根据《四川司法警官职业学院采购管理办法》,我院拟采取竞争性磋商方式采购信息系统等级保护测评服务,欢迎符合条件的供应商参加。
一、项目概况
1、项目名称:四川司法警官职业学院信息系统等级保护测评服务采购项目
2、项目编号:jycg2022038
3、采购方式:竞争性磋商
4、项目预算:15万
二、投标人资格要求
(一)对投标人的要求
1、具备独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必需的设备和专业技术能力;
4、有依法交纳税收和社会保障资金的良好记录;
5、投标人参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6、法律、行政法规规定的其他条件。
(二)本项目特定条件
1、具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》;
2、投标人不处于行政处罚期内;
3、本项目不接受联合体投标。
(三)资格审查
1、磋商人具有独立承担民事责任和具有相关专业资质,提供营业执照或具有独立承担民事责任的相关证明材料;
2、投标人资格要求——对投标人的要求第2至5项,提供承诺函;
3、本项目特定条件第1项,提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》复印件;
4、 本项目特定条件第2项,提供承诺函。
注:所有承诺函、复印件、资格证明等资料需与原件一致,并加盖投标供应商鲜章。
三、项目工作内容及要求
1、测评对象
系统名称 |
安全等级 |
门户站群系统 |
二级 |
数字校园系统 |
二级 |
I警院及一卡通系统 |
二级 |
2、测评要求
按照网络安全等级保护测评依据开展测评工作。
1、安全物理环境
安全物理环境检查主要是了解信息系统的物理安全保障情况,涉及对象为机房。在内容上,安全物理环境层面测评实施过程涉及的工作单元,具体如下表:
表1 安全物理环境测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
物理位置的选择 |
检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 |
物理访问控制 |
检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 |
防盗窃和防破坏 |
检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 |
防雷击 |
检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 |
防火 |
检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 |
防水和防潮 |
检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 |
防静电 |
检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8 |
温湿度控制 |
检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9 |
电力供应 |
检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10 |
电磁防护 |
检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
2、安全通信网络
安全通信网络检查主要是了解系统的网络架构和通信传输等,涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上,安全通信网络层面测评过程涉及的工作单元,具体如下表:
表2 安全通信网络测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
网络架构 |
检查核心设备的CPU和内存使用率,整个网络带宽是否满足现状,VLAN划分是否合理,网络架构是否做到设备冗余、链路。 |
2 |
通信传输 |
检查数据在传输过程中的的完整性和保密性措施。 |
3 |
可信计算 |
检查设备是否进行可信验证。 |
3、安全区域边界
安全区域边界检查主要是了解系统在网络边界的防护措施,涉及对象为防火墙、入侵检测、安全审计等安全设备。在内容上,安全区域边界层面测评实施过程涉及的工作单元,具体如下表:
表3 安全区域边界测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
边界防护 |
检查网络边界是否有访问控制设备,访问控制策略是否合理,是否关闭了闲置端口等。 |
2 |
访问控制 |
检查网络中的访问控制策略是否合理、有效。 |
3 |
入侵防范 |
检查网络中是否采用了入侵防范措施,验证该措施是否有效。 |
4 |
恶意代码和垃圾邮件防范 |
检查网络中是否有恶意代码和垃圾邮件防范措施。 |
5 |
安全审计 |
检查网络中是否有综合安全审计措施。 |
6 |
可信验证 |
检查设备是否进行可信验证。 |
4、安全计算环境
安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施,涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上,安全计算环境层面测评实施过程涉及的工作单元,具体如下表:
表4应用系统安全测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
身份鉴别 |
检查所有设备的登录用户是否有身份鉴别措施,是否有复杂度、唯一性等检查。 |
2 |
访问控制 |
检查用户的权限分配情况,默认用户和默认口令使用情况等。 |
3 |
安全审计 |
检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。 |
4 |
入侵防范 |
检查设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
5 |
恶意代码防范 |
检查设备的恶意代码防范情况。 |
6 |
可信验证 |
检查设备是否进行可信验证。 |
7 |
数据完整性 |
检查系统数据的传输完整性和存储完整性措施。 |
8 |
数据保密性 |
检查系统数据的传输保密性和存储保密性措施。 |
9 |
数据备份恢复 |
检查系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
10 |
剩余信息保护 |
检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
11 |
个人信息保护 |
检查系统对个人信息的采集和使用情况。 |
5、安全管理中心
安全管理中心检查主要是了解系统在管理、审计等集中管理的情况,涉及对象为综合管理类设备、综合审计类设备等。在内容上,安全管理中心实施过程涉及的工作单元,具体如下表:
表5安全管理中心测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
系统管理 |
检查是否对系统管理员进行统一的身份鉴别,操作审计等。 |
2 |
审计管理 |
检查是否对审计管理员进行统一的身份鉴别,操作审计等。 |
3 |
安全管理 |
检查是否对安全管理员进行统一的身份鉴别,操作审计等。 |
4 |
集中管控 |
检查是否划分独立的安全管理区域,是否对网络中运行的设备进行状态监测、日志审计、安全审计等,是否对补丁、恶意代代码进行统一管理。 |
6、安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元,具体如下表:
表6安全管理制度测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
安全策略 |
核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目 标、范围、原则和各类安全策略 |
2 |
管理制度 |
检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
3 |
制定和发布 |
检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
4 |
评审和修订 |
检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
7、安全管理机构
安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况,主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及的工作单元,具体如下表:
表7安全管理机构测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
岗位设置 |
检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 |
人员配备 |
检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
3 |
授权和审批 |
检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
4 |
沟通和合作 |
检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 |
审核和检查 |
检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
8、安全管理人员
安全管理人员测评是为了了解单位人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程涉及的工作单元,具体如下表:
表8安全管理人员测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
人员录用 |
检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 |
人员离岗 |
检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
3 |
安全意识教育和培训 |
检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
4 |
外部人员访问管理 |
检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
9、安全建设管理
安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全建设管理测评实施过程涉及的工作单元,具体如下表:
表9安全建设管理测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
定级和备案 |
检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
2 |
安全方案设计 |
检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
3 |
产品采购和使用 |
测评是否按照一定的要求进行系统的产品采购。 |
4 |
自行软件开发 |
检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 |
外包软件开发 |
检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 |
工程实施 |
检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 |
测试验收 |
检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
8 |
系统交付 |
检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 |
等级测评 |
检查系统之前等级测评的情况,以及之前测评机构的资质等。 |
10 |
服务供应商选择 |
测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
10、安全运维管理
安全运维管理测评是为了了解系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程涉及的工作单元,具体如下表:
表10安全运维管理测评内容
序号 |
工作单元名称 |
工作单元描述 |
1 |
环境管理 |
检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 |
资产管理 |
检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 |
介质管理 |
检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 |
设备维护管理 |
检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 |
漏洞和风险管理 |
检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 |
6 |
网络和系统安全管理 |
检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容;检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修 改等内容;核查是否具有对日志、监测和报警数据等进行分析统计的报告;核查开通远程运维的审批记录,核查针对远程运维的审计日志是否不可以更改等。 |
7 |
恶意代码防范管理 |
检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 |
配置管理 |
检查是否对基本配置信息进行记录和保存,基本配置信息改变后是否及时更新基本配置信息库等。 |
9 |
密码管理 |
测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 |
变更管理 |
检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 |
备份与恢复管理 |
检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 |
资产管理 |
检查是否有资产清单,清单是否包括资产类别、资产责任部门、 重要程度和所处位置等内容;是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施 的选取上是否不同;核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。 |
13 |
应急预案管理 |
检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
14 |
外包运维管理 |
检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 |
五、报价及成交要求
1、报价包含完成本项目采购内容的全部费用,包括但不限于成本、人工、保险、食宿、交通、安全、质保、税金等一切费用。
2、本项目为二次报价,第一次报价在递交投标文件时提交;第二次报价在磋商结束,现场统一提交;第二次报价为最终报价。
3、如投标人的报价明显低于其他投标人的报价,有可能影响服务质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,应当将其作为无效报价处理。
4、评标小组与通过审查的供应商分别进行磋商,有效投标供应商只有2家的,竞争性磋商采购活动继续。
5、报价文件单独密封装袋,不得与资格技术文件混装。投标供应商磋商结束后统一递交。
6、报价单格式
报价单(第一次)
采购项目:四川司法警官职业学院信息系统等级保护测评服务
投标人 |
总价(单位:元) |
备注 |
|
小写: 元 (大写: ) |
|
供应商名称:
法人或代表人签字:
时间:
报价单(第二次)
采购项目:四川司法警官职业学院信息系统等级保护测评服务
投标人 |
总价(单位:元) |
备注 |
|
小写: 元 (大写: ) |
|
供应商名称:
法人或代表人签字:
时间:
六、评分标准(综合评分法)
序号 |
评分因素及权重 |
分值 |
评分标准 |
说明 |
1 |
价格10% |
10分 |
以本次有效的最低投标报价为基准价,投标报价得分=(基准价/投标报价) ×10 |
|
2 |
测评方案10% |
10分 |
1.测评方案中包含测评流程、测评方法、测评指标和配合需求的,得5分;未包含完整的,得3分;一项未包含的,不得分。 2.正确理解网络安全等级测评,测评思路清晰、测评内容完整、测评重点突出,针对每点测评要求项提出完善的测评方法,方法全面、合理,并具有很强的针对性的,得5分;较为全面、合理,方法针对性较强,得3分;未提供的,不得分。 |
|
3 |
专业人员技术力量44% |
15分 |
技术负责人同时具有: 1、 信息安全等级评测师(高级)证书或网络安全等级评测师(高级)证书 2、 信息安全保障人员(CISAW)证书(认证方向:应急服务) 3、 注册云安全系统认证专家(CCSSP)证书 4、 信息安全测评师 5、 国家重要信息系统保护人员培训证书 6、 计算机技术与软件专业技术人员资格认证的信息系统项目管理师(高级)证书 每提供1个得2.5分,全部提供,得15分。 |
提供投标人为该技术负责人、项目经理、测试人员购买的,自2022年以来连续3个月的社保证明材料。否则,不得分。 |
14分 |
一、项目经理同时具有: 1、信息安全等级评测师(高级)证书或网络安全等级评测师(高级)证书 2、信息安全测评师 3、信息安全保障人员(CISAW)证书 4、注册云安全系统认证专家(CCSSP)证书 5、注册网络安全渗透评估专业人员(NASTP-A)证书 6、计算机技术与软件专业技术人员资格认证(中级及以上)职称证书 7、计算机软件产品检验员证书 每提供1个得2分,全部提供,得14分。 |
15分 |
测试人员具有: 1、 信息安全等级评测师证书或网络安全等级评测师证书 2、 网络与信息安全应急人员(技术I级) 3、 注册网络安全渗透评估专业人员(NASTP-A)证书 4、 信息安全保障人员(CISAW) 5、 国家重要信息系统保护人员培训证书 6、 注册云安全系统认证专家(CCSSP)证书 以上证书全部具有,得15分;缺一个扣3分,扣完为止。 |
4 |
业绩16% |
16分 |
2020年1月1日以来,具有信息安全测评项目案例,每具有1个,得2分,最多得16分;(提供合同复印件,加盖投标人公章) |
|
2 |
履约能力20% |
20分 |
1、具有ISO9001质量管理体系认证证书;ISO20000信息技术服务管理体系证书;ISO27001信息安全管理体系证书的一个得2分,最多得6分,未提供相关证明材料的不得分。 2、投标人具有工业信息安全应急服务支撑单位证书得4分,具有工业信息安全测试评估机构能力认定证书得4分。 3、投标人在2020年1月1日至今,具有一份及以上CNVD颁发的“原创漏洞证明”证书,一个得2分,最高得6分。 |
备注:以上证书及证明材料需加盖投标供应商鲜章,原件备查。
七、报名、投标及开标
1、报名时间:2022年9月19日至2022年9月23日(双休日除外);因新冠肺炎疫情常态化防控原因,本次采购采用短信方式报名(编辑短信发送至学院联系人骆老师,电话:19981657937),投标人以收到报名回复短信为报名程序完成,若未收到回复,请于报名当日及时联系采购人确定,否则责任由投标人自行承担。
报名内容:(1)报名项目;(2)报名供应商全称及公司法人姓名,附发送提供营业执照或法人登记证书等证明图片;(3)报名人姓名、身份证号码、联系方式,报名人为授权委托报名的,附发送授权委托书及授权委托人身份证等证明图片;法人直接报名的,附发送身份证等有效证明图片。逾期不再受理。
2、投标截止及开标时间:投标截止时间为2022年9月
29日9:30时,开标时间2022年9月29日9:30时。各投标单位须将投标文件按要求密封递交到开标地点,迟于开标时间递交或不符合招标文件规定的投标文件恕不接受(不接受邮寄)。
3、提交标书和评标地点设在德阳市凯江路二段32号四川司法警官职业学院南校区行政楼5楼501会议室。如有变化,将提前2日通知。
4、各供应商自行按照相关要求准备资料,装订成册。
5、招标文件要求提供复印件证明材料的,包含原件的影印件或复印件。复印件须清晰可见,内容模糊不清,无法辨识内容的视为无效响应文件。
6、参与现场开标的投标人员须持有效身份证明及授权证明;不能证明其参加开标合法身份的,恕不接受磋商。
(1)法定代表人授权的,提供:①法定代表人授权书(加盖供应商鲜章)、②被授权人身份证原件或有效身份证明;
(2)法定代表人参加的,提供:法定代表人身份证原件或有效身份证明;
7、因学校属于重点场所,疫情防控要求如下:7天内有中高风险区旅居史的人员,不得入校;7天内有低风险区旅居史的人员,提供3天2次核酸检测阴性报告入校;7天内有外省旅居史的人员,提供入川后3天2次核酸检测阴性报告入校;其他人员,提供24小时核酸检测报告入校。
8、采购人:四川司法警官职业学院
地 址:德阳市旌阳区凯江路二段32号。
联系人:骆老师
电 话:0838—2510525
9、业务咨询联系人:罗老师
联系电话:19981657988
四川司法警官职业学院招投标办公室
2022年9月16日
