深圳市规划和自然资源局信息安全建设咨询服务及密码应用安全性评估需求公示-采招网

深圳市规划和自然资源局信息安全建设咨询服务及密码应用安全性评估需求公示

采购
广东省-深圳市
发布：2021-05-27

内容

发送至邮箱

深圳市规划和自然资源局信息安全建设咨询服务及密码应用安全性评估需求公示

( (略) 市规划 (略) 信 (略) 服务及密码应用安全性评估 )需求公示

项目名称

(略) 市规划 (略) 信 (略) 服务及密码应用安全性评估

采购类型

服务类

采购人名称

(略) 市规划 (略)

采购方式

公开招标

财政预算限额（元）

点击查看>>

项目背景

(略) 市规划和自然资源信息化是我市信息化 (略) 分，是保障我市对土地、矿产和海洋资源的监测、监管，提高国土资源开发利用水平的战略举措，是实现国土资源工作科学化、现代化，加强自然资源对经济的宏观调控能力的重要基础。作为国家信息化 (略) 分， (略) 业、各部门提供地理空间和自然资源环境方面的基础数据，成为国家 (略) 会发展信息化的重要支撑。近年来，规划 (略) 业务系统数量爆发式增长，业务使用对象 (略) 内用户扩大到政府用户，企业用户和公众用户，用户数量多， (略) 络环境复杂。原本的安全建设主要依托与满足政策要求和必要的安全防护，安全总体水平与最佳实践存在差距,信息安全建设滞后于业务和IT建设发展；在体系方面没有统 * 的总体规划，信息安全组织不完善，全面的安全管理防护体系还没有有效的建立起来，全员的安全意识不足；政务服 (略) 、 (略) 等单位也要求落实国家密码管理有关法律法规、政策和标准规范的要求，及时开展密码应用改造和评估工作，《 (略) 市金融和重要领域密码应用与创新发展重点任务工作台账（ * 年- * 年）》对密码工作提出了具体进度要求，需推进自然资源调查监测及监管、管理决策与服务、不动产登记等国土资源基础数据信息系统中的密码应用，及时开展密码应用评估和改造工作。

投标人资质要求

1）具有独立法人资格；2）本项目不接受联合体投标；3） (略) 贿犯罪记录，投标人须提供由供应商 (略) 地的检察机关出具的《行贿犯罪档案查询告知函》扫描件，原件备查；4）投 (略) 注册为 (略) (略) 的供应商，具有独立法人资格及相关经营范围（提供营业执照、供应商注册卡等证明文件的扫描件，加盖投标法人公章，原件备查）；5）投标人须具有中国信 (略) 颁发的信息安全服务资质（安全工程类 * 级或 * 级）资质证书，（提供相关证明复印件或扫描件，加盖投标法人公章，原件备查）；

服务类清单

序号	采购计划编号	需求内容	数量	单位	备注	财政预算限额(元)
1	。	内容如下	1.0	项		点击查看>> .0

具体技术要求

* 、总体要求

本项目在开展过程中，应充分考虑信息系统现状，严格落实《网络安全法》、网络安全等级保护、密码应用 (略) 络安全工作要求。

1、服务响应要求：投标供应商应建立7x * 小时服务响应热线，在服务期内 (略) 服务。 (略) 络、应用系统如果遇到重 (略) 全事件, 供应商技术人员必须在2小时内 (略) ，在4小时内发现原因尽快解决，或在4小时内提供临时解决方案并协助实施。工作结束后应出具安全事件的详细分析报告及解决方案,并提供不限次数7x2 (略) 服务。

2、组织实施要求：投标供应商应安排专职项目经理负责本次服务项目的实施，投标人必须为本项目成立本地化服务小组, 投标人派驻本项目的测评人员和项目经理必须固定，如有变更，必须经用户同意并签字确认。投标人必须提供人员管理及配备方案，安全服务项目经验、资质证书并确保其服务的高质量。

* 、服务内容

本项目是安全服务类项目，服务期为 * 年，工作内容包括：

1、网络安 (略) 规划服务

本次规划需求的服 (略) （含局机关、各直属单位和各派出机构），内容涵盖 * 大体系：安全管理体系、安全技术体系、 (略) 体系、合规监管体系，同时需制定各类信息安全工程、与安全管理建设的落地要求。其中，安全技术体系涵盖物理环境安全、安全基础设施、网络边界安全、服务器及终端安全、业务应用安全、大数据安全、移动应用安全 * 个方面的内容。

（1）安全管理体系设计

制度规范方面，应以《网络安全法》、新等保、关保相关法规为依据，形成基础制度、管理办法和操作规程 * 个 (略) 络安全管理制度体系框架,建立、完善项目采购单位各项安全管理制度规范，形成定期回顾、评审和修订的制度管理机制。

人员培养方面，需设计安全人员培养体系， (略) 络安全研究和应用实践，分专 (略) 络安全人才库， (略) 络 (略) ，培养 * 批高层次、创新型、 (略) 络安全技术人 (略) 。 (略) 机构开 (略) 络安全专项培训、技能竞赛、攻防演练等途径，实现人才多渠道培养选拔。 (略) 络安全人才管理制度，健全人才激励、评价和留用机制， (略) (略) * 。 (略) 络安全防护理念，树立 (略) 络安全观。常态 (略) 络安全意识教育培训，采用多种 (略) 网络安全意识宣贯。 (略) 络安全意识教育培训，力争做到人人懂安全、人人知安全， (略) 络安全工作的开展提供意识支撑。

（2）安全技术体系设计

参照最佳实践，对标编写物理环境安全基线、安全基础设施、网络边界安全基线、服务器及终端安全基线、业务应用安全基线、大数据安全基线、移动应用安全基线等。

设计物理环境安全、安全基础设施、网络边界安全、服务器及终端安全、业务应用安全、大数据安全安全架构及规范。对项目采购单位跨系统 (略) 研究，在仔细研究、分类分级的基础上，设计各类跨系统数据交换安全防护架构及规范。

（3） (略) 体系设计

根据信息系统安全建设评估报告内容，建立完整软件安全建设管理体系，包括：建设管理制度、流程和技术，优化现有工作机制， (略) 需的安全功能检查表单，加强系统架构安全管控，加强开发安全测试，优化工作流程。

(略) 维护管理技术保障体系和制度体系，加强自动化运维建设和管理，使安全工作中创建配置、变更申请、策略审批、 (略) 、持续优化等工作形成闭环，形成安全运维能力迭代循环提升的机制。

建立专 (略) 团队，应基于安全体系规 (略) 体系，结合信息化体系和人力资源特点， (略) (略) ，涵盖组织结构、汇报关系、成员构成、岗位设置、职级划分、岗位职责等方面。根据岗位职责， (略) 络安全人才框架能力模型，确定各个岗位能力要求，建立 * 支具 (略) (略) 。

(略) 支撑协同平台， (略) 络安全资产管理、 (略) 置协同等功能，将其作为安全工作流程发布、任务分派、跟踪的平台，加强安全工作协 (略) 落地能力，提升效率。

完善应急响应体系。细化信息安全事件的分级分类，编 (略) (略) 景下的应急预案。完善资产梳理、安全事件监控、 (略) 置、安全演练等技术措施，提升项 (略) 络安全事件应急响应能力。

（4）安全合规及监管体系设计

完善安全检查体系，首先，从制度层面对安全检查提出明确的管理要求， (略) 络安全检查如何与法定自查相结合的问题；其次，应建立体系化、规范化、可量化的安全检查机制，细化操作规程和检查内容，确保安全检查覆盖信 (略) 涉及的各项工作。逐步 (略) 络安全考核体系，包括考核内容、考核指标及考核数据的获取。

（5）网络安全应急专家服务

服务期内， (略) 络安 (略) * ， (略) 络安全事件应急专家组， (略) 络安 (略) 置咨询服务。主要职责是对 * (略) 络安全事件 (略) (略) 与研判建议；对与预案相关的规章制度的制定和项目建设提供参考意见；对应急工作中存在的问题和不足提出改进建议；参与相关应急培训和教材编审工作。

2、安全防护能力评估服务（红队评估服务）

针对项目采购单位的业务应 (略) 络安全防护评估服务。采用完全模拟黑客攻击的手法， (略) (略) 中不限定攻击路径和手段，在不干扰项目采购单位信息 (略) 、不造成数据损失等不可逆损害的前提下， (略) 络、业务系统、人员、软件等 (略) 多混合、基于对抗性的模拟攻击，从攻击的角度尽可能发现有可能被黑客利用的安全漏洞以及安全威胁，整体评估项目 (略) 网络存在的安全风险和 (略) 程度，形成报告， (略) 之有效的风险整改建议，以降低项目采购 (略) 络安全风险， (略) 络安全防护水平。

（1）以漏洞利用为主，以 (略) 络攻击的手段，绕过项目采购单位的安全防御体系，以“获取业务权限、数据、网站攻击留痕”为目标，检验项目 (略) 网络在遭遇高级 (略) 络攻击时的纵深防御能力、威胁发现能力、告警响应能力、 (略) 置能力；

（2） (略) 络层攻击、应用渗透、后渗透维持等多种攻防手法完全模拟高级 (略) 络攻击，从黑客角度对 (略) 安全评估；

（3）通 (略) 为、绕开安全防护系统、夺取单个目标 (略) 横向移动攻击更多信息系统等形式，对项目 (略) (略) 深度、全面的评估；

（4）绘制评估的完整攻击路线过程，对系统的安全性做深度评估，对 (略) 总结并输出《安全防护能力评估报告》；

（5）服务提供商在输出完报告之后须提出整改建议方案，并协助项目 (略) 整改工作，整改 (略) 复评验证，以确认漏洞是否被完全修复。

3、密码应用安全评估：按照商用密码应用安全性分类分级评估的要求，依据《信息系统密码应用基本要求》（GM/T 点击查看>> ）要求及信息系统等级保护定级情况，对 (略) 市规划 (略) 的7个等保 * 级 (略) * 次商用密码应用安全性评估服务，最终输出7个系统的《密码应用安全性评估报告》，协助 * 方对其中的电子政务平台系统制定密码应用升级改造方案，完成对改造方案的评审，出具《信息系统商用密码应用方案评估意见》，满足商用密码应用安全性评估工作验收要求。

（1）评估要求：按照密码应用评估工作要求，从《商用密码应用安全性评估试点机构目录》中选择商用密码应用安全性评估机构开展评估工作。

（2）评估范围： (略) 市规划 (略) 的电子政务平台（等保 * 级）、 (略) 市不动产登记系统（等保 * 级）、 (略) 市多规合 * 信息平台（等保 * 级）、外网数字 (略) 空间基础信息平台系统（等保 * 级）、 (略) 市产业用地用房供需服务平台（等保 * 级）、 (略) （等保 * 级）、不动产籍信息基础平台（等保 * 级）共7个信息系统。如果 (略) 市规划 (略) 定级备案的信息系统有变化，可以按照调整 (略) 商用密码应用安全性评估服务，评估总量不变，仍然是7个信息系统.

（3）评估内容：按照国 (略) 门的相关标准开展商用密码应用安全性评估，从总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展评估。

（4）评估技术要求：投标方必须提供完整的技术实施方案，基本实施参考要求有：

密码评估的工作流程

密码评估的检测要求

商务需求

1、 (略) 依据及参考的标准

（1）《 (略) 省人民政府办公厅关于印发 (略) 省数字政府改革建设 * 年工作要点的通知》

（2）《 (略) 市金融和重要领域密码应用与创新发展重点任务工作台账（ * 年- * 年）》

2、项目采购范围

（1）服务名称： (略) 市规划 (略) 信 (略) 服务及密码应用安全性评估

（2）服务地点： (略) 市

（3）服务内容：网络安 (略) 规划服务，安全防护能力评估服务（红队评估服务）以及密码应用安全性评估。

3、项目服务期限：本项目服务期限为 * 年，时间自合同签订日开始 * 年。

4、组织实施要求：投标供应商应安排专职项目经理负责本次服务项目的实施，投标人必须为本项目成立本地化服务小组, 投标人派驻本项目的测评人员和项目经理必须固定，如有变更，必须经用户同意并签字确认。投标人必须提供人员管理及配备方案，安全服务项目经验、资质证书并确保其服务的高质量。

5、成果要求：

本项目属于安全服务采购项目，主要工作成果包括：

序号	名称	套数	介质
序号	名称	套数	文本	光盘
1	《维护服务承诺函》	1	1	1
2	《局信息安全管理体系建设方案（3年建设规划）》	1	1	1
3	《红队评估报告》	1	1	1
4	《信息安全培训PPT》	1	1	1
5	密码应用安全性评估报告	7	7	7
6	《信息系统商用密码应用方案评估意见》	1	1	1
7	《项目总结报告》（服务到期时提供）	1	1	1

6、培训及售后服务要求：

（1）提供7x * 小时服务响应热线，提供多种方式与渠道 (略) 及 (略) 技术支持服务，参与采购人的信息安全应急技术演练，并针对采购人需求提供 * 次信息安全技术培训。

（2）合同签订后，中标人提供项目服务期内《维护服务承诺函》。

评标信息

此处显示的为服务类通用项目模板，其他服务类专业模板（物业管理、绿化管养、软件开发、环保类、劳务派遣、设备维护）详见 http:/ 点击查看>>

序号	评分项					权重
1	价格					≥ *
2	(略) 分					约 *
	序号	评分因素		权重	评分方式	评分准则
	1	实施方案（工作措施、工作方法、工作手段、工作流程）		约 *	专家打分	考察内容：由采购单位填写. 根据招标文件的需求和投标文件 (略) 横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。
	2	项目重点难点分析、应对措施及相关的合理化建议		约5	专家打分	考察内容：由采购单位填写. 根据招标文件的需求和投标文件 (略) 横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。
	3	质量（完成时间、安全、环保）保障措施及方案		约 *	专家打分	考察内容：由采购单位填写. 根据招标文件的需求和投标文件 (略) 横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。
	4	项目完成（服务期满）后的服务承诺		约5	专家打分	考察内容：由采购单位填写. 根据招标文件的需求和投标文件 (略) 横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。
	5	违约承诺		约5	专家打分	考察内容：由采购单位填写. 根据招标文件的需求和投标文件 (略) 横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。
3	(略) 分					约 *
	序号	评分因素		权重	评分方式	评分准则
	1	投标人资格情况及通过相关认证情况		≤4	专家打分	设置与项目相关的资格（认证）要求， * 般采取客观化评分。
	2	拟安排的项目负责人情况		≤5	专家打分	考察内容：项目负责人专业、学历、职称、特长、项目经验等内容。提供聘用合同和其他证明材料扫描件，原件备查。未提供聘用合同扫描件的，不得分。按照投标文件 (略) 横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。
	3	拟安 (略) 成员（项目负责人除外）情况		≤ *	专家打分	团队成员总人数要求至少？？人，未达到人数要求的，不得分。考察内容：团队成员的专业、学历、职称、特长、项目经验等内容。提供聘用合同和其他证明材料扫描件，原件备查。未提供聘用合同扫描件的，不得分。按照投标文件 (略) 横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。
	4	投标人自主知识产权产品（创新、设计）情况		≤2	专家打分	考察投标人在项目相关领域自主知识产权情况， * 般采取客观化评分。
	5	项目拟使用的车辆（场地、工具、机器）情况		≤8	专家打分	考察拟使用的车辆（场地、工具、机器）情况（自有、租赁均可），要求提供发票（行驶证）等作为证明资料， * 般采取客观化评分。不得以自有或租赁区别对待。
	6	项目拟选用产品的成熟度及可靠性		≤5	专家打分	考察拟使用的产品（软件）情况，要求提供证书（如《软件产品登记证书》）等作为证明资料， * 般采取客观化评分。
	7	(略) 情况		≤2	专家打分	要求投标人就是否受 (略) (略) 罚作为得分依据；以投标人在投标文件中提供的承诺作为依据；若隐瞒情况虚假应标将被废 (略) 门处理。采取客观化评分； (略) 罚不得分。
	8		(略) 点	≤3	专家打分	(略) 企业或非 (略) 企业，但在 (略) (略) (略) 等机构的，得满分（须在投标文件中就设立的 (略) 说明，并提供机构营业执照扫描件，原件备查）；否则不得分。
5	(略) 分					≤5
	序号		评分因素	权重	评分方式	评分准则
	1		报价合理性	≤5	专家打分	考察内容：对照招标文件关于详细分项报价的要求，结合本项目完成（服务）期限要求和人员要求，考察投标人"详细分项报价"的科学性及合理性。横向比较，分档评分：评价为优得 * %- * %分数；评价为良得 * %- * %分数；评价为中得 * %- * %分数；评价为差不得分。评价为差不得分。评价为“中”或“差”的，专家需说明情况。
6	现场演示（讲标、答辩）部分					≤5
	序号		评分因素	权重	评分方式	评分准则
	1		现场演示（讲标、答辩）情况	≤5	专家打分	(略) 演示（讲标、答辩） (略) 横向比较，分档评分：评价为优得 * %- * %分数，评价为良得 * %- * %分数，评价为中得 * %- * %分数，评价为差不得分；也可以设定客观条件， (略) 客观打分。 (略) 演示（讲标、答辩）情况，本项不得分。
4	诚信情况					7
	序号		评分因素	权重	评分方式	评分准则
	1		诚信管理情况	5	专家打分	评分准则内容:投标人在参与政府采购活动中存在诚信管理相关问 (略) (略) 理措施实施期限内，或者近 * 年（以投标截止日期为准）投标人在 (略) 有履约评价为差的记录，本项均不得分，否则得满分。投标人无需提供任何证明材料，由工作 (略) 提供相关信息。
	2		反贿赂管理体系认证情况	2	专家打分	评分准则内容:通过反贿赂管理体系认证得满分，否则不得分。要求提供认证证书扫描件（原件备查）作为得分依据。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况， * (略) 理。例外情况：如“诚信管理情况” * 项不得分，则不论是否通过反贿赂管理体系认证，本项均不得分。

其他

附件