信息安全服务招标公告

 

信息安全服务招标公告

( 信息安全服务 )需求公示

项目名称

信息安全服务

采购类型

非协议采购

采购人名称

深圳市人民检察院

采购方式

公开招标

财政预算限额(元)

300000

项目背景



为确保深圳市人民检察院信息系统的稳定、安全运行,并保障涉密数据安全,确保涉密系统正常运行,结合2016年深圳市党政机关信息安全联合检查和绩效评估工作要求,特对“深圳市人民检察院2016年信息安全服务”项目进行公开招标。

投标人资质要求


1) 投标人必须是深圳市政府采购注册供应商;2)投标人必须是在中华人民共和国境内注册的、具有合法经营资格的独立法人单位;3) 投标人必须具有国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》乙级或以上资质;4) 投标人近三年内无行贿犯罪记录证明;投标人参加政府采购活动无诚信管理处罚记录或未在禁止投标期间;

服务类清单

序号采购计划编号需求内容数量单位备注财政预算限额(元)
1PLAN-2016-087001-000026信息安全服务1.0300000.0

具体技术要求




一、项目概述
为确保深圳市人民检察院信息系统的稳定、安全运行,并保障涉密数据安全,确保涉密系统正常运行,结合2016年深圳市党政机关信息安全联合检查和绩效评估工作要求,特对“深圳市人民检察院2016年信息安全服务”项目进行公开招标。
1、本项目建设内容为:深圳市人民检察院涉密系统安全及2016年信息安全联合检查及服务项目。
2、中标人应与建设单位就此项目签订合同。
二、项目目的及建设目标

对深圳市人民检察院涉密信息系统中的涉密终端、网络安全设备、服务器等设备资产提供涉密数据及资产的安全服务,保障涉密数据安全,确保涉密系统正常运行。
依据国家、深圳市信息安全相关政策法规和指引文件,针对深圳市人民检察院非涉密网信息系统进行信息安全风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况等信息安全联合检查安全服务。
对安全服务过程中发现的脆弱点和问题提出科学、可行的修复加固计划和建议,建立符合国家标准和深圳市电子政务要求的信息安全管理体系。严格按照2016年深圳市党政机关信息安全联合检查和绩效评估要求,完成相关信息安全服务工作,使深圳市人民检察院信息系统的安全状况得以长期保持。
三、项目依据
1、国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号)
2、《政府信息系统安全检查办法》(国办发[2009]28号)
3、《深圳市人民政府信息系统安全检查办法》(深府办[2009]138号)
4、国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
5、深圳市关于开展信息安全风险评估工作的实施意见(深科信[2006]268号)
6、信息安全风险评估规范(GB/T20984-2007)
7、深圳市信息安全风险评估实施指南
8、检查机构运作的一般规则(ISO-IEC 17020-2004)
9、BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》
10、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》
四、项目采购范围
1、依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》对深圳市人民检察院涉密信息系统正常、稳定运行提供安全保障服务;
2、根据《深圳市信息安全风险评估指南》和本年度信息化工作要求对深圳市人民检察院包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的非涉密网信息系统进行信息安全风险评估;
3、《2016年深圳市党政机关信息安全联合检查工作方案》要求的工作;
4、对深圳市人民检察院的外网门户网站进行可用性监测,网站业务中断时第一时间告警;对深圳市人民检察院提供信息安全体系完善(信息安全制度,岗位建设、岗位责任与职责描述等)、安全防范技术措施落实情况核查与优化、应急预案建设与演练、应急预案修订和信息安全培训等安全服务;
五、项目总体要求
1、投标人在项目中用于安全检测使用的安全产品必须为厂商正版授权、符合国家安全标准及采购人提出的有关质量标准的设备和产品。
2、项目服务周期从合同签订之日起1年。
六、项目详细技术要求
★1、涉密系统安全服务
对我院涉密信息系统中的涉密终端、网络安全设备、服务器等设备资产提供涉密数据及资产的安全服务,保障涉密数据安全,确保涉密系统的正常运行。
涉密终端450,服务器3台,网络安全设备5台,涉密打印机3台(本项目服务内容不含耗材、配件的采购)。
1) 对我院涉密信息系统中的涉密终端、网络安全设备、服务器等设备资产提供涉密数据安全维护服务,保障涉密数据安全,确保涉密系统的正常运行;
2) 对我院屏蔽机房提供定期巡查服务,确保屏蔽效果;
3) 对我院分级保护系统的有效运行提供咨询服务。对深圳市人民检察院涉密系统运行情况及日常运维工作流程进行详细的梳理,保障涉密系统运维工作流程按照分级保护要求运行;
4) 对我院分级保护系统的日常运维进行定期监督和评估,检查运维流程、表单、审批过程,对不符合分级保护要求的环节提出优化和整改建议,协助院方按照分级保护要求落实系统运维工作。
5) 对我院涉密系统物理安全、运行安全、信息安全保密、安全保密管理提供如下服务:

序号
大类
子类
工作内容
全年次数

1
物理安全
环境安全
1、配合深圳市检察院保卫部门对检察院对周边环境情况(如可疑人员、安全距离变化等)进行分析,对物理入侵、窃听和窃照等方面进行安全风险评估,并根据评估结果及时调整系统的防护措施。
2、配合深圳市检察院保卫部门对大院出入登记情况、信息化管理部门对涉密场所出入情况进行分析,分析是否存在异常情况。
2次

2
设备安全
1、配合深圳市检察院对存放涉密设备的门控措施、显示输出进行安全检查;
2、配合深圳市检察院对网络接口、设备接口进行控制,对相关策略文档进行核查。
1次

3
介质安全
对深圳市检察院对涉密介质进行登记造册,同时配合深圳市检察院保密办对介质的收发、保管和传递环节进行自查,提出优化措施。
1次

4
运行安全
备份与恢复
1、结合深圳市检察院的涉密信息系统网络运行特点,优化备份与恢复方案,制定网络实际演练步骤。
2、配合深圳市检察院的涉密应用系统提供商,制定应用系统的备份与恢复方案,并进行实际演练。
1次

5
系统安全性保护
1、定期对深圳市检察院涉密信息系统中部署的漏洞扫描系统进行最新的漏洞库进行升级,并经常对全网的网络设备、安全设备、服务器设备等进行漏洞扫描,形成评审报告。对发现的高危漏洞要及时进行补丁升级或其它处理措施。
2、定期对涉密网的终端病毒库进行升级。
3、对拟接入深圳市检察院涉密信息系统的设备进行安全技术检查;对拟安装在深圳市检察院涉密信息系统的应用软件,进行安全技术检测,确保新接入的设备和新安装的软件无病毒和无木马。
多次

6
应急响应
1、优化应急响应方案;
2、配合深圳市检察院进行应急响应演练。
1次

7
信息安全保密
物理隔离
定期检查“三合一”服务器是否有违规外联记录,发现后配合保密办进行技术分析。
多次

8
密级标识
1、检查深圳市检察院涉密信息系统中的所有设备的密级标识,查看是否有涂改、严重磨损、粘贴不牢、自然脱落等情况发生。
2、配合深圳市检察院保密办、应用系统提供商对涉密应用系统内的信息标密情况进行检查,防止个别用户私自去除或降信息低密级。
多次

9
身份鉴别
利用深圳市检察院已经部署的涉密计算机终端保密检查工具对涉密计算机进行弱口令检查,并提出整改措施。
2次

10
访问控制
配合深圳市检察院涉密信息系统安全审计员对涉密信息系统中的访问控制策略进行审核,并提出优化建议。
多次

11
电磁泄漏
使用专业工具对深圳市检察院屏蔽机房进行屏蔽效能测试。
1次

12
安全审计
配合深圳市检察院涉密信息系统的审计员对应用系统审计日志、网络设备、服务器设备、安全设备等产品的运行日志进行分析,配合审计员出具安全审计报告。
2次

13
操作系统安全
及时更新操作系统补丁和优化操作系统策略。
多次

14
数据库安全
及时更新数据库补丁和优化数据库的安全策略。
多次

15
安全保密管理
管理制度
根据BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》并结合深圳市检察院的客观情况,不断优化和完善深圳市检察院涉密信息系统管理制度。
1次

16
技术培训
对涉密信息系统的三员进行技术培训
1次



★2、信息安全联合检查服务

深圳市人民检察院非涉密网信息系统相关资产情况如下:

序号
设备名称/型号
数量

1
服务器与存储设备
≤20

2
交换机、路由器等主要网络设备
≤20

3
防火墙、IDS、IPS等安全设备
≤10

4
业务系统
≤2


非涉密网信息系统服务:

序号
大类
子类
工作内容
全年次数

1

信息安全风险评估
资产分析
分析所有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等)的保密性、可用性、完整性安全属性,确认关键资产
1

威胁分析
对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致威胁的问题所在,威胁发生的可能性有多大等问题进行分析
1

弱点分析
从管理、技术两方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性
1

现有措施分析
分析已有的安全措施对安全风险的控制作用
1

风险分析
计算并得出当前系统仍存在的风险,并给出相应控制和管理风险的建议
1

评估报告
编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告
1

评估总结
编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结
1

2
信息系统加固修复
管理加固
对现有信息安全管理体系中存在的问题进行优化和完善,并协助甲方完成相关文档的编写和宣传
1

服务器加固
对全网的服务器进行修复加固和漏洞扫描。Windows服务器直接修复加固,非Windows服务器协助甲方或维护厂商完成修复加固
1

网络加固
对全网的网络设备和安全设备进行修复加固和漏洞扫描
1

应用系统和数据库系统加固
为所有B/S和C/S架构的应用系统提供修复加固技术支持和优化服务
1

安全策略加固
确认主机操作系统、应用系统的安全策略未被更改或还原
1

安全设备加固
对安全设备中的配置、策略进行加固修复
1

3
信息安全制度自查、优化与落实
信息安全制度自查
找出现有信息安全管理制度与联合检查要求之间的差距
1

信息安全管理体系建设服务
建立与完善深圳市人民检察院的信息安全管理机构、信息安全管理制度,建立符合深圳市人民检察院信息系统现状的信息安全管理体系

信息安全运维与落实
对现有制度中的运维内容进行审核与修订,统筹和协调各部门进行落实

4
安全防范措施自查与优 化
外包软件安全检测
在深圳市人民检察院在投入使用前的外包开发软件进行安全检测
1

向互联网发布的网站的安全检测
协助深圳市人民检察院对向互联网发布的所有网站进行安全检测

计算机资产统计
收集统计深圳市人民检察院在使用计算机资产的下列信息:
a)计算机主机名;
b)计算机IP地址;
c)计算机MAC地址;
d)计算机使用人或责任人;
e)计算机所属部门;
f)计算机的物理位置
g)服务器内外网对应IP地址

网站备案
为深圳市人民检察院所有网站在公安网监部门的备案提供顾问咨询服务,直至取得国际联网备案登记证书和备案编号等证明文件

安全防范技术措施有效性检查
检查深圳市人民检察院信息系统现有安全防范技术措施的有效性

5
应急预案建设与演练
应急预案制定
应急预案建设
对深圳市人民检察院所有重要信息系统和对公众服务系统制定科学、有效的应急预案
1

应急技术支援队伍的建设
针对应急预案的特点,建立合理、高效的应急技术支援队伍

应急预案演练
演练计划制定
对深圳市人民检察院所有重要信息系统和对公众服务系统制定科学、合理地的应急演练计划

演练预案培训
就应急预案内容对信息化相关岗位人员进行培训

应急演练实施
对应急预案进行演练,验证其可行性,并对发现的问题进行修正

应急预案修订
结合应急预案演练情况对预案进行修订和完善

6
信息安全服务
顾问咨询
对有关系统改造、扩建,新系统的上线等提供技术论证和安全咨询(含等保和分保)
技术方案咨询:
就新应用系统上线或网络结构改造、扩容等提供技术方案设计
不限次

技术论证咨询:
对新的安全体系的技术特点、功能进行论证

技术交流咨询:
就信息安全领域新的技术、体系与客户分享

安全通报
定期通报安全行业动态、系统漏洞和病毒预警信息
行业动态通报:
对信息安全领域的动态进行通报
≥12

漏洞安全通报:
对新出现的安全漏洞进行通报

病毒安全通报:
对新出现的较严重病毒进行通报

7
下属机构信息安全检查工作开展
工作部署
对下属机构信息安全检查工作进行组织、文件下发、专题会议、培训等
1

检查实施
对下属机构信息安全检查工作的方案、检查方式、工作督导等提供顾问咨询

检查总结
协助落实对下属机构信息安全检查工作的责任查处、结果通报、问题整改、总结上报情况

8
网站监测
可用性监测
对深圳市人民检察院的门户网站提供持续的可用性监测,当网站业务中断时第一时间进行告警;
实时监测

9
联合检查相关服务
未在上述逐一列举的2016年信息安全联合检查和绩效评估要求的其它服务
严格按照2016年信息安全联合检查和绩效评估的要求,准时、优质的完成各项服务
1



★3、安全服务及运维整体要求
1)信息安全风险评估要求:
① 风险评估的范围要全面包括深圳市人民检察院非涉密网所有信息系统资产;
② 对非涉密网的服务器、网络设备、安全设备进行详细的安全风险分析;
③ 风险评估中使用的网络层扫描器必须为国内或国际知名厂家的正版产品,并提供正版授权证明;
④ 风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
⑤ 担任采购人单位计算机网络和主机系统的安全顾问,在网络和主机系统进行升级、扩建时,提供安全风险评估,并提供安全修补建议。
2)信息安全服务要求:
① 安全防范技术措施落实情况的核查务必真实准确,确保在规定的时间内完成核查并在内网工作平台上报;
② 信息系统应急预案必须以信息系统的真实业务流程为基础,要求真实、科学;
③ 信息系统应急预案演练过程文档、会议纪要、修订文档等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
3)现场服务人员要求
要求具有涉密计算机信息系统集成资质的企业提供两名现场驻点服务人员,为我院提供现场驻点服务,驻点服务人员必须是在广东省国家保密局备案的涉密人员。

商务需求



七、项目验收
1、在现场检查前完成所有的联合检查工作,并移交项目中的电子和纸制过程文档;
2、在材料上报的各阶段准时完成所有联合检查材料的上报;
3、风险评估结果有效,风险评估报告满足深圳市党政机关信息安全联合检查的相关要求;
4、信息安全管理制度齐全有效,内容可操作性强,并满足深圳市党政机关信息安全联合检查的相关要求;
5、安全防范技术措施落实情况的核查真实准确,在规定的时间内完成核查并在内网工作平台上报;
6、信息系统应急预案必须以信息系统的业务流程为基础,做到真实、科学、准确;
7、信息系统应急预案演练过程文档、会议纪要、修订文档等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
8、涉密系统安全服务必须提供详细的安全保障运维记录清单,记录要求详细、完整,在项目结束后移交给甲方。
八、付款方式
按照深圳市财委规定支付。
九、报价要求
1、投标人应根据招标文件报出合同总价。合同总价一旦核实确认,不得再做更改。对投标人漏报致使系统未能达到需求的功能和效果,其费用和后果由投标人自行负责。
2、在符合总体要求的前提下,投标人可对投标书中没有提及的内容,按自己的理解适当增加,但有关价格及费用必须在投标书中单独列出,并说明理由。
★ 3、投标人的所有报价必须是唯一的。采购人不接受有任何选择的报价。
4、所有报价均应已包含国家规定的所有税费。
5、投标书与开标一览表(见附件)中的总报价应一致。
6、投标总报价应等于“详细报价清单”的全部费用之和。应包括完成本项目所需全部人工、工具、税费等在内的一切费用。
7、投标人免费提供的部件必须注明“免费”或数字“0”,但不能省略,详细报价清单中如有一般缺漏项,允许按投标的同类产品最高价格予以补正,如有严重缺漏项,视为废标。

评标信息



此处显示的为服务类通用项目模板,其他服务类专业模板(物业管理、绿化管养、软件开发、环保类、劳务派遣、设备维护)详见 ********">http://www.szzfcg.cn/portal/documentView.do?method=view&id=********
评分标准

序号
评分因素
评分准则及权重

1
价格部分
20

2
技术部分
50


评分因素
分值
评分准则

实施方案
10
根据投标文件实施方案的详尽程度、合理性等响应情况横向比较:优10-8分,良7-5分,一般4-2分,差1-0分。

重点难点分析、应对措施及相关的合理化建议
5
根据投标文件内容进行横向比较:优5分,良4-3分,一般2-1分,差0分。

质量(完成时间、安全、环保)保障措施及方案
10
根据招标文件的需求和投标文件响应情况进行横向比较,优10-8分,良7-5分,一般4-2分,差1-0分。

安全服务应急响应机制
2
依据投标人提供的安全服务应急响应方案进行横向比较,优2分;良1分;差0分。

方案与相关政策法规及国标的符合性
7
依据投标人提供的方案与涉密信息系统分级保护、信息安全风险评估、以及深圳市当前电子政务相关政策法规和国家标准的符合性情况进行横向比较,优7分,良6-4分,一般3-1分,差0分。

拟安排的项目负责人情况
2
根据拟安排项目负责人具有计算机专业副高级(或以上)职称得2分,计算机专业中级职称得1分,没有不得分。需提供投标截止日前三个月内任一月的社保证明。

拟安排的项目团队成员
3
根据拟安排的团队成员(项目负责人除外)的工作经验(参加过涉密信息系统分级保护建设项目)等方面横向比较:优3分,良2分,一般1分,差不得分。需提供投标截止日前三个月内任一个月的社保证明。

安全保密技术
8
具备国家保密科技测评中心检测通过的保密安全产品相应研发能力,每提供一个通过保密测评的保密安全产品,得2分。

售后服务承诺
3
根据投标人提供的售后服务承诺方案进行评分:优3分,良2分,一般1分,差0分。

3
商务部分
30


评分因素
分值
评分因素

资格认证情况
10
具有保密部门颁发的《广东省涉密计算机、通信和办公自动化设备定点维修维护证书》得5分;具有《涉密信息系统集成资质》屏蔽室建设得5分;

同类业绩
8
根据投标人提供2013年1月1日以来(以合同签订日期为准)完成的党政机关涉密设备维修维护服务或信息化服务的成功案例,省部级每个3分,地市级每个1分,本项最高得8分。注:提供合同关键页复印件加盖投标人公章,未提供证明材料的不得分。

财务状况
3
根据投标人提供的由会计师事务所审核的2015年度的财务报审计报告(包含现金流量表、资产负债表、损益表等内容)进行横向比较评分。优3分,良2分,一般1分,差0分。注:投标文件中须提供财务审计报告复印件,未提供的不计分。

诚信承诺
5
根据深圳市财政委员会文件《深财购【2013】27号》“深圳市财政会委员关于加强招投标评审环节诚信管理的通知”的要求进行诚信评分。 注:提供《诚信承诺书》,投标人对提供的《诚信承诺书》负责

荣誉情况
4
根据投标人提供自2013年1月1日以来的收到党政机关的荣誉或奖励,省部级每个2分,地市级每个1分。

其他


附件

备注1:本公示期限为2个工作日。公示期内如有异议,请登录采购系统,点击“提出采购需求质疑”功能点进行质疑,由采购人进行回复。
备注2:供应商在公示期过后对采购需求仍有异议的,请向采购人提出,采购人应予答复,并将供应商异议及答复材料在制作采购文件前移交给集中采购机构或社会采购代理机构。(采购公告查询地址:http://www.cgzx.sz.gov.cn/)。采购需求疑问及回复列表
序号疑问标题疑问内容疑问单位疑问人疑问附件疑问日期标题内容单位采购人附件日期

联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 信息安全服务

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询
搜索

最近搜索

热门搜索