一、项目名称

“吴江区智慧养老大数据中心”三级等保评测。

二、项目时间

签订合同后45工作日内完成信息安全等级保护测评并出具报告。

三、项目费用及付款方式

1.预计费用：80000.00元（捌万元整）；

2.付款方式：项目完成后一次性拨付。

四、项目内容

1.识别信息安全风险。通过对吴江区民政局重要信息系统在安全技术和安全管理方面的测评，发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距，并进行风险分析，明确信息系统面临的风险；

2.增强安全防护能力。依据等级测评结果，并结合吴江区民政局的实际情况，区分轻重缓急，制定针对性的安全整改计划，通过安全整改不断提高信息系统的整体安全保护水平；

3.顺利完成等保测评。协助吴江区民政局通过公安机关的专家评审，以完成信息系统的等级保护测评及测评备案工作。

五、资质要求

1.单位要求：具有国家有关部门颁发的《网络安全等级保护测评机构推荐证书》；

2.其他要求：本次等保测评项目不得转包或者分包，所有测评师必须是中标公司自己的正式在职员工,所有测评师必须持证上岗。

六、申报流程

1.有意向的单位自本公告发布5个工作日内，提供资质材料及评分标准内容（密封盖章）至吴江区民政局养老服务科，联系电话：********、********，地址：吴江大厦A666。

2.公告结束后，经项目评审小组评审确定承接方，评审结果向社会公示，公示后无异议的签订合作协议。

监督电话：********。

附：1.测评具体要求；

2.评分标准。

?苏州市吴江区民政局

?2020年6月3日

附件1

测评具体要求

一、项目实施原则

1.客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。

2.可重复性和可再现性原则：依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。

3.连续性原则：确保在高速变化的信息安全环境中，在有效的服务期间内，保证采购方风险评估结论的准确性和及时性，对于采购方单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低了采购方单位的成本，从信息安全性上，保证信息安全测评的动态稳定性。

4.扩展性原则：在评估过程结束后，信息安全测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。

5.保密原则：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。

6.互动原则：在整个测评过程中，强调采购方的互动参与，每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整，进而更好进行风险评估工作。

7.最小影响原则：测评工作应该尽可能小的影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

8.规范性原则：信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

9.质量保障原则：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。

二、测评流程

本次等级测评工作包括测评准备过程、方案编制过程、测评实施过程、分析与报告编制过程等四个阶段，具体要求参考GB/T28448-2018。

三、实施要求

1.实施人员要求

应提供全面的组织管理方案和保证措施，以保证项目的顺利实施。同时，应安排有丰富实施经验的人员参加项目的实施。

2.实施结果要求

（1）记录各系统运行现状及安全状况

记录被测信息系统的基本情况，完成信息系统备案文档的编写并协助完成等保定级备案工作。

（2）等级测评结果

对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为符合、基本符合、不符合）。

（3）制定《系统等级测评报告》

列出被测信息系统中存在的主要问题以及可能造成的后果，制定《系统等级测评报告》。

（4）制定《系统安全建设、整改方案》

针对系统存在的主要问题提出安全建设、整改建议，制定《系统安全建设、整改方案》。

（5）协助等保整改工作

针对系统存在的主要问题提出安全建设、整改建议，协助完成系统整改工作。

（6）制定《信息系统验收测评报告》

提交《信息系统验收测评报告》，报告须提交公安机关有关部门报备。

附件2

评分标准

一、内部招标成交原则：

1、由评委采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分。

2、综合评分法中的价格分统一采用低价优先法计算，即满足文件要求且报价最低的供应商的价格为基准价，其价格分为满分。其他供应商的价格分统一按照下列公式计算：

3、报价得分=（基准价/最后报价）×价格权值×100（项目评审过程中，不得去掉最后报价中的最高报价和最低报价）。

4、评委小组根据综合评分情况，按照评审得分由高到低顺序推荐3名以上成交候选单位。评审得分相同的，按照最后报价由低到高的顺序推荐。评审得分且最后报价相同的，按照技术指标优劣顺序推荐。

二、综合评分标准：

（一）价格分：10分

报价得分=（基准价/最后报价）×价格权值×100（项目评审过程中，不得去掉最后报价中的最高报价和最低报价）。

二、测评方案：60分

1、测评项目理解比较（10分）

根据对信息系统理解选择相应的标准，必须真实、合理、可执行，内容完整全面，能真实反应信息系统当前的安全状况，并能根据测评结果给出相应的整改建议得10分，内容比较全面，能基本反映当前安全状况得5分，项目理解不全面，有缺项、漏项的不得分。（最高10分）

2、测评服务方案的完整性和专业性比较（30分）

（1）测评方案中需包含测评工作流程详细规范，测评内容、测评指标、测评方法具有合理性与可操作性得10分，测评内容、指标较明确但可操作性一般得7分，测评内容、指标、方法不太明确，并不具备可操作性不得分；（最高10分）

（2）等级保护测评过程中的风险规避措施，措施有效合理得10分，措施比较有效合理得5分，规避措施无针对性不得分；（最高10分）

（3）提供明确系统渗透测试方法并能提供挖掘漏洞相关证明得10分，提供渗透测试方法但未能提供漏洞挖掘证明得5分，渗透测试方案不合理且未提供挖掘漏洞证明不得分。（最高10分）

3、施工组织、培训方案比较（20分）

（1）实施方案有制定详细的进度安排和人员保障计划，能把握时间节点按进度提供项目文档，人员和计划安排得当、时间进度合理得7分，人员和计划安排基本合理、时间进度一般4分，人员和计划安排较差不够合理得1分。（最高7分）

（2）针对此次测评提供明确的培训方案，方案具有针对性、可操作性，内容涵盖网络安全相关的内容；方案具有针对性、内容较全面得7分，方案针对性一般，内容较全面得4分，方案针对性较差，内涵涵盖不全面得1分。（最高7分）

（3）重要信息系统安全事件到场响应服务时间为2小时内（含2小时）得6分；响应服务时间为3-4小时内（含4小时）得3分；响应服务时间为4-12小时内（含12小时）得1分；响应服务时间超过12小时不得分。（最高6分）

三、测评质量保证：20分

1、针对本项目配备的项目经理具有高级测评师、CISP证书，有一个得2分，最高4分。（须提供响应单位为上述人员连续缴纳近1个月的社保证明及相应证书复印件并加盖响应单位公章）

2、测评组其他测评师比较：8分

具有高级测评师，得2分；具有注册信息安全专业人员（CISA）证书、RHCE证书，有一个得2分，最高4分；具有CCIE证书，有一个得1分，最高得2分。（须提供响应单位为上述人员连续缴纳近2个月的社保证明及相应证书复印件并加盖响应单位公章，最高8分）

3、在CVE漏洞平台提交原创漏洞，提供一个得0.5分，最高得8分，提供相关验证材料截图，否则不得分。（最高8分）

四、磋商响应单位履约能力比较：10分

1、具有质量管理体系认证证书，提供证书复印件得2分。（2分）

2、具有信息安全管理体系认证证书，提供证书复印件得2分。（2分）

3、具有通过符合CCRC-ISV-C01：2018《信息安全服务规范》标准的信息系统应急处理服务资质，提供证书复印件得3分。（3分）

4、提供未被国家及地方网络安全等级保护工作协调小组办公室或等级保护主管部门通报及处罚声明，得3分，未提供声明不得分。（3分）