采购信息

网易红彩网络安全 等级保护测评项目
2020-11-23   累计点击:

我单位决定对网易红彩所开发和维护的公共基础数据库和公共信息平台以及数据整合与共享系统、南通市云数据中心系统进行等级保护测评,以明确信息系统现状,发现系统内部存在的安全隐患和不足,明确整改方向,降低系统被攻击的风险。

本次测评服务预算:拾万贰仟元;

一、本项目测评范围

序号

系统名称

备案情况

1

公共基础数据库和公共信息平台以及数据整合与共享系统

三级

2

南通市云数据中心系统

三级

二、测评单位要求

1、投标人具有公安部门网络安全等级保护评估中心颁发的《网络安全等级保护测评机构推荐证书》,提供证书复印件(加盖公章);

三、测评内容

1、总体要求:

A.完成上述系统安全等级测评工作,测评后经用户方确认,出具符合网络安全等级保护测评要求的测评报告;

B.对上述系统不符合网络安全等级保护有关管理规范和技术标准的,提出可行性整改方案,提供相应的安全整改建议书。

2、质量要求:

A.等级测评及服务原则:符合性原则、标准性原则、规范性原则、可控性原则、整体性原则。

B.网络安全等级保护定级及测评服务依据:

《中华人民共和国网络安全法》

《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》,

《GB/T28448-2019 信息安全技术 网络安全等级保护测评要求》,

《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》,

《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》。

3、网络安全等级保护测评内容:

A.安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;

B.安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评

4、提供整改咨询服务,根据所测系统的最终测评报告,对系统现状提出安全整改建议并协助整改工作,以期达到整改目的。

四、测评原则:

1、客观性和公正性原则:

测评人员应当没有偏见,在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。

2、可重复性和可再现性原则:

依照同样的要求,使用同样的评估方式,对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同评估者评估结果的一致性有关,后者与同一评估者评估结果的一致性有关。

3、连续性原则:

确保在高速变化的信息安全环境中,在有效的服务期间内,保证采购方风险评估结论的准确性和及时性,对于采购方单位新增设的信息资产和服务,或新建立的信息化项目,进行局部系统的重新评估。从经济上,降低了采购方单位的成本,从信息安全性上,保证信息安全测评的动态稳定性。

4、扩展性原则:

在评估过程结束后,信息安全测评过程要保持扩展性,从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。

5、保密原则:

在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。

6、互动原则:

在整个测评过程中,强调采购方的互动参与,每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行风险评估工作。

7、最小影响原则:

测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。

8、规范性原则:

网络全等级保护测服务实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完的服务报

9、质量保障原则:

在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。

五、测评人员和时限要求:

1、测评驻场人员要求:本次测评至少需要1名高级测评师,1名中级测评师, 2名初级测评师。本次等保测评项目不得转包或者分包,所有驻场测评师必须是中标公司自己的正式员工,所有驻场测评师必须持证上岗,响应文件中应提供项目组成员名单、社保主管部门出具的响应单位为其缴纳社保的证明、相关证书复印件等,未经采购方同意,项目组成员不得更改。

2、测评时间要求:按照被测单位要求,合同签订完毕一周内启动测评工作。

3、测评期限要求:签订合同后60天内完成网络安全等级保护测评并出具盖章报告,并完成备案。

4、本项目不接受联合体投标。

六、服务地点

采购方指定地点。

七、付款时间和条件

1.本项目所涉及的测评费用,在每个系统完成测评提交测评报告的10个工作日内,由采购方一次性付清全款。

2.如遇集团突发情况调整导致项目不能做完或无法出具报告的:所涉及系统测评予以终止。

八、评分标准

用综合评分法,按照供应商资质、技术能力、服务能力和报价均能满足采购招标需求要求且综合评分最高的为中标第一候选人,如得分有相同的,则技术商务分高的单位排名在前,如技术商务分得分也相同,则通过抽签方式确定排序。若中标单位放弃资格,由中标第二候选人单位中标,以此类推。

条款

评分因素

评分标准

技术商务标

50分)

公司

资质

8分)

1.具有信息安全管理体系认证证书(ISO27001)的得2分,没有不得分;

2.具有质量管理体系认证证书(ISO9001)的得2分,没有不得分;

3.具有中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质的得2分,没有不得分;

4.具有中国网络安全审查技术与认证中心(CCRC)颁发的信息系统安全运维服务资质的得2分,没有不得分;

证明材料:

提供证明材料复印件并加盖供应商公章。

技术

实力

24分)

1.投标企业连续四年在CNAS能力验证结果均为“满意”的得2分;

2.投标企业出具任意一年CNAS能力验证计划结果通知单,得分最高的得4分。

证明材料:

提供中国合格评定国家认可委员会出具的能力验证计划结果证书、能力验证计划结果通知单复印件并加盖投标企业公章。

承担本次项目的项目负责人(唯一)具备:

3.高级测评师得2分;

4.信息安全保障人员认证证书(CISAW)得2分;

5.重要信息系统安全等级保护培训2分;

7.(ISC)?注册信息系统安全专家(CISSP)得2分。

证明材料:

(1)高级测评师需提供中国网络安全等级保护网查询页面截图;

(2)提供证明材料复印件加盖公章;

(3)提供近三个月社保记录复印件并加盖投标企业公章。

承担本次项目的项目团队人员具备:

8.ISG技能鉴定证书(合格)得2

9.中华人民共和国人力资源和社会保障部、工业和信息化部批准颁发的“信息安全工程师”证书得2分。

10.高级测评师,每人次得1分,最高得2分。

11.信息安全保障人员认证证书(CISAW),每人次得0.5分,最高得2分。

12.重要信息系统安全等级保护培训证书(CIIP-T),每人次得0.5分,最高得2分。

证明材料:

(1)高级测评师需提供中国网络安全等级保护网查询页面截图;

(2)提供证明材料复印件加盖公章;

(3)提供近三个月社保记录复印件并加盖投标企业公章。

成功

案例

6分)

1.2019年以来大数据局或者政府信息中心(大数据中心)等保三级测评案例:每个案例得0.5分,最高得2分;

2.单个案例连续3年以上(含3年)得2分;

3.单个用户累计5年以上得2分。

证明材料:提供合同复印件并加盖供应商公章。

服务

能力

12分)

1.提供本项目信息系统测评方案,方案良好的得6-4分,方案一般的得3-1分,不提供方案的不得分;

2.必要的服务响应能力:到场服务响应时间,1小时内到现场响应且响应时间最快的得6分,其次得3分,到场响应时间超过3小时不得分;

证明材料:到场响应服务时间以百度地图(map.baidu.com)截图为准。

注:上述条款技术商务标的资料需提供复印件并加盖单位公章。

报价标(50分)

投标响应基准价

满足招标文件要求且报价最低的投标响应报价为投标响应基准价,其价格分为50分,按下列公式计算:

投标响应报价得分=(投标响应基准价/投标响应报价)×报价权值×100

其它详细内容详见附件

附件 等保测评项目评分招标文件11.23