四川煤矿安全监察局矿用设备监察管理系统信息安全等级保护测评向社会力量购买服务公告
【发布日期: 2019-10-30 】  【来源:四川煤矿安全监察局】  【阅读次数:1905

一、项目概况

四川煤矿安全监察局矿用设备监察管理系统项目为2018年中央预算内投资项目,现已完成项目建设并通过项目初步验收。为做好项目竣工验收准备,依据《信息安全等级保护管理办法》(公通字〔2007〕43号)规定,向社会力量购买系统信息安全等级保护测评服务。

本次测评的主要根据GB17859-1999《计算机信息系统安全保护等级划分准则》信息安全的相关标准,对四川煤矿安全监察局矿用设备监察管理系统(该系统包括:监察机构子系统、集团管理子系统、煤矿企业子系统和中介机构子系统),在技术和管理两个方面的10个大项内容进行逐一的检查和测试,其内容涉及信息系统的物理安全、网络安全、主机安全、应用安全、数据安全和管理安全等,以核查四川煤矿安全监察局矿用设备监察管理系统已有的信息安全防护措施是否达到国家关于信息安全等级保护相应等级的防护要求,找出系统在信息安全方面存在的脆弱点,并提出安全整改建议。通过测评来发现问题、解决问题,从而帮助系统的使用者规避信息安全风险。

二、购买服务事项

四川煤矿安全监察局矿用设备监察管理系统(该系统包括:监察机构子系统、集团管理子系统、煤矿企业子系统和中介机构子系统)信息系统等级保护测评服务二级。

三、资格要求

(1)具有独立承担民事责任的能力。

(2)具有良好的商业信誉和健全的财务制度。

(3)具有履行合同所必须的设备和专业技术能力。

(4)具有依法缴纳税收和社会保障资金的良好记录。

(5)参加本次采购活动前三年内,在经营活动中没有重大违法违规记录。

(6)法律和行政法规规定的其他条件。

(7)具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。

(8)本项目不接受联合体投标。

四、购买服务相关要求

4.1项目预算

1、该项目为四川煤矿安全监察局矿用设备监察管理系统的等级保护测评工作,设置最高参选限价,最高参选限价为190000.00元人民币。

2、参选人参选报价高于最高参选限价的,其参选资格将被否决。

4.2项目管理

供应商必须提供完整的项目管理方案,投标人需要针对以下项目管理要求进行项目管理服务要求进行承诺,未提供项目管理服务承诺为无效投标人。

1、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;

2、应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力;

3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;

4、供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。

5、测评工具要求

(1)采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;

(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;

(3)采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障;

测评机构所使用的测评工具不会对单位系统产生破坏或负面影响。

4.3技术要求

4.3.1网络安全等级保护测评要求

1、投标人应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案等。

2、投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

3、定期提供网络安全咨询培训服务。

4、定期对网络进行漏洞扫描服务。

5、系统发生网络结构上的调整,需要再一次提供测评服务。

4.3.2网络安全等级保护测评的具体要求

1、信息系统技术安全测评

(1)物理安全测评:物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。

(2)网络安全测评:网路安全测评应当包含:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。

(3)主机安全测评:主机安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

(4)应用安全测评:应用安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

(5)数据安全及备份恢复测评:数据安全及备份恢复测评应当包含:数据完整性、数据保密性、备份和恢复。

2、信息系统管理安全测评

(1)安全管理制度测评:安全管理制度测评应当包含:管理制度、制定与发布、审批和修订。

(2)安全管理机构测评:安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

(3)人员安全管理测评:人员安全管理测评应当包含:人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。

(4)系统建设管理测评:系统建设管理测评应当包含:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全供应商选择。

(5)系统运维管理测评:系统运维管理测评应当包含:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

4.3.3项目交付文档

项目实施过程及完成后,投标人应向采购人提交包含但不限于以下的文档:

《信息系统安全等级保护测评方案》

《信息系统安全等级保护整改建议》

《信息系统安全等级保护测评报告》

4.4项目进度要求

2019年11月30日前完成信息安全等级保护测评工作,并出具相关文档报告。

五、评选方式

采用综合评分法。

六、评选时间、地点

评选时间:2019年11月4日15:00

评选地点:四川煤矿安全监察局5楼会议室

评选资料:一式三份(原件一份,复印件两份)

联系人:邹老师  028-86630042

七、评分办法

 

序号

评分因素及权重

分值

评分标准

说明

1

报价20%

20

以本次经评审的有效的最低最后报价为基准价,报价得分=(基准价/报价)×20


2

项目实施方案10%

10

1、项目实施方案完备性进行评分:

投标人项目实施方案组成包括项目实施标准、测评准备、方案编制、现场测评、报告编制、项目人员安排、项目实施周期等内容得5分,不完整不得分。

2、项目实施方案理解程度进行评分:

能准确理解项目的意义和背景,对项目的需求、目标、意义、以及本项目开展思路和框架有全面、准确的理解,能够明确项目的输出成果,得2分;对项目的需求及输出成果理解不够明确,不得分。

3、项目实施方案合理性与可执行性进行评分:

方案系统整体性很强,设计方案统一明晰,项目计划明晰,时间把控非常合理,服务内容的安排十分明确、合理,制定了详细、规范的项目计划,得3分;方案缺乏系统整体性,设计方案不够统一,项目计划不明晰,时间把控不够合理,服务内容的得1分;安排不够明确、合理,没有详细项目计划,不得分。


3

投标人综合实力20%

20

1、供应商具有中国合格评定国家认可委员会颁发的CNAS证书得4分;

2、供应商具有ISO9001质量体系认证证书,认证范围包括“网络安全等级保护测评”得4分;

3、供应商具有ISO14001环境管理体系认证证书,认证范围包括“网络安全等级保护测评”得4分;

4、供应商具有ISO45001职业健康安全管理体系认证证书,认证范围包括“网络安全等级保护测评”得4分。

5、供应商具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书得4分;

须提供有效证书扫描件并加盖鲜章。

4

实施人员能力39%

39

1、拟派本项目的项目负责人同时具有信息安全等级测评师(高级)证书、信息系统项目管理师证书(高级)、咨询师证书,得9分,少提供一个证书得3分。须提供有效证书扫描件并加盖鲜章。

2、拟派本项目的项目经理同时具有信息安全等级测评师(中级)证书、CISP证书、CISAW证书、ISO27001证书,得12分,少提供一个证书得3分。须提供有效证书扫描件并加盖鲜章。

3、拟派本项目的实施人员同时具有信息安全等级测评师(中级)证书、CISP证书、ISO27001证书,得9分,少提供一个证书得3分。须提供有效证书扫描件并加盖鲜章。

4、拟派本项目的实施人员同时具有信息安全等级测评师(中级)证书、CISAW证书、ITIL证书,得9分,少提供一个证书得3分。须提供有效证书扫描件并加盖鲜章。

需提供相关人员2018年或2019年任意1个月的社保证明。

5

业绩5%

5

具有测评服务的能力,提供一个项目案例得1分,最多得5分。

提供相关证明材料加盖公章。

6

服务承诺2%

2

从售后服务保障体系、保障方案及响应时间承诺等方面综合考虑,服务承诺优得2分,一般的1分,不提供者不得分。


7

财务及信用状况

2%

2

供应商近两年纳税信用评价为A级的,得1分;

供应商具有AAA信用认证证书得1分。


8

响应文件规范性2%

2

响应文件制作规范,没有细微偏差情形的得2分;有一项细微偏差扣0.5分,直至该项分值扣完为止。