关于遴选广州市信息安全测评中心2023年数据安全评估试点服务项目服务单位的公告

内容
 
发送至邮箱

关于遴选广州市信息安全测评中心2023年数据安全评估试点服务项目服务单位的公告

(略) 信息安全测评中心(以下简称“测评中心”)数据安全领域的技术支撑能力建设,提升测评中心面向网络数据运营者的数据安全咨询、合规检查和风险评估能力,测评中心拟遴选1家符合资质和业务要求的专业机构开展数据安全评估试点服务。现将有关要求公告如下:

一、项目名称

(略) 信息安全测评中心2023年数据安全评估试点服务项目

二、采购内容

根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及相关标准、指南和政策文件要求,基于《 (略) 网络数据安全工作指引(试行)》的安全要求,对测评中心指定1个业务系统开展数据安全评估试点。

(一)基于数据安全评估试点工作,对试点业务系统的数据安全状况进行评估和差距分析,出具评估报告,并提出优化和完善建议。

(二)基于数据安全评估试点工作,对《 (略) 网络数据安全工作指引(试行)》提出优化和完善建议,并根据实际情况修改。

(三)基于数据安全评估试点工作,总结编制完善数据安全评估指南,内容包括但不限于用于指导数据安全检查、评估的数据安全合规KPIs、数据安全调查单、方法和制度、流程、操作规程、记录表单等构成的全面的体系化的网络数据安全评估指导文件。

(四)本文件、签署合同及与数据安全评估试点工作相关的其他内容。

三、项目征集的起止日期

自2023年7月10日起至2023年7月14日止。

四、项目工期要求

本项目总工期为3个月,合同签订后1个月内完成数据安全评估方案、数据安全评估指南(初稿)的编制,完成数据安全风险评估试点所需软、硬件资源配套环境部署;合同签订后2个月内完成数据安全风险评估工作;合同签订后3个月内完成数据安全风险评估试点工作总结,并向测评中心交付相关的报告等文件。

五、资格要求(有意向的单位必须达到以下全部商务要求)

(一)中国大*境内注册的独立法人单位,具有独立承担民事责任和独立履行合同的能力。

(二)具有数据安全评估工作经验,具备相应的专业工具和人员,曾经承担数据安全服务或数据安全评估等相关工程。

(三)在广州本地有常设服务机构,且在广州有固定的办公场所和满足本项目必要的软、硬件设备,保证能够正常开展本项目工作。

(四)具有良好的财务状况和商业信用,在经营活动中无重大违法记录,具有健全的财务会计制度,提供近三年经审计的财务报告,审计意见非“否定意见”或非“无法表示意见”,没有处于被责令停业或破产状态,且资产未被重组、接管和冻结。

(五)供应商没有诚信和廉洁方面的不良记录。

1.供应商(含联合体投标的成员单位)未被工商行政管理机关在全国企业信用信息公示系统中列入严重违法失信企业名单(提供工商行政管理机关企业信用信息公示系统查询结果截图);

2.供应商(含联合体投标的成员单位)未被 (略) 在“信用中国”网站(http://**.cn)或各级信用信息共享平台中列入失信被执行人名单(提供 (略) “信用中国”网站或信用信息共享平台查询结果截图);

3.供应商(含联合体投标的成员单位)及其法定代表人、拟委任的项目负责人在近三年(截标之日及以前36个月)没有行贿犯罪行为(以“中国裁判文书网”(http://**.cn)的查询结果截图为准);

(六)本项目不接受联合体参与,不允许分包。

六、数据安全评估试点要求

(一)数据安全评估总体要求

对测评中心指定的1个业务系统开展数据安全评估,评估应基于数据分类分级的风险评估模型,通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据合作方管理、合规性管理以及数据全生命周期安全管理7大层面,从组织建设、制度流程、技术工具、人员能力4个维度,对数据的收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期进行风险识别和评估,发现数据存在的安全风险,并针对发现的数据安全风险给出风险处置意见。

数据安全评估活动中,需根据被评估业务系统的数据安全现状,对其数据资产进行全面盘点和梳理,形成数据资产清单、数据分类分级目录、数据情况清单和数据处理活动清单;对标汇总业务场景风险暴露面、威胁主体、安全威胁、合规要求,形成数据安全风险评估策略;按照相应法律法规要求与标准规范,基于基础性评估、数据生命周期评估、技术能力评估三个方面的要求,结合现状,进行数据安全差距性分析,形成《数据安全评估报告》及整改建议。

(二)实施流程及产出物要求


(三)数据安全评估能力培训

数据安全评估试点活动过程中,供应商需对采购人开展数据安全评估能力培训以及实训实操,加强测评中心项目组成员对数据安全的认识和理解,掌握数据安全基础知识,培养数据安全评估及数据安全检查能力,包括但不限于了解数据安全评估及数据安全检查方法论、熟悉数据安全评估及数据安全检查流程、学习数据安全评估及数据安全检查相关工具的功能及操作等。

七、数据安全评估试点资源配套要求

(一)数据安全评估配套硬件资源要求

数据安全评估试点活动中,供应商应提供用于部署数据安全评估管理环境、检查工具、及被检系统模拟环境所需配套硬件资源,满足数据安全评估活动开展工作需要,具体要求如下:

5.png

(二)数据安全评估配套工具要求

数据安全评估试点活动中,供应商应提供包括但不限于数据安全评估检查数据综合管理环境、数据安全评估检查工具和被检系统模拟环境等,需使用已授权的软件资源,具有快速响应及较高的安全性,并可扩展。

(三)配套环境部署要求

供应商在部署配套环境前应制定《数据安全评估软、硬件资源配套环境部署实施方案》,并经采购人确认后方可实施;实施完成后,供应商需编制《数据安全评估软、硬件资源配套环境使用手册》,提交采购人并指导培训项目相关人员使用。

供应商需承诺数据安全评估软、硬件资源配套环境自本项目验收之日起,需继续提供给采购人使用,支撑采购人后续开展数据安全评估检查等活动,使用时间不低于两年;提供免费运行维护一年(含硬件送修、备件更换及软件授权、升级维护等)。

八、项目实施要求

(一)管理要求

供应商应成立项目管理组织,严格遵守采购人工作要求,在项目实施的各个阶段,按照采购人相关要求提交文档,并配合其工作。项目实施由供应商安排项目经理,负责项目管理、项目质量控制、项目进度控制、交付物评审、项目验收等工作。

(二)人员要求

1.供应商应成立合理的项目团队,项目组人员总数不少于3人,其中项目经理要求应具备高级信息系统项目管理资质以及不少于 5年的数据安全相关工作经验。

2.项目组成员应以专职为主,具备数据安全实施或数据安全评估经验,专职人员比例应不低于 60%。

3. 为确保项目顺利实施,供应商应提供现场服务,直至项目通过验收。

(三)保密要求

1.供应商必须对项目技术文件以及由采购人提供的所有内部资料、技术文档和信息于以保密,未经采购人书面同意,不得向第三方(包括项目组之外供应商人员和采购人人员)透露。

2.采购人有权将供应商提供的所有资料向有关政府部门或评审委员会披露。

3.在采购人认为适当时、国家机关调查、审查、审计时以及其他符合法律规定的情形下,采购人无须事先征求供应商同意而可以披露关于采购过程、合同文本、签署情况的资料、供应商的名称及地址、投标文件的有关信息以及补充条款等,但应当在合理的必要范围内。对任何已经公布过的内容或与之内容相同的资料,以及供应商已经泄露或公开的,无须再承担保密责任。

(四)知识产权要求

1.供应商在实施本项目过程中共同研究或者借鉴采购人的知识产权、研发成果取得的新研发知识产权或研发成果归采购 限于指导数据处理者开展数据安全的建设和评估工作以及用于开展数据安全的统筹协调和监管工作。

2.采购人根据本项目向供应商提供的技术性信息、商业性信息、文件、程序、计划、技术、图表、模型、参数、数据、标准、专有技术、业务或业务运作方法和其他专有信息等,其知识产权和其他权益全部归采购人所有,未经采购人事先书面许可,供应商不得以任何形式自行使用或擅自许可任何第三方使用。

3.供应商保证其提交的服务成果不侵犯任何第三方合法享有的知识产权和/或其他权益。若因上述原因引起的第三方追溯,采购人概不负责,供应商承担由此引起的全部责任,并赔偿因此给采购人带来的全部损失。

九、项目交付物

(一)数据安全评估方案,内容包括但不限于:数据安全评估内容、方式方法、评估流程,被评估或检查方所需提供人员、文档、材料、软硬环境等。

(二)数据安全评估报告及相关过程文档和附件。

(三)《 (略) 网络数据安全工作指引(试行)》的优化和完善建议报告。

(四)数据安全评估指南。内容包括不限于用于指导数据安全检查、评估的数据安全合规KPIs、数据安全调查单、方法和制度、流程、操作规程、记录表单等构成的全面的体系化的网络数据安全评估指导文件。

十、项目验收

(一)按本项目采购文件规定的标准及供应商承诺文件的标准进行验收,但以上标准不得低于国家标准、行业标准或者通用标准。供应商所提供的技术与服务应与采购文件规定的内容和要求相一致;

(二)完成项目服务内容,供应商按时向采购人提交交付成果,并通过采购人组织的内部评审。

十一、项目预算

本项目预算最高限价为25.45万元人民币,报价不得超出项目预算,否则按无效报价处理。

十二、需提交的材料

有意向的单位请提供如下资料:

(一)单位基本情况表(原件,加盖公章);

(二)资质有关证明材料、营业执照副本或统一社会信用代码证复印件,并签署《资格声明函》;

(三)法定代表人证明书及法定代表人身份证复印件;

(四)单位授权委托书(原件,加盖公章)及经办人身份证复印件;

(五)履行服务的实力业绩、资质等证明材料,包括但不限于开展同类项目合同或中标通知书复印件、行业资质复印件、本项目服务相关技术能力证明复印件、项目人员工作经验或技术能力证明复印件;

(六)具有良好的财务状况和商业信用和没有诚信和廉洁方面的不良记录的证明;

(七)本项目的技术方案,含基于采购需求服务内容的方案描述、采取的技术手段、流程、内容、方法、工具等内容;

(八)本项目的实施方案,含项目理解、项目进度计划、进度保障措施、组织机构、任务分配、人员安排及分工职责、人员保障措施等内容;

(九)本项目的质量保障方案,含针对项目提供服务的质量保障体系、服务质量承诺,质量保证措施等内容;

(十)项目报价并签署《报价承诺书》,报价需包括但不限于差旅费、会议费、餐费、住宿费、通讯费、劳务费、印刷费等完成相应服务所需全部费用。

(十一)其他供应商认为需要的文件。

十三、材料提交要求

以上书面材料(一式五份,电子光盘一份,并将材料密封并加盖骑缝章),请于2023年7月14日前(含当日) (略) 信息安全测评中心( (略) 天河区天阳路132号首层,邮政编码:*,联系人:吴先生,电话:020-*,周一至周五9:00-12:00、14:00-18:00)。

供应商对所提供文件材料的真实性负责,若发现弄虚作假,取消其资格。

十四、评选方式

(略) 信息安全测评中心将组成内部评标工作组择优遴选本项目服务单位,并与其协商拟定正式委托合同。

(略) 信息安全测评中心

2023年7月10日

附件(单位基本情况表 资格声明函 报价承诺书).doc

(略) 信息安全测评中心(以下简称“测评中心”)数据安全领域的技术支撑能力建设,提升测评中心面向网络数据运营者的数据安全咨询、合规检查和风险评估能力,测评中心拟遴选1家符合资质和业务要求的专业机构开展数据安全评估试点服务。现将有关要求公告如下:

一、项目名称

(略) 信息安全测评中心2023年数据安全评估试点服务项目

二、采购内容

根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及相关标准、指南和政策文件要求,基于《 (略) 网络数据安全工作指引(试行)》的安全要求,对测评中心指定1个业务系统开展数据安全评估试点。

(一)基于数据安全评估试点工作,对试点业务系统的数据安全状况进行评估和差距分析,出具评估报告,并提出优化和完善建议。

(二)基于数据安全评估试点工作,对《 (略) 网络数据安全工作指引(试行)》提出优化和完善建议,并根据实际情况修改。

(三)基于数据安全评估试点工作,总结编制完善数据安全评估指南,内容包括但不限于用于指导数据安全检查、评估的数据安全合规KPIs、数据安全调查单、方法和制度、流程、操作规程、记录表单等构成的全面的体系化的网络数据安全评估指导文件。

(四)本文件、签署合同及与数据安全评估试点工作相关的其他内容。

三、项目征集的起止日期

自2023年7月10日起至2023年7月14日止。

四、项目工期要求

本项目总工期为3个月,合同签订后1个月内完成数据安全评估方案、数据安全评估指南(初稿)的编制,完成数据安全风险评估试点所需软、硬件资源配套环境部署;合同签订后2个月内完成数据安全风险评估工作;合同签订后3个月内完成数据安全风险评估试点工作总结,并向测评中心交付相关的报告等文件。

五、资格要求(有意向的单位必须达到以下全部商务要求)

(一)中国大*境内注册的独立法人单位,具有独立承担民事责任和独立履行合同的能力。

(二)具有数据安全评估工作经验,具备相应的专业工具和人员,曾经承担数据安全服务或数据安全评估等相关工程。

(三)在广州本地有常设服务机构,且在广州有固定的办公场所和满足本项目必要的软、硬件设备,保证能够正常开展本项目工作。

(四)具有良好的财务状况和商业信用,在经营活动中无重大违法记录,具有健全的财务会计制度,提供近三年经审计的财务报告,审计意见非“否定意见”或非“无法表示意见”,没有处于被责令停业或破产状态,且资产未被重组、接管和冻结。

(五)供应商没有诚信和廉洁方面的不良记录。

1.供应商(含联合体投标的成员单位)未被工商行政管理机关在全国企业信用信息公示系统中列入严重违法失信企业名单(提供工商行政管理机关企业信用信息公示系统查询结果截图);

2.供应商(含联合体投标的成员单位)未被 (略) 在“信用中国”网站(http://**.cn)或各级信用信息共享平台中列入失信被执行人名单(提供 (略) “信用中国”网站或信用信息共享平台查询结果截图);

3.供应商(含联合体投标的成员单位)及其法定代表人、拟委任的项目负责人在近三年(截标之日及以前36个月)没有行贿犯罪行为(以“中国裁判文书网”(http://**.cn)的查询结果截图为准);

(六)本项目不接受联合体参与,不允许分包。

六、数据安全评估试点要求

(一)数据安全评估总体要求

对测评中心指定的1个业务系统开展数据安全评估,评估应基于数据分类分级的风险评估模型,通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据合作方管理、合规性管理以及数据全生命周期安全管理7大层面,从组织建设、制度流程、技术工具、人员能力4个维度,对数据的收集、存储、使用、加工、传输、提供、公开、销毁等全生命周期进行风险识别和评估,发现数据存在的安全风险,并针对发现的数据安全风险给出风险处置意见。

数据安全评估活动中,需根据被评估业务系统的数据安全现状,对其数据资产进行全面盘点和梳理,形成数据资产清单、数据分类分级目录、数据情况清单和数据处理活动清单;对标汇总业务场景风险暴露面、威胁主体、安全威胁、合规要求,形成数据安全风险评估策略;按照相应法律法规要求与标准规范,基于基础性评估、数据生命周期评估、技术能力评估三个方面的要求,结合现状,进行数据安全差距性分析,形成《数据安全评估报告》及整改建议。

(二)实施流程及产出物要求


(三)数据安全评估能力培训

数据安全评估试点活动过程中,供应商需对采购人开展数据安全评估能力培训以及实训实操,加强测评中心项目组成员对数据安全的认识和理解,掌握数据安全基础知识,培养数据安全评估及数据安全检查能力,包括但不限于了解数据安全评估及数据安全检查方法论、熟悉数据安全评估及数据安全检查流程、学习数据安全评估及数据安全检查相关工具的功能及操作等。

七、数据安全评估试点资源配套要求

(一)数据安全评估配套硬件资源要求

数据安全评估试点活动中,供应商应提供用于部署数据安全评估管理环境、检查工具、及被检系统模拟环境所需配套硬件资源,满足数据安全评估活动开展工作需要,具体要求如下:

5.png

(二)数据安全评估配套工具要求

数据安全评估试点活动中,供应商应提供包括但不限于数据安全评估检查数据综合管理环境、数据安全评估检查工具和被检系统模拟环境等,需使用已授权的软件资源,具有快速响应及较高的安全性,并可扩展。

(三)配套环境部署要求

供应商在部署配套环境前应制定《数据安全评估软、硬件资源配套环境部署实施方案》,并经采购人确认后方可实施;实施完成后,供应商需编制《数据安全评估软、硬件资源配套环境使用手册》,提交采购人并指导培训项目相关人员使用。

供应商需承诺数据安全评估软、硬件资源配套环境自本项目验收之日起,需继续提供给采购人使用,支撑采购人后续开展数据安全评估检查等活动,使用时间不低于两年;提供免费运行维护一年(含硬件送修、备件更换及软件授权、升级维护等)。

八、项目实施要求

(一)管理要求

供应商应成立项目管理组织,严格遵守采购人工作要求,在项目实施的各个阶段,按照采购人相关要求提交文档,并配合其工作。项目实施由供应商安排项目经理,负责项目管理、项目质量控制、项目进度控制、交付物评审、项目验收等工作。

(二)人员要求

1.供应商应成立合理的项目团队,项目组人员总数不少于3人,其中项目经理要求应具备高级信息系统项目管理资质以及不少于 5年的数据安全相关工作经验。

2.项目组成员应以专职为主,具备数据安全实施或数据安全评估经验,专职人员比例应不低于 60%。

3. 为确保项目顺利实施,供应商应提供现场服务,直至项目通过验收。

(三)保密要求

1.供应商必须对项目技术文件以及由采购人提供的所有内部资料、技术文档和信息于以保密,未经采购人书面同意,不得向第三方(包括项目组之外供应商人员和采购人人员)透露。

2.采购人有权将供应商提供的所有资料向有关政府部门或评审委员会披露。

3.在采购人认为适当时、国家机关调查、审查、审计时以及其他符合法律规定的情形下,采购人无须事先征求供应商同意而可以披露关于采购过程、合同文本、签署情况的资料、供应商的名称及地址、投标文件的有关信息以及补充条款等,但应当在合理的必要范围内。对任何已经公布过的内容或与之内容相同的资料,以及供应商已经泄露或公开的,无须再承担保密责任。

(四)知识产权要求

1.供应商在实施本项目过程中共同研究或者借鉴采购人的知识产权、研发成果取得的新研发知识产权或研发成果归采购 限于指导数据处理者开展数据安全的建设和评估工作以及用于开展数据安全的统筹协调和监管工作。

2.采购人根据本项目向供应商提供的技术性信息、商业性信息、文件、程序、计划、技术、图表、模型、参数、数据、标准、专有技术、业务或业务运作方法和其他专有信息等,其知识产权和其他权益全部归采购人所有,未经采购人事先书面许可,供应商不得以任何形式自行使用或擅自许可任何第三方使用。

3.供应商保证其提交的服务成果不侵犯任何第三方合法享有的知识产权和/或其他权益。若因上述原因引起的第三方追溯,采购人概不负责,供应商承担由此引起的全部责任,并赔偿因此给采购人带来的全部损失。

九、项目交付物

(一)数据安全评估方案,内容包括但不限于:数据安全评估内容、方式方法、评估流程,被评估或检查方所需提供人员、文档、材料、软硬环境等。

(二)数据安全评估报告及相关过程文档和附件。

(三)《 (略) 网络数据安全工作指引(试行)》的优化和完善建议报告。

(四)数据安全评估指南。内容包括不限于用于指导数据安全检查、评估的数据安全合规KPIs、数据安全调查单、方法和制度、流程、操作规程、记录表单等构成的全面的体系化的网络数据安全评估指导文件。

十、项目验收

(一)按本项目采购文件规定的标准及供应商承诺文件的标准进行验收,但以上标准不得低于国家标准、行业标准或者通用标准。供应商所提供的技术与服务应与采购文件规定的内容和要求相一致;

(二)完成项目服务内容,供应商按时向采购人提交交付成果,并通过采购人组织的内部评审。

十一、项目预算

本项目预算最高限价为25.45万元人民币,报价不得超出项目预算,否则按无效报价处理。

十二、需提交的材料

有意向的单位请提供如下资料:

(一)单位基本情况表(原件,加盖公章);

(二)资质有关证明材料、营业执照副本或统一社会信用代码证复印件,并签署《资格声明函》;

(三)法定代表人证明书及法定代表人身份证复印件;

(四)单位授权委托书(原件,加盖公章)及经办人身份证复印件;

(五)履行服务的实力业绩、资质等证明材料,包括但不限于开展同类项目合同或中标通知书复印件、行业资质复印件、本项目服务相关技术能力证明复印件、项目人员工作经验或技术能力证明复印件;

(六)具有良好的财务状况和商业信用和没有诚信和廉洁方面的不良记录的证明;

(七)本项目的技术方案,含基于采购需求服务内容的方案描述、采取的技术手段、流程、内容、方法、工具等内容;

(八)本项目的实施方案,含项目理解、项目进度计划、进度保障措施、组织机构、任务分配、人员安排及分工职责、人员保障措施等内容;

(九)本项目的质量保障方案,含针对项目提供服务的质量保障体系、服务质量承诺,质量保证措施等内容;

(十)项目报价并签署《报价承诺书》,报价需包括但不限于差旅费、会议费、餐费、住宿费、通讯费、劳务费、印刷费等完成相应服务所需全部费用。

(十一)其他供应商认为需要的文件。

十三、材料提交要求

以上书面材料(一式五份,电子光盘一份,并将材料密封并加盖骑缝章),请于2023年7月14日前(含当日) (略) 信息安全测评中心( (略) 天河区天阳路132号首层,邮政编码:*,联系人:吴先生,电话:020-*,周一至周五9:00-12:00、14:00-18:00)。

供应商对所提供文件材料的真实性负责,若发现弄虚作假,取消其资格。

十四、评选方式

(略) 信息安全测评中心将组成内部评标工作组择优遴选本项目服务单位,并与其协商拟定正式委托合同。

(略) 信息安全测评中心

2023年7月10日

附件(单位基本情况表 资格声明函 报价承诺书).doc

    
查看详情》
相关推荐
 

招投标大数据

查看详情

附件

收藏

首页

搜索

最近搜索

热门搜索