1.满足《中华人民共和国政府采购法》第二十二条规定;未被“信用中国”(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
2.具有网络安全等级测评与检测评估机构服务认证证书;
3.本项目不接受联合体投标。
三、报价文件要求
应包括下列内容(并不仅限于以下)并应按顺序装订成册:(复印件需加盖单位公章,提供的所有证书应在有效期内,逾期的无效)
(3)投标单位情况介绍;
(4)有效的营业执照副本、资质证明复印件;
(5)测评服务质量承诺书;
(6)拟投入本项目测评人员一览表(须附有关资质证书及在本单位缴纳社保证明);
(7)报价一览表
(8)投标人认为需提供的其他资料。
四、项目服务依据标准及原则
1.等级测评依据
GB/T22239-2019《信息安全技术网络安全等级保护基本要求》
GB/T22240-2020《信息安全技术网络安全等级保护定级指南》
GB/T28448-2019《信息安全技术网络安全等级保护测评要求》
《网络安全等级保护测评报告模板(2021版)》
2.源码审计
GB/T39412-2020《信息安全技术代码安全审计规范》
YD/T3447-2019《联网软件源代码安全审计规范》
(二)在本次项目实施过程中,项目团队应遵循以下原则:
1.保密性原则
在体系优化工作开始前,与采购人签署保密协议,规定实施过程和实施结束后做好敏感信息的保密工作,如对数据加密存储、清除用户数据等。
2.最小影响原则
通过管理和技术两个层面将工作所带来的影响降至最小,避免由于占用采购人过多人力或资源而干扰其正常业务,避免实施过程对信息系统的正常运行产生不利的影响。
3.可操作性原则
通过详细定义每个阶段的任务和任务实践内容,明确定义参与人员的职责和每项工作开始前的必备条件和结束时的输出结果,从而规范实施的流程,保证实施过程的可操作性和可控性。
4.质量控制原则
通过项目管理的方法,从项目的组织、角色定义与培训、沟通与确认、进度控制、文档控制、汇报与验收等多个环节保证评估服务的总体质量。
5.风险规避原则
在体系优化工作开始前,充分考虑可能引入的多方面风险,告知用户可能存在的风险,并采取相应的控制措施加以规避。
6.符合性原则
7.整体性原则
体系优化的范围和内容应当系统性、全面,覆盖采购人安全所涉及的各个层面、业务条线、内部组织架构,力求建立全面、整体的安全防护体系。
五、项目服务内容:
2.本次项目测评内容包括(但不仅限于):安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理,以及整体测评。
在测评分析信息系统整体安全防范的合理性时,应熟悉信息系统安全保护措施的具体实现方式和部署情况等,结合业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别信息系统的安全防范是否突出重点、层层深入,综合判定信息系统的整体安全防范是否恰当合理等。
(二)源代码测试内容
源代码安全检测主要对象包括并不限于对Windows和Linux系统环境下的以下语进审核:C、C++、OC、C#、Java、PHP、JSP、ASPX、JavaScript、Python、Cobol、Go等进全测试。
源代码安全检测的主要内容包括但不限于:
◆OWASPWEBTOP10漏洞
◆WEB应程序的权限架构
◆WEB应通信安全
◆数据库的配置规范
◆SQL语句的编写规范
◆WEB应框架安全性源代码安全检测主要对象包括并不限于对Windows和Linux系统环境下的以下语进审核:C、C++、OC、C#、Java、PHP、JSP、ASPX、JavaScript、Python、Cobol、Go等进全测试。
六、测评要求
2.投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。
4.安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标人推荐,经采购人确认后由投标人提供并在测评中使用。
5.安全测评需要的运行环境(如场地、网络环境等)由采购人提供,投标人应详细描述需要的运行环境的具体要求。
6.本次项目实施人员不少于3人,其中骨干人员至少包含1名高级测评师,其他人员须具有初级以上测评资质(提供证书复印件)。本项目负责人必须具有5年以上的测评工作经验,并具有参与过大型复杂测评项目的实施经验,同时具有高级测评师证书、国家重要信息系统保护人员培训证书(CIIPT)、信息安全管理系统审计认证(DNV)、信息安全保障人员认证证书(CISAW)、渗透测试认证证书(NSCP)、商用密码应用安全性评估人员测评能力证书。(合同签订时提供证书复印件,中标供应商不能提供的做废标处理)。
七、项目验收
(一)工期要求:合同签订日期起3个月内完成服务。
(二)成果要求,包括且不仅仅包括以下成果:
1.等保测评。网络安全等级保护测评方案、《网络安全等级保护测评报告》、《网络安全等级整改建议书》、渗透测试报、应急响应报告(若有应急事件)。测评工作结束后,协助采购人完成系统的备案工作。
2.代码审计。出具代码审计报告。
八、保密要求
1.中标单位必须和采购人签订保密协议和非侵害性协议,中标单位必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给采购人。
2.中标单位具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,中标单位不得带离该地点。
3.中标单位对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标人中标与否,其对上述内容的保密责任将长期存在。
九、评标办法及报价要求
采用最低价中标方式评标。报价货币单位为人民币。采购预算为10万元。本项目设最高限价,最高限价为预算价。采取总价(包括所有费用)合同承包,按总价报价和定标。投标报价包括人员经费、测评费、管理费、利润、税金、保险等完成本项目的其它费用和政策性文件规定及合同包含的所有风险、责任等各项应有费用,如有漏项,视同已包含在其总项目中。
十、确定中标单位
在义乌市农业农村局政务公开专栏发布中标公告,公告期为3个工作日。
十一、签发中标通知书
向中标人发出《中标(成交)通知书》,并将中标结果通知所有未中标的投标方。与中标单位签订合同。