人员、培训内容、培训时间、培训方法、培训方案合理,实用性强,符合本项目的实际需求,同时培训人员熟悉设备性能和操作熟练,得10 分;方案中每有一处缺陷或不足��之处减 1 分,减完为止。 |
人员配备 10分 |
人员安排分工明确、专�业配置分工合理、人员配备完全优于本项目的服务需求,得10 分;每有一处缺陷或不足��之处减 1 分,减完为止。 |
商务 部分 20分 |
公司业绩 5分 |
自2020年1月1日以来签订的类似业绩,每提供一项得2.5分,最高得5分。(投标文件中须提供合同复印件加盖公章,否则不得分)。 |
专�业技术能力 5分 |
①项目经理具有 CISAW 或 CISP 证书的,得 1 分。 ②项目团队成员每拥有一个 ITIL 认证/系统集成项目管理工程师/CISP/CISAW/高级网络工程师/高级信息安全师认证证书的,得 1 分,此小项最多得 3 分。 ③团队人员中具有国家部门颁发的网络安全培训讲师类认证资质证书的得 1 分。 |
服务承诺 10分 |
服务承诺内容完整包含全部服务流程、后续服务跟进承诺、应急措施服务承诺、响应时间等多项服务内容、且服务内容及措施实用性强,得10 分;由评标委员会根据服务承诺内容完整程度、实用程度以及响应时间等进行评定,每有一处缺陷或不足��之处减 1 分,减完为止。 |
