重庆渝数科技有限公司(以下简称采购人)现通过询价采购的方式,就网络安全等级保护测评选择符合资格条件的供应商(以下简称供应商),具有服务能力且符合资格要求的供应商均可参与报名。
一、项目概况
1.项目名称:网络安全等级保护测评
2.项目最高限价:8万元
二、项目内容及要求
(一)采购项目类别
本项目类别为服务类采购项目。
(二)采购内容
采购内容如下表:
序号 | 项目 | 内容概述 | 数量 |
1 | 网络安全等级保护测评项目 | 根据《信息安全等级保护管理办法》、GB/T *****-2019《信息安全技术网络安全等级保护基本要求》等法规和标准的要求,在充分了解被测系统的情况下从实际出发,结合该系统的构成特点,确定具体的测评对象,建立测评方案和测评指导书,通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。针对服务中发现的安全问题,投标方需通过专业的技术手段进行合理分析,正确评估风险,协助甲方完成整改工作。 | 1 |
(三)供应商资格条件要求
1.基本资格条件
具有独立承担民事责任的能力,取得有效营业执照;
具有良好的商业信誉和健全的财务会计制度;
具有履行合同所必须的设备和专业技术能力;
有依法缴纳税收和社会保障资金的良好记录;
参加采购活动前三年内,在经营活动中没有重大违法记录;
2.资质要求
具备公安部第三研究所颁发的《网络安全等级测评和检测评估机构服务认证证书》,并提供网络安全等级保护网(http://www.djbh.net/)上的查询截图并加盖投标人公章。
属于异地测评项目的,测评机构提交从公安部网络安全等级保护测评项目登记管理系统中生成的测评项目基本情况表,并加盖主管部门公章。
具备中国合格评定国家认可委员会颁发的有效的检验机构认可证书(CNAS)检验能力含(网络安全等级保护测评)并提供官方网站查询截图。
依照渝网通[2016]11号文《重庆市网络与信息安全信息通报工作规范》要求,投标人需协助网络安全事件应急处置机制建设工作,落实本单位的网络安全应急处置通报工作。投标人需为重庆市网络与信息安全信息通报机制成员单位或重庆市网络与信息安全信息通报中心支撑单位,提供证明材料。
3.财务要求
2023年年度财务状况良好,无亏损。
4.业绩要求
2023年1月1日起至投标截止之日止(以项目验收日期为准)至少完成过1个及以上单项合同金额10万元及以上的网络安全等级保护测评服务项目。
5.实施内容要求
实施本项目全部内容且签订合同后3个工作日内完成交付,并保证此次项目顺利进行。
(四)服务要求
根据《信息安全等级保护管理办法》、GB/T *****-2019《信息安全技术网络安全等级保护基本要求》等法规和标准,对我单位信息系统进行第三级网络安全等级保护测评。
1.测评技术要求
本项目网络安全等级保护测评目的和测评内容,必须与公安部门发布的最新信息安全等级保护要求的基本安全控制要求相一致,即等级保护2.0制度,本项目测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。
根据GB/T *****-2019《信息安全技术网络安全等级保护基本要求》等其他相关法律法规要求,在现有应用环境下,对我单位信息系统进行等保测评,对比国家信息系统网络安全等级保护的各项要求,针对服务中发现的安全问题,投标方需通过专业的技术手段进行合理分析,正确评估风险,协助甲方完成整改工作。
等级保护测评主要包括如下几个方面的内容:
技术测评:
(1)安全物理环境测评(物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护);
(2)安全通信网络测评(网络架构、通信传输、可信验证);
(3)安全区域边界测评(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证);
(4)安全管理中心测评(系统管理、审计管理、安全管理、集中管控);
(5)安全计算环境测评(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护)。
管理测评:
(1)安全管理制度测评(安全策略、管理制度、制定和发布、评审和修订);
(2)安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和合作、审核和检查);
(3)安全管理人员测评(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理);
(4)安全系统建设管理测评(定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择);
(5)安全运维管理测评(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。
云计算扩展测评:
(1)安全物理环境测评(基础设施位置);
(2)安全通信网络测评(网络架构);
(3)安全区域边界测评(访问控制、入侵防范、安全审计);
(4)安全计算环境测评(身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护);
(5)安全管理中心测评(集中管控);
(6)安全建设管理测评(云服务商选择、供应链管理);
(7)安全运维管理测评(云计算环境管理)。
移动互联扩展测评:
(1)安全物理环境测评(无线接入点的物理位置);
(2)安全区域边界测评(边界防护、访问控制、入侵防范);
(3)安全计算环境测评(移动终端管控、移动应用管控);
(4)安全建设管理测评(移动应用软件采购、移动应用软件开发);
(5)安全运维管理测评(配置管理)。
物联网扩展测评:
(1)安全物理环境测评(感知节点设备物理防护);
(2)安全区域边界测评(接入控制、入侵防范);
(3)安全计算环境测评(感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理);
(4)安全运维管理测评(感知节点管理)。
工业控制系统扩展测评:
(1)安全物理环境测评(室外控制设备物理防护);
(2)安全通信网络(网络架构、通信传输)
(3)安全区域边界测评(访问控制、拨号使用控制、无线使用控制);
(4)安全计算环境测评(控制设备安全);
(5)安全建设管理测评(产品采购和使用、外包软件开发)。
2. 工具扫描及渗透测试
使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全分析工具)对待测系统进行安全分析。在与我方深入沟通的基础上,对系统进行渗透,发现系统缺陷,对过程进行记录并最终形成工具扫描、渗透测试报告。
实施要求:
1.保密要求:为保障甲方利益,测评方对甲方提供的所有资料以及在测评过程中所接触到的甲方及其关联公司的商业秘密、技术资料、客户信息等资料和信息(统称“保密资料”)负有保密义务;供应商须按用户要求签订保密协议
2.质量保证:为保证项目质量,投标方需在项目控制、项目监督、结果验证等方面严格按照国家相关标准要求执行;
3.实施要求:在项目实施过程中,需对项目进行规范化管理,要有项目管理组织、项目管理计划、服务资产管理等。在项目实施过程中,投标方应做好计划与安排,确保项目实施不影响系统的正常运行。
4.人员要求:测评方必须为本项目成立等级保护测评小组,测评人员均具有公安部认证的测评师证书,测评小组由测评小组长(具有中级测评师及以上资质,具有丰富的等级测评项目经验、具有较强的沟通和执行能力)统一负责;
5.属于异地测评项目的,成交供应商应在合同签订提交审核通过的《测评项目基本情况表》。如出现不能按时提交或备案不通过的,视为成交供应商不具备签订合同的基本条件,采购人有权按评审排名顺序依序顺延。
6.售后服务:招标人在三级等保测评报告期限内,成交供应商需协助招标人完成重大信息安全检查工作或重大网络安保工作,需提供远程或现场相关的技术支撑服务
结算方式
按照招在甲方收到服务接收方费用结算后,由甲方按照对应的比例支付该项目合同款项,付款方式如下:
(1)按照标文件及合同要求完成测试工作提供合格报告,采购人验收合格后,在收到中选人开具的增值税专票后,支付合同总价的100%;
(2)中选人提供相应金额的增值税专用发票税率为6%。
三、询价要求及评审办法
(一)询价要求
请参与询价的供应商于2024年8月19日上午10时(北京时间)前将响应文件加盖公章且密封完毕后递交至采购人办公地点。
地址:重庆市九龙坡区科城路81号重庆数字大厦6楼。
(二)评审办法及中选原则:
1.本项目评审拟采用最低价中标法,即参选文件满足询价文件全部实质性要求的前提下,按照最低价选取候选人的评审方法。
2.出现以下情况之一的,作为采购失败处理,重新组织采购:符合条件的参与询价供应商只有1家(若重新启动后供应商数量仍不足的,采购人将继续实施后续询价程序。);因在评审过程中否决投标导致供应商数量不足3家,且评审委员会认定项目已不具备竞争性的;参与询价供应商的报价费均超过了最高限价,采购人不能支付的;因不可抗力导致重大变故,采购任务取消的;出现影响采购公正的违法、违规行为的。
3.若在规定时间内参与询价响应的供应商只有2家的,可继续组织评选、询价和谈判。
四、签订合同
公示期结束后30日内,按照询价文件和成交供应商响应文件的约定,采购人与排名第一的备选供应商签订书面合同,备选供应商逾期不签订合同的,则视为放弃中标资格,采购人有权与排序在后的备选供应商签署合同。所签订的合同不得对询价文件和供应商响应文件做实质性修改。
联系人:杨老师
联系电话:182*****814
地址:重庆市九龙坡区科城路81号重庆数字大厦6楼
