中铁渤海铁路轮渡有限责任公司《综合管理辅助系统》网络安全等级保护测评招标公告
中铁渤海铁路轮渡有限责任公司《综合管理辅助系统》网络安全等级保护测评招标公告
中铁渤海铁路轮渡有限责任公司
《综合管理辅助系统》网络安全等级保护测评项目招标公告
1. 项目名称:《综合管理辅助系统》网络安全等级保护测评
项目编号:jnsbtf-2023zb16
招标人:中铁渤海铁路轮渡有限责任公司
2.项目地点:中铁渤海铁路轮渡有限责任公司(烟台市芝罘区环海路60号)
3.项目内容及要求:
对招标人已有的《综合管理辅助系统》进行安全评估。软件应用安全测试内容主要包括软件业务安全测试、安全漏洞测试、数据安全测试等内容。
4.主要系统设备技术要求:
按照国家网络安全等级保护(2.0)工作要求,针对招标人的业务系统开展等级保护测评工作,并协助完成信息系统的定级备案工作。
4.1.测评事项:
测评依据
◎《中华人民共和国网络安全法》
◎公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43 号)
◎《信息安全技术 网络安全等级保护基本要求》(GB/T*****-2019)
◎《信息安全技术 网络安全等级保护测评要求》(GB/T *****-2019)
◎《信息安全技术 网络安全等级保护测评过程指南》(GB/T *****-2018)
◎《网络安全等级保护测试评估技术指南》(GB/T *****-2018)
◎《信息安全技术 网络安全等级保护定级指南》(GB/T *****-2020)
项目涉及的其它相关国际、国内标准或规范
4.2、业务安全测试内容:
在测评内容上,业务安全测评涉及7个大的工作单元,具体如下表。
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 测评软件身份鉴别处理、安全控制、登录失败处理等情况的符合性和有效性。 |
2 | 访问控制 | 测评分析系统安全策略、权限设置、权限分离的执行情况和控制能力。 |
3 | 安全审计 | 测评分析信息系统审计配置和审计记录保护情况。 |
4 | 通信完整性 | 测评分析应用系统对通信完整性采取的相关技术手段。 |
5 | 通信保密性 | 测评分析应用系统对会话初始化验证和会话过程的加密情况。 |
6 | 软件容错 | 应用系统的有效性检验功能、回退等自动保护功能,测试验证系统的状态监测和自动保护能力的有效性。 |
7 | 资源控制 | 应用系统的访问控制配置,测试系统对外暴露资源情况等过程,测评分析系统安全策略、权限设置、权限分离、服务优先级等的执行情况和控制能力。 |
4.3、安全漏洞测试内容:
渗透 | 参数操作 | 探测系统是否存在跨站脚本、SQL注入、代码执行、文件包含、脚本源代码检查、CRLF注入、Cross Frame Scripting (XFS)、PHP代码注入、XPath注入、全路径泄漏、LDAP注入、Cookie操作等漏洞。 |
文件检查 | 探测系统系统备份的文件及目录、URL是否存在跨站脚本编制漏洞;系统脚本不存在错误。 | |
目录检查 | 探测系统中的文件和目录是否设置了访问权限;SESSIONID中是否有跨站点脚本编制漏洞。 | |
文本搜索 | 探测系统的目录列表、源代码、注释信息中是否有Email地址、本地路径等敏感信息。 |
4.4、数据安全测试内容:
数据安全测试主要评测信息系统的数据安全保障情况,在测试内容上,数据安全测试涉及3个工作单元,具体如下表。
序号 | 工作单元名称 | 工作单元描述 |
1 | 数据完整性 | 测评应用系统的管理数据、鉴别信息和用户数据在传输和存储过程中的完整性保护情况。 |
2 | 数据保密性 | 测评应用系统的管理数据、鉴别信息和用户数据在传输和存储过程中的保密性保护情况。 |
3 | 备份和恢复 | 测评信息系统的安全备份情况,如重要信息的备份、处理流程、硬件部件和物理线路的冗余等。 |
4.5.成果交付
项目实施完成后,要求投标人提供包括但不限于交付物如下:
《网络安全等级保护测评方案》
《网络安全等级保护测评报告》
《网络安全差距分析报告、问题清单》
二、招标要求
1、项目承接形式
1)承接企业须具有CNAS资质、具有CMA资质、具有信息安全管理体系认证资质、具有质量管理体系认证资质、具有铁路公安认证的测评资质、投标人在投标前需到现场进行调研,招标人不统一组织调研,由投标人自行与招标人联系,联系人:张一昕 联系电话186*****669
投标人为在中国境内注册独立法人。
项目采用综合评估法的发包形式,根据中标价一次性包干,在招标范围内由于中标人漏算、多算、错算等均不得增减。项目实施期间因招标人提出的设计变更造成的部分工作量增减,经协商后可对项目造价作相应的调整。
2)项目由中标人总承包,不得转包、分包。一旦发现转包、分包,招标人有权终止合同,并可向中标人索赔中标价5%的违约金。
3)中标人在投标文件中明确的项目负责人、技术负责人、管理人员、施工机具必须到位,不得随意更换。如需更换,中标人应提前提出书面报告,并经过招标人同意。
2、报价依据、轮次
根据市场信息和企业自身管理水平自主报价。
3、工期要求
本项目工期要求共30天。以通过竣工验收的竣工报告签收之日为实际竣工日期。因中标人原因延误工期的每天按中标价的百分之一向招标人支付违约金。
4、质量要求
1)项目竣工前3天,中标人应提交完整的技术资料及竣工图,其内容必须符合行业规范并满足存档要求。
2)通过公安部门以及行业主管部门中国铁路济南局集团有限公司及中国国家铁路集团有限公司备案。
5、保密要求
中标人在测评前必须与招标人签订《保密协议》,严格遵守等保测评的规程,做好信息及数据保密工作。
6、款项支付及结算办法
项目款项支付严格按合同的约定办理支付、结算。
7、其他要求
1)中标人中标后,按投标承诺内容与招标人在30个工作日内签订好合同,中标人违反招标文件要求和投标的承诺内容,招标人有权取消中标人中标资格。
2)凡涉及与本项目有关的一切保险事宜均由中标人负责办理,支付的一切保险费用也由中标人承担。
三、投标人须知
1.投标人或其投标产品不存在国家行政机构、中国国家铁路集团有限公司信用评价、质量检查、招投标或物资供应等方面处于暂停合作、禁止采购、停用的状态;投标人所投铁路产品无国家铁路局或中国国家铁路集团有限公司质量监督检查或抽查不合格情形(复查通过除外);投标人没有被工商行政管理机关在全国企业信用信息公示系统(www.gsxt.gov.cn)中列入严重违法失信企业名单;投标人没有被最高人民法院在“信用中国”网站www.creditchina.gov.cn)或各级信用信息共享平台中列入失信被执行人名单;投标人没有与招标人及其所属单位正在进行仲裁或诉讼;投标人或其投标产品在招标人及其所属单位因质量、履约、廉洁等方面造成较大负面影响,受到招标人相应处理的,按招标人有关规定期限执行。
2.投标人的自然人股东、出资人或实际控制人不属于济南局集团公司机关部门及招标人的一般工作人员,未聘任济南局集团公司机关部门及招标人的一般工作人员担任高级职务、业务代表。
四、评标办法
综合评估法
五、对投标文件的要求
1. 投标文件应按商务、技术分别编写。
需要递交标书3套,1正本、2副本。
2. 商务内容包含但不限于:
1)投标函(附件3);
2)法定代表人身份证明;
3)营业执照副本复印件(加盖单位公章);
4)税务登记证复印件;
5)授权委托书;
6)法定代表人身份证正反面复印件(信息要清楚);
7)委托代理人身份证正反面复印件、社保缴费证明,缴费单位必须为投标人(信息要清楚);
8)投标单位资格审核材料(第④⑤⑥投标人自主选择):
①公司介绍手册
②安全生产许可证复印件
③2022年以后合同资料复印件
④开户行基本账户证明复印件
⑤银行资信证明
⑥经审计的近2年财务报表
9)投标报价汇总表。
10)其他能提供的优惠条件。
3. 技术内容包含但不限于:
1)组织方案及技术措施(附工程经理、各工种负责人名单及相应的上岗证复印件);
2)安全、工期的保证措施和承诺。
六、对投标文件的认可
1. 有以下情形之一者,招标人不予受理:
1)未按招标文件要求密封的;
2)逾期送达或未送达指定地点的。
2. 有以下情形之一者,作为废标处理:
1)未加盖单位印章和法定代表人或其委托的代理人签字的;
2)投标文件字迹模糊、辨认不清的;
3)投标人资格条件不符合国家有关规定和招标文件要求的,或者拒不按照要求对投标文件进行澄清、说明或者补正的;
4)投标文件未按招标文件要求编制的、明显不符合技术规范和标准的要求、对招标文件中主要条款未响应的;
5)投标文件载明的招标项目完成期限超过招标文件规定的期限;
6)投标单位递交两份或两份以上内容不同的投标书,未声明哪一份有效的;
7)投标文件附有招标人不能接受的条件的;
8)在评标过程中,评标小组发现投标人以他人的名义投标、串通投标、以行贿手段或者以其他弄虚作假方式谋取中标的。
3.无效标书由评标小组确定。同一项目出现不予受理的投标或废标且有效投标不足2家时,可转为直接谈判。
七、合同
《技术服务合同》(附件1)。
八、招标日期安排
1.2023年10月13日发布招标信息。
2.2023年10月23日9时前,各投标人的标书密封送至中铁渤海铁路轮渡有限责任公司综合管理部联系人:管延钊,电话:0535-******* 。
3.开标地点:中铁渤海铁路轮渡有限责任公司。
4.开标时间:另行通知
附件:
1.合同文本
2.投标函
3.投标报价汇总表
4.评标办法
附件:1技术服务合同
项目名称:综合管理辅助系统等级保护测评
委 托 方(甲 方):中铁渤海铁路轮渡有限责任公司
受 托 方(乙 方):
签订时间:年 月 日
签订地点:烟台芝罘区
有效期限:贰年
甲方委托乙方就综合管理辅助系统等级保护测评项目进行的专项技术服务,并支付相应的技术服务报酬。双方经过平等协商,在真实、充分地表达各自意愿的基础上,根据《中华人民共和国民法典》的规定,达成如下协议,并由双方共同恪守。
第一条 甲方委托乙方进行技术服务的内容如下:
1.技术服务的目标:依据国家网络安全等级保护2.0相关标准要求,对中铁渤海铁路轮渡有限责任公司的综合管理辅助系统(二级)进行信息安全等级保护测评,以衡量该信息系统与国家标准对相应等级信息系统安全防护能力要求的符合情况。
2.技术服务的内容:依据国家等级保护2.0相关标准要求,对中铁渤海铁路轮渡有限责任公司的综合管理辅助系统(二级)的物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理十大方面逐项进行符合性测评,形成测评记录,最终出具《中铁渤海铁路轮渡有限责任公司综合管理辅助系统安全保护等级测评报告》。
3.技术服务的方式:在甲方提供的综合管理辅助系统(二级)的具体部署环境,采取访谈、问卷、人工核查和工具核查等方式,在约定的时间范围内,在甲方的配合下开展技术服务工作。
第二条 乙方应按下列要求完成技术服务工作:
2.完成技术服务期限:合同签订后12月31日前完成等级保护测评工作,次年12月31日前完成中期安全评估工作。
3.技术服务进度:系统调研(三天)、方案编制(二天)、现场测评(十天)、报告编制(五天)
4.技术服务质量要求:通过公安部门以及行业主管部门中国铁路济南局集团有限公司及中国国家铁路集团有限公司备案。
第三条 为保证乙方有效进行技术服务工作,甲方应当向乙方提供下列工作条件和协作事项:
1.提供技术资料:
(1)与实际运行一致的网络拓扑图;
(2)信息系统运行的设备资产清单;
(3)系统设计方案、建设方案、验收方案等技术文档;
(4)安全管理制度及制度执行记录。
2.提供工作条件:
(1)正常办公工位若干;
(2)提供内、外网网络接入环境;
(3)提供机房出入条件及确定陪同人员;
(4)提供可进行访谈的专门场所。
3.其他:进出机房应由甲方人员全程陪同;人工核查设备应由甲方人员提供配合操作,乙方人员记录结果;工具扫描应提供不影响正常业务运行的时间或环境。
4.甲方提供上述工作条件和协作事项的时间及方式: 应在合同签订一周内提供上述工作条件和协作事项。
第四条 甲方向乙方支付技术服务报酬及支付方式为:
1.技术服务费总额为:
2.技术服务费由甲方分期 支付乙方。
具体支付方式和时间如下:
第一年首次测评完成并通过公安部门以及行业主管部门中国铁路济南局集团有限公司及中国国家铁路集团有限公司备案后,一个周内支付70%。第二年完成中期安全评估工作,并通过公安部门以及行业主管部门中国铁路济南局集团有限公司及中国国家铁路集团有限公司备案后一个周内支付30%。
3、付款单位信息如下:
单位名称:
纳税识别号:
地址:
开户行:
账号:
乙方提供6%增值税专用发票。
第五条 保密条款
甲方:
1.保密内容(包括技术信息和经营信息): 乙方明确表示必须保密的全部信息、资料等。
2.涉密人员范围: 所有涉及本项目的人员
3.保密期限:五年
4.泄密责任:赔偿直接经济损失,赔偿金总额不超过合同总额。乙方:
1.保密内密,乙方亦不得泄露与该项目相关的任何秘密。
2.涉容(包括技术信息和经营信息): 乙方在检测过程中,未经甲方同意,不得向任何第三方公开与系统相关的任何情况,不得泄露甲方的秘密人员范围: 所有涉及本项目的人员;
3.保密期限:五年。
4.泄密责任:赔偿直接经济损失,赔偿金总额不超过合同总额。
第六条 合同的变更和解除
(一)除本合同另有约定外,经双方协商一致,可以书面形式变更或解除本合同。
(二)双方确定出现下列情形,致使本合同的履行成为不必要或不可能的,通过规定程序可解除本合同:
1.发生不可抗力。
2.甲方无正当理由逾期【20】天未支付相应款项,乙方有权单方解除合同。
3.乙方无正当理由逾期【20】天未按本合同约定完成相关技术服务工作,甲方有权单方解除合同,以甲方合同解除的书面通知发出时间为合同解除时间。
4.乙方提供的技术服务不符合合同约定标准且在甲方限期内仍未改正,或整改后仍不符合合同约定标准的,甲方有权单方解除合同,以甲方合同解除的书面通知发出时间为合同解除时间。
5.法律规定的其他情形。
(一)一方应承担的违约责任不因合同的解除而予以免除。
(二)因国家法律、法规及政策调整导致税费变化的,双方可根据税费变化情况对合同相关内容进行调整。
第七条 知识产权
1.在本合同有效期内,甲方利用乙方提交的技术服务工作成果所完成的新的技术成果,归甲 (甲、双)方所有。
第八条 违约责任
违反本合同约定,违约方应当按照《中华人民共和国民法典》有关条款的规定承担违约责任。
(一)违反本合同第四 条约定,甲方应承担以下违约责任:如甲方未按合同约定时间支付相应款项,每逾期一日,乙方有权要求甲方支付未付款【1】%的违约金。如逾期时间达【20】日的,乙方有权单方解除合同。
(二)违反本合同约定,乙方应承担以下违约责任:如乙方未能按照合同约定时间和标准提供技术服务,每逾期一日,应向甲方支付合同总价款【1】%的违约金。如逾期时间达【20】日或提供的技术服务不符合合同约定标准且在甲方限期内仍未改正的,甲方有权单方解除合同,并赔偿甲方【20】%的违约金。
第九条 联系人
双方确定,在本合同有效期内,甲方指定为甲方项目联系人,乙方指定为乙方项目联系人。一方变更项目联系人的,应当及时以书面形式通知另一方,未及时通知并影响本合同履行或造成损失的,应承担相应的责任。
第十条 不可抗力
(一)在合同履行结束之前任何时候,如果发生任何合同签订时双方不可预见、不可避免并且不能克服的客观情况,包括地震、水灾、重大传染性疾病以及战争等不可抗力情形,双方协商一致后可决定暂缓履行或终止履行本合同。
(二)如果上述不可抗力事件的发生影响一方履行其在本合同项下的义务,则在不可抗力造成的延误期内中止履行不视为违约。
(三)本合同任何一方因不可抗力不能履行或不能完全履行本合同义务时,应当在不可抗力发生之日起15日内通知另一方,并在其后的30日内提供证明不可抗力事件发生及其持续的充分证据。
(四)如果发生不可抗力事件,双方应协商,以找到公平的解决办法,并且应尽一切合理努力将不可抗力事件的影响减小到最低限度,否则,未采取合理努力方应就扩大的损失承担相应的赔偿责任。
第十一条 争议解决
双方因履行本合同而发生的争议,应协商、调解解决。协商、调解不成的,确定按以下第2 种方式处理:
1.提交仲裁委员会仲裁;
2.依法向甲方所在地有管辖权的人民法院起诉。
第十二条 通知
(一)甲、乙双方因履行本合同或与本合同有关的一切通知都应以书面形式送达对方,被送达方应即时签收。如由于被送达方的原因不能送达或被送达方拒绝签收的,送达方可采用挂号信或者邮政特快专递邮寄送达,邮件寄至本合同记载之地址时,即视为送达。
(二)双方确认以下地址为相关通知、法律文书的送达地址:
双方确认以下地址为相关通知、法律文书、诉讼文件的送达地址:
甲方确认的送达地址: 烟台市芝罘区环海路60号
收件人:张一昕 手机号码:186*****669
乙方确认的送达地址:
收件人:手机号码:
第十三条 合同生效条件及文本数量
本合同一式伍 份,甲方叁份,乙方贰 份具有同等法律效力。
本合同经双方签字盖章后生效。
第十四条其它约定
(一)本合同未尽事宜,双方另行协商签订补充协议,补充协议及附件与本合同具同等法律效力。
(二)甲乙双方应遵守有关防止商业贿赂的法律法规,不得与对方人员发生不正当的利益关系。
(三)本合同产生的债权,乙方不能向第三方转让和质押(包括但不限于向银行保理、应收账款质押等)。
(四)本合同任何条款被禁止或被认定无效或被撤销,该禁止、无效或撤销不得影响合同任何其他条款的有效性和继续实施。
(五)保证自然人股东、出资人或实际控制人不属于济南局集团公司机关部门及乙方的一般工作人员,未聘任济南局集团公司机关部门及招标人的一般工作人员担任高级职务、业务代表。
甲方:中铁渤海铁路轮渡有限责任公司
法定代表人/委托代理人:
开户银行:中国工商银行烟台西大街支行
地址:烟台市芝罘区环海路60号
经办人:
乙方:
法定代表人/委托代理人:
开户行:
账号:
地址:
签订日期: 年 月 日
附件2:1、投 标 函
致:中铁渤海铁路轮渡有限责任公司
1.根据已收到贵方的编号为的 招标文件,遵照国家有关法律规定,我单位经考察现场和研究上述招标文件的投标须知及其他有关文件后,我方愿以元的投标报价承包上述项目。
2.我方己详细审核全部招标文件及有关附件,我方自愿放弃提出含糊不清或容易造成误解事项的权利。
3.我方承认投标函附录是我方投标函的组成部分。
4.一旦我方中标,我方将服从贵方对安全、质量等方面的要求。
5.一旦我方中标,贵单位的招标文件、本投标文件将构成约束我们双方的合同内容。
投标人(公章):
法定代表人或委托代理人(签字):
地址:
联系电话;
日期: 年 月 日
附件3:2、投标报价表(报价含增值税)
投标单位 | ||
投标单位资质 | ||
项目名称 | ||
报价(元) | ||
增值税税率 | ||
备注 | ||
投标人:(盖章)
法定代表人或委托代理人:(签字)
年 月 日
附件4评标办法
注:各项评分保留到小数点后二位,小数点后第三位四舍五入。 | |||||||||||||||||||
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
