为做好我中心信息系统2024年网络安全等级保护测评工作,现采用挂网议价方式进行采购,具体要求如下:
一、采购项目:宁德市疾病预防控制中心2024年网络安全等级保护测评项目。
二、采购预算:最高限价6.88万元。
三、采购方式:在满足参数(项号1-31)、供应商资格要求的情况下,采用低价评标法。
四、采购内容及要求:
(一)等级保护评测工作
(二)测评内容
2.1网络安全等级保护测评:
根据宁德市疾病预防控制中心信息系统的安全保护等级,并依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》《GB/T28448-2019信息安全技术网络安全等级保护测评要求》的条款要求,逐一对信息系统的安全保护等级进行测评,测评的内容包括但不限于以下内容:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;(项号2)
(2)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。(项号3)
(三)测评要求
3.2供应商应详细描述测评人员的组成、资质及各自职责的划分。配置有经验的测评人员进行本次等级保护测评工作。(项号5)
★3.3对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
(1)为保障检测范围全面性,测评机构所采用的检测工具须涵盖不少于140项的检测项,支持包括DropboxSDK远程代码执行、ypodSDK漏洞检测、SupersonicSDK漏洞检测、AdMayelSDK信息泄露漏洞、AipushSDK信息泄露漏洞、MoRub漏洞信息泄漏漏洞、信鸽SDK远程命令执行与拒绝服务漏洞等检测,提供功能截图证明。(项号6)
(2)在测评过程中所使用的工具须能针对不同的侧重点对重要检测项重点检测,自定义检测策略,自定义报告模版,对检测项风险等级及解决方案进行修改,提供功能截图证明。(项号7)
(3)投标人在等保测评服务中所采用的服务检测工具具有自定义报告模板功能,支持导出报告时自定义报告模板,可对报告中检测项风险等级、解决方案、报告样式等进行修改;提供功能截图证明。(项号8)
3.4项目完成后必须提交完整的技术过程文档、测评报告等。(项号9)
(四)项目实施要求
4.1供应商应保证投标项目在采购人条件成熟时应立即开展实施;(项号10)
4.2供应商在项目实施过程中应配合采购人的统一领导和协调,协助采购解决测评过程中可能发生的问题;(项号11)
4.3供应商需根据自己的工程实施经验结合采购人的实际需求进一步细化和完善实施方案,作为工程实施的指导性文件;(项号12)
4.4供应商应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成;(项号13)
4.5为保证本次项目的质量,项目实施过程中的所有参与人员都必须具有等级保护测评上岗证书,确保项目的顺利实施。(项号14)
4.8项目验收完成后,要求提供为期一年的技术咨询服务,以保证项目正常运行。(项号17)
(五)项目验收成果(合同签订后即开始项目测评服务,网络安全等级保护测评于3个月内提交合格的测评报告书)
5.1本项目输出包括且不仅仅包括以下成果:
(1)《网络安全等级保护测评报告》每个系统1份;(项号18)
(2)《网络安全等级保护整改方案》每个系统1份;(项号19)
(3)《信息系统等级保护差距分析报告》;(项号20)
(4)项目实施方案及其他实施过程中产生的过程文档。(项号21)
(六)测评应满足的原则
6.1本次网络安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
(2)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。(项号23)
(3)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。(项号24)
(5)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。(项号26)
(七)保密要求
1.供应商必须和采购人签订保密协议和非侵害性协议,供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给采购人。(项号27)
2.供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方;无论供应商中标与否,其对上述内容的保密责任将长期存在。(项号28)
(八)其他要求
1.参与投标的供应商须提供不少于5人(含)具备测评师资格人员参与本项目,其中至少包含1名高级测评师作为技术总负责人,1名中级测评师担任质量监督员,1名中级测评师负责技术类测评;2名初级测评师分别负责信息安全制度及管理类测评要求工作,并在响应文件中提供相应的资格证书复印件。(项号29)
3.供应商需具有公安部颁发的《网络安全等级测评与检测评估机构服务认证证书》。(项号31)
五、供应商资格要求(供应商资格条件):
1.凡有能力提供本次议价文件所述服务的,具有法人资格的国内供货商或制造商均可能成为合格的供应商。需提交以下资质证明文件:
(1)供应商的合格营业执照(三证合一)副本复印件;
(2)法定代表人身份证(正反面的复印件);
①财务状况报告:经审计2022年度的财务报告(包含资产负债表、利润表、现金流量表),或其基本开户银行出具的资信证明;
6.供应商具备履行合同所必需的设备和专业技术能力的证明材料
①具备履行合同所必需的设备:供应商提供办公场所的场地证明材料(属于自有产权的提供产权证复印件;非自有产权的提供场地租赁合同复印件,租赁期限不少于一年);
7.本项目不接受联合体投标。
(一)文件材料内容及顺序
1.报价函
2.货物说明一览表
3.资格证明文件(“第五点供应商资格要求”所涉及的资质材料)
4.投标人提交的其他资料
注:本次投标材料一式三份,正本一份,副本二份。
(二)投标文件的密封、标记和递交
1.投标文件要求独立编制:必须用A4幅面纸张打须胶装(永久性、无破坏不可拆分)装订成册,并每盖章,否则视为投标无效。
2.投标人应将投标文件(正本1份、副本2份)用信封密封,并标招标编号、投标货物名称。