霍邱县电子政务外网网络安全三级等保测评技术服务比选方案
一、比选项目名称
霍邱县电子政务外网网络安全三级等保测评技术服务。
二、项目基本情况
为进一步提高我县电子政务外网的安全保障能力,根据《中华人民共和国网络安全法》(主席令第53号)、《国家网络安全事件应急预案》(中央网信办〔2017〕4号)、《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》等相关法律法规和安徽省信息系统网络安全等级保护相关要求,依据等级保护2.0相关要求对我县电子政务外网系统开展三级等保测评工作。
三、基本需求
提供此次等保测评技术服务的供应商需要具有公安部第三研究所认证发放的有效的《网络安全等级测评与检测评估机构服务认证证书》,要符合国家信息安全等级保护管理和网络安全等级保护2.0的技术标准要求,对霍邱县电子政务外网实施网络安全等级保护测评工作,找出网络中存在的安全漏洞及隐患,为电子政务外网的后续整改、加固工作提供建议和决策依据,并针对本项目出具符合公安机关要求的《等级保护测评报告》,并报市公安局网安支队备案。
四、项目内容
(一)漏洞扫描:供应商需针对网络设备,服务器,应用等进行漏洞扫描并出具漏洞扫描报告。
(二)等级保护测评:依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)等国家等级保护相关标准,参照《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2020)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018),完成安全技术层面包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全测评;安全管理层面包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全测评。待我单位完成系统等级保护整改加固实施后,供应商最后应出具符合公安机关要求的信息系统网络安全等级保护测评报告。
(三)所有工作完成后需提供以下材料:
1、问题清单及整改建议;
2、信息系统网络安全等级保护测评报告;
3、信息系统漏洞扫描报告、渗透测试报告。
五、方式
政府网站发布公告,择优选择。
六、最高限价
人民币:玖万元(90000.00)整
七、报价文件组成
1、供应商营业执照副本和税务登记证(或“三证合一”的营业执照或事业单位法人证书);
2、报价表。
3、各参与比选的公司,根据“三、基本需求”和“十、评分标准”中的要求准备详细的资料。
八、响应文件提交
1、时间:2024年3月15日上午10点。
2、地点:霍邱县数据资源管理局A区3楼3号会议室。
九、其他相关要求
1、提供此次等保测评技术服务的供应商要对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究供应商的责任。
2、测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
3、供应商要以国家等级保护相关标准《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》为基础,对采购人整体信息系统的构成、应用情况、网络结构、安全现状加以分析研究、编制信息系统测评技术方案和实施方案,提交差距分析、问题清单及整改意见、测评报告、等一系列技术文档。
十、评分标准
本次比选采用百分制评分法,商务(报价)权重10%,经评审满足比选文件要求且最后报价最低的供应商的价格为比选基准价,其价格为满分,得10分。其他供应商的价格分统一按照下列公式计算:
比选报价得分=(比选基准价/最后比选报价)×10%×100。
注:超过最高限价的最后比选报价为无效报价,按废标处理。
具体评分细则如下:
|
类别 |
评分内容 |
评分标准 |
分值范围 |
|
技术 标分 (90分) |
供应商综合实力(20分) |
1、投标人具有公安部第三研究所颁发得网络安全等级测评与检测评估机构服务认证证书,得6分; 2、投标人具有经中国国家认证认可监督管理委员会批准的认证机构颁发的信息安全管理体系认证证书ISO27001(认证范围包含“等级保护测评”)、信息技术服务管理体系认证证书ISO 20000(认证范围包含“等级保护测评”),每个得3分,共6分。 3、投标人具有信息系统安全风险评估服务资质认证证书、网络安全审计服务资质证书,每提供一个证书得2分,满分4分。 4、投标人具中国合格评定国家认可委员会(CNAS)颁发的检验机构认可证书且认证范围包含“等级保护测评”的或具有由国家认证认可监督管理机构颁发的检验检测机构资质认定证书(CMA)且认证范围包含“等级保护测评”的 ,得4分。 |
0-20分 |
|
供应商 业绩案例 (20分) |
2021年1月1日以来(以合同签订时间为准),供应商具有网络安全等级三级保护测评业绩案例,每提供一个满足要求的业绩得4分,满分20分。 注:提供业绩合同原件扫描件,如合同中无法体现项目内容、签订时间等关键内容的,须另附合同甲方证明材料原件扫描件,否则不得分。 |
0-20分 |
|
|
人员配备(25分) |
1、项目经理(1人,每小项5分,满分10分) (1)具有网络安全等级测评师(高级)证书; (2)具有中国信息安全测评中心颁发的CISP资质证书。 2、其他团队成员(至少3人,每小项5分满分15分) (1)具有网络安全等级测评师(中级)证书。 (2)负责渗透测试的测评师(不含项目经理)具有网络安全等级测评师(初级及以上)且同时具有渗透测试方向的认证证书; (3)具有网络安全等级测评师(初级及以上)且同时具有注册信息安全专业人员认证(CISP)证书。 注:(1)上述人员均不得互相兼任,否则兼任人员均不计分。 (2)提供证书原件扫描件,且需提供持证人员是否为本单位所属人员承诺函(格式自拟)。 |
0-25分 |
|
|
测评设备配置 (15分) |
根据供应商配备的满足等级测评工作所需要的测评设备和工具情况: (1)测评设备配置齐全、自备测评工具性能良好,与等保测评项目的具体特点和实际需要相契合的,得9分(不含)-15分; (2)测评设备配置较多、自备测评工具性能等较能符合等保测评项目的具体特点和实际需要的,5分(不含)-9分(含); (3)测评设备配置不足、自备测评工具性能一般,与等保测评项目的具体特点和实际需要结合有待完善,得1分(含)-5分(含); (4)无相关内容不得分。 注:提供采购合同复印件或购买发票证明材料。 |
0-15分 |
|
|
服务方案(10分) |
供应商按照测评需求的要求编制测评实施技术方案: (1)内容详尽,且目标针对性、可行性强,具有完整的风险说明及风险规避处置措施,项目实施计划合理,得6分(不含)-10分; (2)供应商编制的测评实施技术方案内容较完整,目标明确,实施计划较合理,具有较完整的风险说明及风险规避处置措施的,得4分(不含)-6分(含); (3)供应商提供的测评实施技术方案内容较简单,细节有待完善,得2分(含)-4分(含); (4)差或者未提供的不得分。 |
0-10分 |
|
|
价格分 (10分) |
价格分统一采用低价优先法,即满足比选文件要求且最终报价最低的价格作为评标基准价,其价格分为满分10分。其他比选供应商的价格分统一按照下列公式计算(四舍五入保留至小数点后两位数): 比选报价得分=(评标基准价/比选报价)×10%×100 |
||
注:比选人不得借用资质,需提供职工两年内社保有效证明项目拟派成员为公司正式职工,并在代理过程中不得更换。
十一、注意事项
报价资料格式自拟,加盖公司公章且密封好,于比选当天现场递交并由评审小组当场拆封。霍邱县数据资源管理局对供应商提交的文件材料予以保密,但不退还,最终成交结果会通过适当方式告知参与投标供应商。
十二、本次比选联系事项
采购单位:霍邱县数据资源管理局
联系地址:基础设施安全股A309 联系电话:0564-2717010
霍邱县数据资源管理局
2024年3月11日
地址:霍邱县城关镇双拥路1号邮编:237400电话:0564-6080092传真:0564-6080972邮箱:content@huoqiu.gov.cn
网站标识码:3415220046
皖公网安备 34152202000119号
皖ICP备13009396号-1本站已支持IPV6访问