南通航运职业技术学院
信息系统安全等级保护测评招标书

为满足我院信息系统安全等级保护的需要，我院拟采取自主招标的方式，采购四个二级系统等保测评服务，现就有关事宜公告如下：
一、采购要求
(一)项目简述
1、对南通航运职业技术学院信息系统（数字化校园、校园一卡通、财务管理系统、图书馆书籍借阅管理系统）进行等级保护差距测评。客观的评价以上二级信息系统在等级保护工作中取得的成绩，按照科学的评估方法，对信息系统的安全现状进行等级保护差距测评，分析信息系统保护现状和信息安全等级保护基本要求之间的差距，评估信息系统是否符合国家及行业等级保护的相关标准，并出具等级保护测评报告，为开展系统等级保护整改建设奠定基础。
2、协助南通航运职业技术学院建立信息安全等级保护管理体系。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，结合等级保护测评报告提出的安全管理体系与等级保护基本要求之间的差距，在信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面指导并协助建立健全符合相应等级要求的安全管理制度。
3、协助南通航运职业技术学院进行信息安全等级保护安全技术整改。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距，综合重要信息系统的特点，明确安全需求，设计符合相应等级要求的信息系统安全技术建设整改方案，协助开展信息安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
4、提供重要信息系统的安全服务。包括：
（1）提供南通航运职业技术学院数字化校园、校园一卡通、财务管理系统、图书馆书籍借阅管理系统的渗透测试服务。
（2）重要信息系统安全事件的应急响应服务，即时响应南通航运职业技术学院信息管理部门的技术服务要求。
（3）提供南通航运职业技术学院信息管理部门的信息安全咨询服务，提供快捷、优质的方案建议。
（4）提供培训服务，根据南通航运职业技术学院信息管理部门的具体需求，提供安全意识、安全产品、安全资讯等方面的技术培训。
(二)项目总体要求
1、项目实施原则
(1)客观性和公正性原则：
测评人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。
(2)可重复性和可再现性原则：
依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。
(3)连续性原则：
确保在高速变化的信息安全环境中，在有效的服务期间内，保证采购方风险评估结论的准确性和及时性，对于采购方单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低了采购方单位的成本，从信息安全性上，保证信息安全测评的动态稳定性。
(4)扩展性原则：
在评估过程结束后，信息安全测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。
(5)保密原则：
在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。
(6)互动原则：
在整个测评过程中，强调采购方的互动参与，每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。
(7)最小影响原则：
测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。
(8)规范性原则：
信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。
(9)质量保障原则：
在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。
2、实施要求
本次等保测评项目不得转包或者分包，所有驻场测评师必须是中标公司自己的正式在职员工,所有驻场测评师必须持证上岗，响应文件中应提供项目组驻场人员名单以及社保主管部门出具的响应单位为其缴纳社保的证明、驻场人员信息安全等级测评师证书复印件及原件（若不能提供，不得标），未经采购方同意，项目组成员不得更改。
测评期限要求：签订合同后三个月内完成信息安全等级保护测评并出具报告。
3、测评依据
（1）《计算机信息系统安全保护等级划分准则》（GB17859-1999）
（2）《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）
（3）《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）
（4）《信息安全技术信息系统安全等级保护测评要求》
（5）《信息安全技术信息系统安全等级保护实施指南》
4、测评流程
本次等级测评工作包括测评准备过程、方案编制过程、测评实施过程、分析与报告编制过程等四个阶段。
(三)项目人员需求
1、业务人员
人员数量：8人
人员条件：负责主机、数据安全测评的中、高级测评师1人；负责物理、应用安全测评的中、高级测评师1人；负责网络安全测评的中、高级测评师1人；负责主机网络漏洞扫描、应用渗透测试、安全测试的中、高级测评师1人、初级以上测评师2人；负责安全管理测评的初级以上测评师2人。
2、现场管理人员
人员数量：3人
人员条件：高级测评师。负责测评工作的组织协调、控制项目进度和质量，各类报告的审阅和批准。
3、运行支持团队
配备初级以上测评师5人成立技术支援组，随时对出现的问题进行咨询和技术处理。同时负责整改、加固方案设计、管理制度编写等。
4、人员培训
（1）集中培训。
（2）岗前实习。
（3）业务提升培训。
a、供应商负责派驻点服务人员的人事管理。
b、供应商要设立项目负责人，制定适合服务工作特点的详细工作服务流程与方案，制定对服务人员的考核办法。
c、供应商要加强对服务人员的管理与培训。
d、供应商要遵守采购人的劳动考勤纪律及其它相关规章制度，接受采购人的工作安排与指导，做好本职工作。
二、投标人及标书基本要求
1．投标人具有独立法人资格、一定的经营规模、良好的资质信誉和较好的业绩。
2．公司简介、企业法人营业执照、产品经营许可证、法人代表身份证复印件和委托代理人身份证复印件、法人授权委托书、税务登记证、近期主要业绩等。
3．投标人具有有效期内的江苏省信息安全等级保护测评机构推荐证书。
5．产品报价（含配套服务和维修费）。
6．盖上单位公章及法人代表印章。
7．服务承诺细则。
8．无论投标结果如何，投标者自行承担投标发生的所有费用。
9．投标书正本一份，副本三份。
三、投标时间地点及联系方式
投标人请于2016年6月30日17:00前，把标书密封好，并在标书封面注明投标项目、投标单位、联系电话，送达我院崇德楼217室资产管理处或303室纪检室，并到财务处(崇德楼101室)交标书工本费壹佰元。不符合规定的标书不予受理。
地址：南通市经济开发区通盛大道185号航运学院崇德楼217室。
邮政编码：226010
技术咨询电话：********（龚老师）
投标联系人：陈老师、蔡老师
投标联系电话：****-********、********
四、评标
1．投标结束后一周内，由学院职能部门、使用部门、监审处、财务处及行业专家组成的评标工作组评标。
2．本项目综合评标标准如下：
综合评分评审标准
序号项目评 分 细 则分值
1商务
部分技术实力1.测评机构测评师总人数必须满足项目需求，机构人数在10人以上的（含10人），得3分（以www.djbh.net公布为准，提供截图）。
2.参与本次测评服务的高级测评师满足3人（含3人）以上得6分，2人得3分，1人得1分。（最高得6分）高级测评师具有CISSP证书的，得5分，没有的不得分。（提供相关证书复印件并盖章）14
公司资质3.提供企业前三年财务报表2分，没有提供经会计师事务所审计的前三年度财务年报的、没有会计师事务所出具专项证明的均不得分。
4.测评机构在2012年1月1日前获得《信息安全等级保护测评机构推荐证书》的得10分；在2013年1月1日前获得以上资质的得5分；在2014年1月1日前获得以上资质的得3分。
5.测评机构具有重要信息系统安全保护人员培训（CIIPT合作单位）证书的得5分（以公安部信息安全等级保护评估中心颁发的证书为准）
6.测评机构2016年度已在南通市等保办备案（原件备查），得1分。18
安全服务7.测评机构在本地具有网站安全监测平台系统，且能提供重要信息系统本地化24小时监测服务6分；
（监测平台建设地点备查）
8.提供重要信息系统渗透测试服务2分，有类似成功案列加1分；
9.提供信息安全咨询服务，提快捷、优质的方案建议1分；
10.提供重要信息系统安全事件响应服务1分，有类似成功案列加1分；
11.提供CIIPT-A培训得1分；13
售后服务响应情况12.为了体现服务的及时性，投标单位在南通地区注册或者在南通地区注册有分公司（须提供工商注册证明复印件，且提供本地分公司测评师社保记录复印件，原件备查）得10分。10
本地业绩13.2015年度南通地区等保测评已完结案例（以递交南通市公安局网络安全保卫支队测评报告数量为准）须提供案例合同复印件，原件备查。每个案例得0.2分，最高得10分。（加权计分）10
信誉14.根据投标人在近三年内政府采购活动中有无不良反映进行打分。2
2价格
部分采用低价优先法计算，即满足招标文件要求且价格最低的报价为基准价，其价格分为满分。其他报价人的价格分统一按照下列公式计算：报价得分=（基准价/各单位投标报价）×30分，(保留到小数点后一位)30
3其他测评机构提供其他的优惠条件3

3．评标结果将刊登在我院资产管理处网页上。
五、供货时间及售后服务
1．供货商负责设备运输、装卸及安装调试工作（费用由供货商支付）。
2．供货商应在合同规定的时间和地点交付使用，交付延期或出现其他违规行为，按违约处理。
3．供货商对产品及其配套件提供三年质保，终身维修。
4．售后服务：24小时以内上门服务。
六、违约处理
1．不能按时交付使用，每延误1天扣合同金额的5‰。
2．售后服务未能达到要求，每次扣质保金的10％。
3．参加投标者须严格维护招投标的公正性、合法性、合理性。一经发现违规者，一律取消投标或中标资格，并保留追究其法律责任的权利。
七、付款方式
测评工作结束后，出具公安部门认可的测评报告，经验收合格后，支付合同款的90%。余款10%作为质保金在一年后一次付清。

南通航运职业技术学院
招标工作组
2016年6月22日

响应文件格式

响 应 文 件

项 目 名 称：
项 目 编 号：
供应商名称 ：
日 期 ：

评分索引表
评分项目在响应文件中的页码位置

响应文件目录

一、资格性和符合性检查响应对照表
二、资信证明文件要求
三、分项报价表
四、分项明细报价一览表
五、技术参数响应及偏离表
六、商务条款响应及偏离表
七、技术响应文件要求和图纸要求

一、资格性和符合性检查响应对照表
供应商全称（加盖公章）：
序号资格和符合性检查响应内容是否响应
（填是或者否）响应文件中的
页码位置
1文件1 工商营业执照（复印件，加盖公章）
2文件2 法人授权书（原件，非法定代表人参与投标时必须提供）
3文件3 供应商资格声明（原件）
4招标文件中的其他实质性要求

二、资信证明文件要求
1、实质性资格证明文件目录
文件1 工商营业执照（复印件，加盖公章）
文件2 法人授权书（原件，非法定代表人参与投标时必须提供）
文件3 供应商资格声明（原件）

2、非实质性资信证明文件目录
文件1 本项目的实施安排（格式自定）
文件2 能说明响应产品规格型号、性能参数的彩页资料（或能佐证产品技术参数的其他宣传资料）
文件3 其他和本项目有关的证明材料

供应商资格声明格式
企业名称
地址
主管部门法定代表人职务
注册时间经济类型
近三年内有经营活动中有无重大违法纪录
是否依法缴纳税收是否依法缴纳社会保障资金

单
位
概
况注册资本 万元占地面积 平方米
职工总数 人建筑面积平方米
资产
情况净资产 万元固定资产原值 ： 万元
固定资产净值：
万元
负 债 万元
主营收入
（万元）收入总额
（万元）利润总额
（万元）净利润
（万元）
财务状况
（最近两年） 年
年
我们保证上述声明中的资料和数据是真实的、正确的，我们同意如贵方要求，可以出示相关证明文件。
授权代表签字：_______________________
授权代表的职务：_______________________
电话号和传真号：_______________________
公章： 日期：______年 月 日
三、报价表

供应商全称（加盖公章）：

价格构成数量单价总价





报价合计（整个合同期限内的所有费用）

法定代表人或授权代表签字：

备注：
1.如果单价和总价不符时，以单价为准；报价合计为本表中“总价”之和；价格构成由供应商依据本项目价格构成情况详细填写。
2.请提供本文件要求完成本项目的详细的清单及分项报价。

四、分项明细报价一览表

供应商全称（加盖公章）：
项目内容单价数量总价备注
根据《报价表》中内容，如有明细报价的，在本表中一一说明，行数不限。

法定代表人或授权代表签字：

?
五、技术参数响应及偏离表

供应商全称（加盖公章）：

序号招标要求响应超出
符合或偏离原因

法定代表人或授权代表签字：

注：1、按照基本技术要求详细填列。
2、行数不够，可自行添加。

六、商务条款响应及偏离表

供应商全称（加盖公章）：
项目文件要求是否响应供应商的承诺或说明
质保期
售后技术服务要求
项目完成时间
交货方式

交货地点

付款方式
响应的货币形式

备品备件及耗材等要求
其他

法定代表人或授权代表签字：
七、技术响应文件要求和图纸要求
一、技术文件要求
技术响应文件是供应商提交的证明拟提供产品和服务符合招标文件规定的文件，包括下列各项，证明产品的合法性、合格性。
1.本项目技术施工方案及建议书。包括方案描述、系统示意图、完成技术指标的说明、主要产品选型及性能简述等。
2.工程施工组织方案（含项目进度计划）。
3.技术培训、操作维修培训的计划。
4.其他资料。如产品样本、图纸（样）、说明书及供应商认为有必要提交的其他资料等。
（一）技术方案及建议书
供应商必须提供一套符合本工程用户需求的、完整的、详细的技术方案及建议书，作为其主要技术响应文件。
技术方案及建议书详细说明和描述各种功能的具体实现方式和流程，同时对技术方案中提出的性能要求进行详细的论证。论证内容含糊不清或者不应答的，一律视为该项不满足用户需求。
对系统及设备的描述应包括系统设备的构成和功能、技术性能，内容应是系统、完整和全面的。
技术方案及建议书还应该编制提供可行的系统测试方案、试运行计划和验收方案，三项内容独立成章，编排在技术方案及建议书的最后。
（二）工程施工组织方案（含项目进度计划）
供应商需提供完整、详细、可行的工程施工方案（含项目进度计划），包括但不限于以下内容：
项目管理；
施工方案；
人员安排；
质量保证；
进度计划（包括设备到货、安装、系统调试、培训、技术文件提交等计划）；
实现计划的保证措施；
与其他专业配合；
试运行阶段的修正计划；
测试、检验和验收计划；
开通试运行、质保期服务计划；
后续服务承诺：包括质保期后的维护方案。
（三）技术培训、操作维修培训的计划
（四）其他资料（如产品样本、图纸（样）、说明书及供应商认为有必要提交的其他资料等）