根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國海南自由貿(mào)易港法》關于落實網(wǎng)絡安全等級保護制度的相關要求��,我會擬聘請第三方測評服務機構(gòu)開展海南省工商聯(lián)2024年度網(wǎng)絡安全等級保護測評工作���,為確保該項工作公平公正順利推進、按時完成并取得實效,結(jié)合我單位采購管理規(guī)定���,現(xiàn)采用比選的方式購買我單位網(wǎng)上工商聯(lián)平臺2024年度網(wǎng)絡安全等級保護測評服務工作,具體要求如下:
一�����、項目概況
(一)項目名稱:海南省工商聯(lián)2024年度網(wǎng)絡安全等級保護測評�����。
(二)服務期限:合同簽訂生效且具備項目實施條件60天內(nèi)完成網(wǎng)絡安全等級保護測評和網(wǎng)絡安全應急演練服務,并出具相應的服務成果�����。
(三)資金預算:13.5萬元。
(四)項目清單
|
序號
|
信息系統(tǒng)名稱
|
安全級別
|
|
1
|
海南省網(wǎng)上工商聯(lián)平臺
|
第三級(S3A3G3)
|
(五)項目內(nèi)容:
1.網(wǎng)絡安全等級保護測評服務
按照等級保護管理規(guī)范和技術(shù)標準(《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)�、《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》(GB/T 28448-2019)和《信息安全技術(shù)網(wǎng)絡安全等級保護測評過程指南》(GB/T28449-2018))等要求��,對我會“海南省網(wǎng)上工商聯(lián)平臺”開展網(wǎng)絡安全等級保護測評工作,等級保護測評的內(nèi)容包括安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界�����、安全計算環(huán)境、安全管理中心��、安全管理制度����、安全管理機構(gòu)、安全管理人員�����、安全建設管理���、安全運維管理十個層面的安全測評��,完成等保測評工作后,出具《網(wǎng)絡安全等級保護等級測評報告》���,并針對信息系統(tǒng)安全建設提出具有針對性的整改建議。
2.網(wǎng)絡安全應急演練服務
依據(jù)《中華人民共和國網(wǎng)絡安全法》�、《國家網(wǎng)絡安全事件應急預案》�����、《中華人民共和國突發(fā)事件應對法》、《突發(fā)事件應急預案管理辦法》、《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)����、《信息安全技術(shù)網(wǎng)絡安全事件應急演練指南》(GB/T 38645-2020)等文件的要求����,結(jié)合我會的實際情況��,提供一年1次網(wǎng)絡安全應急演練服務�����。協(xié)助我會編制《信息安全事件應急預案》,對信息系統(tǒng)相關人員進行應急預案、應急技巧及對典型的信息安全事件進行預防等方面的培訓����,并針對《信息安全事件應急預案》開展相應的應急演練工作����,演練結(jié)束后出具《網(wǎng)絡安全應急演練總結(jié)報告》���。
3.網(wǎng)絡安全漏洞掃描評估服務
供應商應依據(jù)《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)�����,結(jié)合我會的實際情況,自合同簽訂之日起一年內(nèi)提供我會“海南省網(wǎng)上工商聯(lián)平臺”1次安全漏洞掃描評估服務�����。通過采用多種專業(yè)漏洞掃描工具針對“海南省網(wǎng)上工商聯(lián)平臺”開展交叉漏洞掃描及驗證服務���,由經(jīng)驗豐富的專業(yè)網(wǎng)絡安全服務人員對掃描結(jié)果實施安全分析,及時掌握信息系統(tǒng)的安全狀況�����,發(fā)現(xiàn)存在的主要安全問題和薄弱環(huán)節(jié)�����,出具《安全漏洞掃描評估報告》,并提供完善的修補建議,指導我會落實安全措施��,及時修補漏洞�����,建立網(wǎng)絡安全長期保障機制�,降低安全風險,促進信息系統(tǒng)持續(xù)安全穩(wěn)定運行��。
4.滲透測試服務
供應商應以等級保護測評標準為基線�,結(jié)合國際化網(wǎng)絡安全測試標準在我會授權(quán)下和可控的范圍內(nèi),對我會“海南省網(wǎng)上工商聯(lián)平臺”開展一年1次滲透測試服務。通過模擬黑客可能使用的攻擊方式和漏洞挖掘行為,對信息系統(tǒng)的安全進行深入安全檢測�����,發(fā)現(xiàn)并驗證漏洞���,為我會信息系統(tǒng)管理人員提供安全加固建議��,及時發(fā)現(xiàn)信息系統(tǒng)的安全漏洞以及沒有被掌控到的脆弱點,及時采取必要的安全防范措施����,幫助其更好的保護信息系統(tǒng)����,從而促進信息系統(tǒng)安全���、穩(wěn)定運行�����,服務結(jié)束后出具《滲透測試報告》����。
5.網(wǎng)絡安全培訓服務
供應商應依據(jù)《中華人民共和國網(wǎng)絡安全法》���、《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)��、《網(wǎng)絡安全等級保護測評高風險判定指引》(T/ISEAA 001-2020)等文件對“定期對從業(yè)人員進行網(wǎng)絡安全教育��、技術(shù)培訓和技能考核”的相關規(guī)定,提供我會信息系統(tǒng)管理和相關人員一年1次網(wǎng)絡安全專項培訓服務�����。通過開展我會信息系統(tǒng)管理和相關人員網(wǎng)絡安全專項培訓,進一步提高人員網(wǎng)絡安全意識�����、安全專業(yè)技能和安全管理水平。
(六)驗收標準及成果交付
1.完成“海南省網(wǎng)上工商聯(lián)平臺”網(wǎng)絡安全等級保護測評及安全運維保障服務���;
2.提交《網(wǎng)絡安全等級保護海南省網(wǎng)上工商聯(lián)平臺等級測評報告》、《海南省工商聯(lián)平臺安全建設整改方案》、《網(wǎng)絡安全應急演練總結(jié)報告》�����、《安全漏洞掃描評估報告》����、《滲透測試報告》和培訓課件。
3.提交項目實施階段所有的過程文檔。
二、相關要求
(一)服務要求
1.本項目需在規(guī)定時間內(nèi)完成項目內(nèi)容并提交成果���;
2.服務期間提供7×8服務響應,需要進行現(xiàn)場服務的,技術(shù)人員須在2小時之內(nèi)到達現(xiàn)場處理���;
3.有關測評報告提交1年內(nèi),圍繞測評發(fā)現(xiàn)的問題和針對性改進建議,測評服務機構(gòu)應向采購方免費提供咨詢服務��;
4.本項目不接受分包����、轉(zhuǎn)包。
(二)資格要求
1.在中華人民共和國注冊��,具有獨立承擔民事責任能力的法人�����。(提供“三證合一”營業(yè)執(zhí)照副本復印件�����,供應商為事業(yè)單位的,提供有效的“事業(yè)單位法人證書”復印件,供應商為社會團體(或組織)的,提供社會團體(或組織) 法人登記證書復印件)
2.具有依法繳納稅收和社會保障資金的良好記錄�。(須提供2024年1月至今任意1個月的繳納稅收證明和社保繳費記錄證明復印件����,以銀行付款憑證或完稅證明為準)
3.具有良好的商業(yè)信譽和健全的財務會計制度[提供2024年1月至今任意1個月的財務報表(包括資產(chǎn)負債表�����、現(xiàn)金流量表����、利潤表或損益表)復印件或會計師事務所出具的2023年度財務審計報告復印件或銀行出具的資信證明材料復印件]�。
4.提供參加政府采購活動前三年內(nèi),在經(jīng)營活動中沒有重大違法記錄的聲明函。(加蓋公章)
5.供應商(包含法定代表人)無不良信用記錄。(提供“信用中國”信息查詢結(jié)果���,加蓋公章)
6.具有公安部第三研究所頒發(fā)的《網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書》
7.符合法律、行政法規(guī)規(guī)定的其他條件。
(三)比選標準
符合資格要求且根據(jù)評比標準(見附件2)進行綜合評分���,綜合得分作為評審會入圍的主要參考依據(jù),評審會上得票最多的單位為中標單位。
(四)報價文件要求
1.營業(yè)執(zhí)照副本、組織機構(gòu)代碼證副本、稅務登記證副本等復印件(如三證合一只需提供營業(yè)執(zhí)照副本復印件加蓋公章)�����;
2.網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書��。(須提供證書復印件并加蓋公章)��;
3.服務技術(shù)方案;
4.報價清單(蓋公章),參照附件�。
5.以上材料裝訂成冊����,一式兩份�,需加蓋單位公章并提供蓋章文件掃描U盤1個或光盤1張,用信封密封并加蓋公章后報送。
(五)報名材料遞交截止時間及地點:
1.報名材料遞交截止時間:2024年8月19日17:30�;
2.報名材料遞交地點:海南省?����?谑协偵絽^(qū)紅城湖路100號����,15號樓3樓309號辦公室,郵編:570000����。
三�、評審會安排
依據(jù)《海南省工商聯(lián)采購工作管理暫行辦法》��,結(jié)合此次工作實際�����,擬由分管會領導1人,調(diào)宣處3人���、辦公室1人組成,機關紀委指派一名現(xiàn)場監(jiān)督員�����。評審會的時間�����、地點根據(jù)后續(xù)工作安排另行確定�。
附件:1.報價一覽表
2.密碼應用安全性評估項目采購評分標準
海南省工商聯(lián)
2024年8月13日
附件1:
報價一覽表
|
序號
|
服務名稱
|
服務內(nèi)容
|
價格
|
備注
|
|
1
|
網(wǎng)絡安全等級保護測評服務
|
對海南省網(wǎng)上工商聯(lián)平臺(三級S3A3G3)開展網(wǎng)絡安全等級保護測評�,完成等保測評工作后,出具《網(wǎng)絡安全等級保護等級測評報告》��,并針對信息系統(tǒng)安全建設提出具有針對性的整改建議�。
|
|
|
|
2
|
網(wǎng)絡安全應急演練服務
|
結(jié)合我會的實際情況,提供一年1次網(wǎng)絡安全應急演練服務��。協(xié)助我會編制《信息安全事件應急預案》��,對信息系統(tǒng)相關人員進行應急預案、應急技巧及對典型的信息安全事件進行預防等方面的培訓�,并針對《信息安全事件應急預案》開展相應的應急演練工作����,演練結(jié)束后出具《網(wǎng)絡安全應急演練總結(jié)報告》。
|
|
|
|
3
|
網(wǎng)絡安全漏洞掃描評估服務
|
自合同簽訂之日起一年內(nèi)提供我會“海南省網(wǎng)上工商聯(lián)平臺”1次安全漏洞掃描評估服務����。通過采用多種專業(yè)漏洞掃描工具針對“海南省網(wǎng)上工商聯(lián)平臺”開展交叉漏洞掃描及驗證服務�����,由經(jīng)驗豐富的專業(yè)網(wǎng)絡安全服務人員對掃描結(jié)果實施安全分析,及時掌握信息系統(tǒng)的安全狀況,發(fā)現(xiàn)存在的主要安全問題和薄弱環(huán)節(jié)����,出具《安全漏洞掃描評估報告》,并提供完善的修補建議����,指導我會落實安全措施���,及時修補漏洞���,建立網(wǎng)絡安全長期保障機制���,降低安全風險�,促進信息系統(tǒng)持續(xù)安全穩(wěn)定運行。
|
|
|
|
4
|
滲透測試服務
|
以等級保護測評標準為基線���,結(jié)合國際化網(wǎng)絡安全測試標準在我會授權(quán)下和可控的范圍內(nèi),對我會“海南省網(wǎng)上工商聯(lián)平臺”開展一年1次滲透測試服務�����。通過模擬黑客可能使用的攻擊方式和漏洞挖掘行為����,對信息系統(tǒng)的安全進行深入安全檢測��,發(fā)現(xiàn)并驗證漏洞�,為我會信息系統(tǒng)管理人員提供安全加固建議���,及時發(fā)現(xiàn)信息系統(tǒng)的安全漏洞以及沒有被掌控到的脆弱點����,及時采取必要的安全防范措施,幫助其更好的保護信息系統(tǒng)�����,從而促進信息系統(tǒng)安全�、穩(wěn)定運行,服務結(jié)束后出具《滲透測試報告》。
|
|
|
|
5
|
網(wǎng)絡安全培訓服務
|
依據(jù)《中華人民共和國網(wǎng)絡安全法》�、《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)����、《網(wǎng)絡安全等級保護測評高風險判定指引》(T/ISEAA 001-2020)等文件對“定期對從業(yè)人員進行網(wǎng)絡安全教育����、技術(shù)培訓和技能考核”的相關規(guī)定,提供我會信息系統(tǒng)管理和相關人員一年1次網(wǎng)絡安全專項培訓服務。通過開展我會信息系統(tǒng)管理和相關人員網(wǎng)絡安全專項培訓,進一步提高人員網(wǎng)絡安全意識、安全專業(yè)技能和安全管理水平����。
|
|
|
|
報價總額
|
(小寫)
|
|
(大寫)
|
供應商名稱(單位公章):_____________
法定代表人(或委托代理人)簽字:___________________
日期: 年 月 日
附件2:
網(wǎng)絡安全等級保護測評項目采購評分標準
|
序號
|
條款內(nèi)容
|
編列內(nèi)容
|
|
1
|
分值組成
|
價格部分: 20 分
服務內(nèi)容: 50分
綜合商務: 30分
|
|
2
|
價格部分(20分)
|
1.評標基準價:滿足磋商文件要求且價格最低的報價為評標基準價�����,評標基準價為滿分20分����。
2.其他報價供應商的報價得分按照下列公式計算:報價得分=(評標基準價/報價)×20分。
|
|
3
|
服務內(nèi)容(50分)
|
1.所提供服務多項不滿足磋商公告要求的��,經(jīng)磋商小組評審可作為無效響應文件��。
2.所提供服務不滿足該磋商文件服務要求的��,每處扣5分。
|
|
|
|
培訓演練
(6分)
|
提供完整詳細培訓演練服務計劃�����,所有提供的服務如未完成,則不因合同的結(jié)束而終止。
提供安全威脅分析����、安全防護措施�����、安全管理類培訓方案,方案內(nèi)容完全符合采購人實際需求的得6分;方案內(nèi)容較符合采購人需求的得4分;方案內(nèi)容符合程度一般的得2分�;不提供不得分���。
|
|
綜合實力(7分)
|
1.供應商企業(yè)實力(4分)
(1)供應商具有中國網(wǎng)絡安全審查技術(shù)與認證中心頒發(fā)的有效期內(nèi)信息安全服務資質(zhì)證書(應急處理服務��、風險評估服務),得1分。
(2)供應商具有重大漏洞和重要安全事件的發(fā)現(xiàn)、分析�、處置能力�,具備國家信息安全漏洞庫技術(shù)支撐單位證書的����,得1分。
(3)供應商具有具有ISO 9001質(zhì)量管理體系認證證、ISO 27001信息安全管理體系認證證書和ISO 20000信息技術(shù)服務管理體系認證證書����,得1分。
(4)供應商承諾30分鐘響應�,2小時到達現(xiàn)場開展工作的����,得1分(提供承諾書并加蓋公章)
2.人員配備要求(3分)
供應商安全服務技術(shù)人員具有10個中國信息安全測評中心頒發(fā)的注冊滲透測試工程師(CISP-PTE)證書�、具有3個密碼安全工程師證證書、具有3個注冊信息安全專業(yè)人員(CISP)證書�����、具有1個國家互聯(lián)網(wǎng)應急中心頒發(fā)的CCSC網(wǎng)絡安全能力認證證書����、具有1個中國信息安全測評中心頒發(fā)的注冊滲透測試專家(CISP-PTS)證書,每滿足一項得1分����,最多得3分�����。
|
|
|
|
案例情況(7分)
|
出具近三年為類似項目進行等級保護測評、安全運維和安全服務的案例�,須提供合同復印件�。提供合格案例少于三個的不得分�,提供三個合格案例的得1分,每增加一個符合要求案例的加1分����,最高7分���。
|
|
其他優(yōu)惠措施(10分)
|
根據(jù)是否提供磋商文件要求范圍以外����,磋商小組認可的具體而實在的優(yōu)惠措施等綜合評定�����。
|
|
供應商綜合得分=價格部分得分+服務內(nèi)容得分+綜合商務得分,
供應商綜合得分作為評審會入圍的主要參考依據(jù)。
|
