收藏
根据相关法律法规,黔东南州大数据发展管理局现就黔东南州城乡运行管理中心建设项目(一期)网络安全等级保护测评及商用密码应用安全性评估项目测评服务进行公开比选,特邀符合条件的机构遵照本比选公告的有关规定报名参加,现将有关事项公告如下:
一、采购范围及描述
本次网络安全等级保护测评及商用密码应用安全性评估项目及描述如下:
| 序号 |
项目名称 |
项目描述 |
项目预算 |
| * |
网络安全等级保护测评及商用密码应用安全性评估项目 |
测评机构应全程参与并实施黔东南州城乡运行管理中心建设项目(一期)网络安全等级保护测评及商用密码应用安全性评估工作。其中,网络安全等级保护测评实施范围包含但不限于:信息系统定级、备案、差距分析、整改、复评等;商用密码应用安全性评估实施范围包含但不限于:密码应用方案评估、方案备案、协助整改、商用密码应用安全性评估、备案等。 |
网络安全等级保护测评:*万元 商用密码应用安全性评估:*.*万元 |
(一)投标人资格要求
(*)投标人具备独立企业法人资格,并提供有效的营业执照;具备《网络安全等级测评与检测评估机构服务认证证书》;具备国家密码管理局颁发的《商用密码检测机构资质证书》(业务范围包含(商用密码应用安全性评估))(证书必须在有效期范围内),提供证书或证明复印件并加盖公章。
(*)投标人近三年承担相同行业的类似等级保护测评项目或商用密码应用安全性评估业绩,须提供合同协议书或中标通知书的复印件,原件备查。
(*)项目经理须具有相关专业中级工程师或以上技术职称,*年(含)以上等保服务管理经验,不得是外聘、返聘或退休人员。
(*)不允许联合体报价。
(二)投标文件递交
递交截止时间:****年*月*日**时
递交方式:详见招标文件纸质文件递交
(三)开标时间、地点
开标时间:****年*月**日**时**分
开标地点:凯里市文化南路*号黔东南州大数据发展管理局二楼会议室
(四)联系方式
招标人:黔东南州大数据发展管理局
地址:凯里市文化南路*号黔东南州大数据发展管理局***办公室
联系人:龙秀海
电 话:***********/****-******* >****-*******
投标人须知
| 项号 |
注意事项 |
内容规定 |
| * |
报价规定 |
只能有一个有效报价。若存在多个报价,以符合公开比选公告要求中较低的报价为有效报价。 |
| * |
资格证明资料 |
*.投标人具备独立企业法人资格,并提供有效的营业执照;具备《网络安全等级测评与检测评估机构服务认证证书》;具备国家密码管理局颁发的《商用密码检测机构资质证书》(业务范围包含(商用密码应用安全性评估))(证书必须在有效期范围内),提供证书或证明复印件并加盖公章。 *.投标人近三年承担相同行业的类似等级保护测评项目或商用密码应用安全性评估业绩,须提供合同协议书或中标通知书的复印件,原件备查。 *.项目经理须具有相关专业中级工程师或以上技术职称,*年(含)以上等保服务管理经验,不得是外聘、返聘或退休人员。 *.不允许联合体报价。 |
| * |
投标文件制作、数量及封装 |
按照比选文件规定的格式制作投标文件,一式贰份; 提供与正本一致的电子文件一份(U盘形式或邮件发送,请标明名称),密封在投标文件正本中; 所有投标文件不得采用活页夹装订,建议采用胶装,必须密封。 |
| * |
密封封套上写明的内容 |
招标方名称:黔东南州大数据发展管理局 招标方地址:凯里市文化南路*号 投标人名称: 黔东南州城乡运行管理中心建设项目(一期)网络安全等级保护测评及商用密码应用安全性评估项目的投标文件在评审会召开前不得开启。 |
| * |
投标文件签章 |
投标文件须加盖封面章和骑缝章,并经法定代表人(或授权代理人)在封面及签字页签字或盖章,否则作废。 |
| * |
原件 |
证明材料要求提交原件核验的,不提交涉及初步评审原件的投标人的投标文件按作废处理。 |
| * |
主要合同条款及付款方式 |
在合同签订后*个月内完成黔东南州城乡运行管理中心建设项目(一期)等保测评和商用密码应用安全性评估实施工作; 提供服务本项目人员名单,项目团队负责人和项目主办人员在本项目实施过程中应当全程在项目现场指导推进项目; 如招标人因中标方的行为造成了损失,则中标方应就其行为所造成的直接损失向招标人进行赔偿; 合同报价包括全程参与、全程实施黔东南州城乡运行管理中心建设项目(一期)网络安全等级保护测评及商用密码应用安全性评估实施工作的总费用,合同金额(含税)为中标方的最终报价,包括但不限于完成服务工作所需投入的人工、差旅、住宿等费用,不产生其他费用; 签订保密协议,项目保密义务从接触保密信息起至该等保密信息为公众所知悉为止; 中标方协助招标人完成相关资料的编制。 |
| * |
其他事项 |
无 |
评审标准
二、评审办法
*.评审采用综合评估法。
*.评审委员首先进行符合性评审;投标单位名称与邀请单位一致,营业执照有效,业绩符合要求、投标函有法定代表人或其委托代理人签字并加盖单位章,投标报价唯一且符合招标要求。
*.详细评审采用综合评估法对量化因素和分值进行打分并计算出综合评估得分(精确到小数点后两位)。
*.根据评审委员评分结果,综合评估得分第一的为中选单位。综合评分相等时,以“价格评分”高的排名优先;投标报价也相等的,以“工作方案”得分高的排名优先;以上条件均相等时,由评审委员抽签确定投标排名。
三、初步评审
| 评审因素 |
评审标准 |
|
| 形式评审标准 |
投标人名称 |
与营业执照、资质认定书一致 |
| 投标函签字盖章 |
由法定代表人或其委托代理人签字并加盖单位章 |
|
| 报价唯一 |
只能有一个有效报价 |
|
| 资格评审标准 |
营业执照 |
需具备有效的营业执照并提供加盖公章的复印件 |
| 投标人具备的资质条件 |
*.投标人具备独立企业法人资格,并提供有效的营业执照;具备《网络安全等级测评与检测评估机构服务认证证书》;具备国家密码管理局颁发的《商用密码检测机构资质证书》(业务范围包含(商用密码应用安全性评估))(证书必须在有效期范围内),提供证书或证明复印件并加盖公章。 *.投标人承担相同行业的类似等级保护测评项目业绩或商用密码应用安全性评估业绩,须提供合同协议书或中标通知书的复印件,原件备查。 *.项目经理须具有中级工程师或以上技术职称,*年(含)以上等保服务管理经验,不得是外聘、返聘或退休人员。 *.不允许联合体报价。 |
详细评审
| 评分因素 |
评分细则 |
评价指标和分值 |
满分 |
| 报价部分(**分) |
报价部分 |
评选基准价=(∑有效应选报价)/有效应选家数 注:以经修正后的所有有效应选报价作为各应选人的评选价,去掉*个最高价和*个最低价(有效应选人数量小于等于*时不进行此扣除),以剩余应选的应选报价平均值作为评选基准价,计算基准价过程中所剔除的应选报价仍参与评分。 价格得分: 评选基准价为修正后有效报价平均值,偏离基准价每高*%扣*.*分,每低*%扣*.*分,以此类推,扣至*分为止(不足*%按*%计取)。 报价总偏差率=***%(应选人评选价格-评选基准价)/评选基准价 |
** |
| 商务部分(**分) |
测评资质 |
应答人属于全国网络安全等级测评与检测评估机构并提供服务认证证书且是商用密码检测机构并提供服务认证证书,得*分,不提供不得分;(须提供有效期内复印件,加盖投标人公章) |
* |
| 应答人具有有效的CNAS检验机构认可证书,有效的CNAS实验室认可证书,同时具有CMA资质认定证书的得*分,提供*个得*分,提供*个得*分,提供*个得*分,未提供不得分;(须提供有效期内证书复印件,加盖投标人公章) |
* |
||
| 应答人具有有效的国家信息安全漏洞库(CNNVD)技术支撑单位二级及以上证书,得*分,不提供不得分;(须提供有效期内证书复印件,加盖投标人公章) |
* |
||
| 应答人具有中国软件评测中心颁发的数据安全服务能力评定资格证书,得*分。不提供不得分;(须提供有效期内证书复印件,加盖投标人公章) |
* |
||
| 应答人具有中国网络安全审查技术与认证中心颁发的信息安全风险评估(一级)、信息安全应急处理服务资质(二级或以上)*个得*分,提供*个得*分,未提供不得分;(须提供有效期内证书复印件,加盖投标人公章) |
* |
||
| 应答人具有中国信息安全测评中心颁布的信息安全服务资质证书,得*分,不提供不得分;(须提供有效期内证书复印件,加盖投标人公章) |
* |
||
| 管理体系资质 |
应答人具有有效的质量管理体系认证证书(ISO****)、信息安全管理体系认证证书(ISO*****)、信息技术服务管理体系认证证书(ISO*****)、职业健康安全管理体系证书(ISO*****)、环境管理体系证书(ISO*****)、知识产权管理体系认证GB/T*****和隐私信息管理体系认证证书(ISO*****)提供*个得*分,*个得*分,*个得*分,提供*个得*分,提供*个得*分,仅有一个或未提供不得分;(须提供有效期内证书复印件,加盖投标人公章) |
* |
|
| 业绩 |
应答人应提供近三年,承担相同行业的类似等级保护测评项目或商用密码应用安全性评估业绩。每提供一个得*分,最高得*分,不提供不得分;(须提供合同首页、内容页、甲乙双方盖章页,加盖投标人公章) |
* |
|
| 应答人参与信息安全国家标准制定项目经验,每个标准*分,最高*分,不提供不得分;(需要提供相关证明文件或材料,如TC***官网截图)。 |
* |
||
| 技术部分(**分) |
项目分析 |
综合考虑应答人针对采购需求所提供的项目分析,项目分析包括但不限于项目背景项目重难点等。 项目分析具有针对性、对需求理解深入、重难点分析全面到位:**分; 项目分析、对需求理解一般、重难点分析不够全面:*分; 项目分析无针对性、对需求理解较差、重难点分析较差:*分; 不提供不得分。 |
** |
| 整体测评方案 |
综合考虑应答人提供的整体测评方案。 方案完整度高,详细、专业、合理,可行性强:*分; 方案完整度一般,具有一定的专业性、合理性,具有一定的可行性:*分; 方案不完整,不具有专业性、合理性,可行性差:*分; 不提供不得分。 |
* |
|
| 质量保障措施 |
方案完整度高,详细、专业、合理,可行性强:*分; 方案较完整,具有一定的专业性、合理性,可行性较强:*分; 方案不完整,不具有专业性、合理性,可行性差:*分; 不提供不得分。 |
* |
|
| 进度保障措施 |
进度保障实施完整度高,详细、专业、合理,可行性强:*分; 进度保障实施较完整,具有一定的专业、合理,可行性较强:*分; 进度保障实施不完整,专业性、合理性较差,可行性较差:*分; 不提供不得分。 |
* |
|
| 售后服务方案 |
方案完整度高,详细、专业、合理,可行性强:*分; 方案完整度较高,具有一定的专业性、合理性,可行性较强:*分 方案不完整,不具有专业性、合理性,可行性差:*分; 不提供不得分。 |
* |
|
| 工具保障 |
应答人提供自主研发的测评测试工具(出示软件著作权); 提供三项测评测试工具以上,得*分; 提供二项测评测试工具,得*分; 提供一项测评测试工具,得*分; |
* |
|
| 技术团队能力 |
投标人拟派一名项目经理,负责项目全流程管理:制定实施计划、把控进度与质量、管控风险、协调团队与资源、确保安全测评合规,兼负安全审计及培训指导。项目经理具备PMP 项目经理资质证书、高级工程师职称、商用密码应用安全性评估从业人员证书(**分及以上)、网络安全等级测评师证书、注册信息安全培训讲师(CISI)证书、注册信息系统审计师(CISP-A)证书、注册渗透测试专家(CISP-PTS);全部提供得*分,提供*个得*分,提供*个得*分,不提供不得分。 评分依据:以投标文件中提供的相关人员资质证书复印件、单位近半年内连续*个月为相关人员缴纳社保证明材料复印件、身份证材料复印件为依据。项目人员配备不重复。 |
* |
|
| 投标人拟派一名技术专家,负责项目技术规划与方案设计,主导商密应用安全性评估,解决实施中的复杂技术问题,识别规避安全风险,审核方案与测评结果以保障质量合规,协调技术资源支撑项目高效推进。技术专家具备商用密码应用安全性评估从业人员证书、网络安全等级测评师证书、注册信息系统审计师CISP-A证书、个人信息保护合规审计人员、注册信息系统安全专家资质CISSP证书;全部提供得*分,提供*个得*分,提供*个得*分,不提供不得分。 评分依据:以投标文件中提供的相关人员资质证书复印件、单位近半年内连续*个月为相关人员缴纳社保证明材料复印件、身份证材料复印件为依据。项目人员配备不重复。 |
* |
||
| 投标人拟派一名信息安全评估师,负责对信息系统的安全状况进行全面评估,商用密码应用安全性评估等工作;通过渗透测试等技术手段识别系统潜在的安全漏洞和风险点,分析安全隐患并提出针对性的加固建议和解决方案;信息安全评估师具有商用密码应用安全性评估从业人员证书、系统集成项目管理师(中级)、网络安全等级测评师证书、信息安全保障人员(CISAW)认证证书、渗透测试工程师(CISP-PTE)证书、注册信息安全工程师(CISP-CISE)。全部提供得*分,提供*个得*分,提供*个得*分,不提供不得分。 评分依据:以投标文件中提供的相关人员资质证书复印件、单位近半年内连续*个月为相关人员缴纳社保证明材料复印件、身份证材料复印件为依据。项目人员配备不重复。 |
* |
||
| 投标人拟派一名系统规划师,负责商用密码应用安全性评估过程中的整改工作,给出具体指导,系统规划师须具备商用密码应用安全性评估从业人员证书、网络安全等级保护测评师证书、信息系统项目管理师高级证书、网络规划设计师高级证书、信息安全工程师证书、网络工程师证书。全部提供得*分,提供*个得*分,提供*个得*分,不提供不得分。 评分依据:以投标文件中提供的相关人员资质证书复印件、单位近半年内连续*个月为相关人员缴纳社保证明材料复印件、身份证材料复印件为依据。项目人员配备不重复。 |
* |
||
| 投标人拟派项目组成员中具有注册信息安全讲师(CISI)证书得*分,最多得*分。不提供不得分。 评分依据:以投标文件中提供的相关人员资质证书复印件、单位近半年内连续*个月为相关人员缴纳社保证明材料复印件、身份证材料复印件为依据。项目人员配备不重复。 |
* |
需求说明
四、项目名称
黔东南州城乡运行管理中心建设项目(一期)网络安全等保测评及商用密码安全性评估服务采购项目
五、项目概述
(一)项目目标
根据《中华人民共和国网络安全法》《中华人民共和国密码法》《商用密码管理条例》及《国务院办公厅关于印发 <国家政务信息化项目建设管理办法> 的通知》(国办发【****】**号文)等法律法规和政策文件要求,对黔东南州城乡运行管理中心建设项目 (一期)项目进行等级保护测评及商用密码安全性应用评估。
(二)项目内容
| 序号 |
系统名称 |
服务要求 |
| * |
黔东南州城乡运行管理中心建设项目(一期) |
完成等级保护定级备案、等级保护测评、密码应用方案评估及系统密码应用评估工作,出具监管单位认可的测评报告。 |
(三)项目服务地点:凯里市
招标人指定地点。
六、等级保护测评
(一)等保测评目标
积极响应国家网络安全总体方针,认真贯彻等级保护建设要求,提升自身网络安全防护能力。依据等级保护 *.* 标准要求,开展网络安全等级保护制度体系的咨询与建设工作,将网络安全等级保护工作的各项内容梳理清晰并细化。
通过网络安全等级保护工作的落实,使信息系统安全现状,符合我国法律、制度的规定,通过公安部门的认可的信息系统备案和等级保护级测评。
(二)等级保护测评内容
根据《信息安全技术网络安全等级保护基本要求》(GB/T *****-****)、《信息安全技术网络安全等级保护测评要求》(GB/T *****-****)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T *****-****)等标准,对黔东南州城乡运行管理中心建设项目(一期)进行网络安全等级保护测评。
测评内容包括平台涉及的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、云计算安全扩展要求、移动互联安全扩展要求、大数据安全扩展要求等。
(三)具体测评内容
根据等级保护*.*标准的要求,需测评的内容包括但不限于以下方面。
*.安全物理环境测评。主要包括物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、电力供应等方面。
*.安全计算环境测评。主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性等方面。
*.安全区域边界测评。主要包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面。
*.安全通信网络测评。主要包括网络架构、通信传输、可信验证等方面。
*.安全管理中心测评。主要包括系统管理、审计管理、安全管理、集中管控等方面。
*.安全管理制度测评。主要包括安全策略、管理制度、制定与发布、评审与修订等方面。
*.安全管理机构测评。主要包括岗位设置、人员配备、授权和审批等方面。
*.安全管理人员测评。主要包括人员录用、人员离岗、安全意识教育和培训等方面。
*.安全建设管理测评。主要包括定级和备案、安全方案设计、产品采购使用、自行软件开发、外包软件开发、测试验收、等级测评等方面。
**.安全运维管理测评。主要包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码管理、密码管理、备份与恢复管理、应急预案管理等方面。
(四)主要流程及交付成果
*.定级备案
要求投标人充分依据《信息安全技术 网络安全等级保护定级指南》(GB/T *****-****)等国家相关标准,对招标人的系统进行全面、细致的初步评估,科学合理地确定系统的安全保护等级。同时,希望投标人能够协助招标人收集并整理备案所需的全部材料,包括但不限于系统详细描述、业务分析、安全管理制度文档以及技术防护措施说明等。要求投标人确保所提供的备案材料内容完整、数据准确、符合相关法规要求,以便招标人能够顺利通过备案审核,确保系统的网络安全。
主要成果《备案证明》。
*.等级保护差距性分析评估
依据《信息安全技术 网络安全等级保护基本要求》(GB/T *****-****)开展差距分析,需明确各不符合项在技术、管理、运维等各个层面可能造成的损害,梳理出不符合项危害程度,经过与业务管理人员协商沟通,确认对不符合项的容忍程度,对于必须进行整改的内容进行明确的界定,同时,针对不符合项提出相关的安全整改建议,用于指导信息系统完善自身的信息系统安全技术体系与管理体系,以满足国家等级保护相关要求。
主要成果:《网络安全等级保护差距分析报告》。
*.整改方案设计及加固
开展安全管理体系整改,对现有管理制度、管理措施、管理流程进行补充和完善,将国家信息系统安全等级保护工作要求,参照信息系统安全等级保护中的基线标准《网络安全等级保护基本要求》,进行指导整改与完善。进行安全技术体系加固设计,需针对差距分析结果对信息系统相关网络设备、安全设备、操作系统、数据库、应用软件进行安全加固工作,同时对网络架构与管理制度层面存在的安全风险给出合理的安全整改建议,并指导整改加固建设实施。
*.等级保护测评
开展信息安全等级保护测评,通过测评验证前期的整改加固工作的成果, 验证系统是否还存在等级保护不符合项。确定信息系统安全保障能力。
主要成果:《网络安全等级保护测评报告》。
七、商用密码应用安全性评估
(一)密评目标
通过评估检验各信息系统密码应用是否合规、正确、有效,针对被测系统在密码应用安全方面存在的安全问题提出可行性完善建议,出具整改建议,根据整改建议,编制详细可实施的整改建议,为进一步完善信息系统的密码应用安全管理体系、加强信息系统的密码应用安全防护措施提供依据。最终出具《密码应用安全性评估报告》。
(二)密评测评内容
评估服务内容包括从密码算法、密码技术、密码产品、密码服务、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理和安全管理(制度、人员、实施、应急)等方面,对黔东南州城乡运行管理中心建设项目(一期)开展密码应用安全性评估。
(三)具体测评内容
商用密码总体要求测评
*、密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
*、密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
*、密码产品合规性测评:信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。
*、密码服务合规性测评:信息系统中使用的密码服务是否通过国家密码管理部门许可。
密码技术应用测评
从物理和环境、网络和通信、设备和计算、应用和数据*个层面对信息系统中应用的密码技术进行分析与评估。
物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素:重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。
网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素:安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。
设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。
应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不可否认性,信息系统应用和数据操作环境的日志记录完整性。
密钥管理测评
对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节:密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。
安全管理测评
对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。
*、安全管理制度维度,包括但不限于下列内容与措施:密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。
*、人员管控维度,包括但不限于下列内容与措施:了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。
*、信息系统实施维度,包括但不限于下列内容与措施:信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。
*、应急预案维度,包括但不限于下列内容与措施:应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。
(四)服务流程及交付物
*.商用密码应用安全方案评估服务:
针对黔东南州城乡运行管理中心建设项目(一期)的商用密码应用建设方案进行评估,审查其合规性,确保符合国家及行业相关商用密码法规、标准;评估方案设计合理性,涵盖密码算法、产品选用及密钥管理等,判断能否有效保障业务数据机密性、完整性与真实性;分析方案可行性,考量在实际环境中的部署、运行及维护的可操作性,最终形成专业评估结论与建议,并协助到密码管局进行备案。
主要成果:《商用密码应用安全方案评估报告》。
*.商用密码应用安全性评估服务:
内容包括从密码算法、密码技术、密码产品、密码服务、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理和安全管理(制度、人员、实施、应急)等方面,对黔东南州城乡运行管理中心建设项目(一期)开展密码应用安全性评估。
主要成果:《商用密码应用安全性评估方案》。
八、项目管理要求
(一)项目质量管理
质量保证工作涉及项目实施各阶段的活动,应该贯彻到日常的集成活动中,而且应该特别注意重点环节的评审检查工作。因此,要按照本计划的各项规定进行质量保证和控制工作。质量管理员将参加所有的评审与测试检查活动,以确保在集成工作的各个阶段和各个方面的工作质量。
(二)项目风险管理
在项目进行过程中会出现大量的不确定性,即项目风险。简单讲,所提到的“风险”是指对项目“不利”的不确定因素。因为种种已知风险、可预测风险或不可预测风险的存在,而对项目的成本、进度、质量造成威胁,有时可能产生严重的后果,因此有必要引入项目风险管理。
一个项目的风险管理过程分几个阶段:风险识别,风险分析,风险规避,风险监控。风险管理的过程在项目管理的周期内将是一个持续循环的螺旋式过程。
(三)项目文档管理
文档的合理管理可以极大地降低各种变化因素给项目带来的风险,在项目后期起到加速项目竣工的作用。
供应商应负责在项目完成时将服务成果及过程文件的有关技术文件、图表资料及测试、验收报告等文档汇集成册交付采购人,并交付相应的电子版本。
(四)技术服务要求
最小影响原则
供应商在采购人指定地点开展的安全服务工作,要尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生
体系规范性
服务要遵从国家等级保护制度体系、国密相关标准规范,针对采购人信息系统按照等保管理、技术类的各项要求进行对标分析。工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
先进实用性
要按照最新国内外管理与技术趋势,理论联系实际,根据结合行业及采购人业务现状特点分析并制定测评报告,对采购人信息系统等级保护工作、系统安全防护体系建设与密码应用安全防护措施建设有实际指导效果。
进度可控性
测评服务的进度应符合进度安排,保证信息安全服务的可控性。
安全保密性
对信息安全服务中获取的采购人信息及测试过程与结果数据须严格保密,未经授权不得泄露给任何第三方单位和个人,不得利用此数据侵害采购人的权益,否则采购人有权追究受邀约方的责任。
(五)服务期限
自合同签订之日起,至****年**月底。供应商应于本项目合同正式签订后*个月内向采购人提交正式的成果文件。
九、实施要求
(一)组织人员要求
投标人负责提出项目实施的项目人员配置方案,主要要求如下:
*.项目实施由投标人安排项目经理,组织项目专家,配合项目单位,负责项目管理、项目质量控制、项目进度控制、项目测试验收等工作。
*.投标人应提供至少由*人组成,要求团队具有*年及以上相关测评工作经验,具有中级工程师或以上技术职称、PMP、网络安全等级测评师高级证书、商用密码应用安全性评估人员测评能力考核、信息安全保障人员认证证书、注册信息安全工程师、注册信息安全培训讲师等证书,并同时具备较强的沟通协调能力;具有预见和应对项目风险能力。
*.投标人在项目建设中,应选派工作责任心强、技术水平高、业务熟练、具备相关测评实施经验的人员参加该项目的建设。
*.采购人如认为投标人的项目组成员达不到要求,有权要求投标人更换,投标人必须负责在一周之内调换符合采购人要求的项目成员。投标人应按阶段提交项目参与人员名单,经采购人确认。投标人应保证项目组成员的稳定性,如特殊情况需要调整项目组成员的,应提前一个月书面通知采购人,并获得采购人的确认后才能安排调整。
*项目经理、实施人员应满足项目需要,如果人员不能胜任,采购人有权要求投标人更换人员。投标人原则上不允许更换人员,若更换人员必须书面征得采购人同意,且更换的人员必须具有同等级别和实施经验,并且做好项目交接和资料回收工作;人员搭配应合理,并满足项目实施的要求。
(二)服务质量要求
投标人是本项目技术服务与质量保障的主要承担者和责任人。投标人必须能依据招标书中各项需求提供及时、高效的服务,协助用户方实现系统的长期稳定运行。技术与质量保障的范围包括本项目所涉及的所有服务。在合同规定的技术服务范围及期限内,不得另行收费。具体服务与质量保障要求如下:
*.合同方必须拥有完善的技术保障服务体系,能够为本项目的所有用户提供统一快捷的技术保障服务。投标人必须向用户免费提供电话、E-Mail技术支撑等方式。
*.现场实施过程中,在进行渗透检测或其他安全评估时务必做到对生产系统、业务连续性造成任何负面影响的风险实行规避策略。例如系统、应用异常,产生垃圾数据,数据紊乱等。整改过程中,应提供整改需求说明及整改内容,并协助完成整改。
*.投标人参与项目的所有人员应严格遵守采购人的保密要求签订保密协议和保密承诺书,并由投标人担保。投标人对于采购人提供的资料,以及本项目实施过程中所涉及的所有文档、数据、介质和相关信息保密,未经许可,不得以任何形式向第三方传播。保密期限不受本项目期限的限制,在本项目履行完毕后,保密信息接受方仍应承担保密义务。如因投标人一方的原因造成泄密,采购人将保留追究其法律责任的权利。
*.投标人需具备信息安全风险评估与 IT 审计的专业能力,能够运用科学、系统的方法,客观、准确地评估风险等级,并基于评估结果提出具有针对性和可操作性的整改建议。
*.投标人员应在质量管理、信息安全管理、业务连续性管理等领域具备快速响应能力,且已构建完善、有效的管理体系,以确保在面对各类情况时能够及时、高效地采取应对措施。
(三)实施方案要求
投标人必须在投标文件中提交详细的项目实施方案(具体包括技术方案、实施方案等),投标人对招标文件中不予满足的部分必须注明,其余部分则默认为投标人均予以满足。对于满足的部分,如果投标人的应答不够充分,采购人有权按照招标文件的要求,请投标人对项目实施方案中应答不充分部分进行补充完善,并纳入合同内容。
(四)验收要求
需提交的验收文件资料主要包括:
《备案证明》
《网络安全等级保护差距分析报告》;
《网络安全等级保护测评报告》;
《商用密码应用方案评估报告》;
《商用密码应用安全性评估报告》。
投标文件格式.wps
400-888-7022
APP下载
小程序
公众号
