中航安盟财产保险有限公司2023年网络安全等级保护测评备案项目招标文件
发送至邮箱
中航安盟财产保险有限公司2023年网络安全等级保护测评备案项目招标文件
中航安盟财 (略)
2023年网络安全等级保护测评备案项目
招 标 文 件
(商务&技术)
采 购 人:中航安盟财产保险有限公司
二○二三年四月
目录
中航安盟财 (略)
2023年网络安全等级保护测评备案项目
第一章 招标公告
为贯彻落实国家《网络安全法》、等级保护制度以及上级监管部门的相关要求,中航 (略) 现针对2023年网络安全等级保护测评备案项目进行公开招标,现将招标有关事宜公告如下:
一、项目名称中航 (略) 2023年网络安全等级保护测评备案项目
二、招标服务范围本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对公司重要信息系统开展网络安全等级测评,提供差距项整改建议,出具等级保护测评报告, (略) 进行整改加固,协助公司完成信息系统备案、公司全辖网络安全培训等相关工作,并最 (略) 公安机关等保认证并 (略) 公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
合同签订后,2个自然月内需完成测评服务及备案工作(不包含*方整改时间)。
四、服务地点招标人指定地点。
五、投标人资质要求1)凡是在中华人民共和国境内依照《 (略) 法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;
2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府及其它采购活动前三年内,在经营活动中没有重大违法记录;
(六)法律、行政法规规定的其他条件。
3)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
4)投标人提供的网络安全等级测评与检测评估机构服务认证证书与投标人营业执照上单位名称一致,且可在www.djbh.net上进行查询。
5)投标人不得直接或间接的与招标人为采购本次招标的货物和服务进行设计、编制规范和其他 (略) 或其附属机构有任何关联;
6)按照本投标邀请的规定,获得招标文件;
7)本项目不接受联合体投标。
六、投保报名有意参加该项目投标的单位应携带以下资料到招标人指定地点报名领取招标文件:(以下文件均需要盖章)
1)投标单位营业执照副本复印件;
2)必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》;(原件请一并携带用于核验)
3)法人身份证明或法人授权委托书及被授权人的身份证;
4)经会计师事务所出具的2022年度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件;
5)近三个月的缴纳社会保障资金的入账票据凭证复印件;
6)近三个月的依法缴纳税收的入账票据凭证复印件;
7)参加本次采购活动前三年内,在经营活动中没有重大违法记录的声明。
招标文件(电子版)领取时间:自本招标公告发布之日起5个工作日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。
招标文件领取地点: (略) 高新区交子大道33号中国华商金融中心1号楼36层。联系人:张龙跃;联系电话:028-*。
8)投标保证金:10000元人民币
9)投标及标书投递:
投标书投递时间:自本招标公告发布之日起5个工作日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。
标书投递地址:见开标地点。
10)开标地点:
成都地址: (略) 高新区交子大道33号中国华商金融中心1号楼36层;联系人:张龙跃;联系电话:028-*。
11)评标办法:综合评分法。
12)公告时限:五个工作日
招标人信息:中航 (略)
地 址: (略) 高新区交子大道33号中国华商金融中心1号楼36层;联 系 人:张龙跃;联系方式:028-*
凡对本次招标提出询问,请按以上联系方式联系。
七、投标保证金1)投标单位须在报名确认并领取招标文件后3日内(包含报名日)缴纳投标保证金人民币10000元整,并将投标保证金缴纳到本招标书指定的账号。
2)投标单位应按招标文件规定的金额和期限缴纳投标保证金,投标保证金作为投标文件的组成部分。提交投标保证金的投标单位须已报名本项目。投标单位与交款单位名称必须一致,投标单位必须从企业基本账户银行一次性缴交足额投标保证金,不接受现金或分批次缴款。非投标单位缴纳的投标保证金无效。
3)投标单位缴纳投标保证金后,请致电本招标书所描述联系人自行核对保证金是否有效并发送缴费凭证至联系人指定邮箱地址。
4)报名后未按要求缴纳投标保证金,报名无效。
5)投标保证金的退回:
(1)未中标公司的投标保证金在开标后30个工作日内予以无息退还。
(2)中标公司的投标保证金在中标方与招标方签订合同后30个工作日内予以无息退还。
6)投标保证金指定账号信息
公司基本账户信息如下:
账号:*14945
户名:中航 (略)
开户行:中国建设银行成都新华支行
联行号:*
注:要求只能通过转账方式收取。
特此公告!
中航 (略)
二〇二三年四月
第二章 投标须知
一、招标服务范围本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对公司重要信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告, (略) 进行整改加固,协助公司完成信息系统备案等相关工作,在公司全辖范围内开展网络安全培训,并最 (略) 公安机关等保认证并 (略) 公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
1)凡是在中华人民共和国境内依照《 (略) 法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;
2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(六)法律、行政法规规定的其他条件。
3)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
4)投标人提供的网络安全等级测评与检测评估机构服务认证证书投标人营业执照上单位名称一致,并可在www.djbh.net上进行查询。
5)投标人不得直接或间接的与招标人为采购本次招标的货物和服务进行设计、编制规范和其他 (略) 或其附属机构有任何关联;
6)按照本投标邀请的规定,获得招标文件;
7)本项目不接受联合体投标。
三、费用承担投标人应自行承担所有与准备和参加投标有关的全部费用,不论投标的结果如何,招标人无义务和责任承担这些费用。
四、招标答疑1)投标单位如对招标文件中所述内容有疑问,请按招标公告规定的投标截止时间和地点以书面或传真形式进行递交,招标单位将视情况对所有投标单位以书面形式进行答复。
2)招标单位收到投标单位提出的疑问后,由招标单位分别对投标单位所提的相关问题进行解答,书面答疑文件将作为招标文件的补充文件,并在规定投标截止时间前提供给所有投标单位。
3)招标单位对投标单位提出的疑问所做出的任何口头或电话询问与答复均属无效,以书面答疑为准。
4)在投标截止时间前,招标单位都有权对招标文件进行修改、补充,若原招标文件与后补充文件有矛盾时,以后补文件为准。
5)如果考虑到招标澄清或修改的内容会导致投标单位不能按期完成投标文件,招标单位有权延长投标截止日期。
第三章 关于投标文件
一、投标文件组成请按下列要求顺序装订,目录索引与投标书页码对应。
以 (略) 公章,并在需要签名的位置手写签名。
10)营业执照副本复印件
11)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
12)投标企业法定代表人资格证明或法人授权委托书(格式见附件10);
13)拟担任本项目工作主要人员情况表,项目实际实施人员需与投保书承诺主要工作人员一致(格式见附件8)
14)企业信誉相关证明资料;
(1)经会计师事务所出具的2022年度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件;
(2)近三个月的缴纳社会保障资金的入账票据凭证复印件;
(3)近三个月的依法缴纳税收的入账票据凭证复印件;
15)联系人姓名、电话、传真、邮编、地址及身份证明;
16)尽职调查表(格式见附件9)
17)投标保证金凭证
18)投标保密承诺书(格式见附件11)
19)技术方案
20)投标文件电子版(投标书WORD版COPY进U盘,单独密封。)
投标人在投标截止时间前,可以对所递交的投标文件进行补充、修改或者撤回(仅限1次),并书面通知招标人。补充、修改的内容应当按招标文件要求签署、盖章,并作为投标文件的组成部分。
1)投标人必须保证所提供的全部资料的真实性、准确性,否则,将拒绝其投标。投标人在投标文件中提供不真实的材料,无论其材料是否重要,都将视为投标无效,并承担由此产生的法律责任。
2)投标人必须对本招标文件的每一项要求给予实质性响应,否则将视为不响应。“实质性响应”指符合招标文件所有要求、条款、条件和规定,且没有重大偏离。
3)投标人对本招标文件的每一项要求所给予的响应必须是唯一的。否则将视为不响应。
1)投标文件正本须打印并由投标人法定代表人或其委托代理人在正本和副本上要求的地方签字。
2)投标文件除签字外其余必须是印刷形式,其中不许有加行、涂抹或改写。
3)邮箱、电话、传真形式的投标概不接受。
1)投标人应准备投标文件的正本1套,副本1套,电子版1份(U盘存储),在每一份投标文件上要明确注明“正本” 或“副本”字样,U盘单独封装。一旦正本和副本内容有差异,以正本为准。
2)投标人应将投标文件按照本章第1部分投标文件编订要求单独装订成册,在正副本封面上加盖公章并签字。
3)投标文件应装订牢固不可拆卸(如:胶订),如因装订不牢固导致的任何损失由投标人承担。
4)正本、副本及电子版分别独立封装,在每一封口处加盖公章,并在信封上标明投标人名称和联系方式信息。
1)投标人将投标文件按上述规定进行密封和标记后,按招标公告注明的地址在投标截止时间之前由专人送至或邮寄至招标采购单位。
2)招标单位将拒绝在投标截止时间后收到的投标文件。
3)一正一副本投递至成都指定地点(详见招标公告)。
1)投标文件及投标人和招标采购单位就投标交换的文件和来往信件,应以中文书写。投标人提供的支持文件、技术资料和印刷的文献可以用其他语言,但相应内容应附有中文翻译本,以中文为准。
2)计量单位应使用中华人民共和国法定公制计量单位。
综合考虑招标方信息系统等级保护测评工作量,并结合招标方测评工作的特殊性,将项目规划为按被测评信息系统级别进行单项核算,并给出汇总报价。
1)投标人必须以人民币报价。
2)投标人必须按招标文件指定格式正确填写报价单,报价单中相应内容的报价应计算正确。
3)每一项目的报价必须是唯一的。报价栏项目中如出现数字0,视报价为零,即免费;如出现空白,视为已响应但漏报价。
4)漏报的单价或每单价报价中漏报、少报的费用,视为此项费用已隐含在投标报价中,中标后不得再向采购人收取任何费用。
5)所有报价应包含本项目的所有费用(包含国家规定的所有税费)。
6)报价单的总报价大小写应该一致,大写金额和小写金额不一致的,以大写金额为准。
7)开标时,投标文件中报价单的总报价与投标文件中明细表的报价不一致的,以报价单的总报价为准。
8)投标文件的大写金额和小写金额不一致的,以大写金额为准;总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;单价金额小数点有明显错位的,应以总价为准,并修改单价;对不同文字文本投标文件的解释发生异议的,以中文文本为准。
二、关于开标、评标、定标1)由招标采购单位根据安排确定时间,并提前通知投标人。
1)招标单位根据项目招标需要组建评标委员会。
2)评标委员会将遵照公开、公平、公正、科学合理的评标原则,严格按照招标文件的要求和条件进行评标,平等地对待所有投标方,评标委员会综合分析投标方的各项指标择优定标,而不以单项指标的优劣评选出入围单位。
3)评标委员会将对投标文件进行审查、质疑、评估和比较;必要时,可对投标文件中的问题向投标方进行询问。
1)评标委员会综合评审, (略) 。
2)综合考虑以下因素评标定标:
(1)报价
(2)成功案例
(3)增值服务
3)不承诺 (略) 。
4)不向落标方解释落标原因。
5)评标结束后,招标人将及时通过投标人所预留联系 (略) 。入围公司2天内要给出明确答复,并与招标人洽谈合同事项。若因商务或其他原因无法达成协议,招标人 (略) 。
6)招 (略) 发出未中标通知。
7)入围公司在洽谈合同时,提出与招标文件规定相反的意见,如招标 (略) 坚持不变的,招 (略) 的中标资格,由此产生的后果和 (略) 负责。
8)本招标书、入围公司的投标文件及其澄清文件等,均为签订经济合同的依据。
三、关于投标无效和招标失败1)投标文件未密封;
2)投标声明函无单位盖章和法定代表人或法定代表人委托的代理人的印鉴;
3)投标文件不完整、不真实或未对招标文件做出实质的响应导致投标无效;
4)投标设备或服务明显不符合技术规格、技术标准的要求;
5)投标文件载明的货物包装方式、检验标准和方法等不符合招标文件的要求;
6)投标文件附有招标采购单位不能接受的条件;
7)投标文件逾期送达;
8)不满足招标文件中其他重要指标;
1)符合专业条件的投标人或者对招标文件作实质响应的投标人不足三家的;
2)出现影响采购公正的违法、违规行为的;
3)投标人的报价均超过了采购预算,采购人不能支付的;
4)因重大变故,采购任务取消的。
四、关于合同签署、付款和实施投标人将与招标人一起进行实施方案的细化确认,并经过商务谈判后才能签订合同。
项目实施完成并达成项目目标, (略) 公安局完成等保备案并由中标方提供相关证明,在招标人确认后20个工作日内,招标方支付合同金额的100%款项给中标方。(如投标书所承诺的增值服务项目未达标或未完成,将扣除相应款项,最高扣除合同总金额的10%)。
五、关于保密未经招标人和投标人许可,双方都不得将招标文件中关于采购人的系统现状及需求情况、建设情况提供给任何第三方。
第四章 招标技术需求
一、项目概况为贯彻落实国家《网络安全法》《网络安全等级测评要求》、等级保护制度以及上级主管部门的相关要求,深入开展中航 (略) (以下简称招标人)网络及信息系统的安全隐患发现、安全隐患整治,提升中航安盟建设新形势下整体网络安全保障能力,开展2023年等级保护(以下简称等保)测评工作,确保公司信息系统安全稳定运维。
本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对招标人重要信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告报告, (略) 进行整改加固,协助招标人完成信息系统备案备案等相关工作,在全辖开展网络安全培训,并最 (略) 公安机关等保认证并 (略) 公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
依据等保2.0相关要求,对中航安盟保险信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告,配合招 (略) 公安局完成信息系统等级保护备案。
1)信息系统的信息安全等级定级和备案工作,必须确保每个信息系统定级、 (略) 级以上公安机关的备案手续,取得相应等级保护备案证明。
2)按照信息系统安全等级保护要求,对信息系统完成系统拓扑描绘及说明;协助信息系统业主方完善系统安全管理制度;对系统安全保护实施设计方案或改建实施方案提供咨询; (略) 公安局认可的系统等级测评报告。
3)安全技术测评。包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面的安全测评。
4)安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全系统建设和安全系统运维五个方面的安全测评。
5)形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以、整改意见。
6)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务,并协助制定整改计划和确定信息按整改标准和整改结果达标确认。
7)等级测评,至少包括:
在系统整改完成后,按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。
编制测评报告。制定并提交《系统信息安全等级测评报告》,报告需提交公安机关网安部门备案,且能满足合规性要求,备案证明作为验收材料之一。
分类 | 子类 | 基本要求 |
安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
物理访问控制 | 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。 | |
防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; b) 应将通信线缆铺设在隐蔽安全处。 | |
防雷击 | 应将各类机柜、设施和设备等通过接地系统安全接地。 | |
防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 | |
防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 | |
防静电 | 应采用防静电地板或地面并采用必要的接地防静电措施。 | |
温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | |
电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 | |
电磁防护 | 电源线和通信线缆应隔离铺设,避免互相干扰。 | |
安全通信网络 | 网络架构 | a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; |
应采用校验技术保证通信过程中数据的完整性。 | ||
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信 验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | ||
安全区域边界 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 | |
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | ||
应在关键网络节点处监视网络攻击行为。 | ||
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。 | ||
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | ||
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行 可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | ||
安全计算环境 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | |
a) 应对登录的用户分配账户和权限; | ||
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | ||
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; | ||
应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 | ||
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | ||
应采用校验技术保证重要数据在传输过程中的完整性。 | ||
数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | |
剩余信息保护 | 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 | |
个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | |
安全管理中心 | a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对 这些操作进行审计; | |
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | ||
安全管理制度 | 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全 框架等。 |
a) 应对安全管理活动中的主要管理内容建立安全管理制度; | ||
a) 应指定或授权专门的部门或人员负责安全管理制度的制定; | ||
应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制 度进行修订。 | ||
安全管理机构 | a) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; | |
应配备一定数量的系统管理员、审计管理员和安全管理员等。 | ||
a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; | ||
a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; | ||
应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。 | ||
安全管理人员 | a) 应指定或授权专门的部门或人员负责人员录用; | |
应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设 备。 | ||
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 | ||
a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; | ||
安全建设管理 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; | |
a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | ||
a) 应确保网络安全产品采购和使用符合国家的有关规定; | ||
a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; | ||
a) 应在软件交付前检测其中可能存在的恶意代码; | ||
a) 应指定或授权专门的部门或人员负责工程实施过程的管理; | ||
a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; | ||
a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | ||
等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; | |
a) 应确保服务供应商的选择符合国家的有关规定; | ||
安全运维管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理; | |
应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 | ||
a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; | ||
a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; | ||
应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响 后进行修补。 | ||
a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; | ||
a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; | ||
配置管理 | 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补*信息、各个设备或软件组件的配置参数等。 | |
a) 应遵循密码相关国家标准和行业标准; | ||
应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。 | ||
备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; | |
a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; | ||
a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; | ||
外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定; |
分类 | 子类 | 基本要求 |
安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; |
物理访问控制 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 | |
防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; | |
防雷击 | a)应将各类机柜、设施和设备等通过接地系统安全接地。 | |
防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; | |
防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; | |
防静电 | a) 应采用防静电地板或地面并采用必要的接地防静电措施; | |
温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | |
电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; | |
电磁防护 | a) 电源线和通信线缆应隔离铺设,避免互相干扰; | |
安全通信网络 | 网络架构 | a) 应保证网络设备的业务处理能力满足业务高峰期需要; |
通信传输 | a) 应采用校验技术或密码技术保证通信过程中数据的完整性; | |
可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全区域边界 | 边界防护 | a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; |
访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | |
入侵防范 | a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; | |
恶意代码和垃圾邮件防范 | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | |
安全审计 | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | |
可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全计算环境 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
访问控制 | a) 应对登录的用户分配账户和权限; | |
安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | |
入侵防范 | a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; | |
恶意代码防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | |
可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
数据完整性 | a) 应采用校验技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; | |
数据保密性 | a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; | |
数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | |
剩余信息保护 | a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; | |
个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | |
安全管理中心 | 系统管理 | a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; |
审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | |
安全管理 | a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; | |
集中管控 | a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; | |
安全管理制度 | 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
管理制度 | a) 应对安全管理活动中的主要管理内容建立安全管理制度; | |
制定和发布 | a) 应指定或授权专门的部门或人员负责安全管理制度的制定; | |
评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 | |
安全管理机构 | 岗位设置 | a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; |
人员配备 | a)应配备一定数量的系统管理员、审计管理员和安全管理员等; | |
授权和审批 | a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; | |
沟通和合作 | a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; | |
审核和检查 | a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; | |
安全管理人员 | 人员录用 | a) 应指定或授权专门的部门或人员负责人员录用; |
人员离岗 | a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; | |
安全意识教育和培训 | a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; | |
外部人员访问管理 | a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; | |
安全建设管理 | 定级和备案 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; |
安全方案设计 | a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | |
产品采购和使用 | a) 应确保网络安全产品采购和使用符合国家的有关规定; | |
自行软件开发 | a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; | |
外包软件开发 | a) 应在软件交付前检测其中可能存在的恶意代码; | |
工程实施 | a) 应指定或授权专门的部门或人员负责工程实施过程的管理; | |
测试验收 | a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; | |
系统交付 | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | |
等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; | |
服务供应商选择 | a) 应确保服务供应商的选择符合国家的有关规定; | |
安全运维管理 | 环境管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理; |
资产管理 | a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; | |
介质管理 | a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; | |
设备维护管理 | a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; | |
漏洞和风险管理 | a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; | |
网络和系统安全管理 | a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; | |
恶意代码防范管理 | a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; | |
配置管理 | a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补*信息、各个设备或软件组件的配置参数等; | |
密码管理 | a) 应遵循密码相关国家标准和行业标准; | |
变更管理 | a)应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施; | |
备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; | |
安全事件处置 | a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; | |
应急预案管理 | a)应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容; | |
外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定; |
信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:投标人的工作中的过程和文档,具有很好的规范性,以便于项目的跟踪和控制。
可控性原则:等保测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
1)投标人应详细描述本次项目整体实施方案,包括项目概述、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2)投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果作出专业判断以及出具等级测评报告等任务的能力。
投标人应配置有经验的测评人员进行本次等级保护测评工作。
投标人应以文件形式任命一名技术主管,并明确其在等级测评技术方面的职责,全面负责等级测评方面的技术工作。
3)投标人应保证有足够的能力满足测评工作要求,包括安全技术测评实施能力、安全管理测评实施能力、安全测试与分析能力、整体测评实施能力等。
4)投标人应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。应建立完善的测评项目管理制度,划分测评各阶段,明确各阶段的工作内容。
6)投标人应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、渗透测试工具等。
投标人应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
7)投标人应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保投标人各级人员能够理解和执行。应建立一套完善的管理体系文件,该体系文件应能覆盖机构日常工作和测评活动的各个方面。体系文件可以制度、手册、程序等形式发布执行,并应建立执行记录。
8)投标人应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务,应制定保证其公正性、客观性、诚实性的制度、程序或行为规范,并向客户和社会做出公正性声明或承诺,接受行为监督。
投标人的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。机构应保证其单位法人及主要工作人员身份的可信性,并可提供用于证明的机构注册资料和人员档案信息。
9)投标人应重视安全保密工作,指派安全保密工作的责任人。投标人应依据保密管理制度,定期对工作人员进行保密教育,投标人和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等,应制定保密管理制度,明确保密范围、各岗位的保密职责和保密要求。
投标人应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于:
a) 被测评单位提供的资料;
b) 等级测评活动生成的数据和记录;
c) 依据上述信息做出的分析与专业判断。
投标人应着重对被测单位的技术资料、测评数据、测评报告等信息进行保护。对上述信息资料应专门保管,对数据信息存储和借阅应严格控制。
10)投标人应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。机构应借助技术手段,如数据加密存储、传输、处理方式,保证数据的安全。同时防止存储测评数据信息的计算机非法外联、非受控移动存储设备接入、重要信息的互联网传输等问题的发生。
11)测评记录的规范性,测评记录应当清晰规范,并获得被测评方的书面确认;测评过程中的记录应按规定的格式填写,字迹要求清晰;数据结果应当现场记录,不得漏记、补记、追记;记录的更正应有规范性要求;测评记录应获得被测评方的确认。
12)测评报告的规范性,测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;
13)风险控制能力:投标人应充分估计测评可能给被测系统带来的风险,风险包括投标人由于自身能力或资源不足造成的风险、测试验证活动可能对被测系统正常运行造成影响的风险、测试设备和工具接入可能对被测系统正常运行造成影响的风险、测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。投标人应全面分析评估,针对不同风险,采取不同的规避和控制措施。包括合同评审、签署保密协议、风险告知确认、现场测评授权、系统备份、制定应急预案以及邀请全程监督等,做好防范和控制工作,避免为自身带来额外风险。
第五章技术标准和服务要求
一、技术标准和规范《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》( (略) 令147号)
《信息安全等级保护管理办法》
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护定级指南》(GB/T22240-2008)
《信息系统安全等级保护基本要求》(GB/T22239-2019)
《信息系统安全等级保护测评要求》(GB/T28448-2019)
《信息系统安全等级保护测评过程指南》(GB/T28449-2018)
《信息安全风险评估规范》(GB/T20984-2007)
《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)
《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 8449-2012)
《信息安全技术 计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息安全技术 信息系统密码应用基本要求》GB/T 39786-2021
如有最新规定按最新规定执行。
二、招标人技术及管理要求(1)具备较强的系统分析、问题判断和解决等方面的能力;
(2)对工作职责有充分认知,有较强的工作责任心,具备较好的沟通协调、口头表达能力,能够与客户进行良好的沟通。
(1)服务人员应严格遵守招标人各项规章制度及计算机信息行业的法律法规,保持安全、规范、清洁的工作环境,做好信息安全保护措施及计算机病毒的防范工作;
(2)数据或其他涉密信息传递时,应按照要求进行加密,通过电话或其他方式通知接受方;
(3)未经允许,切勿对自己或他人的计算机网络功能进行删除、修改或者增加;切勿私自安装病毒或其他含病毒软件;
(1)遵守用户的各项规章制度,严格按照用户相应的规章制度办事;
(2)与用户运行维护体系其他部门和环节协同工作,密切配合,共同开展技术支持工作;
(3)出现疑难技术、业务问题和重大紧急情况时,及时向负责人报告;
(4)现场技术支持时要精神饱满,穿着得体,谈吐文明,举止庄重;
(5)接听电话时要文明礼貌,语言清晰明了,语气和善;
遵守保密原则。对被支持单位的网络、主机、系统软件、应用软件等的密码、核心参数、业务数据等负有保密责任,不得随意复制和传播。
投标方应建立严格的质量保障体系和应急事件响应机制。投标人应配备技术人员进行远程支持。当有服务请求时,现场人员应在2小时内响应并进行处理,如遇故障,现场人员无法解决的,远程人员需在30分钟内响应并进行处理,如远程无法处理的,投标方需在2小时到达现场进行处理,如遇应急事件投标方须在10分钟响应并启动应急事件处理机制。
时间要求,合同签订后2个自然月达成项目目标。
完成内容:在服务期间内,按照中航安盟的管理要求,定期完成等级保护测评工作。针对用户使用过程中出现的系统业务支撑问题进行及时的解答、跟踪并及时反馈至管理部门。
本次信息系统等级保护测评活动,应针对各个阶段输出各自的过程文档,文档应包括但不限于以下方面:
《等级测评工作计划》
《信息系统调研表》
《信息系统测评方案》
《信息系统扫描方案》
《信息系统现场测评记录表》
《信息系统漏洞扫描报告》
《信息系统漏洞渗透测试报告》
本项目根据中航安盟相关项目管理办法进行考核及验收。
该项目需要达到的效果、质保期、售后服务及项目过程中和后期投标方所需提供的资料。
(1)招标工作完成,中标人须向中航安盟提交本项目的《测评方案》,该《测评方案》须从项目服务内容、范围、流程、人员、计划等方面进行详细阐述。
(2)投标方参加本项目现场工作的人员不少于3人,不得少于2个中级测评师。
(3)相关工作人员(项目经理、测评工程师)必须为中华人民共和国境内的中国公民,且无犯罪记录(提供身份证复印件及承诺函)。
(4)测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
(5)在项目过程中,安排专人对被测单位相关人员实施网络安全钓鱼演练。成功钓鱼人数大于等于30人,钓取内容包括邮箱密码,公司内部账号密码、商业信息等,Counter-Strike等远程工具上线数量大于等于10人。(在此基础上承诺的钓鱼数量越多加分越多)
(6)供应商应在项目实施结束后,结合被测单位的实际情况提供商用密码培训1次(培训内容包括:1.密评相关概念解读2.涉及法律法规宣贯3.密评具体工作科普4.密评典型案例解析等)且成交供应商培训人员须通过国家商业密码应用安全性评估人员能力考核认证。
第六章附录
一、商务部分项目名称
投 标文 件
项目名称:
投标单位(盖公章):
法 定 代 表 人
或其委托代理人(签字或盖章):
日 期:年月
项目名称:
日期:
中航 (略) :
我公司(单位)_______________已仔细研究并了解(项目名称)招标文件的全部内容,愿意以人民币(大写)元(¥)的投标总报价进行投标,投标文件中所有关于投标资格证明文件、内容陈述等均是真实的、准确的,若有违背,我公司愿意承担由此而产生的一切后果。
投标方代表签字:
投标方公章:
序号 | 等保备案系统名称 | 等级 | 数量(套) | 报价 (元) | 备注 |
1 | 核心业务系统(包括子系统) | 3 | 1 | 增值服务内容描述 | |
2 | 财务系统(包括子系统) | 3 | 1 | ||
3 | 互联网业务平台(包括子系统) | 3 | 1 | ||
4 | 办公系统(包括子系统) | 2 | 1 | ||
5 | 邮箱系统 | 2 | 1 | ||
6 | 公司官网 | 2 | 1 | ||
7 | 合计 | / | 6 | ||
10 | 合计大写金额 | ||||
(需要完善)
说明:
1、此表可延长,合计报价分别以大写、小写格式进行填写。
2、此表应包含本投标项目所有产品及模块报价。
3、此“备注”栏可详细描述具体的服务优惠方案,可包括且不限于售后服务,培训等。
序号 | 招标文件要求 | 投标响应 | 差异 | 差异原因 |
序号 | 招标文件要求 | 投标响应 | 差异 | 差异原因 |
序号 | 被测评单位名称 | 行业 | 测评系统 | 备案等级 | 合同证明文件在投标书中的页码 |
1 | |||||
2 | |||||
3 | |||||
4 |
序号 | 资质、信誉(资信证明、获奖等)文件名称 | 获取时间 | 描述 | 在投标书中位置页码 |
1 | ||||
2 | ||||
3 |
请在此依次附上资质、信誉文件复印件。加盖公章。
姓名 | 性别 | 出生年月 | |||
职称 | 学历 | 毕业时间 | |||
(略) 校 | 所学专业 | ||||
专业工作年限 | 从事相关工作年限 | ||||
工作邮箱 | 联系电话 | ||||
拟在本项目工作中承担的职务 | |||||
资格证书名称/级别/编号 | |||||
主要工作经历及业绩: | |||||
注:1、“主要人员”是指本项目负责人及实施人员;
2、本表应相应附有本项目负责人身份证、职称证书、资格证书等复印件及业绩证明材料。
3、资格证书请尽量完整地填写各类信息安全证书、等保测评类证书和商密测评类证书。
投 标 人:(盖公章)
法定代表人或其委托代理人:(签字或盖章)
日 期:年月日
中航 (略) 采购尽职调查表
鉴于贵公司/贵组织( (略) )拟参加中航 (略) ( (略) )采购事项,为保证采购事项公平、公正,请贵公司填写以下事项,并加盖公章。本《采购尽职调查表》为采购投标(包括单一来源采购)的必要文件。如填写虚假信息,将取消投标资格, (略) 采购黑名单,对于发现有舞弊或违法事项,将进一步追究相关人员责任。贵公司如中标,本《采购尽职调查表》 (略) 签订的采购合同的组成部分。
(贵公司为政府机关、军队、银行、保险公司、证券公司、期货公司、信托公司、 (略) 不需要填写此表)
1.公司名称:
2.公司成立时间:
3.公司注册资金:
4.公司注册地址:
5.公司在采购项目实际使用或 (略) 级行政区域内是否有经营机构(如有,请填写办公地址):
6.负责本次采购投 (略) 正式员工,请填写联系人姓名、职务、电话:
7.公司营业执照所列经营范围:
8.公司是否具有与采购项目有关的资质(资质指政府规定提供与本次采购相关的商品或服务必须具备的资质,不包括已获奖励、认证等,如有请具体说明):
9.公司股东与实际控制人(实际控制人是指:持有公司50%以上股份,或对公司具有实际决定权):
10.投标的项目是否需要第三方授权(如是,请说明是否已取得第三方授权,需要授权事项包括但不限于知识产权、肖像权等):
11.公司是否承诺,因公司提供的商品或服务中存在未授权的事项( (略) 提供或附加的部分),因此产 (略) 承担(如否,请说明理由):
12.公司近三年是否被列为失信执行人(如有,请具体说明):
13.公司近三年是否被列入制裁名单(如有,请具体说明):
14.公司近三年是否存在违规缴纳社保、偷漏税款的情况(如有,请具体说明):
15.公司近三年是否受到过政府或行政主管部门的行政处罚(如有,请具体说明):
16.公司近三年在工商行政管理部门、税务部门登记的存续状态是否正常(如存在异常提示,请具体说明):
17.公司是否能够遵守反洗钱的有关规定(如否,请说明理由):
18.公司当期资产负债率(资产负债率如超过70%时,请简要说明原因,并分析是否会影响合同的履行):
19.公司知悉本次采购招标的时间与途径:
20.公司实际控制人、股东、负责人、与采购项目有关的人员及上述人员其近亲属, (略) 高管、采购承办部门/机构的人员具有亲属、合作与合伙,或其他存在利益关联的关系(如有,请具体说明):
21. (略) 高管、采购承办部门/机构的人员 (略) 任职,或与公司有过其他合作(如有,请具体说明):
22.公司相关人 (略) 高管、采购承办部门/机构的人员存在商务宴请、馈赠礼品礼金,变相旅游或其他给予利益的行为(如有,请具体说明):
23.公司近三年是否作为投标 (略) 采购项目(如有,请逐项说明):
24.公司近三年是 (略) 采购项目(包括单一来源采购,如有,请逐项说明):
公司盖章:
经办人签字:
填写日期:年月日
法定代表人身份证明书
本授权委托书声明:我__________(姓名)系___________(投标方)的法定代表人,现授权委托________(投标方)的____________(姓名)身份证号为____________为我司代理人,以本公司的名义参加____________(招标人)的___________________________项目的投标活动。投标方在开标、评标、合同谈判、签署合同过程中所签署的一切文件和处理与之有关的一切事务,我均予以承认。代理人无转委权利。特此委托。
(附:法定代表人身份证正反面复印件)
致:中航 (略)
(以下简称“我司”)希望参与中航 (略) (以下简称“贵司”)的(以下简称“本项目”)项目建设。在本项目投标过程中, (略) 提供有关本项目的相关信息和技术资料, (略) 必须根据本承诺书的规定对所提供的信息和资料严格履行保密责任,并且仅为对本项目的招投标及项目实施之目的而使用。
为了对保密信息予以有效保护,我公司同意做出以下承诺:
本承诺书所称的“相关信息和技术资料” (略) 提供的招标文件内容以及有关本项目实施过程中涉及的全部未向社会公开的信息,无论是书面的、口头的、图形的、电子的或其他任何形式的信息。
本次项目招投标所提供的相关信息和 (略) 用于进行本次参与招投标及中标后的项目实施,我公司不能将本次项目招投标所提供的相关信息和技术资料用于其他任何目的。
除我公司参与招投标的人员和直接参与本次项目实施的员工外,我公司不能将本次项目招投标所提供的相关信息和技术资料透露给其他任何人;未经贵司书面同意,我公司不得将本次项目招投标所提供的相关信息和技术资料向新闻媒体予以公开披露或者发表声明。
我公司应当告知参与本次 (略) 聘请的相关人员遵守本保密协议书的约定,并应采取必要措施,确保其参与本次招投标和项目实施的员工和外聘人员履行保密义务。若参与本项工作之员工或外聘人员违反本保密协议的约定,泄露了贵司所提供的相关信息和技术资料,依据本承诺书约定,我公司应与泄密员工或外聘人员承担连带责任。
当贵司 (略) 交回本次项目招投标所提供的相关信息和技术资料时,我公司应立即交回所有书面的或其他有形的相关信息和资料以及所有描述和概括该相关信息和资料的文件。我公司在交回以上有关资料前未经贵司的允许不得采取抄写、复印、拷贝等任何方式留存相关信息和资料
没有贵司的书面许可,我公司不得丢弃和处理任何书面的或其他有形的相关信息和资料。
我公司如违约泄露本次项目招投标所提供的相关信息和技术资料,应当按照贵司的指示采取一切必要措施对违约行为予以补救,包括采取有效方法对该专有信息进行保密, (略) 承担。
我公司 (略) 违约而造成的所有损失。
自本承诺书生效之日起,双方的合作交流都要符合本承诺书的约定,除非贵司通过书面通知明确说明,本承诺书所涉及的某项信息和资料可以不用保密,我公司必须按照本承诺书所承担的保密义务在所接收的信息和资料被社会公知前对所收到的相关信息和资料进行保密,保密期限不受本承诺书有效期限的限制。
我司方信息接口人:
姓名:
身份证号:
联系电话:
二、技术部分中航安盟财 (略)
2023年网络安全等级保护测评备案项目
招 标 文 件
(商务&技术)
采 购 人:中航安盟财产保险有限公司
二○二三年四月
目录
中航安盟财 (略)
2023年网络安全等级保护测评备案项目
第一章 招标公告
为贯彻落实国家《网络安全法》、等级保护制度以及上级监管部门的相关要求,中航 (略) 现针对2023年网络安全等级保护测评备案项目进行公开招标,现将招标有关事宜公告如下:
一、项目名称中航 (略) 2023年网络安全等级保护测评备案项目
二、招标服务范围本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对公司重要信息系统开展网络安全等级测评,提供差距项整改建议,出具等级保护测评报告, (略) 进行整改加固,协助公司完成信息系统备案、公司全辖网络安全培训等相关工作,并最 (略) 公安机关等保认证并 (略) 公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
合同签订后,2个自然月内需完成测评服务及备案工作(不包含*方整改时间)。
四、服务地点招标人指定地点。
五、投标人资质要求1)凡是在中华人民共和国境内依照《 (略) 法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;
2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府及其它采购活动前三年内,在经营活动中没有重大违法记录;
(六)法律、行政法规规定的其他条件。
3)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
4)投标人提供的网络安全等级测评与检测评估机构服务认证证书与投标人营业执照上单位名称一致,且可在www.djbh.net上进行查询。
5)投标人不得直接或间接的与招标人为采购本次招标的货物和服务进行设计、编制规范和其他 (略) 或其附属机构有任何关联;
6)按照本投标邀请的规定,获得招标文件;
7)本项目不接受联合体投标。
六、投保报名有意参加该项目投标的单位应携带以下资料到招标人指定地点报名领取招标文件:(以下文件均需要盖章)
1)投标单位营业执照副本复印件;
2)必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》;(原件请一并携带用于核验)
3)法人身份证明或法人授权委托书及被授权人的身份证;
4)经会计师事务所出具的2022年度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件;
5)近三个月的缴纳社会保障资金的入账票据凭证复印件;
6)近三个月的依法缴纳税收的入账票据凭证复印件;
7)参加本次采购活动前三年内,在经营活动中没有重大违法记录的声明。
招标文件(电子版)领取时间:自本招标公告发布之日起5个工作日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。
招标文件领取地点: (略) 高新区交子大道33号中国华商金融中心1号楼36层。联系人:张龙跃;联系电话:028-*。
8)投标保证金:10000元人民币
9)投标及标书投递:
投标书投递时间:自本招标公告发布之日起5个工作日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。
标书投递地址:见开标地点。
10)开标地点:
成都地址: (略) 高新区交子大道33号中国华商金融中心1号楼36层;联系人:张龙跃;联系电话:028-*。
11)评标办法:综合评分法。
12)公告时限:五个工作日
招标人信息:中航 (略)
地 址: (略) 高新区交子大道33号中国华商金融中心1号楼36层;联 系 人:张龙跃;联系方式:028-*
凡对本次招标提出询问,请按以上联系方式联系。
七、投标保证金1)投标单位须在报名确认并领取招标文件后3日内(包含报名日)缴纳投标保证金人民币10000元整,并将投标保证金缴纳到本招标书指定的账号。
2)投标单位应按招标文件规定的金额和期限缴纳投标保证金,投标保证金作为投标文件的组成部分。提交投标保证金的投标单位须已报名本项目。投标单位与交款单位名称必须一致,投标单位必须从企业基本账户银行一次性缴交足额投标保证金,不接受现金或分批次缴款。非投标单位缴纳的投标保证金无效。
3)投标单位缴纳投标保证金后,请致电本招标书所描述联系人自行核对保证金是否有效并发送缴费凭证至联系人指定邮箱地址。
4)报名后未按要求缴纳投标保证金,报名无效。
5)投标保证金的退回:
(1)未中标公司的投标保证金在开标后30个工作日内予以无息退还。
(2)中标公司的投标保证金在中标方与招标方签订合同后30个工作日内予以无息退还。
6)投标保证金指定账号信息
公司基本账户信息如下:
账号:*14945
户名:中航 (略)
开户行:中国建设银行成都新华支行
联行号:*
注:要求只能通过转账方式收取。
特此公告!
中航 (略)
二〇二三年四月
第二章 投标须知
一、招标服务范围本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对公司重要信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告, (略) 进行整改加固,协助公司完成信息系统备案等相关工作,在公司全辖范围内开展网络安全培训,并最 (略) 公安机关等保认证并 (略) 公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
1)凡是在中华人民共和国境内依照《 (略) 法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;
2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(六)法律、行政法规规定的其他条件。
3)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
4)投标人提供的网络安全等级测评与检测评估机构服务认证证书投标人营业执照上单位名称一致,并可在www.djbh.net上进行查询。
5)投标人不得直接或间接的与招标人为采购本次招标的货物和服务进行设计、编制规范和其他 (略) 或其附属机构有任何关联;
6)按照本投标邀请的规定,获得招标文件;
7)本项目不接受联合体投标。
三、费用承担投标人应自行承担所有与准备和参加投标有关的全部费用,不论投标的结果如何,招标人无义务和责任承担这些费用。
四、招标答疑1)投标单位如对招标文件中所述内容有疑问,请按招标公告规定的投标截止时间和地点以书面或传真形式进行递交,招标单位将视情况对所有投标单位以书面形式进行答复。
2)招标单位收到投标单位提出的疑问后,由招标单位分别对投标单位所提的相关问题进行解答,书面答疑文件将作为招标文件的补充文件,并在规定投标截止时间前提供给所有投标单位。
3)招标单位对投标单位提出的疑问所做出的任何口头或电话询问与答复均属无效,以书面答疑为准。
4)在投标截止时间前,招标单位都有权对招标文件进行修改、补充,若原招标文件与后补充文件有矛盾时,以后补文件为准。
5)如果考虑到招标澄清或修改的内容会导致投标单位不能按期完成投标文件,招标单位有权延长投标截止日期。
第三章 关于投标文件
一、投标文件组成请按下列要求顺序装订,目录索引与投标书页码对应。
以 (略) 公章,并在需要签名的位置手写签名。
10)营业执照副本复印件
11)投标参与方必须提供公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》签章复印件。
12)投标企业法定代表人资格证明或法人授权委托书(格式见附件10);
13)拟担任本项目工作主要人员情况表,项目实际实施人员需与投保书承诺主要工作人员一致(格式见附件8)
14)企业信誉相关证明资料;
(1)经会计师事务所出具的2022年度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件;
(2)近三个月的缴纳社会保障资金的入账票据凭证复印件;
(3)近三个月的依法缴纳税收的入账票据凭证复印件;
15)联系人姓名、电话、传真、邮编、地址及身份证明;
16)尽职调查表(格式见附件9)
17)投标保证金凭证
18)投标保密承诺书(格式见附件11)
19)技术方案
20)投标文件电子版(投标书WORD版COPY进U盘,单独密封。)
投标人在投标截止时间前,可以对所递交的投标文件进行补充、修改或者撤回(仅限1次),并书面通知招标人。补充、修改的内容应当按招标文件要求签署、盖章,并作为投标文件的组成部分。
1)投标人必须保证所提供的全部资料的真实性、准确性,否则,将拒绝其投标。投标人在投标文件中提供不真实的材料,无论其材料是否重要,都将视为投标无效,并承担由此产生的法律责任。
2)投标人必须对本招标文件的每一项要求给予实质性响应,否则将视为不响应。“实质性响应”指符合招标文件所有要求、条款、条件和规定,且没有重大偏离。
3)投标人对本招标文件的每一项要求所给予的响应必须是唯一的。否则将视为不响应。
1)投标文件正本须打印并由投标人法定代表人或其委托代理人在正本和副本上要求的地方签字。
2)投标文件除签字外其余必须是印刷形式,其中不许有加行、涂抹或改写。
3)邮箱、电话、传真形式的投标概不接受。
1)投标人应准备投标文件的正本1套,副本1套,电子版1份(U盘存储),在每一份投标文件上要明确注明“正本” 或“副本”字样,U盘单独封装。一旦正本和副本内容有差异,以正本为准。
2)投标人应将投标文件按照本章第1部分投标文件编订要求单独装订成册,在正副本封面上加盖公章并签字。
3)投标文件应装订牢固不可拆卸(如:胶订),如因装订不牢固导致的任何损失由投标人承担。
4)正本、副本及电子版分别独立封装,在每一封口处加盖公章,并在信封上标明投标人名称和联系方式信息。
1)投标人将投标文件按上述规定进行密封和标记后,按招标公告注明的地址在投标截止时间之前由专人送至或邮寄至招标采购单位。
2)招标单位将拒绝在投标截止时间后收到的投标文件。
3)一正一副本投递至成都指定地点(详见招标公告)。
1)投标文件及投标人和招标采购单位就投标交换的文件和来往信件,应以中文书写。投标人提供的支持文件、技术资料和印刷的文献可以用其他语言,但相应内容应附有中文翻译本,以中文为准。
2)计量单位应使用中华人民共和国法定公制计量单位。
综合考虑招标方信息系统等级保护测评工作量,并结合招标方测评工作的特殊性,将项目规划为按被测评信息系统级别进行单项核算,并给出汇总报价。
1)投标人必须以人民币报价。
2)投标人必须按招标文件指定格式正确填写报价单,报价单中相应内容的报价应计算正确。
3)每一项目的报价必须是唯一的。报价栏项目中如出现数字0,视报价为零,即免费;如出现空白,视为已响应但漏报价。
4)漏报的单价或每单价报价中漏报、少报的费用,视为此项费用已隐含在投标报价中,中标后不得再向采购人收取任何费用。
5)所有报价应包含本项目的所有费用(包含国家规定的所有税费)。
6)报价单的总报价大小写应该一致,大写金额和小写金额不一致的,以大写金额为准。
7)开标时,投标文件中报价单的总报价与投标文件中明细表的报价不一致的,以报价单的总报价为准。
8)投标文件的大写金额和小写金额不一致的,以大写金额为准;总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;单价金额小数点有明显错位的,应以总价为准,并修改单价;对不同文字文本投标文件的解释发生异议的,以中文文本为准。
二、关于开标、评标、定标1)由招标采购单位根据安排确定时间,并提前通知投标人。
1)招标单位根据项目招标需要组建评标委员会。
2)评标委员会将遵照公开、公平、公正、科学合理的评标原则,严格按照招标文件的要求和条件进行评标,平等地对待所有投标方,评标委员会综合分析投标方的各项指标择优定标,而不以单项指标的优劣评选出入围单位。
3)评标委员会将对投标文件进行审查、质疑、评估和比较;必要时,可对投标文件中的问题向投标方进行询问。
1)评标委员会综合评审, (略) 。
2)综合考虑以下因素评标定标:
(1)报价
(2)成功案例
(3)增值服务
3)不承诺 (略) 。
4)不向落标方解释落标原因。
5)评标结束后,招标人将及时通过投标人所预留联系 (略) 。入围公司2天内要给出明确答复,并与招标人洽谈合同事项。若因商务或其他原因无法达成协议,招标人 (略) 。
6)招 (略) 发出未中标通知。
7)入围公司在洽谈合同时,提出与招标文件规定相反的意见,如招标 (略) 坚持不变的,招 (略) 的中标资格,由此产生的后果和 (略) 负责。
8)本招标书、入围公司的投标文件及其澄清文件等,均为签订经济合同的依据。
三、关于投标无效和招标失败1)投标文件未密封;
2)投标声明函无单位盖章和法定代表人或法定代表人委托的代理人的印鉴;
3)投标文件不完整、不真实或未对招标文件做出实质的响应导致投标无效;
4)投标设备或服务明显不符合技术规格、技术标准的要求;
5)投标文件载明的货物包装方式、检验标准和方法等不符合招标文件的要求;
6)投标文件附有招标采购单位不能接受的条件;
7)投标文件逾期送达;
8)不满足招标文件中其他重要指标;
1)符合专业条件的投标人或者对招标文件作实质响应的投标人不足三家的;
2)出现影响采购公正的违法、违规行为的;
3)投标人的报价均超过了采购预算,采购人不能支付的;
4)因重大变故,采购任务取消的。
四、关于合同签署、付款和实施投标人将与招标人一起进行实施方案的细化确认,并经过商务谈判后才能签订合同。
项目实施完成并达成项目目标, (略) 公安局完成等保备案并由中标方提供相关证明,在招标人确认后20个工作日内,招标方支付合同金额的100%款项给中标方。(如投标书所承诺的增值服务项目未达标或未完成,将扣除相应款项,最高扣除合同总金额的10%)。
五、关于保密未经招标人和投标人许可,双方都不得将招标文件中关于采购人的系统现状及需求情况、建设情况提供给任何第三方。
第四章 招标技术需求
一、项目概况为贯彻落实国家《网络安全法》《网络安全等级测评要求》、等级保护制度以及上级主管部门的相关要求,深入开展中航 (略) (以下简称招标人)网络及信息系统的安全隐患发现、安全隐患整治,提升中航安盟建设新形势下整体网络安全保障能力,开展2023年等级保护(以下简称等保)测评工作,确保公司信息系统安全稳定运维。
本次招标是依据《网络安全法》《网络安全等级测评要求》等要求,对招标人重要信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告报告, (略) 进行整改加固,协助招标人完成信息系统备案备案等相关工作,在全辖开展网络安全培训,并最 (略) 公安机关等保认证并 (略) 公安机关颁发的“信息系统安全等级保护备案证明”凭证。
需等保测评备案系统如下:
序号 | 信息系统名称 | 等级 | 数量 (套) |
1 | 核心业务系统(包括子系统) | 3 | 1 |
2 | 财务系统(包括子系统) | 3 | 1 |
3 | 互联网业务平台(包括子系统) | 3 | 1 |
4 | 办公系统(包括子系统) | 2 | 1 |
5 | 邮箱系统 | 2 | 1 |
6 | 公司官网 | 2 | 1 |
依据等保2.0相关要求,对中航安盟保险信息系统开展网络安全等级测评工作,提供差距项整改建议,出具等级保护测评报告,配合招 (略) 公安局完成信息系统等级保护备案。
1)信息系统的信息安全等级定级和备案工作,必须确保每个信息系统定级、 (略) 级以上公安机关的备案手续,取得相应等级保护备案证明。
2)按照信息系统安全等级保护要求,对信息系统完成系统拓扑描绘及说明;协助信息系统业主方完善系统安全管理制度;对系统安全保护实施设计方案或改建实施方案提供咨询; (略) 公安局认可的系统等级测评报告。
3)安全技术测评。包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面的安全测评。
4)安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全系统建设和安全系统运维五个方面的安全测评。
5)形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以、整改意见。
6)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务,并协助制定整改计划和确定信息按整改标准和整改结果达标确认。
7)等级测评,至少包括:
在系统整改完成后,按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。
编制测评报告。制定并提交《系统信息安全等级测评报告》,报告需提交公安机关网安部门备案,且能满足合规性要求,备案证明作为验收材料之一。
分类 | 子类 | 基本要求 |
安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
物理访问控制 | 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。 | |
防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; b) 应将通信线缆铺设在隐蔽安全处。 | |
防雷击 | 应将各类机柜、设施和设备等通过接地系统安全接地。 | |
防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 | |
防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 | |
防静电 | 应采用防静电地板或地面并采用必要的接地防静电措施。 | |
温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | |
电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。 | |
电磁防护 | 电源线和通信线缆应隔离铺设,避免互相干扰。 | |
安全通信网络 | 网络架构 | a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; |
应采用校验技术保证通信过程中数据的完整性。 | ||
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信 验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | ||
安全区域边界 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 | |
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | ||
应在关键网络节点处监视网络攻击行为。 | ||
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。 | ||
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | ||
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行 可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | ||
安全计算环境 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | |
a) 应对登录的用户分配账户和权限; | ||
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | ||
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; | ||
应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 | ||
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | ||
应采用校验技术保证重要数据在传输过程中的完整性。 | ||
数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | |
剩余信息保护 | 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 | |
个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | |
安全管理中心 | a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对 这些操作进行审计; | |
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | ||
安全管理制度 | 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全 框架等。 |
a) 应对安全管理活动中的主要管理内容建立安全管理制度; | ||
a) 应指定或授权专门的部门或人员负责安全管理制度的制定; | ||
应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制 度进行修订。 | ||
安全管理机构 | a) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; | |
应配备一定数量的系统管理员、审计管理员和安全管理员等。 | ||
a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; | ||
a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; | ||
应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。 | ||
安全管理人员 | a) 应指定或授权专门的部门或人员负责人员录用; | |
应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设 备。 | ||
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 | ||
a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; | ||
安全建设管理 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; | |
a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | ||
a) 应确保网络安全产品采购和使用符合国家的有关规定; | ||
a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; | ||
a) 应在软件交付前检测其中可能存在的恶意代码; | ||
a) 应指定或授权专门的部门或人员负责工程实施过程的管理; | ||
a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; | ||
a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | ||
等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; | |
a) 应确保服务供应商的选择符合国家的有关规定; | ||
安全运维管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理; | |
应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。 | ||
a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; | ||
a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; | ||
应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响 后进行修补。 | ||
a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; | ||
a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; | ||
配置管理 | 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补*信息、各个设备或软件组件的配置参数等。 | |
a) 应遵循密码相关国家标准和行业标准; | ||
应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。 | ||
备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; | |
a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; | ||
a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; | ||
外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定; |
分类 | 子类 | 基本要求 |
安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; |
物理访问控制 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 | |
防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; | |
防雷击 | a)应将各类机柜、设施和设备等通过接地系统安全接地。 | |
防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; | |
防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; | |
防静电 | a) 应采用防静电地板或地面并采用必要的接地防静电措施; | |
温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | |
电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; | |
电磁防护 | a) 电源线和通信线缆应隔离铺设,避免互相干扰; | |
安全通信网络 | 网络架构 | a) 应保证网络设备的业务处理能力满足业务高峰期需要; |
通信传输 | a) 应采用校验技术或密码技术保证通信过程中数据的完整性; | |
可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全区域边界 | 边界防护 | a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; |
访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; | |
入侵防范 | a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; | |
恶意代码和垃圾邮件防范 | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | |
安全审计 | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | |
可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全计算环境 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
访问控制 | a) 应对登录的用户分配账户和权限; | |
安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | |
入侵防范 | a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; | |
恶意代码防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | |
可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
数据完整性 | a) 应采用校验技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; | |
数据保密性 | a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; | |
数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | |
剩余信息保护 | a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; | |
个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | |
安全管理中心 | 系统管理 | a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; |
审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | |
安全管理 | a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; | |
集中管控 | a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; | |
安全管理制度 | 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
管理制度 | a) 应对安全管理活动中的主要管理内容建立安全管理制度; | |
制定和发布 | a) 应指定或授权专门的部门或人员负责安全管理制度的制定; | |
评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 | |
安全管理机构 | 岗位设置 | a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; |
人员配备 | a)应配备一定数量的系统管理员、审计管理员和安全管理员等; | |
授权和审批 | a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; | |
沟通和合作 | a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; | |
审核和检查 | a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; | |
安全管理人员 | 人员录用 | a) 应指定或授权专门的部门或人员负责人员录用; |
人员离岗 | a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; | |
安全意识教育和培训 | a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; | |
外部人员访问管理 | a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; | |
安全建设管理 | 定级和备案 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; |
安全方案设计 | a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | |
产品采购和使用 | a) 应确保网络安全产品采购和使用符合国家的有关规定; | |
自行软件开发 | a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; | |
外包软件开发 | a) 应在软件交付前检测其中可能存在的恶意代码; | |
工程实施 | a) 应指定或授权专门的部门或人员负责工程实施过程的管理; | |
测试验收 | a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; | |
系统交付 | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | |
等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; | |
服务供应商选择 | a) 应确保服务供应商的选择符合国家的有关规定; | |
安全运维管理 | 环境管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理; |
资产管理 | a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; | |
介质管理 | a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; | |
设备维护管理 | a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; | |
漏洞和风险管理 | a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; | |
网络和系统安全管理 | a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; | |
恶意代码防范管理 | a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; | |
配置管理 | a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补*信息、各个设备或软件组件的配置参数等; | |
密码管理 | a) 应遵循密码相关国家标准和行业标准; | |
变更管理 | a)应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施; | |
备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; | |
安全事件处置 | a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; | |
应急预案管理 | a)应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容; | |
外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定; |
信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:投标人的工作中的过程和文档,具有很好的规范性,以便于项目的跟踪和控制。
可控性原则:等保测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
1)投标人应详细描述本次项目整体实施方案,包括项目概述、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2)投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果作出专业判断以及出具等级测评报告等任务的能力。
投标人应配置有经验的测评人员进行本次等级保护测评工作。
投标人应以文件形式任命一名技术主管,并明确其在等级测评技术方面的职责,全面负责等级测评方面的技术工作。
3)投标人应保证有足够的能力满足测评工作要求,包括安全技术测评实施能力、安全管理测评实施能力、安全测试与分析能力、整体测评实施能力等。
4)投标人应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。应建立完善的测评项目管理制度,划分测评各阶段,明确各阶段的工作内容。
6)投标人应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、渗透测试工具等。
投标人应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
7)投标人应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保投标人各级人员能够理解和执行。应建立一套完善的管理体系文件,该体系文件应能覆盖机构日常工作和测评活动的各个方面。体系文件可以制度、手册、程序等形式发布执行,并应建立执行记录。
8)投标人应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务,应制定保证其公正性、客观性、诚实性的制度、程序或行为规范,并向客户和社会做出公正性声明或承诺,接受行为监督。
投标人的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。机构应保证其单位法人及主要工作人员身份的可信性,并可提供用于证明的机构注册资料和人员档案信息。
9)投标人应重视安全保密工作,指派安全保密工作的责任人。投标人应依据保密管理制度,定期对工作人员进行保密教育,投标人和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等,应制定保密管理制度,明确保密范围、各岗位的保密职责和保密要求。
投标人应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于:
a) 被测评单位提供的资料;
b) 等级测评活动生成的数据和记录;
c) 依据上述信息做出的分析与专业判断。
投标人应着重对被测单位的技术资料、测评数据、测评报告等信息进行保护。对上述信息资料应专门保管,对数据信息存储和借阅应严格控制。
10)投标人应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。机构应借助技术手段,如数据加密存储、传输、处理方式,保证数据的安全。同时防止存储测评数据信息的计算机非法外联、非受控移动存储设备接入、重要信息的互联网传输等问题的发生。
11)测评记录的规范性,测评记录应当清晰规范,并获得被测评方的书面确认;测评过程中的记录应按规定的格式填写,字迹要求清晰;数据结果应当现场记录,不得漏记、补记、追记;记录的更正应有规范性要求;测评记录应获得被测评方的确认。
12)测评报告的规范性,测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;
13)风险控制能力:投标人应充分估计测评可能给被测系统带来的风险,风险包括投标人由于自身能力或资源不足造成的风险、测试验证活动可能对被测系统正常运行造成影响的风险、测试设备和工具接入可能对被测系统正常运行造成影响的风险、测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。投标人应全面分析评估,针对不同风险,采取不同的规避和控制措施。包括合同评审、签署保密协议、风险告知确认、现场测评授权、系统备份、制定应急预案以及邀请全程监督等,做好防范和控制工作,避免为自身带来额外风险。
第五章技术标准和服务要求
一、技术标准和规范《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》( (略) 令147号)
《信息安全等级保护管理办法》
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护定级指南》(GB/T22240-2008)
《信息系统安全等级保护基本要求》(GB/T22239-2019)
《信息系统安全等级保护测评要求》(GB/T28448-2019)
《信息系统安全等级保护测评过程指南》(GB/T28449-2018)
《信息安全风险评估规范》(GB/T20984-2007)
《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)
《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 8449-2012)
《信息安全技术 计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息安全技术 信息系统密码应用基本要求》GB/T 39786-2021
如有最新规定按最新规定执行。
二、招标人技术及管理要求(1)具备较强的系统分析、问题判断和解决等方面的能力;
(2)对工作职责有充分认知,有较强的工作责任心,具备较好的沟通协调、口头表达能力,能够与客户进行良好的沟通。
(1)服务人员应严格遵守招标人各项规章制度及计算机信息行业的法律法规,保持安全、规范、清洁的工作环境,做好信息安全保护措施及计算机病毒的防范工作;
(2)数据或其他涉密信息传递时,应按照要求进行加密,通过电话或其他方式通知接受方;
(3)未经允许,切勿对自己或他人的计算机网络功能进行删除、修改或者增加;切勿私自安装病毒或其他含病毒软件;
(1)遵守用户的各项规章制度,严格按照用户相应的规章制度办事;
(2)与用户运行维护体系其他部门和环节协同工作,密切配合,共同开展技术支持工作;
(3)出现疑难技术、业务问题和重大紧急情况时,及时向负责人报告;
(4)现场技术支持时要精神饱满,穿着得体,谈吐文明,举止庄重;
(5)接听电话时要文明礼貌,语言清晰明了,语气和善;
遵守保密原则。对被支持单位的网络、主机、系统软件、应用软件等的密码、核心参数、业务数据等负有保密责任,不得随意复制和传播。
投标方应建立严格的质量保障体系和应急事件响应机制。投标人应配备技术人员进行远程支持。当有服务请求时,现场人员应在2小时内响应并进行处理,如遇故障,现场人员无法解决的,远程人员需在30分钟内响应并进行处理,如远程无法处理的,投标方需在2小时到达现场进行处理,如遇应急事件投标方须在10分钟响应并启动应急事件处理机制。
时间要求,合同签订后2个自然月达成项目目标。
完成内容:在服务期间内,按照中航安盟的管理要求,定期完成等级保护测评工作。针对用户使用过程中出现的系统业务支撑问题进行及时的解答、跟踪并及时反馈至管理部门。
本次信息系统等级保护测评活动,应针对各个阶段输出各自的过程文档,文档应包括但不限于以下方面:
《等级测评工作计划》
《信息系统调研表》
《信息系统测评方案》
《信息系统扫描方案》
《信息系统现场测评记录表》
《信息系统漏洞扫描报告》
《信息系统漏洞渗透测试报告》
本项目根据中航安盟相关项目管理办法进行考核及验收。
该项目需要达到的效果、质保期、售后服务及项目过程中和后期投标方所需提供的资料。
(1)招标工作完成,中标人须向中航安盟提交本项目的《测评方案》,该《测评方案》须从项目服务内容、范围、流程、人员、计划等方面进行详细阐述。
(2)投标方参加本项目现场工作的人员不少于3人,不得少于2个中级测评师。
(3)相关工作人员(项目经理、测评工程师)必须为中华人民共和国境内的中国公民,且无犯罪记录(提供身份证复印件及承诺函)。
(4)测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
(5)在项目过程中,安排专人对被测单位相关人员实施网络安全钓鱼演练。成功钓鱼人数大于等于30人,钓取内容包括邮箱密码,公司内部账号密码、商业信息等,Counter-Strike等远程工具上线数量大于等于10人。(在此基础上承诺的钓鱼数量越多加分越多)
(6)供应商应在项目实施结束后,结合被测单位的实际情况提供商用密码培训1次(培训内容包括:1.密评相关概念解读2.涉及法律法规宣贯3.密评具体工作科普4.密评典型案例解析等)且成交供应商培训人员须通过国家商业密码应用安全性评估人员能力考核认证。
第六章附录
一、商务部分项目名称
投 标文 件
项目名称:
投标单位(盖公章):
法 定 代 表 人
或其委托代理人(签字或盖章):
日 期:年月
项目名称:
日期:
中航 (略) :
我公司(单位)_______________已仔细研究并了解(项目名称)招标文件的全部内容,愿意以人民币(大写)元(¥)的投标总报价进行投标,投标文件中所有关于投标资格证明文件、内容陈述等均是真实的、准确的,若有违背,我公司愿意承担由此而产生的一切后果。
投标方代表签字:
投标方公章:
序号 | 等保备案系统名称 | 等级 | 数量(套) | 报价 (元) | 备注 |
1 | 核心业务系统(包括子系统) | 3 | 1 | 增值服务内容描述 | |
2 | 财务系统(包括子系统) | 3 | 1 | ||
3 | 互联网业务平台(包括子系统) | 3 | 1 | ||
4 | 办公系统(包括子系统) | 2 | 1 | ||
5 | 邮箱系统 | 2 | 1 | ||
6 | 公司官网 | 2 | 1 | ||
7 | 合计 | / | 6 | ||
10 | 合计大写金额 | ||||
(需要完善)
说明:
1、此表可延长,合计报价分别以大写、小写格式进行填写。
2、此表应包含本投标项目所有产品及模块报价。
3、此“备注”栏可详细描述具体的服务优惠方案,可包括且不限于售后服务,培训等。
序号 | 招标文件要求 | 投标响应 | 差异 | 差异原因 |
序号 | 招标文件要求 | 投标响应 | 差异 | 差异原因 |
序号 | 被测评单位名称 | 行业 | 测评系统 | 备案等级 | 合同证明文件在投标书中的页码 |
1 | |||||
2 | |||||
3 | |||||
4 |
序号 | 资质、信誉(资信证明、获奖等)文件名称 | 获取时间 | 描述 | 在投标书中位置页码 |
1 | ||||
2 | ||||
3 |
请在此依次附上资质、信誉文件复印件。加盖公章。
姓名 | 性别 | 出生年月 | |||
职称 | 学历 | 毕业时间 | |||
(略) 校 | 所学专业 | ||||
专业工作年限 | 从事相关工作年限 | ||||
工作邮箱 | 联系电话 | ||||
拟在本项目工作中承担的职务 | |||||
资格证书名称/级别/编号 | |||||
主要工作经历及业绩: | |||||
注:1、“主要人员”是指本项目负责人及实施人员;
2、本表应相应附有本项目负责人身份证、职称证书、资格证书等复印件及业绩证明材料。
3、资格证书请尽量完整地填写各类信息安全证书、等保测评类证书和商密测评类证书。
投 标 人:(盖公章)
法定代表人或其委托代理人:(签字或盖章)
日 期:年月日
中航 (略) 采购尽职调查表
鉴于贵公司/贵组织( (略) )拟参加中航 (略) ( (略) )采购事项,为保证采购事项公平、公正,请贵公司填写以下事项,并加盖公章。本《采购尽职调查表》为采购投标(包括单一来源采购)的必要文件。如填写虚假信息,将取消投标资格, (略) 采购黑名单,对于发现有舞弊或违法事项,将进一步追究相关人员责任。贵公司如中标,本《采购尽职调查表》 (略) 签订的采购合同的组成部分。
(贵公司为政府机关、军队、银行、保险公司、证券公司、期货公司、信托公司、 (略) 不需要填写此表)
1.公司名称:
2.公司成立时间:
3.公司注册资金:
4.公司注册地址:
5.公司在采购项目实际使用或 (略) 级行政区域内是否有经营机构(如有,请填写办公地址):
6.负责本次采购投 (略) 正式员工,请填写联系人姓名、职务、电话:
7.公司营业执照所列经营范围:
8.公司是否具有与采购项目有关的资质(资质指政府规定提供与本次采购相关的商品或服务必须具备的资质,不包括已获奖励、认证等,如有请具体说明):
9.公司股东与实际控制人(实际控制人是指:持有公司50%以上股份,或对公司具有实际决定权):
10.投标的项目是否需要第三方授权(如是,请说明是否已取得第三方授权,需要授权事项包括但不限于知识产权、肖像权等):
11.公司是否承诺,因公司提供的商品或服务中存在未授权的事项( (略) 提供或附加的部分),因此产 (略) 承担(如否,请说明理由):
12.公司近三年是否被列为失信执行人(如有,请具体说明):
13.公司近三年是否被列入制裁名单(如有,请具体说明):
14.公司近三年是否存在违规缴纳社保、偷漏税款的情况(如有,请具体说明):
15.公司近三年是否受到过政府或行政主管部门的行政处罚(如有,请具体说明):
16.公司近三年在工商行政管理部门、税务部门登记的存续状态是否正常(如存在异常提示,请具体说明):
17.公司是否能够遵守反洗钱的有关规定(如否,请说明理由):
18.公司当期资产负债率(资产负债率如超过70%时,请简要说明原因,并分析是否会影响合同的履行):
19.公司知悉本次采购招标的时间与途径:
20.公司实际控制人、股东、负责人、与采购项目有关的人员及上述人员其近亲属, (略) 高管、采购承办部门/机构的人员具有亲属、合作与合伙,或其他存在利益关联的关系(如有,请具体说明):
21. (略) 高管、采购承办部门/机构的人员 (略) 任职,或与公司有过其他合作(如有,请具体说明):
22.公司相关人 (略) 高管、采购承办部门/机构的人员存在商务宴请、馈赠礼品礼金,变相旅游或其他给予利益的行为(如有,请具体说明):
23.公司近三年是否作为投标 (略) 采购项目(如有,请逐项说明):
24.公司近三年是 (略) 采购项目(包括单一来源采购,如有,请逐项说明):
公司盖章:
经办人签字:
填写日期:年月日
法定代表人身份证明书
本授权委托书声明:我__________(姓名)系___________(投标方)的法定代表人,现授权委托________(投标方)的____________(姓名)身份证号为____________为我司代理人,以本公司的名义参加____________(招标人)的___________________________项目的投标活动。投标方在开标、评标、合同谈判、签署合同过程中所签署的一切文件和处理与之有关的一切事务,我均予以承认。代理人无转委权利。特此委托。
(附:法定代表人身份证正反面复印件)
致:中航 (略)
(以下简称“我司”)希望参与中航 (略) (以下简称“贵司”)的(以下简称“本项目”)项目建设。在本项目投标过程中, (略) 提供有关本项目的相关信息和技术资料, (略) 必须根据本承诺书的规定对所提供的信息和资料严格履行保密责任,并且仅为对本项目的招投标及项目实施之目的而使用。
为了对保密信息予以有效保护,我公司同意做出以下承诺:
本承诺书所称的“相关信息和技术资料” (略) 提供的招标文件内容以及有关本项目实施过程中涉及的全部未向社会公开的信息,无论是书面的、口头的、图形的、电子的或其他任何形式的信息。
本次项目招投标所提供的相关信息和 (略) 用于进行本次参与招投标及中标后的项目实施,我公司不能将本次项目招投标所提供的相关信息和技术资料用于其他任何目的。
除我公司参与招投标的人员和直接参与本次项目实施的员工外,我公司不能将本次项目招投标所提供的相关信息和技术资料透露给其他任何人;未经贵司书面同意,我公司不得将本次项目招投标所提供的相关信息和技术资料向新闻媒体予以公开披露或者发表声明。
我公司应当告知参与本次 (略) 聘请的相关人员遵守本保密协议书的约定,并应采取必要措施,确保其参与本次招投标和项目实施的员工和外聘人员履行保密义务。若参与本项工作之员工或外聘人员违反本保密协议的约定,泄露了贵司所提供的相关信息和技术资料,依据本承诺书约定,我公司应与泄密员工或外聘人员承担连带责任。
当贵司 (略) 交回本次项目招投标所提供的相关信息和技术资料时,我公司应立即交回所有书面的或其他有形的相关信息和资料以及所有描述和概括该相关信息和资料的文件。我公司在交回以上有关资料前未经贵司的允许不得采取抄写、复印、拷贝等任何方式留存相关信息和资料
没有贵司的书面许可,我公司不得丢弃和处理任何书面的或其他有形的相关信息和资料。
我公司如违约泄露本次项目招投标所提供的相关信息和技术资料,应当按照贵司的指示采取一切必要措施对违约行为予以补救,包括采取有效方法对该专有信息进行保密, (略) 承担。
我公司 (略) 违约而造成的所有损失。
自本承诺书生效之日起,双方的合作交流都要符合本承诺书的约定,除非贵司通过书面通知明确说明,本承诺书所涉及的某项信息和资料可以不用保密,我公司必须按照本承诺书所承担的保密义务在所接收的信息和资料被社会公知前对所收到的相关信息和资料进行保密,保密期限不受本承诺书有效期限的限制。
我司方信息接口人:
姓名:
身份证号:
联系电话:
二、技术部分招投标大数据
最近搜索
无
热门搜索
无
