信息安全服务招标公告

 

信息安全服务招标公告

( 信息安全服务 )需求公示

项目名称

信息安全服务

采购类型

非协议采购

采购人名称

深圳市人民检察院

采购方式

公开招标

财政预算限额(元)

400000

项目背景


我院信息系统安全维护

投标人资质要求


1、中华人民共和国境内注册的独立法人,具有相关经营范围;2、具有国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》乙级或以上资质;3、近三年内(即至少从2015年5月开始起算,供应商成立不足三年的可从成立之日起算)有行贿犯罪记录的供应商不得参与本项目投标(由市政府采购中心定期向市人民检察院申请对政府采购供应商库中注册有效的供应商进行集中查询,投标文件中无需提供证明材料);4、具有深圳市政府采购注册供应商资格(供应商注册网址:http://www.cgzx.sz.gov.cn);5、本项目不接受联合体形式投标,不允许分包转包。

服务类清单

序号采购计划编号需求内容数量单位备注财政预算限额(元)
1PLAN-2018-087001-000017信息安全服务1.0400000.0

具体技术要求



一、技术要求
1、项目概述
1.1、为确保深圳市人民检察院信息系统的稳定、安全运行,并保障涉密数据安全,确保涉密系统正常运行,结合2019年深圳市党政机关信息安全联合检查和绩效评估工作要求,特对“深圳市人民检察院2019年信息安全服务”项目进行公开招标。
1.2、本项目建设内容为:深圳市人民检察院涉密系统安全及2019年信息安全联合检查及服务项目。
2、项目目的及建设目标
2.1、对深圳市人民检察院涉密信息系统中的涉密终端、网络安全设备、服务器等设备资产提供涉密数据及资产的安全服务,保障涉密数据安全,确保涉密系统正常运行。
2.2、依据国家、深圳市信息安全相关政策法规和指引文件,针对深圳市人民检察院非涉密网信息系统进行信息安全风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况等信息安全联合检查安全服务。
2.3、对安全服务过程中发现的脆弱点和问题提出科学、可行的修复加固计划和建议,建立符合国家标准和深圳市电子政务要求的信息安全管理体系。严格按照2019年深圳市党政机关信息安全联合检查和绩效评估要求,完成相关信息安全服务工作,使深圳市人民检察院信息系统的安全状况得以长期保持。
3、项目依据
3.1、国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号)
3.2、《政府信息系统安全检查办法》(国办发[2009]28号)
3.3、《深圳市人民政府信息系统安全检查办法》(深府办[2009]138号)
3.4、国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
3.5、深圳市关于开展信息安全风险评估工作的实施意见(深科信[2006]268号)
3.6、信息安全风险评估规范(GB/T20984-2007)
3.7、深圳市信息安全风险评估实施指南
3.8、检查机构运作的一般规则(ISO-IEC 17020-2004)
3.9、BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》
3.10、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》
4、项目采购范围
4.1、依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》对深圳市人民检察院涉密信息系统正常、稳定运行提供安全保障服务;
4.2、根据《深圳市信息安全风险评估指南》和本年度信息化工作要求对深圳市人民检察院包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的非涉密网信息系统进行信息安全风险评估;
4.3、2019年《深圳市党政机关信息安全联合检查工作方案》要求的工作;
4.4、对深圳市人民检察院的外网门户网站进行可用性监测,网站业务中断时第一时间告警;对深圳市人民检察院提供信息安全体系完善(信息安全制度,岗位建设、岗位责任与职责描述等)、安全防范技术措施落实情况核查与优化、应急预案建设与演练、应急预案修订和信息安全培训等安全服务;
5、项目总体要求
5.1、投标人在项目中用于安全检测使用的安全产品必须为厂商正版授权、符合国家安全标准及采购人提出的有关质量标准的设备和产品。
5.2、项目服务周期从合同签订之日起1年。
6、项目详细技术要求
6.1、涉密系统安全服务
对我院涉密信息系统中的涉密终端、网络安全设备、服务器等设备资产提供涉密数据及资产的安全服务,保障涉密数据安全,确保涉密系统的正常运行。
包括涉密终端,服务器,网络安全设备,打印机(本项目服务内容不含耗材、配件的采购)。
6.1.1、对我院涉密信息系统中的涉密终端、网络安全设备、服务器等设备资产提供涉密数据安全维护服务,保障涉密数据安全,确保涉密系统的正常运行;
6.1.2、对我院屏蔽机房提供定期巡查服务,确保屏蔽效果;
6.1.3、对我院分级保护系统的有效运行提供咨询服务。对深圳市人民检察院涉密系统运行情况及日常运维工作流程进行详细的梳理,保障涉密系统运维工作流程按照分级保护要求运行;
6.1.4、对我院分级保护系统的日常运维进行定期监督和评估,检查运维流程、表单、审批过程,对不符合分级保护要求的环节提出优化和整改建议,协助院方按照分级保护要求落实系统运维工作。
6.1.5、对我院涉密系统物理安全、运行安全、信息安全保密、安全保密管理提供如下服务:

序号
大类
子类
工作内容
全年次数

1
物理安全
环境安全
1、配合深圳市检察院保卫部门对检察院对周边环境情况(如可疑人员、安全距离变化等)进行分析,对物理入侵、窃听和窃照等方面进行安全风险评估,并根据评估结果及时调整系统的防护措施。
2、配合深圳市检察院保卫部门对大院出入登记情况、信息化管理部门对涉密场所出入情况进行分析,分析是否存在异常情况。
2次

2
设备安全
1、配合深圳市检察院对存放涉密设备的门控措施、显示输出进行安全检查;
2、配合深圳市检察院对网络接口、设备接口进行控制,对相关策略文档进行核查。
1次

3
介质安全
对深圳市检察院对涉密介质进行登记造册,同时配合深圳市检察院保密办对介质的收发、保管和传递环节进行自查,提出优化措施。
1次

4
运行安全
备份与恢复
1、结合深圳市检察院的涉密信息系统网络运行特点,优化备份与恢复方案,制定网络实际演练步骤。
2、配合深圳市检察院的涉密应用系统提供商,制定应用系统的备份与恢复方案,并进行实际演练。
1次

5
系统安全性保护
1、定期对深圳市检察院涉密信息系统中部署的漏洞扫描系统进行最新的漏洞库进行升级,并经常对全网的网络设备、安全设备、服务器设备等进行漏洞扫描,形成评审报告。对发现的高危漏洞要及时进行补丁升级或其它处理措施。
2、定期对涉密网的终端病毒库进行升级。
3、对拟接入深圳市检察院涉密信息系统的设备进行安全技术检查;对拟安装在深圳市检察院涉密信息系统的应用软件,进行安全技术检测,确保新接入的设备和新安装的软件无病毒和无木马。
多次

6
应急响应
1、优化应急响应方案;
2、配合深圳市检察院进行应急响应演练。
1次

7
信息安全保密
物理隔离
定期检查“三合一”服务器是否有违规外联记录,发现后配合保密办进行技术分析。
多次

8
密级标识
1、检查深圳市检察院涉密信息系统中的所有设备的密级标识,查看是否有涂改、严重磨损、粘贴不牢、自然脱落等情况发生。
2、配合深圳市检察院保密办、应用系统提供商对涉密应用系统内的信息标密情况进行检查,防止个别用户私自去除或降信息低密级。
多次

9
身份鉴别
利用深圳市检察院已经部署的涉密计算机终端保密检查工具对涉密计算机进行弱口令检查,并提出整改措施。
2次

10
访问控制
配合深圳市检察院涉密信息系统安全审计员对涉密信息系统中的访问控制策略进行审核,并提出优化建议。
多次

11
电磁泄漏
使用专业工具对深圳市检察院屏蔽机房进行屏蔽效能测试。
1次

12
安全审计
配合深圳市检察院涉密信息系统的审计员对应用系统审计日志、网络设备、服务器设备、安全设备等产品的运行日志进行分析,配合审计员出具安全审计报告。
2次

13
操作系统安全
及时更新操作系统补丁和优化操作系统策略。
多次

14
数据库安全
及时更新数据库补丁和优化数据库的安全策略。
多次

15
安全保密管理
管理制度
根据BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》并结合深圳市检察院的客观情况,不断优化和完善深圳市检察院涉密信息系统管理制度。
1次

16
技术培训
对涉密信息系统的三员进行技术培训
1次

6.2、信息安全联合检查服务
深圳市人民检察院非涉密网信息系统相关资产情况如下:

序号
设备名称/型号
数量

1
服务器与存储设备
≤20

2
交换机、路由器等主要网络设备
≤20

3
防火墙、IDS、IPS等安全设备
≤10

4
业务系统
≤2


非涉密网信息系统服务:

序号
大类
子类
工作内容
全年次数

1

信息安全风险评估
资产分析
分析所有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等)的保密性、可用性、完整性安全属性,确认关键资产
1

威胁分析
对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致威胁的问题所在,威胁发生的可能性有多大等问题进行分析
1

弱点分析
从管理、技术两方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性
1

现有措施分析
分析已有的安全措施对安全风险的控制作用
1

风险分析
计算并得出当前系统仍存在的风险,并给出相应控制和管理风险的建议
1

评估报告
编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告
1

评估总结
编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结
1

2
信息系统加固修复
管理加固
对现有信息安全管理体系中存在的问题进行优化和完善,并协助甲方完成相关文档的编写和宣传
1

服务器加固
对全网的服务器进行修复加固和漏洞扫描。Windows服务器直接修复加固,非Windows服务器协助甲方或维护厂商完成修复加固
1

网络加固
对全网的网络设备和安全设备进行修复加固和漏洞扫描
1

应用系统和数据库系统加固
为所有B/S和C/S架构的应用系统提供修复加固技术支持和优化服务
1

安全策略加固
确认主机操作系统、应用系统的安全策略未被更改或还原
1

安全设备加固
对安全设备中的配置、策略进行加固修复
1

3
信息安全制度自查、优化与落实
信息安全制度自查
找出现有信息安全管理制度与联合检查要求之间的差距
1

信息安全管理体系建设服务
建立与完善深圳市人民检察院的信息安全管理机构、信息安全管理制度,建立符合深圳市人民检察院信息系统现状的信息安全管理体系

信息安全运维与落实
对现有制度中的运维内容进行审核与修订,统筹和协调各部门进行落实

4
安全防范措施自查与优 化
外包软件安全检测
在深圳市人民检察院在投入使用前的外包开发软件进行安全检测
1

向互联网发布的网站的安全检测
协助深圳市人民检察院对向互联网发布的所有网站进行安全检测

计算机资产统计
收集统计深圳市人民检察院在使用计算机资产的下列信息:
a)计算机主机名;
b)计算机IP地址;
c)计算机MAC地址;
d)计算机使用人或责任人;
e)计算机所属部门;
f)计算机的物理位置
g)服务器内外网对应IP地址

网站备案
为深圳市人民检察院所有网站在公安网监部门的备案提供顾问咨询服务,直至取得国际联网备案登记证书和备案编号等证明文件

安全防范技术措施有效性检查
检查深圳市人民检察院信息系统现有安全防范技术措施的有效性

5
应急预案建设与演练
应急预案制定
应急预案建设
对深圳市人民检察院所有重要信息系统和对公众服务系统制定科学、有效的应急预案
1

应急技术支援队伍的建设
针对应急预案的特点,建立合理、高效的应急技术支援队伍

应急预案演练
演练计划制定
对深圳市人民检察院所有重要信息系统和对公众服务系统制定科学、合理地的应急演练计划

演练预案培训
就应急预案内容对信息化相关岗位人员进行培训

应急演练实施
对应急预案进行演练,验证其可行性,并对发现的问题进行修正

应急预案修订
结合应急预案演练情况对预案进行修订和完善

6
信息安全服务
顾问咨询
对有关系统改造、扩建,新系统的上线等提供技术论证和安全咨询(含等保和分保)
技术方案咨询:
就新应用系统上线或网络结构改造、扩容等提供技术方案设计
不限次

技术论证咨询:
对新的安全体系的技术特点、功能进行论证

技术交流咨询:
就信息安全领域新的技术、体系与客户分享

安全通报
定期通报安全行业动态、系统漏洞和病毒预警信息
行业动态通报:
对信息安全领域的动态进行通报
≥12

漏洞安全通报:
对新出现的安全漏洞进行通报

病毒安全通报:
对新出现的较严重病毒进行通报

7
下属机构信息安全检查工作开展
工作部署
对下属机构信息安全检查工作进行组织、文件下发、专题会议、培训等
1

检查实施
对下属机构信息安全检查工作的方案、检查方式、工作督导等提供顾问咨询

检查总结
协助落实对下属机构信息安全检查工作的责任查处、结果通报、问题整改、总结上报情况

8
网站监测
可用性监测
对深圳市人民检察院的门户网站提供持续的可用性监测,当网站业务中断时第一时间进行告警;
实时监测

9
联合检查相关服务
未在上述逐一列举的2019年信息安全联合检查和绩效评估要求的其它服务
严格按照2019年信息安全联合检查和绩效评估的要求,准时、优质的完成各项服务
1

商务需求



6.3、安全服务及运维整体要求
6.3.1、信息安全风险评估要求:
6.3.1.1、风险评估的范围要全面包括深圳市人民检察院非涉密网所有信息系统资产;
6.3.1.2、对非涉密网的服务器、网络设备、安全设备进行详细的安全风险分析;
6.3.1.3、风险评估中使用的网络层扫描器必须为国内或国际知名厂家的正版产品,并提供正版授权证明;
6.3.1.4、风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
6.3.1.5、担任采购人单位计算机网络和主机系统的安全顾问,在网络和主机系统进行升级、扩建时,提供安全风险评估,并提供安全修补建议。
6.3.2、信息安全服务要求:
6.3.2.1、安全防范技术措施落实情况的核查务必真实准确,确保在规定的时间内完成核查并在内网工作平台上报;
6.3.2.2、信息系统应急预案必须以信息系统的真实业务流程为基础,要求真实、科学;
6.3.2.3、信息系统应急预案演练过程文档、会议纪要、修订文档等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
6.3.3、现场服务人员要求
要求具有涉密计算机信息系统集成资质的企业提供两名现场驻点服务人员,为我院提供现场驻点服务,驻点服务人员必须是在广东省国家保密局备案的涉密人员。
7、项目验收
7.1、在现场检查前完成所有的联合检查工作,并移交项目中的电子和纸制过程文档;
7.2、在材料上报的各阶段准时完成所有联合检查材料的上报;
7.3、风险评估结果有效,风险评估报告满足深圳市党政机关信息安全联合检查的相关要求;
7.4、信息安全管理制度齐全有效,内容可操作性强,并满足深圳市党政机关信息安全联合检查的相关要求;
7.5、安全防范技术措施落实情况的核查真实准确,在规定的时间内完成核查并在内网工作平台上报;
7.6、信息系统应急预案必须以信息系统的业务流程为基础,做到真实、科学、准确;
7.7、信息系统应急预案演练过程文档、会议纪要、修订文档等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
7.8、涉密系统安全服务必须提供详细的安全保障运维记录清单,记录要求详细、完整,在项目结束后移交给甲方。
8、付款方式
按照深圳市财委规定支付。
服务期一年

评标信息




评分标准
综合评分法评分因素和权重分值

类别
评分项目
权重
评分参考及范围

技术标(J)
(57分)
实施方案
10
考察内容:根据招标文件的需求和投标文件响应情况进行横向比较,分档评分:评价为优得80%-100%分数;评价为良得60%-80%分数;评价为中得30%-60%分数;评价为差不得分。评价为“中”或“差”的,专家需说明情况。

项目重点难点分析、应对措施及相关的合理化建议
10
考察内容:依据投标人提供的方案与涉密信息系统风险评估、分级保护以及深圳市当前电子政务相关政策法规和国家标准的符合性情况进行横向比较分档评分
评价为优得80%-100%分数;评价为良得60%-80%分数;评价为中得30%-60%分数;评价为差不得分。评价为“中”或“差”的,专家需说明情况。

信息安全服务专业案例情况
15
考察内容:根据投标人提供2015年1月1日以来(以合同签订日期为准)完成的党政机关涉密设备维修维护服务或信息化服务的成功案例,省部级每个3分,地市级每个1分;,最高12分;提供自2015年1月1日以来的收到党政机关的荣誉或奖励,省部级每个2分,地市级每个1分,最高3分。

项目完成(服务期满)后的服务承诺
2
考察内容:投标人在完全满足招标文件售后服务要求的前提下,提供后续服务承诺全面、周到,具有售后服务计划、保证措施具体、合理可行,
根据招标文件的需求和投标文件响应情况进行横向比较,分档评分:评价为优得80%-100%分数;评价为良得60%-80%分数;评价为中得30%-60%分数;评价为差不得分。评价为“中”或“差”的,专家需说明情况。

拟安排的项目负责人情况
10
考察内容:根据拟安排项目负责人具有计算机专业副高级(或以上)职称、计算机专业中级职称的情况,没有不得分。需提供投标截止日前三个月内任一月的社保证明。未提供的不得分。按照投标文件响应情况进行横向比较,分档评分:评价为优得80%-100%分数;评价为良得60%-80%分数;评价为中得30%-60%分数;评价为差不得分。

拟安排的项目团队成员(项目负责人除外)情况
10
根据拟安排的团队成员(项目负责人除外)的工作经验(参加过涉密信息系统分级保护建设项目)等方面横向比较。
注:1、提供社保部门出具的项目团队成员近3个月的社保证明加盖投标人公章;2、提供中国信息安全测评中心颁发的CISP认证证书复印件加盖投标人公章。按照投标文件响应情况进行横向比较,分档评分:评价为优得80%-100%分数;评价为良得60%-80%分数;评价为中得30%-60%分数;评价为差不得分。

价格标(S)(20分)
投标总价
20
满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:
投标报价得分=(评标基准价/投标报价)×20
注:若供应商为小型或微型企业或监狱企业,将对所提供的由其制造的货物、承担工程、提供服务或提供其他小型或微型企业或监狱企业的货物的价格予以6%的扣除,用扣除后的价格参加评审,监狱企业应当提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件,中小企业提供《中小企业声明函》。

商务标(X)
(23分)
投标人资格情况及通过相关认证情况
6
具有《广东省涉密计算机、通信和办公自动化设备定点维修维护证书》得6分。
注:提供有效证明文件复印件加盖投标人公章,未提供的不得分。

投标人技术水平
6
具备国家保密科技测评中心检测通过的保密安全产品相应研发能力,每提供一个通过保密测评的保密安全产品,得2分,满分为6分。

履约评价情况
3
根据深圳市政府采购中心项目履约情况现场抽检结果,投标截止日前一年内(以深圳市政府采购中心网站《关于给予供应商履约评价差的函》的落款日期为准),供应商履约评价出现评价为“差”的,本项不得分。未评价为“差”的,得满分。投标人无需提供任何证明材料,由采购中心工作人员向评委会提供相关信息。

服务便利性
3
在深圳市具有稳定的服务网点(场地)得3分,在深圳市外有服务网点的得1分,需提供营业执照或房屋租赁合同,未提供或提供不清楚不得分。

企业诚信
5
1、按照深财购[2013]27号文通知要求,存在通知中第一条规定情形但超出法定追诉时效,或情节轻微未给予禁止参与政府采购的行政处罚的,本项得0分,不存在上述情形的,本项得3分。本项以深圳市政府采购网(www.cgzx.sz.gov.cn)的数据查询结果为准,投标文件中无需提供证明材料,评标时由招标代理机构工作人员向评标委员会提供。
2、根据深财购[2017]35号文通知要求,投标人获得《反贿赂管理体系认证证书》的得2分。
投标文件中需提供证书复印件加盖公章,原件备查,未获得该认证或未提供证书的,本项不得分。
注:如投标人因出现违法违规行为被计入供应商诚信档案的,上述两项得分均计为0分。

评标总得分(N)
总分100分
N=J S X

联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 信息安全服务

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询
搜索

最近搜索

热门搜索