各供应商:
广州市XX现对生态环境保护指挥系统7月1日18X前将报价函密X(广州市黄埔区汇星路X号人防楼C栋X室)。现将具体事宜公告如下:
一、项目名称
广州市XX生态环境保X络安全等级保护测评服务
二、采购单位
广州市XX
三、项目内容
为响应国家政策要求,提高单位信息化X体水平,持续应对新型的安全风险和威胁,广州市XX参照(《X络安全法》,根据单位现有信息系统安全实际X络安全等级保护相关规范与标准的要求,对我单位重X络安全等级保护测评。(具体服务内容详见项目采购需求文件)。
四、项目服务期限与验收标准
(一)服务期限为合同生效之日起三个月。采购人根据工作实际情况,可将服务期限顺延至所有服务工作完成为止。
(二)验收标准:中标单X络安全等级保护测评服务,并出具相关的测评报告后可提出验收申请,项目完成后由双方负责人审核签署项目验收报告。
五、最高限价
项目最高限价为人民币X(X,X.XX)。报价超过最高限价为无效报价。
六、供应商资质及要求
(一)供应X采购法》第二十二条规定的条件;
评估认证服务)供应商名录中可查,具有从事本项目的经营范围和能力,投标人无失信记录;
(三)本项目不接受联合体申报;
(四)本项目仅面向中小企业采购;
(五)未被列X站(***“记录失信被执行人X采购严重违X(***违法失信行X采购活动期间。(以资格审查人员于报价截止时间当天X(***果为准,如相关失信记录已失效,供应商需提供相关证明资料);
(六)单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目投标。
七、服务人员要求
1、为保证项目测评服务质量,供应商须成立3-8人(不含项目经理)的服务机构,并具有类似项目管理经验,须提供近半年在供应商购买社保证明和资格证书;
2、本项目的项目X络安全等级测评师证书、注册信息安全专业人员证书-注册X师(即(CISP-CISE)证书)、具有人社部门(原人事部门)颁发的高级信息系统项目管理师、具有注册数据安全治理专业人员(即CISP-DSG证书)、具有数据安全官证书(CCRC-DSO)、具有数据安全评估师(CCRC-DSA)、具有注册信息安全专业人员证书-注册X师(即(CISP-PTE)证书)、具有信息安全保障人员认证证书(CISAW)-电子数据取证(专业级)方向证书。
注:如须调X服务团队成员,须书面向采购人提出申请,说明申请理由经采购人书面同意方可调X团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
八、报价时须提供的资料
(一)证明符合供应商资质及要求的以下材料:
1.具有独立承担民事责任的能力:在中华人民共和国境内注册的法人或其他组织或自然人,报价时提交有效的营业执照(或事业法人登记证或身份证等相关证明)副本复印件,有“三证合一”的营业执照,则不需要提供税务登记证和组织机构代码证。X和X公X出具给X支机构的授权书。
2.有依法缴纳税收和社会保障资金的良好记录:提供相应证明材料或书面声明。
3.具有良好的商业信誉和健全的财务会计制度:供应商必须具有良好的商业信誉和健全的财务会计制度:提供X或X年财务状况报告或书面声明。
4.参加采购活动前3年内,在经营活动中没有重大违法记录的承诺函。重大违法记录,是指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。(根据财库〔X〕3号文,“较大数额罚款”认定为XX以上的罚款,法律、行政法规以及国务院有关部门明确规定相关领域“较大数额罚款”标准高于XX的,从其规定)
(三)法定代表人证明书或法定代表人授权委托书和法定代表人或供应商授权代表身份证复印件;
(四)《中小企业声明函》;
(五)供应商认为有必要提供与本项目需求相关的其他资料(包括但不限于供应商过往类似项目的业绩证明材料、项目相关的服务方案、拟参与本项目的团队名单等)。
以上资料需加盖供应商单位公章并拷贝电子版资料一份,一并以保密信封的形式递交,不透明信封除标注“项目名称”和“报价函”字样外,不得有其他任何标识性文字和图案。
八、评审原则
(一)采购文件中,如标有“★”的地方均为必须完全满足指标,投标人须进行实质性响应,投标人若有一项带“★”的条款未响应或不满足,将按无效投标处理。
(二)本次采购的评审原则:采用综合评X标准,评X最高者确定为服务单位,被确定为服务单位者另行签订合同,未被确定为服务单位者不另行通知。
九、评X细则
本次评标采用综合评X法,评X比重构成如下:
评X项目 |
技术评审 |
|
价格评审 |
合计 |
X值 |
XX |
XX |
XX |
XX |
技术评X:
序号 |
评审项目及内容 |
评X细则 |
1 |
安全测评项目服务响应方案(XX) |
安全测评X简介、➁项目目标、➂项目组织与实施计划、➃等级保护测评流程、➄质量保证措施。方案正确理解项目需求内容,充X考虑项目特点。方案重点明确,特点突出,方案满足项目实施要求。对方案是否包含上述内容以及响应情况进行评审: 评审标准: 1、每提供上述一项内容的,得1X,最高得5X。未提供或未包含上述内容不得X。
2、在此基础上,评审委员根据各投标人的具体响应内容按照以下的评审因素指标进一步评审: (1)评审为优(响应全面、内容清晰、针对性强、可操作性强、延展性好)的,加4-5X; (2)评审为良(响应较全面、内容较清晰、针对性较强、可操作性较强、延展性较好)的,加3-4X; (3)评审为中(响应基本全面,内容清晰一般、针对性一般、可操作性一般、延展性一般)的,加2-3X; (4)评审为差(内容缺失或与项目关联度不大)的,加1-2X; (5)未提供安全测评项目服务响应方案得0X。 |
2 |
项目管理方案
(6X) |
项目管理方案包括X体管理、范围管理、时间管理、质量管理、人员管理、风险管理等,对项目管理方案进行评审: 1.方案内容完X,满足或优于项目需求,得6X 2.方案内容较完X,基本满足项目需求,得4X; 3.方案内容不完X,部X满足项目需求,得2X; 4.方案内容单薄不合理,不能满足项目需求,得0X。 |
3 |
供应商参与本项目技术队X能力情况(满XXX) |
技术总负责人资质要求(XX): 1X络安全等级测评师证书; 2、具有注册信息安全专业人员证书-注册X师(即(CISP-CISE)证书); 3、具有人社部门(原人事部门)颁发的高级信息系统项目管理师; 4、具有注册数据安全治理专业人员(即CISP-DSG证书) 5、具有数据安全官证书(CCRC-DSO) 6、具有数据安全评估师(即CCRC-DSA) 7、具有注册信息安全专业人员证书-注册X师(即(CISP-PTE)证书) 8、具有信息安全保障人员认证证书(CISAW)-电子数据取证(专业级)方向证书。 此项最高得XX,每具有1个证书得1.5X。 (需同时提供相关证书复印件及近X相关部门印章的社保证明,所有证明材料需加盖供应商公章。未提供相关证明材料的不得X。) |
技术队X人员资质要求(不含技术总负责人)(8X): 1X络安全等级测评师证书(中级或以上)或信息安全等级测评师证书(中级或以上),每提供1个证书得1X,最高得2X; 2、具有注册信息安全专业人员证书(CISP),每提供1个证书得1X,最高得2X; 3X络空间安全系统评X师职称证书,每提供1个证书得1X,最高得2X; 4、具有信息安全保障人员应急服务方向认证证书(即(CISAW)证书),每提供1个证书得1X,最高得2X; 此项最高8X,团队人员具有以上证书的,每具有1个证书得1X,多个人员具有同种证书的不重复得X,同一个成员具有两种以上证书不重复得X。 (需同时提供相关证书复印件及近X相关部门印章的社保证明,所有证明材料需加盖供应商公章。得8X需提供8人及以上技术人员。未提供相关证明材料的不得X。) |
4 |
使用的测评工具情况(XX) |
根据供应商对采购需求文件中带“▲”的重要指标(共7项)满足与偏离程度进行评审:带“▲”指标全部满足的得XX,每有一项负偏离扣2X,扣完为止。【注:采购需求中要求提供证明资料的,必须提供,如不提供则视为负偏离。】 |
序号 |
评审项目及内容 |
评X细则 |
1 |
供应商具有计算机信息系统安全服务等级证(二级或以上,一级最高),须提供加盖公章的证书复印件(5X) |
提供得5X;未提供得0X。 |
2 |
供应商具有中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS证书),须提供加盖公章的证书复印件(5X) |
提供得5X;未提供得0X。 |
3 |
供应商具有ISOX质量管理体系证书、ISOX环境管理体系证书、ISOX职业健康安全管理体系证书、ISOX信息技术服务管理体系认证证书、ISOX信息安全管理体系认证证书(XX) |
需提供证书和全国认证认X***复印件加盖公章)。每提供1个得4X;最高得XX。 |
4 |
供应商具有由中国X颁发的数据安全服务能力评定资格证书,须提供加盖公章的证书复印件(5X) |
提供得5X;未提供得0X。 |
5 |
项目业绩(满X5X) |
提供本单位近3年来边界安全测评服务业绩(以合同签订日期为准),每提供1个得1X,最高得5X。(提供合同关键信息(内容至少包括合同首页、服务内容页、签字盖章页)扫描件作为业绩证明资料,原件备查,未提供或提供不全或证明材料不符X业绩不可以计入X公司业绩。 |
价格评X:
评审项目 |
评X细则 |
X值 |
价格 |
价格X统一采用低价优先法计算,即满足采购文件要求且最后报价最低的供应商的价格为基准价,其价格X为满X,其他供应商的价格X则按比例算出。
磋商报价得X=(基准价/供应商最后报价)×X%×X |
X |
注:测评工具要求
1、本项目在实施过程中所使用到的专业安全服务工具由投标人提供,响应供应商必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,不会侵害甲方或任何第三方的知识产权和其他权益,并保证工具和软件可用性和可靠性。由此产生的一切责任由响应供应商负完全责任(包括但不限于:采购人的经济损失;采购人因此支付的赔偿金、补偿金、罚金;采购人因维权、制止或减少损失所支付的律师费、诉讼费、调查取证费等费用)。
2、为确保响应供应商开展信息系统安全测评的服务质量,响应供应商必须采用符合国家标准的漏洞扫描设备辅助完成测评工作,投标时提供设备原厂授权书并加盖公章,必要时提供测评工具的演示,参数要求如下:
指标名称 |
指标项 |
详细要求 |
资产管理 |
资产探测 |
支持端口与服务发现。可对监控目标进行全端口扫描,并X理出服务的端口、应用软件类型、版本,并提供搜索接口可对目标进行搜索。 |
资产属性变更历史查询:可针对扫描结果进行回溯,查找IP地址以往开启的端口状况。 |
X络拓扑图,并支持手动编辑拓扑图(提供截图证明并加盖原厂公章,可提供演示)。 |
系统可针对扫描结果进行备注、添加标签 |
|
可用性检测 |
漏洞检测
|
扫描策略 |
支持SQL注入、XSS跨站脚本、命令执行、目录遍历、上传漏洞等检测 |
▲自动化解析json、baseX数据并进行扫描(提供界面截图并加盖原厂公章,可提供演示) |
漏洞验证 |
支持数据包调试,验证漏洞。 |
篡改检测 |
图片MD5比较;页面标题比较;删除链接提醒;新链接提醒;页面相似度阈值设置
▲定位到篡改的页面源码位置,高亮显示(提供界面截图并加盖原厂公章,可提供演示) |
支持Activex识别
|
系统漏洞扫描 |
扫描策略 |
漏洞规则超过X条, |
X络安X络防病毒Symantec、TrendMicro、McAfee)的安全漏洞。 |
能够扫描常见的应用软件漏洞(如IE浏览器、MSN、Mozilla
Firefox、Yahoo
Messenger、MS
Office、多媒体播放器、VMware虚拟机)的安全漏洞 |
数据库漏洞扫描 |
扫描策略 |
漏洞规则库包括X多条策略;覆盖权限绕过漏洞、SQL注入漏洞、访问控制漏洞、执行权限过大漏洞、访问权限绕过漏洞、DBMS漏洞、提取漏洞等 |
数据库木马扫描 |
▲支持扫描数据库中隐藏的木马病毒(提供界面截图并加盖原厂公章,可提供演示) |
恶意代码检测 |
▲木马病毒检查(提供界面截图并加盖原厂公章,可提供演示) |
等保合规 - 信息系统测评
|
支持新建等保测评任务,并支持设置基础信息系统SAG等级 |
支持录入基础信息系统内的机X络设备等、服务器、终端、应用软件等 |
内置等保检查指标,支持将工具检查结果与指标一键关联 |
支持问卷调查 |
支持导出等保测评报告 |
渗透测试 |
▲支持Whois信息获取、子域名爆破(字典)、子域名爆破(百度搜索引擎)、子域名爆破(Linkcn
PAI调用)、Web指纹识别、Web路径扫描(提供界面截图并加盖原厂公章,可提供演示) |
漏洞管理 |
提供漏洞管理机制,系统可自动识别新增漏洞、未修复漏洞,用户可标记漏洞状态,包括已修复、确认等。 |
扫描器联动 |
与传统漏洞扫描器集成。将资产信息下发至传统扫描器(包括X、AWVS等),进行全量安全扫描。 |
十、其他注意事项 (一)供应商须确保提交的各项资料真实、准确、有效。 (二)本项目不举行集中答疑。 十一、递交响应文件的时间、地点、方式 请将响应文件和相关附件于X年7月1日(星期三)
X:X前递交至黄埔区汇星路X号人防楼C栋X室;邮寄或者逾期送达的将视为无效,恕不接收。 十二、联系方式: 联系人:Xspan> 联系电话X-X 地址:Xtyle="margin-left: -0.Xin; margin-right: -0.Xin; text-indent: 0.Xin; margin-bottom: 0in; line-height: 0.4in; orphans: 2; widows: 2; background: #ffffff">
附件X.广州市XX生态环境保护指挥系统项目等保测评服务需求书 2.中小微企业声明函 3.承诺书 广州市XX X年6月X日
附件1:广州市XX生态环境保护指挥系统项目等保测评服务需求书.wps 附件2:中小微企业声明函.doc 附件3:承诺书.docx
点击查看原文
0
1091001718907711
0
|
