温江教育网等级保护测评服务
项目服务方案
一、项目名称
温江教育网https://www.wjjy.cn/等级保护测评服务项目
二、项目简介
(一)项目概况
为了进一步完善我单位信息系统安全体系建设,进一步增强系统安全防护能力,确保系统安全稳定运行,落实《中华人民共和国网络安全法》要求的国家网络安全等级保护制度,规范我单位信息安全管理,提高信息安全保障能力,投标人需按照信息系统等级保护的技术标准、主管单位及公安机关的相关要求,对温江教育网信息系统进行等级保护测评(二级)并完成相关信息安全服务。
(二)项目服务期限
时间:签订合同之后1个月内完成测评,并提交测评报告用于甲方备案。
三、 等级保护测评技术要求及服务内容
(一)目标任务
根据国家和教育部关于信息安全等级保护制度落实的相关要求,对信息系统开展安全等级测评工作,以指导安全整改,提高信息系统的安全防护能力。
|
系统名称
|
安全等级
|
备注
|
|
温江教育网
wjjy.cn
|
第二级
|
|
(二)服务内容
依据国家等级保护相关政策、标准以及其它相关要求,并结合成都市大数据中心信息系统具体情况,对信息系统进行等级保护测评,内容包括:
1、协助完成上表中信息系统的信息安全等级定级和备案工作,必须确保信息系统定级、备案通过市级及以上公安机关的备案手续,取得相应等级保护证书。
2、等级测评。按照相关要求,对待测评的信息系统(包括下面的二级子站温江教育网https://jyxx.wjjy.cn;温江教育资源平台https://www.wjjy.cn/wjjymh/login.html;温江区教学质量分析反馈平台http://zl.wjjy.cn/;温江区民办教育管理服务平台http://mgzx.wjjy.cn/;温江教育智慧云平台)进行安全现状调研,通过现场测评发现安全问题,提出安全整改建议,由采购人组织整改。
3、整改后的再次评测。待整改完成后实施安全复测,并出具《网络安全等级测评报告》,确保测评报告符合公安等主管部门的相关要求。
4、现状测评,至少包括:
(1)安全技术测评。包括物理安全、网络安全、主机系统安全(包括下面的二级子站温江教育网https://jyxx.wjjy.cn;温江教育资源平台https://www.wjjy.cn/wjjymh/login.html;温江区教学质量分析反馈平台http://zl.wjjy.cn/;温江区民办教育管理服务平台http://mgzx.wjjy.cn/;温江教育智慧云平台)主机系统、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评。包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
5、编制系统安全整改方案。依据差距分析报告结果,编制针对各信息系统的安全整改建设方案,方案要具有可行性;并协助采购人完成管理制度的修制定。
6、协助完成整改工作。依据整改方案,为信息系统安全整改的各项工作提供技术咨询服务,并协助制定整改计划和确定信息安全整改标准和整改结果达标确认。
7、测评安全要求。供应商提供服务期漏洞扫描服务及咨询服务,对采购人外网业务网站提供漏洞扫描服务,出具漏洞扫描报告。报告中将提及所涉及的安全漏洞的编号、威胁级别、漏洞简介、整改建议以及参考消息等。若扫描发现有危急漏洞,供应商应第一时间向采购人通报,并给出解决方案,辅导采购人或采购人指定公司开展安全加固工作。
根据采购人要求,供应商按公安部、教育部、四川省教育厅等制定的信息系统安全等级保护工作有关要求,向采购人相关信息网络安全管理工作人员进行信息系统安全等级保护工作专项知识、工作管理等培训。
(三)测评应满足的原则
本次信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究比选申请人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:比选申请人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:等保测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
四、交付资料
包括但不仅限于以下资料:
|
1
|
网络安全等级测评报告
|
|
2
|
网络安全等级保护安全整改建议
|
|
3
|
漏洞扫描报告
|
|
4
|
其他未列入的应交资料
|
五、项目经费及付款方式
(一)项目预算:8万(大写:捌万元整)
(二)付款条件:中标方提交测评报告后,采购人一次性向中标商支付合同剩下全部余款。
付款前,中标商须向采购方出具合法有效完整的完税发票及凭证资料进行支付结算。
六、比选时间、地点及要求
(一)现场比选会召开时间:2024年9月24日上午10:00
(二)现场比选会召开地点:成都市温江区柳城大道143号会议室
(三)各报名供应商应准时到场参加现场比选会,并现场提交比选文件。比选文件需采取胶装方式装订成册,并装在密封袋内。比选文件需提供正本一份,副本两份,拒绝接收未按要求装订和密封的比选文件。比选参选文件主要包含以下内容:
1.供应商单位法定代表人授权书及授权代表身份证(如法定代表人参加比选的,仅需提供法定代表人身份证)复印件、统一社会信用代码的营业执照副本)复印件、承诺函(见附件1),复印件资料需加盖单位鲜章;
2.供应商单位基本情况介绍;
3.报价表(报总价);
4.佐证评分的资料(需对照评分表逐一按顺序提供);
5.技术服务方案。包含不限于以下要求:
(1)比选申请人应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2)比选申请人应详细描述服务人员的组成、资质及各自职责的划分。比选申请人应配置有经验的测评人员进行本次等级保护测评工作。
(3)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由比选申请人推荐,经采购人确认后由比选申请人提供并在测评中使用。
(4)比选申请人根据采购人现有场地和网络环境提出相应的运行环境的具体要求。
6.供应商认为需要提供的其他文件和资料。
(四)按时到场参加现场比选会并按要求提交比选文件。报名参选单位不足2家的,本次比选活动自动终止。
(五)本次比选活动采用综合评分法进行评分,得分排名第一的报名供应商为中标单位,具体评分标准见附件2
七、联系方式
联系人:陈老师
联系电话:028-82741327
附件1:
承诺函
根据温江教育网等级保护测评服务项目的比选公告,签字代表(全名)经正式授权并代表(供应商名称)提交报名和后续比选投标文件。本公司并作如下承诺:
(一)依法设立的企业、民办非企业和其他组织;
(二)工商管理部门批准的经营范围涵盖该项经营业务;
(三)具有独立承担民事责任的能力;
(四)组织机构健全,内部管理和监督制度完善;
(五)参加本次比选活动前3年内,在经营活动中没有重大违法违规记录,具有良好的商业信誉和健全的财务会计制度;
(六)具有履行合同所必需的专业技术能力及专业人员;
(七)所提交的比选资料真实、有效。
法定代表人签字或加盖个人私章:
供应商名称:(使用全称、单位公章)
被授权代表签字:
地址:邮编:
电话:传真:
日期:年月日
附件2:
评分标准
|
序号
|
评分因素及权重
|
分值
|
评分标准
|
说明
|
|
1
|
报价10%
|
10分
|
以本次经评审的有效的最低最后报价为基准价,报价得分=(基准价/报价)×10。
报价低于采购预算50%或者低于其他有效投标人报价算术平均价40%的为无效报价。
|
|
|
2
|
项目实施方案12%
|
12分
|
1、项目实施方案完备性进行评分:
供应商项目实施方案组成包括(1)项目实施标准、(2)测评准备、(3)方案编制、(4)现场测评、(5)报告编制、(6)项目人员安排、(7)项目实施周期、(8)售后服务方案等内容得8分,缺一项扣1分,扣完为止。
2、项目实施方案合理性与可执行性进行评分:
方案系统整体性强,项目计划明晰,服务内容规范明确的得4分;方案中每有一处具有缺陷(缺陷是指:存在不适用项目实际情况的情形、方案中内容前后不一致、前后逻辑错误、涉及的规范及标准错误、内容欠佳等)的每有一处扣0.5分,扣完为止。
|
|
|
3
|
企业综合实力26%
|
26分
|
1、具有中国合格评定国家认可委员会(CNAS)颁发的检验机构认可证书,能力范围包含“网络安全等级保护测评”得4分;
2、具有市场监督管理局颁发的检验检测机构资质认定证书(CMA),能力范围包含“软件产品”得4分;
3、具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书二级及以上得4分,三级得2分;
4、具有ISO9001质量管理体系认证证书、ISO14001环境管理体系认证证书、ISO45001职业健康安全管理体系认证证书、ISO27001信息安全管理体系认证证书、ISO20000-1服务管理体系认证证书、ISO27701隐私信息管理体系认证证书,认证范围包括“网络安全等级保护测评”,每具有1个得2分,最多得12分;
5、2019年以来获得过全国网络安全等级保护测评机构先进单位的得2分。
|
须提供有效证书复印件并加盖投标人公章。
|
|
4
|
实施人员能力42%
|
42分
|
1、拟派本项目的项目负责人,同时具有信息安全等级测评师(高级)证书、信息系统项目管理师证书(高级),全部提供得4分,每有一项不提供扣2分,扣完为止。
2、拟派本项目的项目经理,同时具有信息安全等级测评师(中级)证书、COBIT Foundation信息系统审计认证证书、重要信息系统保护人员CIIP-A(可信计算)证书、信息技术应用创新考试评价证书(信息安全工程师)、DSA数据安全评估师证书、计算机技术与软件专业技术人员资格证书(信息安全工程师)、注册密码安全专业人员(NSATP-CSP)证书、信息安全保障人员证书(CISAW)(认证方向:风险管理和应急服务),全部提供得12分,每有一项不提供扣1.5分,扣完为止。
3、拟派本项目的质量主管,同时具有信息安全等级测评师(中级)证书、信息技术应用创新考试评价证书(信息安全工程师)、信息安全保障人员证书(CISAW)(认证方向:风险管理和应急服务)、商用密码应用安全性评估从业人员证书,全部提供得8分,每有一项不提供扣2分,扣完为止。
4、拟派本项目的测评工程师,同时具有信息安全等级测评师(中级)证书、CCSS-M网络安全服务能力评价证书(安全管理能力认证)、高级软件测评工程师证书、注册密码安全专业人员(NSATP-CSP)证书,全部提供得8分,每有一项不提供扣2分,扣完为止。
5、拟派本项目的渗透测试工程师,同时具有信息安全等级测评师(中级)证书、注册渗透测试工程师证书(CISP-PTE)、信息技术应用创新考试评价证书(数据库工程师中级)、CCSS-R网络安全服务能力评价证书(应急响应能力认证)、国家信息安全漏洞共享平台(CNVD)原创漏洞证明,全部提供得10分,每有一项不提供扣2分,扣完为止。
|
提供相关人员有效的证书复印件并加盖投标人公章。
|
|
5
|
履约经验10%
|
10分
|
为保证项目实施和效果,供应商应具有近三年类似项目业绩证明,每提供一个得2分,最多得10分;
|
提供相关证明材料加盖投标人公章。
|