是否有视频,加载播放器正文开始
各供应商:
广州市生态环境局黄埔分局现对生态环境保护指挥系统(略)年网络安全等级保护测评服务进行询价,请符合资格条件的供应商根据我局采购需求、质量和服务要求,于(略)年7月1日(略):(略)
一、项目名称
广州市生态环境局黄埔分局生态环境保护指挥系统(略)年网络安全等级保护测评服务
二、采购单位
广州市生态环境局黄埔分局
三、项目内容
为响应国家政策要求,提高单位信息化整体水平,持续应对新型的安全风险和威胁,广州市生态环境局黄埔分局参照(《中华人民共和国网络安全法》,根据单位现有信息系统安全实际情况,依据国家网络安全等级保护相关规范与标准的要求,对我单位重要信息系统进行网络安全等级保护测评。(具体服务内容详见项目采购需求文件)。
四、项目服务期限与验收标准
(一)服务期限为合同生效之日起三个月。采购人根据工作实际情况,可将服务期限顺延至所有服务工作完成为止。
(二)验收标准:(略)
五、最高限价
项目最高限价为人民币捌万元整((略),(略).(略)元)。报价超过最高限价为无效报价。
六、供应商资质及要求
(一)供应商应具备《中华人民共和国政府采购法》第二十二条规定的条件;
(二)供应商在广东省政府采购网的电子卖场定点集市(信息技术服务(广州集采)-测试评估认证服务)供应商名录中可查,具有从事本项目的经营范围和能力,投标人无失信记录;
(三)本项目不接受联合体申报;
(四)本项目仅面向中小企业采购;
(五)未被列入“信用中国”网站(www.creditchina.gov.cn)“记录失信被执行人或重大税收违法失信主体或政府采购严重违法失信行为”记录名单;不处于中国政府采购网(www.ccgp.gov.cn)“政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间。(以资格审查人员于报价截止时间当天在“信用中国”网站(www.creditchina.gov.cn)及中国政府采购网(http:(略)
(六)单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目投标。
七、服务人员要求
1、为保证项目测评服务质量,供应商须成立3-8人(不含项目经理)的服务机构,并具有类似项目管理经验,须提供近半年在供应商购买社保证明和资格证书;
2、本项目的项目经理须具备高级网络安全等级测评师证书、注册信息安全专业人员证书-注册信息安全工程师(即(CISP-CISE)证书)、具有人社部门(原人事部门)颁发的高级信息系统项目管理师、具有注册数据安全治理专业人员(即CISP-DSG证书)、具有数据安全官证书(CCRC-DSO)、具有数据安全评估师(CCRC-DSA)、具有注册信息安全专业人员证书-注册渗透测试工程师(即(CISP-PTE)证书)、具有信息安全保障人员认证证书(CISAW)-电子数据取证(专业级)方向证书。
注:(略)
八、报价时须提供的资料
(一)证明符合供应商资质及要求的以下材料:
1.具有独立承担民事责任的能力:(略)
2.有依法缴纳税收和社会保障资金的良好记录:(略)
3.具有良好的商业信誉和健全的财务会计制度:(略)
4.参加采购活动前3年内,在经营活动中没有重大违法记录的承诺函。重大违法记录,是指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。(根据财库〔(略)〕3号文,“较大数额罚款”认定为(略)万元以上的罚款,法律、行政法规以及国务院有关部门明确规定相关领域“较大数额罚款”标准高于(略)万元的,从其规定)
(二)具体的网络安全等级保护测评服务方案文件、报价书、对应综合评分细则及分值所需的证明材料以及对应目录等;
(三)法定代表人证明书或法定代表人授权委托书和法定代表人或供应商授权代表身份证复印件;
(四)《中小企业声明函》;
(五)供应商认为有必要提供与本项目需求相关的其他资料(包括但不限于供应商过往类似项目的业绩证明材料、项目相关的服务方案、拟参与本项目的团队名单等)。
以上资料需加盖供应商单位公章并拷贝电子版资料一份,一并以保密信封的形式递交,不透明信封除标注“项目名称”和“报价函”字样外,不得有其他任何标识性文字和图案。
八、评审原则
(一)采购文件中,如标有“★”的地方均为必须完全满足指标,投标人须进行实质性响应,投标人若有一项带“★”的条款未响应或不满足,将按无效投标处理。
(二)本次采购的评审原则:(略)
九、评分细则
本次评标采用综合评分法,评分比重构成如下:
评分项目 | 技术评审 | 商务评审 | 价格评审 | 合计 |
分值 | (略)分 | (略)分 | (略)分 | (略)分 |
技术评分:
序号 | 评审项目及内容 | 评分细则 |
1 | 安全测评项目服务响应方案((略)分) | 安全测评项目服务响应方案应包括?公司简介、?项目目标、?项目组织与实施计划、?等级保护测评流程、?质量保证措施。方案正确理解项目需求内容,充分考虑项目特点。方案重点明确,特点突出,方案满足项目实施要求。对方案是否包含上述内容以及响应情况进行评审: 评审标准: 1、每提供上述一项内容的,得1分,最高得5分。未提供或未包含上述内容不得分。 2、在此基础上,评审委员根据各投标人的具体响应内容按照以下的评审因素指标进一步评审: (1)评审为优(响应全面、内容清晰、针对性强、可操作性强、延展性好)的,加4-5分; (2)评审为良(响应较全面、内容较清晰、针对性较强、可操作性较强、延展性较好)的,加3-4分; (3)评审为中(响应基本全面,内容清晰一般、针对性一般、可操作性一般、延展性一般)的,加2-3分; (4)评审为差(内容缺失或与项目关联度不大)的,加1-2分; (5)未提供安全测评项目服务响应方案得0分。 |
2 | 项目管理方案(6分) | 项目管理方案包括整体管理、范围管理、时间管理、质量管理、人员管理、风险管理等,对项目管理方案进行评审: 1.方案内容完整,满足或优于项目需求,得6分 2.方案内容较完整,基本满足项目需求,得4分; 3.方案内容不完整,部分满足项目需求,得2分; 4.方案内容单薄不合理,不能满足项目需求,得0分。 |
3 | 供应商参与本项目技术队伍能力情况(满分(略)分) | 技术总负责人资质要求((略)分): 1、具有高级网络安全等级测评师证书; 2、具有注册信息安全专业人员证书-注册信息安全工程师(即(CISP-CISE)证书); 3、具有人社部门(原人事部门)颁发的高级信息系统项目管理师; 4、具有注册数据安全治理专业人员(即CISP-DSG证书) 5、具有数据安全官证书(CCRC-DSO) 6、具有数据安全评估师(即CCRC-DSA) 7、具有注册信息安全专业人员证书-注册渗透测试工程师(即(CISP-PTE)证书) 8、具有信息安全保障人员认证证书(CISAW)-电子数据取证(专业级)方向证书。 此项最高得(略)分,每具有1个证书得1.5分。 (需同时提供相关证书复印件及近三个月内任意一个月的盖有政府相关部门印章的社保证明,所有证明材料需加盖供应商公章。未提供相关证明材料的不得分。) |
技术队伍人员资质要求(不含技术总负责人)(8分): 1、具有网络安全等级测评师证书(中级或以上)或信息安全等级测评师证书(中级或以上),每提供1个证书得1分,最高得2分; 2、具有注册信息安全专业人员证书(CISP),每提供1个证书得1分,最高得2分; 3、具有网络空间安全系统评测的助理工程师职称证书,每提供1个证书得1分,最高得2分; 4、具有信息安全保障人员应急服务方向认证证书(即(CISAW)证书),每提供1个证书得1分,最高得2分; 此项最高8分,团队人员具有以上证书的,每具有1个证书得1分,多个人员具有同种证书的不重复得分,同一个成员具有两种以上证书不重复得分。 (需同时提供相关证书复印件及近三个月内任意一个月的盖有政府相关部门印章的社保证明,所有证明材料需加盖供应商公章。得8分需提供8人及以上技术人员。未提供相关证明材料的不得分。) |
4 | 使用的测评工具情况((略)分) | 根据供应商对采购需求文件中带“▲”的重要指标(共7项)满足与偏离程度进行评审:(略) |
商务评分:
序号 | 评审项目及内容 | 评分细则 |
1 | 供应商具有计算机信息系统安全服务等级证(二级或以上,一级最高),须提供加盖公章的证书复印件(5分) | 提供得5分;未提供得0分。 |
2 | 供应商具有中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS证书),须提供加盖公章的证书复印件(5分) | 提供得5分;未提供得0分。 |
3 | 供应商具有ISO(略)质量管理体系证书、ISO(略)环境管理体系证书、ISO(略)职业健康安全管理体系证书、ISO(略)信息技术服务管理体系认证证书、ISO(略)信息安全管理体系认证证书((略)分) | 需提供证书和全国认证认可信息公共服务平台http:(略) |
4 | 供应商具有由中国软件评测中心颁发的数据安全服务能力评定资格证书,须提供加盖公章的证书复印件(5分) | 提供得5分;未提供得0分。 |
5 | 项目业绩(满分5分) | 提供本单位近3年来边界安全测评服务业绩(以合同签订日期为准),每提供1个得1分,最高得5分。(提供合同关键信息(内容至少包括合同首页、服务内容页、签字盖章页)扫描件作为业绩证明资料,原件备查,未提供或提供不全或证明材料不符合要求的,不予计取)。总公司业绩不可以计入分公司业绩。 |
价格评分:
评审项目 | 评分细则 | 分值 |
价格 | 价格分统一采用低价优先法计算,即满足采购文件要求且最后报价最低的供应商的价格为基准价,其价格分为满分,其他供应商的价格分则按比例算出。 磋商报价得分=(基准价/供应商最后报价)×(略)%×(略) | (略) |
注:(略)
1、本项目在实施过程中所使用到的专业安全服务工具由投标人提供,响应供应商必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,不会侵害甲方或任何第三方的知识产权和其他权益,并保证工具和软件可用性和可靠性。由此产生的一切责任由响应供应商负完全责任(包括但不限于:(略)
2、为确保响应供应商开展信息系统安全测评的服务质量,响应供应商必须采用符合国家标准的漏洞扫描设备辅助完成测评工作,投标时提供设备原厂授权书并加盖公章,必要时提供测评工具的演示,参数要求如下:
指标名称 | 指标项 | 详细要求 |
资产管理 | 资产探测 | 支持端口与服务发现。可对监控目标进行全端口扫描,并整理出服务的端口、应用软件类型、版本,并提供搜索接口可对目标进行搜索。 |
资产属性变更历史查询:(略) |
▲支持自动生成网络拓扑图,并支持手动编辑拓扑图(提供截图证明并加盖原厂公章,可提供演示)。 |
系统可针对扫描结果进行备注、添加标签 |
网站安全监控 | 可用性检测 | 检测网站是否可用;检测服务器响应时间;检测域名劫持 |
漏洞检测 | 扫描策略 | 支持SQL注入、XSS跨站脚本、命令执行、目录遍历、上传漏洞等检测 |
▲自动化解析json、base(略)数据并进行扫描(提供界面截图并加盖原厂公章,可提供演示) |
漏洞验证 | 支持数据包调试,验证漏洞。 |
篡改检测 | 图片MD5比较;页面标题比较;删除链接提醒;新链接提醒;页面相似度阈值设置 ▲定位到篡改的页面源码位置,高亮显示(提供界面截图并加盖原厂公章,可提供演示) |
网马和暗链检测 | 网马、暗链动态检测 支持Activex识别 |
系统漏洞扫描 | 扫描策略 | 漏洞规则超过(略)条, |
能够扫描常见的网络安全客户端软件(网络防病毒Symantec、TrendMicro、McAfee)的安全漏洞。 |
能够扫描常见的应用软件漏洞(如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器、VMware虚拟机)的安全漏洞 |
数据库漏洞扫描 | 扫描策略 | 漏洞规则库包括(略)多条策略;覆盖权限绕过漏洞、SQL注入漏洞、访问控制漏洞、执行权限过大漏洞、访问权限绕过漏洞、DBMS漏洞、提取漏洞等 |
数据库木马扫描 | ▲支持扫描数据库中隐藏的木马病毒(提供界面截图并加盖原厂公章,可提供演示) |
恶意代码检测 | ▲木马病毒检查(提供界面截图并加盖原厂公章,可提供演示) |
▲网站恶意代码检查(提供界面截图并加盖原厂公章,可提供演示) |
等保合规-信息系统测评 | 支持新建等保测评任务,并支持设置基础信息系统SAG等级 |
支持录入基础信息系统内的机房、安全设备、网络设备等、服务器、终端、应用软件等 |
内置等保检查指标,支持将工具检查结果与指标一键关联 |
支持问卷调查 |
支持导出等保测评报告 |
渗透测试 | ▲支持Whois信息获取、子域名爆破(字典)、子域名爆破(百度搜索引擎)、子域名爆破(LinkcnPAI调用)、Web指纹识别、Web路径扫描(提供界面截图并加盖原厂公章,可提供演示) |
漏洞管理 | 提供漏洞管理机制,系统可自动识别新增漏洞、未修复漏洞,用户可标记漏洞状态,包括已修复、确认等。 |
扫描器联动 | 与传统漏洞扫描器集成。将资产信息下发至传统扫描器(包括:(略) |
平台可导入传统扫描器如AWVS、APPSCAN等的扫描报告,进行统一展示。 |
十、其他注意事项
(一)供应商须确保提交的各项资料真实、准确、有效。
(二)本项目不举行集中答疑。
十一、递交响应文件的时间、地点、方式
请将响应文件和相关附件于(略)年7月1日(星期三)(略):(略)
十二、联系方式:
联系人:(略)
联系电话:(略)
地址:(略)
附件:(略)
2.中小微企业声明函
3.承诺书
广州市生态环境局黄埔分局
(略)年6月(略)日
附件1:(略)
附件2:(略)
附件3:(略)
正文结束