成人直播网站欢迎您!
国产a
成人直播网站信息中心信息系统等级保护测评项目采购招标公告
发布时间:2019-10-31 10:34 作者:hqc

成人直播网站信息中心信息系统

等级保护测评项目采购招标公告

成人直播网站信息中心,根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安【2007】861号)要求,学院信息系统需要进行等级保护测评,目前,先行拟对我校网站群进行等级测评。欢迎符合资质的供应商或代理商前来投标。现将招标的有关事项公告如下:

一、项目名称:成人直播网站信息系统等级保护测评项目

二、投标人应具备的条件:

(1)合格的投标人必须符合《政府采购法》第二十二条的规定;

a、具有独立承担民事责任的能力; 

b、具有良好的商业信誉和健全的财务会计制度; 

c、具有履行合同所必需的货物和专业技术能力; 

d、有依法缴纳税收和社会保障资金的良好记录; 

e、参加政府采购活动前三年内,在经营活动中没有重大违法记录;

f、法律、行政法规规定的其他条件。

法定代表人为同一个人的两个及两个以上法人,母公司、子公司及其控股公司,不得同时投标。本次不接受培训联合体投标。

(2)投标人资格要求:

a、具有独立企业法人资格;

b、投标申请人要求为有资质的供应商或代理商。

三、项目具体要求:

(一)供应商应具备下列资格条件:

(1)具有独立法人资格,招标内容在其营业执照的经营范围内,提供营业执照副本复印件;

(2)授权代表具有投标人法定代表人授权委托书,提供法人代表及授权代表身份证复印件。

(3)投标人财务和经营状况良好,具备履行合同能力,近三年内无不良经营行为。

(4)投标人参加政府采购的近三年内,在经营活动中没有重大违法记录。

(5)投标人不得有下列行为之一:(提供承诺书原件)

有违反法律、法规行为,依法被取消投标资格且期限未满的;

因招投标活动中有违法违规和不良行为,被有关招投标行政监督部门公示且公示期限未满的。

(6) 有效的《网络安全等级保护测评机构午夜影证书》,且在“江苏信息安全等级保护网-全国等级保护测评机构午夜影目录 (江苏)”名单内(提供相关网站截图,加盖单位公章)。本项目不允许组成联合体进行投标,不允许转包。

(二)成交标准

本次招标的评标方法采用综合评分法,总分值为100分。评审因素及各比重如下:价格分值占总分值的比重为30%(权重),技术及其它占70%(权重)。

类别

评分项

投标报价

(30分)

本项目中的价格分统一采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分30分。

其他投标人的价格分统一按照下列公式计算:

投标报价得分=(评标基准价/投标报价)×30%×100

企业资质

实力情况

(15分)

供应商具有江苏省互联网应急中心网络安全信息通报成员单位证书的得3分,没有不得分(提供相关证书复印件,加盖公章)。

供应商具有ISO27001《信息安全管理体系认证证书》的且认证范围含有信息安全等级保护测评的得3分,没有不得分(提供相关证书复印件,加盖公章)。

供应商具有ISO9001《质量管理体系认证证书》且认证范围含有信息安全等级保护测评的得3分,没有不得分(提供相关证书复印件,加盖公章)。

供应商具有国家信息安全测评信息安全服务资质证书(风险评估一级及以上)的得3分,没有不得分(提供相关证书复印件,加盖公章)。

供应商具有国家信息安全测评信息安全服务资质证书(安全工程类一级及以上)的得3分,没有不得分(提供相关证书复印件,加盖公章)。

拟派人员

资质(12分)

项目经理资质(6分):项目经理同时具有高级测评师、高级项目经理、CISP、CIIPT证书的得6分,有其中三个证书的得4分,有其中两个证书的得2分,其他得1分。(须提供投标人近半年为拟派项目经理缴纳社保资金的有效证明材料,否则不得分)

项目组成员资质(6分):除项目经理外项目组成员中每有1名具有中级或高级等级测评师证书且同时具有CISSP证书的,每有1个得2分,最高得6分。(须提供投标人近半年为项目组成员缴纳社保资金的有效证明材料,否则不得分)

等级保护

测评案例

(12分)

自2016年1月1日(以合同签订日期为准)以来,完成过同类等保测评项目的,每个有效案例得2分,最高得12分(提供相关证书复印件,加盖公章)。

技术方案

总体评价

(20分)

根据投标人提供的对成人直播网站的现状分析、安全需求分析、总体方案设计、持续化安全服务解决方案、实施计划、验收测试等进行综合评判打分。技术方案须包括:测评整体方案、                     Web安全测试、风险分析与控制措施、安全事件应急响应流程与方法等内容。优得18-20,良得15-17分,中得12-14分,差得0-11分。

服务承诺

(11分)

协助整改

(5分)

根据测评情况提供网络安全建设整改建议的得2分,不提供不得分;协助甲方完善安全管理制度的,得3分,不提供不得分。

应急服务响应

(6分)

服务期内在接到紧急请求时立即响应并分析评估,1小时内到达事故现场进行问题处理,现场应急响应服务时间为 7×24小时。根据响应时间、响应范围、响应能力综合评判打分。优得3分,中得2分, 差得0-1分。提供国家计算机网络应急技术处理协调中心颁发的网络安全应急服务支撑单位,省级及以上的证书得3分,没有不得分(提供相关证书复印件,加盖公章)。

(三)招标项目的需求

项目需求

序号

项目名称

工期

地点

1

成人直播网站2019年等级保护测评

30个工作日

镇江市

项目具体要求:

1、项目背景

网络安全工作不仅是信息化工作的重要组成部分,更是涉及国家经济、政治安全和社会稳定的重要因素,同时也是教育行业落实主管单位对网络安全及等级保护的要求。

本次信息安全等级测评项目的开展旨在通过本年度的重要信息系统等级测评工作的开展,切实查找当前信息系统安全防护水平与国家网络安全等级保护标准、行业要求之间的存在的差距,提出安全整改方案;以测促改,通过本次测评工作的开展进一步强化相关人员的网络安全工作意识,为以后信息系统长期的稳定运行与网络安全保障打下坚实基础。

2、项目目标

(1)委托具备资质的第三方信息安全等级测评机构(以下简称“测评机构”)对单位已定级的信息系统进行网络安全等级保护测评,查找与分析现有系统的安全防护能力的不足,编制等级保护测评报告,并协助采购方完成测评报告的备案。

(2)根据等级测评成果,由测评机构提出合理可行的安全整改建议,协助甲方进行安全管理与安全技术两方面的整改工作。

3、项目内容

(1)测评机构的测评工作必须依据国家等级保护有关法规、政策和技术标准进行开展。

本次项目中待测评系统清单如下:

系统名称

数量

单位

拟定级别

备注

门户网站群系统

1

二级


具体测评内容包括:

物理安全

测评内容主要包括:机房位置选择、机房物理访问控制、机房防雷击、机房防火、机房防水和防潮、机房防静电、机房温湿度控制、机房供配电、机房电磁防护、设备安全防护、存储介质安全防护等。

涉及机房相关的值守人员、门禁系统、消防设施、防盗报警设施、避雷装置、温湿度控制设备、电力线路等。

网络安全

测评内容主要包括:网络结构安全、网络访问控制、网络安全审计、边界完整性保护、网络入侵防范、网络恶意代码防范、网络设备登录控制、网络备份与恢复等。

涉及路由器、交换机等网络设备,网络结构(逻辑对象),以及与之相关的安全系统、管理系统等。

主机安全

测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、入侵防范、恶意代码防范、资源控制、可信路径、可执行程序保护、备份与恢复等。

涉及操作系统、中间件、数据库系统和应用平台系统等。

应用安全

测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、检错和容错、资源控制等。

涉及中间件、数据库系统和应用平台系统等。

数据安全与备份恢复

测评内容主要包括:数据完整性保护、数据保密性保护、数据备份与恢复等。涉及数据库系统、应用平台系统、存储系统、备份系统等。

安全管理机构

测评内容主要包括:安全管理机构设置、人员配备及职责、安全授权和审批、安全沟通和合作、安全审核和检查等。

涉及信息安全工作领导小组、人员岗位设置、相关日常工作执行情况等。

安全管理制度

测评内容主要包括:安全管理制度内容、制度的制定与发布、制度的评审和修订等。

涉及信息安全的总体方针、安全策略、管理制度、操作规程等。

人员安全管理

测评内容主要包括:人员岗位管理、人员培训与考核、人员安全意识教育、外部人员访问管理等。

涉及安全相关人员,如安全主管、人事主管、运维主管、网络安全管理员、主机安全管理员、应用安全管理员、机房值班人员、资产管理人员、文档管理员等。

系统建设管理

测评内容主要包括:安全设计管理、产品采购使用管理、自行软件开发管理、外包软件开发管理、安全工程实施管理、安全测试验收管理、安全系统交付管理、安全服务选择管理等。

涉及系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等配套文件,以及产品采购、软件开发、工程管理与交付验收等相关流程与配套文件等。

系统运维管理

测评内容主要包括:运行环境管理、资产管理、存储介质管理、设备管理、安全审计管理、入侵防范管理、网络安全管理、主机系统安全管理、用户授权管理、备份与恢复管理、恶意代码防范管理、安全事件处置管理、应急响应管理等。

涉及系统运维管理方面的流程、措施、制度、文档等。

项目正式启动后将向测评机构提供详细资产清单与网络拓扑结构图。

(2)从系统现状出发,依据《信息系统安全等级保护测评要求》等技术标准进行差距分析,明确校方重要信息系统中存在的风险和相关脆弱点,并针对系统存在的主要问题提出安全建设、整改建议,制订《系统安全建设整改建议》。

(3)开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平。按照《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度。

4、实施要求

(1)标准依据

《信息安全等级保护管理办法》

《信息系统安全等级保护实施指南》 (GB/T 25058)

《信息系统安全保护等级定级指南》 (GB/T 22240)

《信息系统安全等级保护基本要求》 (GB/T 22239)

《信息系统安全等级保护测评要求》 (GB/T 28448)

《信息系统安全等级保护测评过程指南》 (GB/T 28449)

本次信息系统等级测评服务项目的实施流程、技术方法必须严格执行国家相关标准规范。

(2)测评技术与方法

供应商以访谈、现场勘查、上机查看、工具测试等方式开展测评工作,所有获取测评证据的过程尽可能不影响信息系统的正常运行,对于可能产生的负面影响(如有)供应商需要在响应文件中做具体描述。因目前信息系统均为B/S架构,在测评过程中测评机构需重点对WEB应用业务进行安全测试,供应商需在响应文件中对web安全测试方法与测评用例做出详细说明。

(3)实施要求

为了保证本次测评项目的实施质量和工期,本项目采用项目经理负责制、供应商安排具备一定信息安全技术能力、项目管理能力与等级测评工作经验的人员担任项目经理。除项目经理外,项目组至少由5名等级测评师组成。

项目进场实施前,供应商必须与采购人签订项目保密协议。现场实施过程中测评人员必须接受甲方管理。

供应商制定合理的时间计划安排。(项目工期:30个工作日)

本次项目实施过程主要分为准备阶段、方案编制阶段、现场测评阶段、分析与报告编制四个主要项目阶段,供应商在方案中明确各阶段双方的主要工作,各阶段双方须相互配合协调的内容。

为保证实施期间的系统安全运行,供应商应在合同期限内提供相应的应急响应服务,供应商的响应文件中须对期间可能出现的系统典型安全事件的处理流程与应急处理方法做出详细说明。

供应商应具备完善的项目质量管理体系,在项目实施过程中项目经理应全程负责项目实施过程的把控。

5、项目交付物

本次项目的最终交付物为《XX(信息系统名称)网络安全等级测评报告》及整改方案(每个系统一份)。

四、招标时间:

本次招标标书送达时间为:自本公告发布日起至2019年11月8日(周五)上午10点止。逾期送达或不符合招标规定的招标文件恕不接受。

标书送达地点:镇江市丹徒区长香西大道538号(成人直播网站1号楼四楼408室)

联系人:方老师  联系电话:15952879797

五、开标时间、地点:

开标时间: 2019年11月8日(周五)上午10点(如遇变动,另行通知)。

开标地点:成人直播网站1号楼422室

六、竭诚欢迎符合资质的供应商或代理商前来投标。

 

二○一九年十月三十一日