各供应商:
台州市财政局因项目建设需要,对台州市财政局电子票据管理平台建设项目(二期)等级保护测评服务进行采购,具体要求如下:
一、采购内容
台州市财政局电子票据管理平台建设项目(二期)等级保护测评备案等相关服务。
1.测评依据
投标供应商应依据国家等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准:
《中华人民共和国网络安全法》;
中华人民共和国计算机信息系统安全保护条例(国务院第147号令);
GB/T22239-2019《网络安全技术 网络安全等级保护基本要求》;
GB/T22240-2020《信息安全技术 网络安全等级保护定级指南》;
GB/T28449-2019《网络安全技术 网络安全等级保护测评过程指南》;
GB/T28448-2019《网络安全技术 网络安全等级保护测评要求》。
2.服务内容要求
(1) 根据《GB-T_22240-2020 信息安全技术_网络安全等级保护定级指南》开展信息系统的定级申报工作。针对被测系统所需要定级的信息系统,分析所属类型、服务范围以及业务对系统的依赖程度,制定细化定级规则,确定系统安全保护等级,完成自定级报告材料;
(2) 整理信息安全等级保护备案材料,提交主管部门进行等级备案;
(3) 对被测信息系统进行摸底、分析和梳理,提出测评方案,并逐一对信息系统进行安全等级保护测评;
(4) 基于《信息系统安全等级保护基本要求》(GB/T22239-2019)的等级保护测评服务(包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等十个方面的安全测评),并出具符合主管单位要求的测评报告;
(5) 根据信息系统安全等级保护相关要求,对被测系统提出整改意见;
(6) 取得被测系统相关的备案证明;
(7) 本次项目实施骨干人员至少包含1名高级测评师(提供证书复印件)。本项目负责人必须具有5年以上的测评工作经验,同时具有高级测评师、注册信息安全专业人员CISP证书、软件测试工程师证书、注册网络安全源代码审计专业人员(NSATP-SCA)(合同签订时提供证书复印件,中标供应商不能提供的做废标处理),确保项目的顺利实施;
(8) 协助采购人完成与网络与信息安全相关的其他工作。
3.技术服务要求
(1) 测评应满足的原则
本次网络安全等级保护测评实施方案设计与具体实施应满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标供应商的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:投标供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
(2) 等级保护测评要求
a、供应商应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。
b、供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应安排专职项目经理和项目实施负责人负责本次项目的实施,供应商应配置有经验的测评人员进行本次等级保护测评工作。
c、对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求。
d、安全测评需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。安全调查和测评的过程中,供应商如需采购人配合,供应商需要详细描述需要配合的内容。
e、安全测评应按照分层的原则,包括但不限于以下对象:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等。
f、供应商应提供本项目的测评方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和分析的方法;
g、实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。
h、供应商应详细描述安全调查和测评的组织方式,包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。
i、项目完成后必须提交完整的技术文档、测评报告、整改建议等。
(3) 项目实施要求
a、供应商应保证投标项目在采购人条件成熟时应立即开展实施;
b、供应商在项目实施过程中应服从采购人的统一领导和协调,采购人有权裁决供应商的责任范围,供应商必须执行,在采购人限定的时间内解决问题。如果供应商不能按时完成评估内容,采购人有权中止项目、索赔或拒付款项;
c、供应商应在项目现场实施周期内,供应商必须为本项目成立等级保护测评小组,安排包括项目经理和核心技术人员的现场驻场服务;
d、供应商需根据自己的实施经验结合采购人的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件;
e、供应商应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成;
f、供应商应负责配合采购人制定相关验收标准,并完成工程实施等验收工作。
g、在整改过程中,集成服务商整改加固过程需本项目供应商全程驻场配合并进行符合性复测。
h、项目验收完成后,要求提供为期一年的技术咨询服务,以保证项目正常运行。
(4) 测评报告要求
a、供应商应对采购人的信息系统进行等级保护测评,形成相应的报告。
b、供应商在测评完成后,出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评报告;
c、对不符合信息安全等级保护有关管理规范和技术标准的,供应商出具可行的信息系统整改建议,并指导采购人完成整改;
d、供应商协助采购人办理信息系统安全等级保护备案手续等相关工作。
二、报价要求
1.参加本次项目的供应商要求
(1)符合《中华人民共和国政府采购法》第二十二条的一般资格条件;
(2)投标人应具有网络安全等级保护测评机构推荐证书;
(3)符合浙江省信息安全等级保护工作协调小组浙等保〔2014〕1号文件规定;
2.报价应包括本项目实施过程中所有可能发生的费用,以书面总体方案形式提交,其中项目总价不高于 70000 元人民币(大写:柒万元整),若报价超出限价则按废标处理。本项目只接受单次报价。报价并非中标的唯一考量条件,资质及业务能力也会一并纳入考核。
三、报价文件要求
1.报价单、投标人法人授权书、营业执照复印件、资质证明等资料(以上资料均需加盖公章)。
2.提供详细的整改服务方案,方案中要体现具体服务内容、项目组人员配置、项目进度安排计划等。
3.报价方案必须密封,并加盖单位公章。
投标文件一正二副,正副本放在一个包封内密封提交,投标文件的包封应密封完好,并在包封上加盖投标人的印章。请于2023年3月16日2时前送至浙江省台州市台州湾新区纬一路66号天元大厦724室,否则作废单处理。
四、其他事项
我局将在各单位报价基础上,组织采购小组进行综合评审,选择符合采购要求的合作意向单位,具体权利义务在合同中约定。报价人对提交材料的真实性负责,如存在弄虚作假行为,立即取消资格;已经签订合同的,委托方有权立即终止合同,并依法依约追究对方责任。
联系人:陈金斌 联系电话:13606688918
联系地址:台州市台州湾新区纬一路66号天元大厦724室(台州市财政局)
台州市财政局
2023年03月13日