“海南省工商联2024年度网络安全等级保护测评”项目采购比选需求
根据《中华人民共和国网络安全法》《中华人民共和国海南自由贸易港法》关于落实网络安全等级保护制度的相关要求,我会拟聘请第三方测评服务机构开展海南省工商联2024年度网络安全等级保护测评工作,为确保该项工作公平公正顺利推进、按时完成并取得实效,结合我单位采购管理规定,现采用比选的方式购买我单位网上工商联平台2024年度网络安全等级保护测评服务工作,具体要求如下:
一、项目概况
(一)项目名称:海南省工商联2024年度网络安全等级保护测评。
(二)服务期限:合同签订生效且具备项目实施条件60天内完成网络安全等级保护测评和网络安全应急演练服务,并出具相应的服务成果。
(三)资金预算:13.5万元。
(四)项目清单
序号 |
信息系统名称 |
安全级别 |
1 |
海南省网上工商联平台 |
第三级(S3A3G3) |
(五)项目内容:
1.网络安全等级保护测评服务
按照等级保护管理规范和技术标准(《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)和《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018))等要求,对我会“海南省网上工商联平台”开展网络安全等级保护测评工作,等级保护测评的内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面的安全测评,完成等保测评工作后,出具《网络安全等级保护等级测评报告》,并针对信息系统安全建设提出具有针对性的整改建议。
2.网络安全应急演练服务
依据《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《中华人民共和国突发事件应对法》、《突发事件应急预案管理办法》、《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全事件应急演练指南》(GB/T 38645-2020)等文件的要求,结合我会的实际情况,提供一年1次网络安全应急演练服务。协助我会编制《信息安全事件应急预案》,对信息系统相关人员进行应急预案、应急技巧及对典型的信息安全事件进行预防等方面的培训,并针对《信息安全事件应急预案》开展相应的应急演练工作,演练结束后出具《网络安全应急演练总结报告》。
3.网络安全漏洞扫描评估服务
供应商应依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),结合我会的实际情况,自合同签订之日起一年内提供我会“海南省网上工商联平台”1次安全漏洞扫描评估服务。通过采用多种专业漏洞扫描工具针对“海南省网上工商联平台”开展交叉漏洞扫描及验证服务,由经验丰富的专业网络安全服务人员对扫描结果实施安全分析,及时掌握信息系统的安全状况,发现存在的主要安全问题和薄弱环节,出具《安全漏洞扫描评估报告》,并提供完善的修补建议,指导我会落实安全措施,及时修补漏洞,建立网络安全长期保障机制,降低安全风险,促进信息系统持续安全稳定运行。
4.渗透测试服务
供应商应以等级保护测评标准为基线,结合国际化网络安全测试标准在我会授权下和可控的范围内,对我会“海南省网上工商联平台”开展一年1次渗透测试服务。通过模拟黑客可能使用的攻击方式和漏洞挖掘行为,对信息系统的安全进行深入安全检测,发现并验证漏洞,为我会信息系统管理人员提供安全加固建议,及时发现信息系统的安全漏洞以及没有被掌控到的脆弱点,及时采取必要的安全防范措施,帮助其更好的保护信息系统,从而促进信息系统安全、稳定运行,服务结束后出具《渗透测试报告》。
5.网络安全培训服务
供应商应依据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《网络安全等级保护测评高风险判定指引》(T/ISEAA 001-2020)等文件对“定期对从业人员进行网络安全教育、技术培训和技能考核”的相关规定,提供我会信息系统管理和相关人员一年1次网络安全专项培训服务。通过开展我会信息系统管理和相关人员网络安全专项培训,进一步提高人员网络安全意识、安全专业技能和安全管理水平。
(六)验收标准及成果交付
1.完成“海南省网上工商联平台”网络安全等级保护测评及安全运维保障服务;
2.提交《网络安全等级保护海南省网上工商联平台等级测评报告》、《海南省工商联平台安全建设整改方案》、《网络安全应急演练总结报告》、《安全漏洞扫描评估报告》、《渗透测试报告》和培训课件。
3.提交项目实施阶段所有的过程文档。
二、相关要求
(一)服务要求
1.本项目需在规定时间内完成项目内容并提交成果;
2.服务期间提供7×8服务响应,需要进行现场服务的,技术人员须在2小时之内到达现场处理;
3.有关测评报告提交1年内,围绕测评发现的问题和针对性改进建议,测评服务机构应向采购方免费提供咨询服务;
4.本项目不接受分包、转包。
(二)资格要求
1.在中华人民共和国注册,具有独立承担民事责任能力的法人。(提供“三证合一”营业执照副本复印件,供应商为事业单位的,提供有效的“事业单位法人证书”复印件,供应商为社会团体(或组织)的,提供社会团体(或组织) 法人登记证书复印件)
2.具有依法缴纳税收和社会保障资金的良好记录。(须提供2024年1月至今任意1个月的缴纳税收证明和社保缴费记录证明复印件,以银行付款凭证或完税证明为准)
3.具有良好的商业信誉和健全的财务会计制度[提供2024年1月至今任意1个月的财务报表(包括资产负债表、现金流量表、利润表或损益表)复印件或会计师事务所出具的2023年度财务审计报告复印件或银行出具的资信证明材料复印件]。
4.提供参加政府采购活动前三年内,在经营活动中没有重大违法记录的声明函。(加盖公章)
5.供应商(包含法定代表人)无不良信用记录。(提供“信用中国”信息查询结果,加盖公章)
6.具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》
7.符合法律、行政法规规定的其他条件。
(三)比选标准
符合资格要求且根据评比标准(见附件2)进行综合评分,综合得分作为评审会入围的主要参考依据,评审会上得票最多的单位为中标单位。
(四)报价文件要求
1.营业执照副本、组织机构代码证副本、税务登记证副本等复印件(如三证合一只需提供营业执照副本复印件加盖公章);
2.网络安全等级测评与检测评估机构服务认证证书。(须提供证书复印件并加盖公章);
3.服务技术方案;
4.报价清单(盖公章),参照附件。
5.以上材料装订成册,一式两份,需加盖单位公章并提供盖章文件扫描U盘1个或光盘1张,用信封密封并加盖公章后报送。
(五)报名材料递交截止时间及地点:
1.报名材料递交截止时间:2024年8月19日17:30;
2.报名材料递交地点:海南省海口市琼山区红城湖路100号,15号楼3楼309号办公室,邮编:570000。
三、评审会安排
依据《海南省工商联采购工作管理暂行办法》,结合此次工作实际,拟由分管会领导1人,调宣处3人、办公室1人组成,机关纪委指派一名现场监督员。评审会的时间、地点根据后续工作安排另行确定。
附件:1.报价一览表
2.密码应用安全性评估项目采购评分标准
海南省工商联
2024年8月13日
附件1:
报价一览表
序号 |
服务名称 |
服务内容 |
价格 |
备注 |
1 |
网络安全等级保护测评服务 |
对海南省网上工商联平台(三级S3A3G3)开展网络安全等级保护测评,完成等保测评工作后,出具《网络安全等级保护等级测评报告》,并针对信息系统安全建设提出具有针对性的整改建议。 |
|
|
2 |
网络安全应急演练服务 |
结合我会的实际情况,提供一年1次网络安全应急演练服务。协助我会编制《信息安全事件应急预案》,对信息系统相关人员进行应急预案、应急技巧及对典型的信息安全事件进行预防等方面的培训,并针对《信息安全事件应急预案》开展相应的应急演练工作,演练结束后出具《网络安全应急演练总结报告》。 |
|
|
3 |
网络安全漏洞扫描评估服务 |
自合同签订之日起一年内提供我会“海南省网上工商联平台”1次安全漏洞扫描评估服务。通过采用多种专业漏洞扫描工具针对“海南省网上工商联平台”开展交叉漏洞扫描及验证服务,由经验丰富的专业网络安全服务人员对扫描结果实施安全分析,及时掌握信息系统的安全状况,发现存在的主要安全问题和薄弱环节,出具《安全漏洞扫描评估报告》,并提供完善的修补建议,指导我会落实安全措施,及时修补漏洞,建立网络安全长期保障机制,降低安全风险,促进信息系统持续安全稳定运行。 |
|
|
4 |
渗透测试服务 |
以等级保护测评标准为基线,结合国际化网络安全测试标准在我会授权下和可控的范围内,对我会“海南省网上工商联平台”开展一年1次渗透测试服务。通过模拟黑客可能使用的攻击方式和漏洞挖掘行为,对信息系统的安全进行深入安全检测,发现并验证漏洞,为我会信息系统管理人员提供安全加固建议,及时发现信息系统的安全漏洞以及没有被掌控到的脆弱点,及时采取必要的安全防范措施,帮助其更好的保护信息系统,从而促进信息系统安全、稳定运行,服务结束后出具《渗透测试报告》。 |
|
|
5 |
网络安全培训服务 |
依据《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《网络安全等级保护测评高风险判定指引》(T/ISEAA 001-2020)等文件对“定期对从业人员进行网络安全教育、技术培训和技能考核”的相关规定,提供我会信息系统管理和相关人员一年1次网络安全专项培训服务。通过开展我会信息系统管理和相关人员网络安全专项培训,进一步提高人员网络安全意识、安全专业技能和安全管理水平。 |
|
|
报价总额 |
(小写) |
|||
(大写) |
供应商名称(单位公章):_____________
法定代表人(或委托代理人)签字:___________________
日期: 年 月 日
附件2:
网络安全等级保护测评项目采购评分标准
序号 |
条款内容 |
编列内容 |
|
1 |
分值组成 |
价格部分: 20 分 服务内容: 50分 综合商务: 30分 |
|
2 |
价格部分(20分) |
1.评标基准价:满足磋商文件要求且价格最低的报价为评标基准价,评标基准价为满分20分。 2.其他报价供应商的报价得分按照下列公式计算:报价得分=(评标基准价/报价)×20分。 |
|
3 |
服务内容(50分) |
1.所提供服务多项不满足磋商公告要求的,经磋商小组评审可作为无效响应文件。 2.所提供服务不满足该磋商文件服务要求的,每处扣5分。 |
|
培训演练 (6分) |
提供完整详细培训演练服务计划,所有提供的服务如未完成,则不因合同的结束而终止。 提供安全威胁分析、安全防护措施、安全管理类培训方案,方案内容完全符合采购人实际需求的得6分;方案内容较符合采购人需求的得4分;方案内容符合程度一般的得2分;不提供不得分。 |
||
综合实力(7分) |
1.供应商企业实力(4分) (1)供应商具有中国网络安全审查技术与认证中心颁发的有效期内信息安全服务资质证书(应急处理服务、风险评估服务),得1分。 (2)供应商具有重大漏洞和重要安全事件的发现、分析、处置能力,具备国家信息安全漏洞库技术支撑单位证书的,得1分。 (3)供应商具有具有ISO 9001质量管理体系认证证、ISO 27001信息安全管理体系认证证书和ISO 20000信息技术服务管理体系认证证书,得1分。 (4)供应商承诺30分钟响应,2小时到达现场开展工作的,得1分(提供承诺书并加盖公章) 2.人员配备要求(3分) 供应商安全服务技术人员具有10个中国信息安全测评中心颁发的注册渗透测试工程师(CISP-PTE)证书、具有3个密码安全工程师证证书、具有3个注册信息安全专业人员(CISP)证书、具有1个国家互联网应急中心颁发的CCSC网络安全能力认证证书、具有1个中国信息安全测评中心颁发的注册渗透测试专家(CISP-PTS)证书,每满足一项得1分,最多得3分。 |
||
案例情况(7分) |
出具近三年为类似项目进行等级保护测评、安全运维和安全服务的案例,须提供合同复印件。提供合格案例少于三个的不得分,提供三个合格案例的得1分,每增加一个符合要求案例的加1分,最高7分。 |
||
其他优惠措施(10分) |
根据是否提供磋商文件要求范围以外,磋商小组认可的具体而实在的优惠措施等综合评定。 |
||
供应商综合得分=价格部分得分+服务内容得分+综合商务得分, 供应商综合得分作为评审会入围的主要参考依据。 |