等保咨询和测评服务采购公告

竞争性磋商文件

项目名称:大数据中心等保咨询和测评服务采购项目

采 购 人::点击登录查看

采购包X:综合评分法

（1）投标文件满足招标文件全部实质性要求，且按照评审因素的量化指标评审得分（即评标总得分）最高的投标人为中标候选人。

（2）每个投标人的评标总得分FA＝F1×A1＋F2×A2＋F3×A3＋F4×A4（若有），其中:F1指价格项评审因素得分、F2指技术项评审因素得分、F3指商务项评审因素得分，A1指价格项评审因素所占的权重、A2指技术项评审因素所占的权重、A3指商务项评审因素所占的权重，A1+A2+A3=1、F1×A1＋F2×A2＋F3×A3=100分（满分时），F4×A4为加分项（即优先类节能产品、环境标志产品在采购活动中可享有的加分优惠）。

各项评审因素的设置如下:

价格项（F1×A1）满分为10.00分

F1指价格项评审因素得分＝（评标基准价/投标报价）×100×价格项评审因素所占的权重（注:满足招标文件要求且投标价格最低的投标报价为评标基准价。）最低报价不是中标的唯一依据。因落实政府采购政策进行价格调整的，以调整后的价格计算评标基准价和投标报价。

技术项（F2×A2）满分为75.00分

项目	分值	描述
技术和服务要求响应情况	54.00	评委根据各投标供应商对招标文件第五章招标内容及要求“二、技术和服务要求”的逐项响应和承诺情况由评委进行评分。完全满足招标文件要求的得54分，带“★”标记的技术要求（共2项）其中任意一项负偏离的作废标处理；技术要求(共计15项)为重要技术指标，技术评分项1-技术评分项15，每负偏离一项扣扣3.6分，扣完为止。
技术服务方案	3.00	根据投标供应商提供的技术服务方案（包括但不限于对系统等保测评方案），由评标委员会进行评审，方案详实、可操作性强的得3分，方案阐述一般或方案可操作性一般的得2分，方案阐述简短或方案可操作性不强的得1分，方案合理性较低的得0.5分，方案不合理或未提供方案的本项不得分。
技术能力1	3.00	投标供应商或供应商所采用的等保测评机构具备公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》，且须同时具有由市场监督管理局颁发的《检验检测机构资质认定证书(CMA)》、中国合格评定国家认可委员会颁发的《检验机构认可证书》（CNAS-IS0/IEC 17020:2012）和《实验室认可证书》（CNAS-IS0/IEC 17025:2017）的得3分，否则不得分。
技术能力2	3.00	投标供应商为项目所使用的自动化安全评估工具，支持安全测评5个在线流程:①任务信息及测评方案信息、②系统情况及资产调查、③现场测评、④分析与报告编制、⑤检查报告，并且可以自动生成密码应用安全性测评报告。以上共5项技术要求，每提供一项得0.6分，满分3分。 须提供产品功能截图证明并提供国家级第三方检测机构出具的体现以上功能的CMA或CNAS标识检验检测报告复印件且加盖投标人公章，否则不得分。
技术能力3	3.00	投标供应商为项目所使用的自动化安全评估工具，①支持对检查过程中具体检查对象（例如:主机、网络设备等）进行调整功能，②要求可以选择已有的检查对象或录入新的检查对象。以上共2项技术要求，每提供一项得1.5分，满分3分。 须提供产品功能截图证明并提供国家级第三方检测机构出具的体现以上功能的CMA或CNAS标识检验检测报告复印件且加盖投标人公章，否则不得分。
技术能力4	3.00	投标供应商为项目所使用的自动化安全评估工具，①支持手动填写测评概述，概述内容包括测评目的、测评依据、测评过程，②支持手动填写整体测评结果汇总、总体评价等。以上共2项技术要求，每提供一项得1.5分，满分3分。 须提供产品功能截图证明并提供国家级第三方检测机构出具的体现以上功能的CMA或CNAS标识检验检测报告复印件且加盖投标人公章，否则不得分。
技术能力5	3.00	投标供应商在服务过程中，拟采用的资产分析探测服务工具，可对常见主机、Web应用进行资产探测，可单独下发主机资产探测任务，主机资产探测任务可配置扫描模板，支持CPE模板、常规模板和工控物联网模板；任务扫描完成后支持生成离线报表。（须同时提供服务工具功能界面截图、CMA或CNAS认可的第三方检测机构出具的检测报告复印件）
技术能力6	3.00	投标供应商在服务过程中，拟采用的安全加固服务工具，应支持高级数据分析，可对同一IP的两次扫描结果进行风险对比分析，并可在线查看同一IP的多次历史扫描结果，从而确定安全加固效果。（须同时提供服务工具功能界面截图、CMA或CNAS认可的第三方检测机构出具的检测报告复印件）

商务项（F3×A3）满分为15.00分

项目	分值	描述
1.综合实力	4.00	为保障测评过程系统运行的安全稳定性，投标供应商获得过系统备案所在市级网安网信技术支撑单位聘书的得4分。 注:须提供相关证明材料复印件，否则不得分。
	3.00	投标供应商拟派的项目负责人为计算机相关专业/研究生学历，且具备有（1）信息系统项目管理师（高级）（2）系统架构设计师（高级）（3）终端与业务专业高级通信工程师（4）系统分析师（5）系统规划与管理师，全部具备得3分，每缺1本扣0.6分，没有的不得分。 注:须提供证书复印件以及供应商为其缴纳的投标截止时间前六个月内（不含投标截止时间当月）任意一个月的社会保险证明材料复印件，否则不得分。
	2.00	投标人具有信息技术服务管理体系认证、信息安全管理体系认证，认证范围需涵盖应用软件开发，计算机软硬件运维或系统集成及运维。须提供相关体系认证证书复印件以及该证书在全国认证认可信息公共服务平台（http:****)上状态为“有效”的查询结果网页截图打印件并加盖投标人公章，全部满足得2分，缺1项扣1分。
	3.00	投标供应商或上级公司具有ITSS云服务、ITSS数据中心、云服务信息安全管理体系认证，全部具备得3分，每缺1本扣1分，没有的不得分。注:须提供认证证书复印件并加盖投标人公章，未提供的不得分。
3.业绩要求	3.00	根据投标供应商自****起至本项目投标截止时间止(日期以合同签订时间为准)自身所承接的等保业绩情况:每提供一项类似业绩的得1分，满分3分。【注:须提供项目的中标公告（提供相关网站中标公告的下载网页并注明网址）、中标通知书、合同文本以及能够证明该业绩项目已经采购人验收合格的相关证明文件复印件，未提供上述四项证明材料的不计分（证明材料可提供关键页，如合同应提供可体现项目相关信息的页面、各方单位名称、签署时间、签章页等），未提供或提供的资料文件无法判定符合上述要求的不得分。】

加分项（F4×A4）

优先类节能产品、环境标志产品:无

（4）中标候选人排列规则顺序如下:

a.按照评标总得分（FA）由高到低顺序排列。

b.评标总得分（FA）相同的，按照评标价（即价格扣除后的投标报价）由低到高顺序排列。

c.评标总得分（FA）且评标价（即价格扣除后的投标报价）相同的并列。

采购内容及要求

一、项目概况

为贯彻落实《网络安全法》、《网络安全等级保护条例》中对网络安全等级保护测评工作要求，拟对点击登录查看“龙岩市可信电子文件管理平台”、“政务外网视频图像信息交换平台”、“网上公共服务平台（e龙岩）”等3个信息系统开展等保测评与整改咨询工作，评估以上的应用是否合规、正确、有效，并通过测评发现其存在的安全隐患和风险，编制被测评系统的等保测评报告。

二、技术和服务要求

（一）、等保测评技术与服务要求

【技术评分项1】1.服务内容

完成点击登录查看“龙岩市可信电子文件管理平台”、“政务外网视频图像信息交换平台”、“网上公共服务平台（e龙岩）”等3个信息系统等保测评与咨询整改服务工作。

系统的详细名称、等级如下表所示。

序号	系统名称	系统等级
1	龙岩市可信电子文件管理平台	三级
2	政务外网视频图像信息交换平台	三级
3	网上公共服务平台（e龙岩）	三级

2.网络安全等保咨询服务

【技术评分项2】2.1等保资产分析服务

根据等级保护范围内的资产组成，对服务范围内各个测评对象整理的网络结构拓扑以及相关联的资产，开展安全物理环境、安全通信网络、安全区****

【技术评分项3】2.2等保风险分析服务

根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心的现状分析，对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制《等级保护安全评估与整改建议报告》。

【技术评分项4】2.3等保差距评估服务

在安全评估和信息系统定级的基础上，根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析。

2.4等保加固辅导服务

2.5.1根据等级保护基本要求以及风险和差距分析结果，对服务范围内信息系统的关键资产编制安全整改实施方案，实施方案中应包括加固风险分析及风险规避说明。派遣专业工程师到现场根据安全整改实施方案实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。

★2.4.2投标人为本项目测评投入使用的测评工具须同时具备以下功能:1.包含系统漏洞扫描、web应用漏洞扫描、数据库漏洞扫描、基线配置核查以及弱口令检测等安全检测能力，并支持无限制IP数的授权；2.web应用漏洞扫描应支持主动与被动扫描，解决复杂逻辑业务系统的漏洞检测；3.产品应支持漏洞一键验证功能，便于漏洞验证；4.产品应支持渗透测试功能与检查工具联动；5.投标人需承诺提供的检查工具能够按投标人要求随时更新漏洞库。【报价文件中须以上功能截图证明，并于中标后签订合同时可提供演示功能复查】

2.4.3对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。

【技术评分项5】（1）基于主机安全考虑，投标人投入使用的主机安全工具具备如下功能:1.具备安全基线扫描功能2.支持内核级的强制访问控制功能，支持基于敏感标记(安全等级)控制文件读写权限3.支持白名单功能，只有属于白名单的进程可以运行。4.支持基于MD5的识别技术的文件完整性检查功能。5.本次提供的安全加固工具支持服务器的非法外联管控。（以上功能须提供相关截图证明）

【技术评分项6】（2）投标人投入使用的主机安全工具所使用数据库为国产数据库，为保证兼容性需为工具厂商自研，提供所使用的的国产数据库具备有效的《中国国家信息安全产品认证证书》复印件证明。

【技术评分项7】（3）投标人投入使用的主机安全工具具有国家网络与信息系统安全产品质量监督检验中心颁发的《信息技术产品安全测试证书》，提供有效的证书复印件证明。

【技术评分项8】2.5等保制度建设服务

协助客户建设安全管理制度，为测评对象建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5大类安全管理要求的方针、制度、各类记录表格模板，达到等级保护测评要求。提交《等级保护安全管理制度》。

【技术评分项9】2.6等保测评辅助服务

协助用户准备测评材料，指导用户单位配合测评机构开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。在测评阶段进行等级测评管理，展示本单位各定级对象测评情况，包括定级对象测评状态、测评报告及测评相关文档信息，辅助等级测评工作。

【技术评分项10】2.7等保台账管理服务

提供等保台账管理服务，服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档，支持对单个定级对象的定级、备案、自评、测评、管理制度五大维度的单独归档文件管理。

2.8等级保护测评服务内容

根据信息系统的保护等级，并依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、《信息系统安全等级保护测评准则》等相关标准的条款要求，对信息系统的安全保护等级进行测评，测评的内容包括但不限于以下内容:

【技术评分项11】(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评；

【技术评分项12】(2)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

①安全物理环境

根据信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

②安全通信网络

根据信息系统安全通信网络现场测评记录，针对安全通讯网络方面在“网络结构”、“通信传输”、“可信验证”等安全通信网络方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

③安全区域边界

根据信息系统安全区域边界现场测评记录，针对安全区域边界方面在“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等安全区域边界方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

④安全计算环境

根据信息系统安全计算环境现场测评记录，针对安全计算环境方面在“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等安全计算环境方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

⑤安全管理中心

安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控”几个方面的测评。

⑥安全管理制度

根据现场安全测评记录，针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

⑦安全管理机构

根据现场安全测评记录，针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

⑧安全管理人员

根据现场安全测评记录，针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

⑨安全建设管理

根据现场安全测评记录，针对信息系统在系统建设管理方面的“定级和备案”、“人员配备”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

⑩安全运维管理

根据现场安全测评记录，针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

★(3)服务交付物

等级保护测评提交的文档至少包括如下文件:《网络安全等级保护测评报告》、《系统安全整改建议书》。

【技术评分项13】（二）、供应商公司要求

1.供应商在项目实施过程中应配合采购人的统一领导和协调，协助采购解决测评过程中可能发生的问题；

2.供应商应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对项目目标、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保项目实施按时保质的完成；

【技术评分项14】（三）、安全原则

等保测评实施方案设计与具体实施应满足以下原则:

标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。

规范性原则:供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

可控性原则:测评服务的进度要跟上进度表的安排，保证谈判人对于测评工作的可控性。

整体性原则:测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

最小影响原则:测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

【技术评分项15】（四）、安全保密要求

1.供应商必须和采购人签订保密协议，在合同签订时一并提

供给采购人。

2.供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方；无论供应商成交与否，其对上述内容的保密责任将长期存在。

三、商务条件

序号	类型	要求
1	交货地点	采购人指定地点
2	交货条件	成交供应商通过采购人验收后交付使用。
3	履约验收方式	（1）提交“龙岩市可信电子文件管理平台”、“政务外网视频图像信息交换平台”、“网上公共服务平台（e龙岩）”等3个信息系统网络安全等级保护测评报告。 （2）提交符合客户要求的《等级保护安全管理制度》。
4	合同支付方式	1、合同签订生效后，甲方在收到乙方提交的应用系统差距分析报告后10个工作日内，乙方开具合法合规发票（普票），甲方为乙方办理该合同总金额80％的项目预付款项的财政支付手续； 2、项目服务期满，经甲方确认乙方已全面履行合同义务，完成所有服务内容后，以乙方提交取得三个信息系统的测评报告和公安机关备案证明和《等级保护安全管理制度》视为验收合格；验收合格后，乙方开具合法合规发票（普票），甲方在10个工作日内，为乙方办理支付剩余合同总金额 20％的款项的财政支付手续。
5	交货时间	自合同签订之日起60个日历天

备注:上述“二、技术和服务要求、三、商务条件、要求均为重要要求，任一项不符合要求的，响应无效，视为未通过符合性审查。完全满足上述所有要求的，可提供承诺函，承诺函范本详见响应文件格式。

四、材料递交时间和地点

本项目自发布之日起，公示期为5个工作日，投标单位应于****17:30前将报价文件、营业执照及其他必须提供的相关材料密封后邮寄（以收件时间为准）或送至龙岩市****点击登录查看，联系电话:****，****。