呼和浩特住房公積金管理中心安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目

1、呼和浩特住房公積金管理中心“安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目”采購(gòu)參數(shù)一、項(xiàng)目總體情況1.1項(xiàng)目名稱呼和浩特市住房公積金管理中心安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目。1.2項(xiàng)目背景根據(jù)內(nèi)蒙古自治區(qū)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)辦法（內(nèi)蒙古自治區(qū)人民政府令第183號(hào)）的要求，信息系統(tǒng)使用單位應(yīng)選擇符合法定條件的安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)等級(jí)保護(hù)二級(jí)及以上的信息系統(tǒng)進(jìn)行測(cè)評(píng)，其中三級(jí)系統(tǒng)每年至少測(cè)評(píng)一次，二級(jí)系統(tǒng)每?jī)赡曛辽贉y(cè)評(píng)一次。根據(jù)（內(nèi)蒙古自治區(qū)人民政府令第183號(hào)）的要求，每年度應(yīng)對(duì)呼和浩特市住房公積金管理中心信息系統(tǒng)開展一次安全測(cè)評(píng)和安全防護(hù)整改加固工作。隨著網(wǎng)絡(luò)安全日益嚴(yán)重，呼和浩特市住房公積金管理中心部署了網(wǎng)上營(yíng)業(yè)廳平臺(tái)信息系統(tǒng)

2、，為降低信息系統(tǒng)方面的安全缺陷，為檢驗(yàn)信息系統(tǒng)防御能力、發(fā)現(xiàn)安全隱患、降低信息泄露風(fēng)險(xiǎn)，增強(qiáng)應(yīng)對(duì)信息系統(tǒng)突發(fā)和緊急事件，降低信息安全緊急事件的影響，應(yīng)開展信息安全等級(jí)保護(hù)、滲透測(cè)試、應(yīng)急保障建設(shè)和加固工作。1.3項(xiàng)目預(yù)算價(jià)項(xiàng)目預(yù)算價(jià)：60,000元。二、采購(gòu)項(xiàng)目參數(shù)本項(xiàng)目?jī)?nèi)容包括：等級(jí)保護(hù)測(cè)評(píng)服務(wù)、滲透測(cè)試服務(wù)、系統(tǒng)安全應(yīng)急響應(yīng)服務(wù)。以上服務(wù)內(nèi)容，當(dāng)甲方信息系統(tǒng)發(fā)生變更時(shí)，可在限定數(shù)量?jī)?nèi)與規(guī)模相當(dāng)?shù)男畔⑾到y(tǒng)調(diào)整。供應(yīng)商必須根據(jù)采購(gòu)人需求，提供合理可行的整體設(shè)計(jì)方案和具體實(shí)現(xiàn)方式，設(shè)計(jì)方案優(yōu)劣將作為評(píng)標(biāo)重要依據(jù)。供應(yīng)商為本項(xiàng)目服務(wù)所需的軟硬件工具，由供應(yīng)商根據(jù)服務(wù)要求自行采購(gòu)，免費(fèi)提供本項(xiàng)目服務(wù)

3、，產(chǎn)權(quán)歸屬不變。2.1等級(jí)保護(hù)服務(wù)針對(duì)本項(xiàng)目的等保服務(wù)技術(shù)方案：供應(yīng)商按照國(guó)家及行業(yè)信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，判斷信息系統(tǒng)的安全保護(hù)能力與國(guó)家及行業(yè)要求之間的符合程度的差距分析測(cè)評(píng)方案。測(cè)評(píng)技術(shù)方案應(yīng)包括（但不限于）：對(duì)本次測(cè)評(píng)工作的說(shuō)明、定級(jí)梳理、備案、采用的技術(shù)方案、測(cè)試方法、測(cè)試工具使用，測(cè)評(píng)過(guò)程中的風(fēng)險(xiǎn)控制，以及需要采購(gòu)人了解的其它問(wèn)題。具體內(nèi)容： 2.1.1技術(shù)測(cè)評(píng)物理和環(huán)境安全 物理安全測(cè)評(píng)通過(guò)訪談和檢查的方式評(píng)測(cè)物理環(huán)境安全保障情況。主要涉及對(duì)象為信息系統(tǒng)機(jī)房。 具體測(cè)評(píng)內(nèi)容包括： （1）物理位置的選擇 （2）物理訪問(wèn)控制 （3）防盜竊和防破壞 （4）防雷擊 （5）防火

4、 （6）防水和防潮 （7）防靜電 （8）溫濕度控制 （9）電力供應(yīng) （10）電磁防護(hù)網(wǎng)絡(luò)和通信安全 網(wǎng)絡(luò)安全測(cè)評(píng)通過(guò)訪談、檢查和測(cè)試的方式評(píng)測(cè)信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對(duì)象為信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)安全設(shè)備等三大類。 具體的測(cè)評(píng)內(nèi)容如下所示： （1）網(wǎng)絡(luò)架構(gòu) （2）通信傳輸 （3）邊界防護(hù) （4）訪問(wèn)控制 （5）入侵防范 （6）惡意代碼防范 （7）安全審計(jì) （8）集中管控設(shè)備和計(jì)算安全 主機(jī)系統(tǒng)安全測(cè)評(píng)通過(guò)訪談、檢查和測(cè)試的方式，測(cè)評(píng)信息系統(tǒng)主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng)安全保障情況。 具體測(cè)評(píng)內(nèi)容包括： （1）身份鑒別 （2）訪問(wèn)控制 （3）安全審計(jì) （4）

5、入侵防范 （5）惡意代碼防范 （6）資源控制 應(yīng)用和數(shù)據(jù)安全 應(yīng)用安全測(cè)評(píng)通過(guò)訪談、檢查和測(cè)試的方式評(píng)測(cè)生產(chǎn)系統(tǒng)的應(yīng)用安全保障情況。主要涉及的對(duì)象為應(yīng)用軟件系統(tǒng)。具體測(cè)評(píng)內(nèi)容包括： （1）身份鑒別 （2）訪問(wèn)控制 （3）安全審計(jì) （4）軟件容錯(cuò) （5）資源控制 （6）數(shù)據(jù)完整性 （7）數(shù)據(jù)保密性 （8）數(shù)據(jù)備份恢復(fù) （9）剩余信息保護(hù) （10）個(gè)人信息保護(hù)安全策略和管理制度 安全管理制度測(cè)評(píng)通過(guò)訪談和檢查的形式評(píng)估安全管理制度的制定、發(fā)布、評(píng)審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文件等對(duì)象。 具體測(cè)評(píng)內(nèi)容包括： （1）管理制度 （2）安全策

6、略 （3）制定和發(fā)布 （4）評(píng)審和修訂安全管理機(jī)構(gòu)和人員 安全管理機(jī)構(gòu)測(cè)評(píng)通過(guò)訪談和檢查的形式評(píng)估安全管理機(jī)構(gòu)的組成情況和機(jī)構(gòu)工作組織情況。主要涉及安全主管人員、安全管理人員、相關(guān)的文件資料和工作記錄等對(duì)象。 具體測(cè)評(píng)內(nèi)容包括： （1）崗位設(shè)置 （2）人員配備 （3）授權(quán)和審批 （4）溝通和合作 （5）審核和檢查 （6）人員錄用 （7）人員離崗 （8）安全意識(shí)教育和培訓(xùn) （9）外部人員訪問(wèn)管理安全建設(shè)管理 系統(tǒng)建設(shè)管理測(cè)評(píng)通過(guò)訪談和檢查的形式評(píng)估系統(tǒng)建設(shè)管理過(guò)程中的安全控制情況。主要涉及安全主管人員、系統(tǒng)建設(shè)負(fù)責(zé)人、各類管理制度、操作規(guī)程文件、執(zhí)行過(guò)程記錄等對(duì)象。 具體測(cè)評(píng)內(nèi)容包括： （1）定

7、級(jí)和備案 （2）安全方案設(shè)計(jì) （3）產(chǎn)品采購(gòu)和使用 （4）自行軟件開發(fā) （5）外包軟件開發(fā) （6）工程實(shí)施 （7）測(cè)試驗(yàn)收 （8）系統(tǒng)交付 （9）等級(jí)測(cè)評(píng) （10）服務(wù)供應(yīng)商選擇 安全運(yùn)維管理 通過(guò)訪談和檢查的形式評(píng)測(cè)系統(tǒng)運(yùn)維管理過(guò)程中的安全控制情況。主要涉及人員有安全主管人員、安全管理人員、各類運(yùn)維人員，涉及內(nèi)容有開發(fā)方的運(yùn)維管理制度、信息中心關(guān)于運(yùn)維服務(wù)團(tuán)隊(duì)的各類管理制度、操作規(guī)程文件、執(zhí)行過(guò)程記錄等對(duì)象。 具體測(cè)評(píng)內(nèi)容包括： （1）環(huán)境管理 （2）資產(chǎn)管理 （3）介質(zhì)管理 （4）設(shè)備維護(hù)管理 （5）漏洞和風(fēng)險(xiǎn)管理 （6）網(wǎng)絡(luò)和系統(tǒng)安全管理 （7）惡意代碼防范管理 （8）配置管理 （9）密

8、碼管理 （10）變更管理 （11）備份與恢復(fù)管理 （12）安全事件處置 （13）應(yīng)急預(yù)案管理 （14）外包運(yùn)維管理2.2滲透測(cè)試服務(wù)通過(guò)多種方法，每季度對(duì)信息系統(tǒng)主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用、網(wǎng)絡(luò)和安全設(shè)施開展一次全方位的滲透測(cè)試，編制滲透測(cè)試報(bào)告，針對(duì)發(fā)現(xiàn)的問(wèn)題制定加固方案。滲透測(cè)試內(nèi)容應(yīng)至少包括以下測(cè)試：弱口令測(cè)試、身份認(rèn)證測(cè)試、SQL Injection 測(cè)試、Cross Site Script 測(cè)試、Web Services 測(cè)試、SSL 測(cè)試、文件操作測(cè)試等2.3系統(tǒng)安全應(yīng)急響應(yīng)服務(wù)對(duì)安全監(jiān)測(cè)發(fā)現(xiàn)的問(wèn)題，在第一時(shí)間通知，并根據(jù)客戶需要，協(xié)助消除安全隱患，并對(duì)一些安全事件為客戶提供應(yīng)急響應(yīng)方案。

9、2.4云計(jì)算安全擴(kuò)展要求 針對(duì)云計(jì)算環(huán)境安全擴(kuò)展要求主要增加的內(nèi)容包括：“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”、“云計(jì)算環(huán)境管理”等具體測(cè)評(píng)內(nèi)容：物理和環(huán)境安全物理位置選擇網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)訪問(wèn)控制入侵防范安全審計(jì)集中管控設(shè)備和計(jì)算安全身份鑒別訪問(wèn)控制安全審計(jì)入侵防范資源控制鏡像和快照保護(hù)應(yīng)用和數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)個(gè)人信息保護(hù)安全建設(shè)管理云服務(wù)商選擇供應(yīng)鏈管理安全運(yùn)維管理云計(jì)算環(huán)境管理2.5投標(biāo)方應(yīng)具備在測(cè)評(píng)工作中與測(cè)評(píng)工作有關(guān)的電子數(shù)據(jù)分析、鑒定、取證的能力和資質(zhì)并提供證明。2.6投標(biāo)方應(yīng)具備以2015新版測(cè)評(píng)方法開展

10、測(cè)評(píng)工作及報(bào)告編制的能力。2.7投標(biāo)方應(yīng)具備對(duì)測(cè)評(píng)全過(guò)程進(jìn)行質(zhì)量監(jiān)督的能力并提供相關(guān)證明第五章 投標(biāo)人資質(zhì)證明及有關(guān)文件要求 投標(biāo)人應(yīng)提交證明其有資格參加投標(biāo)和成交后有能力履行合同的文件，并作為其響應(yīng)文件的一部分。所有文件必須真實(shí)可靠、不得偽造，否則將按內(nèi)蒙古政府采購(gòu)中心關(guān)于對(duì)投標(biāo)投標(biāo)人提供虛假材料的處罰決定予以相應(yīng)處罰。一、供應(yīng)商的資格要求1、具備中華人民共和國(guó)政府采購(gòu)法第二十二條規(guī)定的條件；2、應(yīng)具備省級(jí)及以上信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室 （簡(jiǎn)稱等保辦）頒發(fā)的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書。外地測(cè)評(píng)機(jī)構(gòu)（安全服務(wù)機(jī)構(gòu)）需按照內(nèi)蒙古自治區(qū)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)辦法要求完成項(xiàng)目所在地盟

11、市級(jí)以上公安機(jī)關(guān)備案并提供相關(guān)證明。二、投標(biāo)人的資格性證明文件1.投標(biāo)人經(jīng)年檢的營(yíng)業(yè)執(zhí)照副本、自然人的身份證明； 2委托代表投標(biāo)時(shí)的法人代表授權(quán)書原件；3近年經(jīng)審計(jì)的財(cái)務(wù)狀況報(bào)告（含報(bào)表和附注），新注冊(cè)企業(yè)提供近期財(cái)務(wù)狀況報(bào)告；4投標(biāo)企業(yè)近一年內(nèi)的納稅證明（以稅務(wù)機(jī)關(guān)提供的納稅憑證為準(zhǔn)）；5投標(biāo)企業(yè)近一年內(nèi)為企業(yè)員工繳納社保資金的憑證；6參加政府采購(gòu)前三年內(nèi)在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄書面聲明;以上文件除要求提供原件以外，均要求提供復(fù)印件并加蓋投標(biāo)人公章，未提供或提供的文件過(guò)期失效的，均為無(wú)效投標(biāo)。三、投標(biāo)人應(yīng)提供的其它材料1能夠真實(shí)反映3年來(lái)投標(biāo)企業(yè)具有類似業(yè)績(jī)的有效證明材料，如中標(biāo)通知書或

12、服務(wù)合同等；2具備履行合同所必須的設(shè)備和專業(yè)技術(shù)能力的證明材料，包括生產(chǎn)、辦公場(chǎng)所、機(jī)構(gòu)設(shè)置、技術(shù)力量、服務(wù)能力、質(zhì)量管理等；3. 投標(biāo)方需具備國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)（安全工程類一級(jí)），環(huán)境管理體系、職業(yè)健康安全管理體系、質(zhì)量管理體系認(rèn)證證書，且具有高新技術(shù)企業(yè)及企業(yè)綜合AAA信用等級(jí)證書4投標(biāo)人認(rèn)為需要提供的證明文件及資料。以上文件資料除要求提供原件的以外，其它均要求提供復(fù)印件并加蓋投標(biāo)人公章，除在本招標(biāo)文件中明確規(guī)定不提供為無(wú)效投標(biāo)外，其余均供評(píng)委在評(píng)審打分時(shí)參考，未提供或提供的資料不全，有可能影響投標(biāo)人的得分。第六章 評(píng)標(biāo)原則和方法一、 評(píng)標(biāo)原則評(píng)標(biāo)活動(dòng)遵循公開、公平、公正、擇

13、優(yōu)的原則進(jìn)行。評(píng)委會(huì)將綜合分析投標(biāo)人的各項(xiàng)指標(biāo)，而不以單項(xiàng)指標(biāo)的優(yōu)劣評(píng)選出預(yù)中標(biāo)人。二、評(píng)標(biāo)辦法（一）本次招標(biāo)采用百分制綜合評(píng)分法進(jìn)行評(píng)標(biāo)，即在最大限度地滿足招標(biāo)文件實(shí)質(zhì)性要求前提下，按照招標(biāo)文件中規(guī)定的各項(xiàng)因素進(jìn)行綜合評(píng)審后，以評(píng)標(biāo)得分最高的投標(biāo)人作為中標(biāo)候選供應(yīng)商或者中標(biāo)供應(yīng)商的評(píng)標(biāo)辦法。（二）本次評(píng)標(biāo)內(nèi)容分為價(jià)格、技術(shù)與商務(wù)兩個(gè)部分，各部分依據(jù)如下原則評(píng)定。1價(jià)格權(quán)值占總分值的25%。價(jià)格權(quán)值占 25%，即投標(biāo)報(bào)價(jià)占 25 分。在價(jià)格評(píng)標(biāo)項(xiàng)中，按下列公式計(jì)算：投標(biāo)報(bào)價(jià)得分（評(píng)標(biāo)基準(zhǔn)價(jià)/投標(biāo)報(bào)價(jià)）價(jià)格權(quán)值100（注：滿足招標(biāo)文件要求且投標(biāo)價(jià)格最低的投標(biāo)報(bào)價(jià)為評(píng)標(biāo)基準(zhǔn)價(jià)。）最低報(bào)價(jià)不是中標(biāo)的

14、唯一依據(jù)。商務(wù)與技術(shù)權(quán)值占總分值的 75%，即 75 分。具體評(píng)標(biāo)辦法見下表：評(píng)審因素評(píng)分標(biāo)準(zhǔn)分值構(gòu)成1、報(bào)價(jià)得分25分 2、商務(wù)部分35分3、技術(shù)部分40分投標(biāo)報(bào)價(jià)評(píng)標(biāo)基準(zhǔn)價(jià)確定方法滿足招標(biāo)文件要求通過(guò)初步評(píng)審的且投標(biāo)報(bào)價(jià)最低的為評(píng)標(biāo)基準(zhǔn)價(jià)。投標(biāo)報(bào)價(jià)得分（25分）投標(biāo)報(bào)價(jià)得分（評(píng)標(biāo)基準(zhǔn)價(jià)/投標(biāo)報(bào)價(jià)）25%100中小企業(yè)投標(biāo)報(bào)價(jià)得分（評(píng)標(biāo)基準(zhǔn)價(jià)/（投標(biāo)報(bào)價(jià)94%）25%100注：投標(biāo)人是否屬于中小企業(yè)由評(píng)審委員會(huì)根據(jù)關(guān)于印發(fā)中小企業(yè)劃型標(biāo)準(zhǔn)規(guī)定的通知（工信部聯(lián)企業(yè)2011300號(hào)）確定。投標(biāo)人需提供中小企業(yè)聲明函及相關(guān)主管部門出具的證明材料。商務(wù)部分項(xiàng)目人員配備及項(xiàng)目質(zhì)量監(jiān)督能力（15分）人員

15、配備是否合理、投標(biāo)方應(yīng)具備常駐內(nèi)蒙古自治區(qū)的高級(jí)測(cè)評(píng)師不少于2名，中級(jí)測(cè)評(píng)師不少于3名，初級(jí)測(cè)評(píng)師不少于10名，并提供自治區(qū)內(nèi)連續(xù)6個(gè)月以上社保證明。全具備得15分，高級(jí)測(cè)評(píng)師每少一名扣5分，最高扣10分，中級(jí)測(cè)評(píng)師每減少一名扣2分，最高扣5分，初級(jí)測(cè)評(píng)師每減少1個(gè)扣0.5分，最高扣4分。投標(biāo)方應(yīng)具備對(duì)測(cè)評(píng)全過(guò)程進(jìn)行質(zhì)量監(jiān)督的能力并提供相關(guān)證明，具有1分，沒(méi)有不得分。（查驗(yàn)證書復(fù)印件加蓋公章） 信譽(yù)、榮譽(yù)（5分）具備全國(guó)等保測(cè)評(píng)機(jī)構(gòu)先進(jìn)（優(yōu)秀）榮譽(yù)的得2分，全國(guó)網(wǎng)絡(luò)安全管理先進(jìn)單位榮譽(yù)的得2分，企業(yè)綜合AAA信用等級(jí)證書的得1分（查驗(yàn)證書復(fù)印件加蓋公章）機(jī)構(gòu)能力及業(yè)績(jī)（10分）投標(biāo)人具備完善的

16、經(jīng)營(yíng)、管理、財(cái)務(wù)體系得4分，提供2015年以來(lái)類似信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)業(yè)績(jī)（單個(gè)合同金額在100萬(wàn)以上）每有一個(gè)得0.5分，最高得6分。（查驗(yàn)合同復(fù)印件加蓋公章）投標(biāo)人能力資質(zhì)（5分）具有國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)（安全工程類一級(jí)）的得1分，環(huán)境管理體系、職業(yè)健康安全管理體系、質(zhì)量管理體系認(rèn)證證書的得3分，每少一項(xiàng)扣1分，具有高新技術(shù)企業(yè)的得1分技術(shù)部分等級(jí)保護(hù)測(cè)評(píng)方案（5分）等級(jí)保護(hù)測(cè)評(píng)方案完整、合理，包括時(shí)間安排、人員組織分工、風(fēng)險(xiǎn)規(guī)避等，優(yōu)5分，良3分，一般1分。投標(biāo)人測(cè)評(píng)工作電子數(shù)據(jù)分析能力（20分）投標(biāo)方應(yīng)具備在測(cè)評(píng)工作中有關(guān)電子數(shù)據(jù)分析、鑒定、取證的能力和資質(zhì)，并提供證明。投

17、標(biāo)人具有電子數(shù)據(jù)司法鑒定許可證得10分；（查驗(yàn)司法鑒定許可證證書復(fù)印件加蓋公章，司法鑒定許可證證書負(fù)責(zé)人與投標(biāo)人工商營(yíng)業(yè)執(zhí)照法人為同一人）投標(biāo)人具有5年及以上司法鑒定經(jīng)驗(yàn)得10分。（以機(jī)構(gòu)成立之日起算，查驗(yàn)營(yíng)業(yè)執(zhí)照復(fù)印件加蓋公章）。投標(biāo)產(chǎn)品的性能要求響應(yīng)程度（3分）依據(jù)國(guó)家強(qiáng)制標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)基本要求三級(jí)系統(tǒng)測(cè)評(píng)項(xiàng)目不少于290項(xiàng)，二級(jí)系統(tǒng)測(cè)評(píng)項(xiàng)目不少于175項(xiàng)。1、優(yōu)于以上標(biāo)準(zhǔn)得3分；2、滿足得1分；3、不滿足不得分。售后服務(wù)體系、售后承諾（2分）投標(biāo)人承諾測(cè)評(píng)后提供整改服務(wù)并承諾提供測(cè)評(píng)外其他增值服務(wù)項(xiàng)目，經(jīng)評(píng)委認(rèn)為有效的每有一項(xiàng)得1分， 最高得2分。投標(biāo)產(chǎn)品的整體質(zhì)量狀況 （3分）投標(biāo)人具有出具