河南省等保测评服务项目的采购公告

 

河南省等保测评服务项目的采购公告

河南省郑州市中级人民法院等保测评服务项目的采购公告

发布时间:2024-10-18 10:03:11

郑州市中级人民法院等保测评服务项目,按照郑州市中级人民法院有关采购工作管理办法的规定,现将采购具体事项公告如下:

一、采购项目

项目名称:河南省郑州市中级人民法院专网系统安全等级保护测评服务;

项目预算:*****.00元。

二、供应商资质要求

1.具备独立承担民事责任的能力(提供营业执照或其他证明材料);

2.具有良好的商业信誉和财务状况报告(提供2022年度或2023年度财务审计报告或响应文件递交截止时间前3个月内银行出具的资信证明);

3.有依法缴纳税收和社会保障资金的良好记录[提供企业2024年1月1日以来交纳的社保缴纳证明(银行扣款回单或相关部门开具的票据)及纳税证明(银行扣款回单或税局开具的凭据),其中任意1个月即可,依法免税和不需要缴纳社会保障资金的供应商,应提供相应文件证明其依法免税或者不需要缴纳社会保障资金];

4.具有履行合同所必需的设备和专业技术能力(自行承诺,格式自拟);

5.特定资质要求:具备公安部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”,且在国家网络安全等级保护网可查询(提供证书及网站查询截图);

6.参加政府采购活动前3年内在经营活动中无重大违法记录(自行承诺,格式自拟);

7.被列入“信用中国”网站(www.creditchina.gov.cn)的“重大税收违法案件当事人名单”、中国执行信息公开网(http://zxgk.court.gov.cn/shixin/)的“失信被执行人”或“中国政府采购网”网站(www.ccgp.gov.cn)的“政府采购严重违法失信行为记录名单”及其他不符合《中华人民共和国政府采购法》第二十二条规定条件的响应供应商,不得参与本次采购活动(供应商应通过“信用中国”网站(www.creditchina.gov.cn)、中国执行信息公开网(http://zxgk.court.gov.cn/shixin/)、中国政府采购网(www.ccgp.gov.cn)查询信用记录,信用信息查询开始时间为本项目采购公告发布之后);

8.具备法律、行政法规规定的其他条件的证明材料;

9.法定代表人参加,提供身份证明;法定代表人委托代理人参加,提供授权委托书及委托代理人的身份证;

10.本项目不接受联合体。

三、报名相关事宜

1.公告及报名时间:2024年10月18日至2024年10月24日

2.报名邮箱:zycaigouzy@163.com

3.报名文件中应当明确公司名称、联系人(法人代表或委托人代理人)、联系电话及邮箱

4.评审时间:另行通知(通过报名邮箱通知,报名人注意查收和回复

5.联系人:王老师 牛老师?0371-********

四、评审注意事项

1.响应文件一正五副胶装,密封好于评审时带至评审现场(提示:请自报名后,及时准备响应文件)。

2.评审地点:郑州市中级人民法院东审判楼306室(东门进入大院,从立案大厅大门进入东审判楼,乘电梯至3楼)。

采购需求

一、项目简要说明

1.采购范围:郑州市中级人民法院专网系统等保三级测评备案(成果应包含网络安全等级测评报告和信息系统等级备案证明);

2.服务要求:完成专网系统安全等级保护测评工作,提交专网系统的网络安全等级保护测评报告,协助完成在公安部门的等级保护备案工作,依据测评报告提供整改建议方案,并协助完成整改工作;

3.服务周期:合同签订起30个工作日内完成(整改建设时间除外)。

二、遵循的政策法规和规范

《中华人民共和国网络安全法》

《关键信息基础设施安全保护条例》

《信息安全等级保护管理办法》(公通字〔2007〕43号)

《计算机信息系统安全等级保护划分准则》(GB/T*****-1999)

《信息安全技术网络安全等级保护定级指南》(GB/T*****-2020)

《信息安全技术网络安全等级保护基本要求》(GB/T*****-2019)

《信息安全技术网络安全等级保护测评要求》(GB/T*****-2019)

《信息安全技术网络安全等级保护安全设计技术要求》(GB/T*****-2019)

《信息安全技术网络安全等级保护测评过程指南》(GB/T*****-2018)

《信息安全技术网络安全等级保护测试评估技术指南》(GB/T*****-2018)

《信息安全等级保护安全建设整改工作指导意见》(公信安〔2009〕429号)

《信息安全技术网络基础安全基础要求》(GB/T*****-2006)

《信息安全技术信息系统通用安全技术要求》(GB/T*****-2006)

《信息安全技术操作系统安全技术要求》(GB/T*****-2006)

《信息安全技术数据库管理系统安全技术要求》(GB/T*****-2006)

《信息安全技术信息安全风险评估规范》GB/T *****-2007

《信息安全技术信息技术安全性评估准则》GB/T *****-2001

三、项目具体要求

在安全等级测评过程中,每个工作阶段、流程、内容及成果交付严格遵循《信息安全技术 网络安全等级保护测评要求》和《信息安全技术 网络安全等级保护测评过程指南》文件,根据信息系统安全等级,对信息系统进行的安全技术和安全管理两个部分,安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全系统运维十个安全层面的等级保护安全测评。

信息系统安全等级保护测评包括两个方面的内容:一是安全控制层测评,主要测评信息安全等级保护要求的基本单项在信息系统中的实施配置情况;安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制层测评是系统整体安全测评的基础。系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。在安全控制测评的基础上,重点考虑安全控制间、区域间(包含层面间)的相互关联关系,分析评估安全控制间、区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。

1、测评过程文档

项目各阶段的测评过程文档(参照《信息安全技术 网络安全等级保护测评过程指南》)编制。

项目阶段

交付成果

测评准备活动

项目计划书

被测系统基本情况表

方案编制活动

测评指导书

信息系统安全测评方案

现场测评活动

测评结果记录

测评中发现的问题汇总

分析与报告编制活动

单项测评结果汇总分析

整体测评结果汇总分析

等级测评结论

信息系统安全等级测评报告

2、整改建议

依照《信息安全技术 网络安全等级保护安全设计技术要求》的要求,在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全建设整改建议方案,方案内容包含但不限于:信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算、整改后可能存在的其他问题。

3、具体技术要求

(1)安全技术要求:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全控制测评。

(2)安全管理要求:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。

(3)安全扩展要求:包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求的安全控制测评。

安全物理环境:针对物理机房提出安全控制要求,主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

安全通信网络:针对网络架构和通信传输提出安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括网络架构、通信传输和可信验证。

安全区域边界:针对网络边界提出安全控制要求,主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证。

安全计算环境:对边界内部提出安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护。

安全管理中心:针对整个系统提出安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

安全管理制度:针对整个管理制度体系提出安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

安全管理机构:针对整个管理组织架构提出安全控制要求,涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

安全管理人员:针对人员管理提出安全控制要求,涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

安全建设管理:针对安全建设过程提出安全控制要求,涉及的安全控制点包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

4、安全运维管理:针对安全运维过程提出安全控制要求,涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管和外包运维管理。

评审方法

采用综合评分法。

分值构成

(总分100分)

⑴响应报价:20分;

⑵技术部分:40分;

⑶商务部分:40分。

一、

价格

部分

(20分)

响应报价(20分)

本项目价格分采用低价优先法计算,即满足要求且最后报价最低的供应商的价格为基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:

报价得分=(基准价/供应商有效报价)×20×100%

据相关政府采购法律法规规定,评审委员会认为供应商的报价明显低于其他通过初步审查供应商的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评审现场合理的时间内提供书面说明,必要时提交相关证明材料;供应商不能证明其报价合理性的,评审委员会应当将其作否决处理。

注:有效供应商是指实质上响应文件要求并通过实质性审核、未被否决的的供应商。

二、

技术

部分

(40分)

1.项目实施计划与管理

(5分)

项目实施计划要求满足科学性、合理性及可操作性原则,对交流、实施、反馈以及培训等关键环节进行合理安排,对各环节工作进行管理和记录,提交文档等有详细的计划说明。

项目实施计划、管理方案措施合理、内容完整针对性、实效性强,计划可行,得5分;

项目实施计划、管理方案措施合理、针对性、实效性良好,得3分;

项目实施计划、管理方案措施较合理、针对性和实效性一般,得1分;

缺项得0分。

2.测评

方案

(8分)

供应商能充分理解并准确把握项目需求定位和实施目标,项目建设整体方案符合项目采购内容及范围,项目方案中应包含测评流程、测评步骤、测评关键点、双方配合事项、测评项、测评方法、测评内容。根据采购需求的需求进行详细的测评方案阐述。

方案措施合理、内容完整针对性、实效性强,计划可行,得8分;

方案措施合理、针对性、实效性良好,得5分;

方案措施较合理、针对性和实效性一般,得2分;

缺项得0分。

3.安全

培训

(7分)

根据安全培训方案(至少涵盖培训讲师能力及培训计划等)内容进行评审且实施团队高级测评师或中级测评师拥有网络安全培训认证讲师证书。分析情况由评委综合评审。

方案措施合理、内容完整针对性、实效性强,计划可行,得7分;

方案措施合理、针对性、实效性良好,得4分;

方案措施较合理、针对性和实效性一般,得1分;

缺项得0分。

4.渗透测试方案

(5分)

供应商应编制渗透测试方案,渗透测试方案应包括渗透测试流程、渗透测试技术手段介绍、渗透测试风险控制等内容的阐述。

方案措施合理、内容完整针对性、实效性强,计划可行,得5分;

方案措施合理、针对性、实效性良好,得3分;

方案措施较合理、针对性和实效性一般,得1分;

缺项得0分。

5.应急保障能力

(7分)

根据供应商针对项目实施过程中可能出现的问题提出的应急支撑方案(需涵盖网络安全应急服务团队和服务能力情况)进行综合评价。

方案措施合理、内容完整针对性、实效性强,计划可行,得7分;

方案措施合理、针对性、实效性良好,得4分;

方案措施较合理、针对性和实效性一般,得1分;

缺项得0分。

6.数据保密措施

(4分)

供应商应编制保障测评期间、测评结束之后数据等的保密措施。

方案措施合理、内容完整针对性、实效性强,计划可行,得4分;

方案措施合理、针对性、实效性良好,得2分;

方案措施较合理、针对性和实效性一般,得1分;

缺项得0分。

7.项目质量保障

(4分)

供应商具有明确的项目风险管理及质量保障措施,包括对测评人员的行为管理,保障项目实施期间信息系统、数据保密安全及信息资源安全,有完善的安全和风险预测机制、预案和控制措施。

方案措施合理、内容完整针对性、实效性强,计划可行,得4分;

方案措施合理、针对性、实效性良好,得2分;

方案措施较合理、针对性和实效性一般,得1分;

缺项得0分。

三、

商务

部分

(40分)

1.供应商业绩

(2分)

供应商提供2021年1月1日以来类似项目合同(以签订合同时间为准,附带合同复印件并加盖公章),每提供一份得1分,最高得2分。未按要求提供或提供资料不全者不得分。

2.企业

实力

(12分)

(1)供应商具有中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质证书、信息安全应急处理服务资质证书、信息安全风险评估服务资质证书的得3分,再同时具有业务连续性管理体系认证和隐私信息管理体系认证证书、诚信管理体系认证、通过社会责任管理体系认证相关证书,得5分,无前3项资质证书的不得分。
注:此项最多得5分,评审时以响应文件所附证书为准。

(2)供应商近五年有省级网络安全类技术支撑单位经历且有国家版权局颁发的网络安全、计算机安全类计算机软件著作权登记证书的,每提供一个得1分,最高3分。

注:评审时以响应文件所附证书为准。

(3)供应商具备人力资源和社会保障部门文件授权的网络与信息安全相关职业技能认定及培训能力的,得4分。

注:评审时以响应文件所附证书为准。

3.项目

团队

(12分)

(1)供应商拟投入本项目负责人具有公安部信息安全等级保护评估中心颁发的高级测评师资格,同时具有CISAW证书、网络安全服务能力评价证书(CCSS-M)的,得3分,没有不得分。

(2)供应商拟投入现场测评人员具有公安部信息安全等级保护评估中心颁发的测评师资格,其中高级测评师不少于2人,中级测评师不少于3人得5分,不满足不得分。

(3)本项目团队渗透测试工程师同时具有高级测评师证书、PMP证书、应急响应能力认证(CCSS-R)、渗透测试高级工程师证书,得4分,不满足不得分。

注:须提供证书及本单位为其缴纳的社保证明,评审时以响应文件为准。

4.服务

承诺

(14分)

(1)供应商能额外提供7*24小时对采购单位进行网络安全监测和舆情监测的能力的,得4分。

(2)在满足采购人的服务要求及标准前提下,比较各供应商提交的服务方案,根据售后服务方案及优惠承诺描述情况进行打分

①服务内容,方式详尽的程度,流程明朗清晰程度(0-5分)

②对本项目的合理化建议,及服务计划、承诺等有其他实质性优惠(0-5分)

优:针对性强,保证措施完善,且能结合采购人实际情况,最高得5分;

良:针对性及保证措施一般,但能结合采购人实际情况,最高得3分;

一般:针对性不强,保证措施不完善,或者不能结合采购人实际情况,最高得1分。

如有缺项,按0分计。

供应商的最终得分:各评委打分的算术平均值,作为该供应商的最终得分。

四、其它

1、供应商报价为全费用综合报价,包括但不限于上述内容;

2、验收合格后,采购人凭供应商开具的正规发票向供应商支付全部货款;

3、服务地点:郑州市中级人民法院。

司法行政装备管理处

二〇二四年十月十八日

附件1:供应商使用郑州市中级人民法院采购专用邮箱须知

附件2:供应商参与郑州市中级人民法院自行采购项目须知


联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 等保测评

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询
搜索

最近搜索

热门搜索