为贯彻落实国家信息安全等级保护制度,进一步完善信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,决定对我单位温州市信用信息综合服务平台、温州市个人诚信分应用平台进行信息安全等级测评工作。
根据《中华人民共和国政府采购法》、《温州市发展和改革委员会竞争性磋商暂行办法》等有关规定,温州市发展和改革委员会现就温州市信用信息综合服务平台、温州市个人诚信分应用平台等级保护测评服务项目以竞争性磋商采购方式进行采购,欢迎国内合格的供应商前来磋商。具体事项如下:
一、采购项目的名称、简介、预算情况
项目名称 | 项目简介 | 项目预算 |
温州市信用信息综合服务平台、温州市个人诚信分应用平台等级保护测评服务项目 | 根据GBT22239-2019《信息安全技术 网络安全等级保护基本要求》及相关标准要求,拟对我单位两个三级系统开展等级保护测评工作。 | 9万 |
二、项目主要内容及要求
(一)项目主要内容
1、业务系统分类、梳理生成定级备案材料:
对以上信息系统进行分析、梳理、确定系统级别。
2、等级保护测评服务
(1)测评应满足的原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
a、保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究测评公司的责任。
b、标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
c、规范性原则:测评公司的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
d、可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
e、整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
f、最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
(2)测评的内容
根据国家等级保护相关标准,测评公司对招标方的各个信息系统完成等级保护测评工作。要求对以上业务信息系统进行摸底、分析和梳理,提出测评方案。逐一对信息系统进行安全等级保护测评,信息系统安全等级保护测评的内容包括但不限于以下内容:
●安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
●安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评;完成测评工作后,提出整改意见并配合实施整改,最后出具符合公安机关要求的信息系统安全保护等级测评报告,并协助招标方完成信息系统安全保护等级备案工作。
(3)安全测评报告
a、测评公司应对招标人的信息系统进行等级保护测评,形成相应的报告。
b、测评公司在测评后出具符合浙江省公安厅要求的系统安全保护等级测评报告;
c、对上述系统不符合信息安全等级保护有关管理规范和技术标准的,测评公司出具可行整改方案并协助招标人整改和整改项的再次测评服务。
d、测评公司协助招标人办理信息系统安全保护等级备案手续。
(4)本次等级保护测评的整体要求
A、测评公司应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
B、测评公司应详细描述测评人员的组成、资质及各自职责的划分。测评公司应配置有经验的测评人员进行本次等级保护测评工作。
C、本次等级保护测评实施过程中所使用到的各种工具软件由测评公司推荐,经招标人确认后由测评公司提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
D、安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由测评公司推荐,经招标人确认后由测评公司提供并在测评中使用。
E、安全测评需要的运行环境(如场地、网络环境等)由招标人提供,测评公司应详细描述需要的运行环境的具体要求。
(二)项目验收
(1)信息系统等级保护定级报告、备案表(每系统一份)
(2)网络安全等级保护测评报告(每个等级保护对象一份,含整改建议书)
(3)公安机关颁发“信息系统安全等级保护备案证明”(每系统一份)
(三)项目承诺
(1)测评公司应满足招标人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
(2)保密性要求:测评公司必须和招标人签订保密协议和非侵害性协议,测评公司必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给招标人。
(3)测评公司具体测评工作和等级保护测评报告的编写,必须在招标人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,测评公司不得带离该地点。
(4)测评公司对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论测评公司中标与否,其对上述内容的保密责任将长期存在。
(5)等级保护测评的品质保证:测评公司应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。
(四)其它要求
(1)测评公司在测评方案书中,对能提供的信息系统安全等级保护测评进行详细说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
(2)测评公司应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,招标人以上问题不承担任何法律责任。
(3)若测评公司的设备和系统包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料。
(五)培训及服务
1、测评完成之后,协助本单位完成信息系统整改和制度完善,测评公司所提供的整改建议科学、合理、有效、并承诺及时跟进。
2、专业安全培训两次。
(六)其他
1、合同完工期限:合同签订生效之日起 90天内完成并交付测评成果。
2、售后技术服务要求:要求协助完成等级保护测评整改工作
三、投标单位要求
(一)本项目由符合国家有关法律法规规定、同时满足本项目资质要求、在中华人民共和国境内(不含港、澳、台)注册的合格供应商参加。供应商应具有履行本项目合同所需的技术实力及相关资质,能提供本国货物和服务。必须具备《中华人民共和国政府采购法》第二十二条规定的条件:1.具有独立承担民事责任的能力;2.具有良好的商业信誉和健全的财务会计制度;3.具有履行合同所必需的设备和专业技术能力;4.有依法缴纳税收和社会保障资金的良好记录;5.参加政府采购活动前三年(2019年9月26日至本项目招标公告发布前)内,在经营活动中没有重大违法记录(提供声明函,加盖本单位公章);6.法律、行政法规规定的其他条件。
(二)投标人具有有效期内的网络安全等级保护测评资质。上述要求投标人提供的资质和证书,如已通过审核但尚未发证,可由原发证机关开具通过审核正在办证或通过审核正在办理延期的有效证明原件(或复印件并加盖投标人单位公章)。
(三)不得为“信用中国”网站(www.creditchina.gov.cn)中列入失信被执行人和重大税收违法案件当事人名单的供应商(提供“信用中国”网站查询截图)。
四、报名材料
有意报名单位请携带项目等保测评服务报价单(原件,报价金额不可超过本次项目预算金额,否则不予接受)、企业营业执照(原件或复印件)、网络安全等级保护测评资质要求的证明文件(原件或复印件),无重大违法记录声明函(原件)、“信用中国”网站查询截图(截图或者打印件)、项目业绩(复印件)等,上述报名资料按顺序装订并加盖单位公章,交至指定地点。
五、选定程序:
对符合资格条件的供应商由我委内部采购小组进行综合评比,最终选定一家机构作为项目中标实施单位。
六、报名事宜
1.时间:2022年9月26日8时30分至2022年9月30日17时30分止(节假日除外),接受现场递交资料与邮寄资料方式,逾期或者投标资料未密封将予以拒收。以资料接收时间先后顺序,取前5家进入磋商,如果到报名截止时间为止,报名供应商少于2家,则本次采购公告自动作废。
2.地点:温州市鹿城区温州市绣山路发展大楼南楼704。
3.联系方式:金先生 0577-88961227。
七、投标文件:
投标人应将必要投标文件装订成册,标书一正二副;投标文件应包含技术资信评分项清单,并标出每个评分项对应的材料所在页码。
八、项目开标时间:
2022年10月10日09:30,开标地点:温州市鹿城区温州市绣山路发展大楼南楼706会议室。
九、发布公告媒介
本次公告在温州市发改委门户网站公告(公示)栏上发布。
特此公告。
附件:评分标准.doc温州市发展和改革委员会
2022年9月26日