黄山市智慧劳动保障监察系统*级等保测评和第*方软件测评公开询价,有关事项公告如下:
*、项目名称及预算
项目名称:黄山市智慧劳动保障监察系统等级保护测评(*级)和第*方软件测评
项目预算:9.6*元
服务期限:*年
*、项目简介
为贯彻落实国家信息安全等级保护制度,进*步提高保障整体信息安全防护水平,明确系统的安全保护水平与国家信息安全等级保护相关要求之间的差距以及系统存在的安全隐患,为后续安全建设和整改工作提供建议和决策依据,需对黄山市智慧劳动保障监察系统实施*级等级保护测评和软件测评,以进*步完善信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,为黄山市劳动保障监察信息化工作健康发展提供可靠保障。
*、投标人须知
3.1 投标人资格要求
(1)符合《中华人民共和国政府采购法》第***条规定:具有独立法人资格且具有有效的企业营业执照。
(2)投标人需具备公安部第*研究所颁发的网络安全等级测评与检测评估机构服务认证证书。
(3)投标人****年1月1日至招标公告发布日期,具有我国境内(不含香港、澳门及台湾地区)单个合同内*级信息系统等级保护测评服务至少包含*个测评系统的项目业绩(以合同签订时间为准)。
(4)本项目不接受联合体投标。
3.2 项目工作内容
3.2.1 等级保护测评内容具体要求
依据国家等级保护相关标准《**/T ***** 信息安全等级保护基本要求》,以《**/****** 信息安全等级保护定级指南》为基础,结合***/*** *****、***/*** *****和****等行业最佳实践对各信息系统进行等级保护测评,内容包括:
(1) 安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等*个方面的安全测评。
(2) 安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等*个方面的安全测评。
(3) 形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(** /T *****-****),结合***/*** *****、***/*** *****和****等行业最佳实践,从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果*个方面开展差距测评工作。全面地从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行网络安全等级保护现状分析,形成相应的差距分析报告。
(4) 编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助招标方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
(5) 完成上述测评工作和实施整改后,最后出具符合公安机关要求的(年度)各信息系统网络安全等级保护测评报告。
3.2.2 第*方软件测评内容具体要求
依据**/T *****.**:****《系统与软件工程系统与软件质量要求和评价(******) 第 ** 部分:就绪可用软件产品(****)的质量要求和测试细则》和******-****《国家电子政务工程项目应用软件第*方测试规范》,实施软件测评,内容包括:
(1)功能性测试
依据需求说明书和平台建设的有关技术要求,结合采购人对系统建设的整体功能方向,对系统涉及的所有业务逻辑、功能逻辑、功能项等进行全覆盖的测评,及时发现软件 系统中存在的问题并提出系统改进意见。功能测试主要关注以下方面:
完备性:功能集对指定的任务和用户目标的覆盖程度。
正确性:产品或系统提供具有所需精度的正确的结果的程度。
适合性:功能促使指定的任务和目标实现的程度。
(2)信息安全性测试
信息安全性测试主要验证信息系统的安全防护能力,发现系统在运行过程中,信息及数据的泄露、重要数据的丢失、非法入侵、非法操作,定位安全漏洞和缺陷,并通过优化, 解决系统的安全性问题,提升安全防护能力,信息安全性测试应包括以下内容:
保密性:验证软件产品是否具有对系统正常访问的控制能力;测评系统是否进行用户身份鉴别,并在每次用户登录系统时进行鉴别;测评软件鉴别信息是否为不可见,且具 有相应的抗攻击能力,并在存储或传输时用加密方法/具有相同安全强度的其他方法进行安全保护。
完整性:验证对软件产品是否具有对未授权用户非法访问的控制能力;在模拟非法入侵攻击事件的条件下,验证软件产品是否有控制和处理能力。
真实性:验证软件是否具有当前使用系统的用户列表和配置表;验证软件在系统的访问历史数据库中记录的访问登录记录是否完整;检查软件是否具有用户使用系统 的历史日志及日志管理功能等。
(3) 性能效率测试
通过站在用户体验的角度,使用专业的负载生成设备,在性能模型的基础上验证系统 是否能够达到用户提出的性能指标,是否符合用户文档中对系统设计时的性能关注点。在系 统正常交互量及峰值交互量的情况下发现系统中存在的性能瓶颈,优化软件,最后达到优化系统的目的。性能效率测试主要关注以下方面:
时间特性: 产品或系统执行其功能时,其响应时间 、处理时间及吞吐率满足需求的程度。
资源利用性: 产品或系统执行其功能时, 所使用资源数量和类型满足需求的程度。
容量:产品或系统参数的最大限量满足需求的程度。
3.2.3 信息安全培训具体要求
投标人需要为采购方提供不少于线上、线下各1次的信息安全技术培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度,信息安全管理制度和相关流程等,全面提升信息化人才队*的安全意识和专业技能水平。信息安全培训方式分为以下几种:
线下培训:线下培训,即为集中授课培训。由中标方安排资深信息安全人员,对我方人员讲解信息安全相关规范、流程、技术等方面的知识。
线上培训:通过在**即时通信工具,对使用人员进行培训。
即时通信方式培训:对于*些情况较为紧急的使用问题,使用电话方式、微信或其他即时通信,对使用人员进行系统讲解。
培训资料:提供培训课件相关资料。
3.3 项目服务承诺
3.3.1 整改咨询服务
根据现场测评中发现的问题,分析与等级保护基本要求、********、********、****等行业最佳实践之间的差距,按照信息安全等级保护制度要求提出安全整改报告。协助用户完成信息系统整改计划,整改建议科学、合理,并承诺及时跟进协助整改。完成相应渗透测试,提供相关报告,并协助上线皖事通应用。
3.3.2 服务响应
投标人需要具备及时响应能力,签订后根据招标人安排的日期时间进场测评,出具整改报告协助完成系统建设整改及完成整体项目。同时如遇本次测评服务相关问题时,在得到用户通知后,4小时内响应(包含远程协助)协助解决。
3.3.3 保密责任
投标人必须承诺对从招标活动中获得的招标人相关资料承担保密责任。
3.3.4 培训服务
投标人须承诺线上培训及线下培训不少于最低要求的2次。
3.4 评审标准(综合评标法)
详见附件1。
*、投标文件组成
1、法人授权委托书
2、营业执照(复印件、原件备查)
3、税务登记证(复印件、原件备查)
4、资质证明(等级测评推荐证书)
5、测评案例(合同复印件、原件备查)
6、测评工程师资格证书(复印件、原件备查)
7、测评工程师社保证明
8、技术力量投入情况
9、服务质量保证情况
**、投标***(表)
**、其他在评审标准中要求的相关材料
投标人按年费用标准进行测评服务费报价,并在投标文件报价表中写明投标的年费用**,投标报价应包括信息系统和网站等级测评方案设计费、测评工时费、食宿费、交通费、培训费、文档工本费、税费、评审费等*切费用(如包含附件、辅材,必须列明所需附件、辅材具体种类、数量)。
*、付款方式
合同签订后,费用在测评服务结束,测评报告交付后支付。
*、响应文件提交时间和地点
1、提交时间:****年 4月**日至4月**日。
2、提交地点:黄山市屯溪区滨江东路8号2楼(市人力资源和社会保障信息中心)。
3、提交方式:在询价公告规定的报价截止时间前进行提交。各供应商采用邮寄方式(***)送达标书的,时间以邮件寄出的时间为准。意向方须密封相关材料,报价资料未密封视为无效。
*、其他事宜
1、中标人必须为采购方承担保密义务,向采购方提交保密承诺函。
2、投标人报价费用应包含信息系统等级测评和软件测评方案设计费、测评工时费、食宿费、交通费、培训费、文档工本费、税费在内。
3、为有效地保证技术服务和相关技术支持,要求投标者提供信息安全方面培训服务。
4、要求供应商*次报价,报价后不得更改。投标报价恶性竞争的除外。对满足招标文件全部实质性要求的投标文件,按照评标小组拟定的评分标准进行打分,并将投标人按得分由高到低顺序排列。投标人得分相同时,按投标报价由低到高顺序排列;得分且投标报价相同并列的,由采购方提交会议集体研究决定。
*、联系方式
联系人:**
联系方式:***********
附件:评分办法
评分办法
1、本次磋商采用*分制评分法,**权重 ** %,经评审满足磋商文件要求且最后报价最低的供应商的**为磋商基准价,其**为满分,得 ** 分。
其他供应商的**分统*按照下列公式计算:磋商报价得分=(磋商基准价/最后磋商报价)× **%×***。
注:超过最高限价的最后磋商报价为无效报价,按废标处理。
具体评分细则如下:
| 类别 | 评分内容 | 评分标准 | 分值范围 |
| 技术资信分 (**分) | 服务方案 | 评标委员会根据投标人提供的技术方案进行综合评分: 1. 技术服务方案:包含项目概述、被测系统描述测评对象和指标、测评方法与工具、测评内容和实施、人员安排、服务质量保证、服务风险控制、培训方案等相关内容。 方案具体,内容清晰的,得5分; 方案较具体,内容较清晰的,得3分; 方案、内容基本满足要求的,得1分; 差或未提供的不得分。 2. 测评内容和实施:包含对项目具体要求设置测评内容、采取的测评实施方法及过程、需要采购人配合的人员和安全等其他需求。 方案具体,内容清晰的,得5分; 方案较具体,内容较清晰的,得3分; 方案、内容基本满足要求的,得1分; 差或未提供的不得分。 3. 服务质量保证:包含测评方案、测评结果和测评报告等相关内容。 方案具体,内容清晰的,得5分; 方案较具体,内容较清晰的,得3分; 方案、内容基本满足要求的,得1分; 差或未提供的不得分。 4. 服务风险控制:包含对保密管理、风险揭示、行为规范、沟通与交流等方面进行风险控制。 方案具体,内容清晰的,得5分; 方案较具体,内容较清晰的,得3分; 方案、内容基本满足要求的,得1分; 差或未提供的不得分。 | 0-**分 |
| 投标人实力 | 1.投标人具有经中国国家认证认可监督管理委员会认证机构颁发的有效期的下列认证: (1)质量管理体系认证; (2)信息安全管理体系认证; (3)信息技术服务管理体系认证; (4)业务连续性管理体系认证; 每提供1个证书得3分,最多得**分。 注:投标文件中提供全国认证认可信息公共服务平台官网认证信息查询截图。 2.投标人具有中国网络安全审查技术与认证中心(****)-原中国信息安全认证中心(*****)颁发的信息安全风险评估服务资质证书,得2分。 | 0-**分 | |
| 人员配备 | 投标人拟为本项目配备下列人员: 1.项目经理(1人,本小项满分**分)具有下列证书的: (1)中级及以上网络安全等级测评师证书或信息安全等级测评师证书,得1分; (2)注册信息安全专业人员(****)证书,得2分; (3)信息安全保障人员认证证书(*****风险管理),得2分; (4)信息安全保障人员认证证书(*****应急服务),得2分; (5)项目管理专业人士(***)证书,得2分; (6)信息安全测评师证书,得2分; (7)大数据技术工程师证书,得1分。 2.渗透工程师(1人,本小项满分6分),具有下列证书的: (1)中级及以上网络安全等级测评师证书信息安全等级测评师证书,得1分; (2)注册渗透测试工程师认证(****-***)证书,得1分; (3)云计算安全知识认证(****)证书,得1分; (4)软件架构师证书,得1分; (5)网络安全工程师证书,得1分; (6)信息系统测评高级工程师证书,得1分; 3.项目成员(不包含项目经理和渗透工程师,最少3人,本小项满分**分),具有下列证书的: (1)同时具有中级及以上网络安全等级测评师证书(或信息安全等级测评师证书)和注册信息安全专业人员(****)证书,每人次得2分,最多得6分; (2)大数据技术工程师或网络安全工程师或软件架构师或信息安全测评师的,每提供1个证书得1分,最多得6分。 注:1.投标文件中同时提供: (1)相应证书扫描件; (2)人员名单(格式自拟); (3)投标人为上述人员缴纳的近4个月内(任意连续3个月的)社保证明材料。 2.上述人员岗位相互独立,不可兼职兼任。 3.第3项项目组成员配备少于3人的,第3项不得分。 | 0-**分 | |
| 测评设备 | 投标人拟为本项目配备下列等级保护测评系统和设备,每提供*个设备得2分,最多得8分。 1、拥有漏洞扫描器; 2、拥有数据库安全测试设备; 3、拥有协议分析仪; 4、拥有***测试工具; 注:投标文件中提供采购合同或相应系统设备的购置发票扫描件。 | 0-8分 | |
| 业绩 | 1.自****年1月1日以来(以合同签订时间为准),投标人具有类似项目业绩,每提供1个业绩得3分,最多得**分。 注:本项对正在履约或履约完成的业绩均予以认可,需提供合同或中标(成交)通知书复印件并加盖公章。 | 0-**分 | |
| **分 (**分) | **分统*采用低价优先法,即满足磋商文件要求且**最低的最后报价为评标基准价,其**分为满分**分。其他供应商的**分统*按照下列公式计算:最后报价得分=(评标基准价/最后报价)×**%×*** | ||
2、技术标分汇总方法:对某*供应商的技术标的每*个指标项得分,取各位评委评分之平均值,*舍*入保留至小数点后两位数,得到该供应商该指标项的得分。再将供应商每个技术标的指标项得分进行汇总,得到该供应商的技术标分之和。
3、得分汇总
(1)将每个有效磋商供应商的技术标分之和加上根据上述标准计算出的**分,即为该磋商供应商的综合总得分。
(2)按照有效磋商供应商综合总得分由高到低依次排出成交供应商及成交候选供应商。
