第一章资质能力、商务要求及评分参考-j9国际官网

第一章资质能力、商务要求及评分参考

一、服务商须满足以下条件

1、具有独立承担民事责任的能力；

2、具有良好的商业信誉和健全的财务会计制度；

3、具有履行合同所必需的设备和专业技术能力；

4、有依法缴纳税收和社会保障资金的良好记录；

5、参加政府采购活动前三年内，在经营活动中没有重大违法记录；

6、法律、行政法规规定的其他条件

二、比选内容攀枝花市疾病预防控制中心综合管理平台（三级）等级保护测评服务系统名称安全保护等级测评地点综合管理平台（三级）等级保三级攀枝花市疾病预防控制中心护测评服务最高限价万9

三、比选流程由攀枝花市疾病预防控制中心采购小组择期组织现场审核资料，中心相关领域或部门专家（一般为3人及以上单数）和纪监相关人员，按照评分规则进行评比打分，并在比选结果上签字，根据最终打分排序，确定中选单位并公示报价单位必须具有《网络安全等级保护测评机构推荐证书》（或《网络安全等级测评与检测评估机构服务认证证书》）否则不能参与本次比选评分标准如下:评分因素及权序号分值评分标准说明重以本次经评审的有效的最低有效报价为基准价，报价得分二（基准价/报价）1报价分o注四舍五x入l00后x保40留%小数点后两位40投标人需根据采购内容提供本项目实施方案，方案应详细描述实施的各个方面,包括但不限于实施安排、测评内容、测评方法、项目管理与保障、整改建议、服务承诺等方案内容完整，思路清晰、服务完善、2分项目实施方案测评方法科学，完全符合项目需求的得分；方案内容完整、・20服务完善、符合项目需求的得-分1;5方案2内0容比较完整，基本满足项目需求的得分其余不10得-1分45-9评分因素及权序号分值评分标准说明重具有中国网络安全审查技术与认证中心颁发的信息安全服务资质，1认.证方向包括〃应急处理、风险评估〃得分；具有信息安全管理体系认证证书，认证方2向包括〃信息安全咨询服•2务〃得分；.具有信2息技术服务管理体系认证证书，认证方向包括〃信息安全咨须提供有效证3询服务〃得分；投标人综口书复印件并加3分,具有质量管2理体系证书，认证方向包括〃风险评估及技术服务〃实力盖投标人公章104得分；.具2有职业健康管理系统证书得分5注提供各类证书、证明材料复印2件加盖单位鲜章，上述项体系认证还需提供国家市场监督管理总局全国认证认可信息公共服3务平台相关查询结果截图提供相关人员有效的证书及近半年四川省缴纳社项目拟派人员不少于人，具有信息安全等级评测师（高级）证书、具保凭证复印件并有信息安全等级测评师5（中级»正书、信息安全保障人员（）证加盖投标人公章4分拟派人员资质书、重要信息系统保护人员证书）、信息技术应用c创is新aw考试评每项证书分,10价证书和计算机技术与软件专qi业p-技a术人员资格证书每人限一项2有.5效证书，各项证书可累计相加，本项分数最高分10提供相关证明材为保证项目实施和效果，供应商应具有在四川开展业务的经历，提供5业绩分四川省内近三年类似项目业绩证明，每提供一个得分，最多得料加盖投标人公分；10110章每项增值服务.提供咨询、培训服务得分，最多得,提供漏洞扫描和渗透测试服务6分免费增值服务

1.其他服务分3；2939评分因素及权序号分值评分标准说明重响应文件规响应文件制作规范，没有细微偏差情形的得分；有一项细微偏差扣7分范性分，直至该项分值扣完为止

110.5

三、商务及售后要求

1、中选服务商需在测评工作启动后30内出具《网络安全等级保护测评报告》；测评工作启动、项目验收后的六个月内分别对攀枝花市疾病预防控制综合管理平台完成一次漏洞扫描服务，并提供客观公正的漏扫报告

2、中选服务商需在签订合同后向采购单位约定的账户支付成交价的5%作为服务质保金，采购单位在完成项目验收后的六个月内退还

3、中选单位合同签订并在缴纳服务保证金后，采购人根据中选单位所提供的服务，完成初验后，采购单位一次性支付中选服务商合同款

4、中选供应商在测评过程中使用的检测工具（一台），检测工具由服务商推荐，经攀枝花市疾控中心确认后由服务商提供并在测评中使用应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等，并在项目验收后无偿的移交给采购单位

5、中选供应商必须承诺按照等级保护

2.0的相关要求对系统进行测评，并就系统的安全状况提出整体安全建设建议，并对采购人的网络安全建设提供无偿技术咨询服务

四、服务商资质要求

1、报价单位必须具有网络安全等级保护测评机构推荐证书

2、项目经理具有信息安全等级测评师（中级）证书、cisp证书、cisaw证书、£027001证书优先考虑

3、项目实施人员具有信息安全等级测评师（中级）证书、itil证书、cisaw证书优先考虑

4、项目实施人员具有信息安全等级测评师（中级）证书、£027001证书优先考虑

五、服务商需提供的资料（均需加盖公章）

1、营业执照复印件

2、企业资质证书或相关证明文件复印件；

3、法定代表人授权委托书原件及法定代表人、被委托人身份证复印件；

4、其它所需资料;

六、报价要求服务商须提供此次服务的总体报价，作为最终报价，整个项目实施过程中不再产生其他任何费用第二章技术要求

一、参考标准要求投标人应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准《中华人民共和国网络安全法》《信息安全等级保护管理办法》（公通字

[2007]43号）《gb/t22239-2019信息安全技术网络安全等级保护基本要求》《gb/t22240-2019信息安全技术网络安全等级保护定级指南》《gb/t25058-2010信息安全技术信息系统安全等级保护实施指南》《gb/t28448-2019信息安全技术网络安全等级保护测评要求》《gb/t28449-2018信息安全技术网络安全等级保护测评过程指南》

二、测评应满足的原则本次信息系统安全等级保护测评服务方案设计，以及具体实施内容应满足以下原则1保密原则对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任2标准性原则测评方案的设计与实施应依据国家等级保护的相关标准进行3规范性原则投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制4可控性原则等保测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性5整体性原则等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面6最小影响原则等保测评服务工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作

三、本次安全等级保护测评的整体要求1服务商应详细描述本次项目整体实施方案，包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等2应详细描述服务人员的组成、资质及各自职责的划分应配置有经验的测评人员进行本次等级保护测评工作3本次服务项目实施过程中所使用到的各种工具软件由服务商推荐，经攀枝花市疾控中心确认后由服务商提供并在测评中使用应详细描述所使用的安全测评工具软硬件型号、功能和性能描述、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等4安全测评工具软件运行可能需要的硬件平台如笔记本电脑、pc、工作站等和操作系统软件等由服务商推荐，经攀枝花市疾控中心确认后由投标人提供并在测评中使用5安全测评需要的运行环境如场地、网络环境等由攀枝花市疾控中心提供，服务商应详细描述需要的运行环境的具体要求

四、总体进度要求信息系统安全等级保护测评整个工作应在合同签定后30天内完成测评项目从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面对本次项目所含系统进行测评测评须涵盖本项目所列系统涉及的所有硬件及软件物理安全测评包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护网络安全测评包括:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护主机安全测评包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防护、恶意代码防范、资源控制应用安全测评包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制数据安全包括数据完整性、数据保密性、数据备份与恢复安全管理制度测评包括管理制度、制定和发布、评审和修订安全管理机构测评包括岗位设置、人员配备、授权和审批、沟通与合作、审核与检查人员安全管理测评包括人员录用、人员考核、人员离岗、安全意识教育和培训、外部人员访问管理系统建设管理测评包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择系统运维管理测评包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理

五、交付文档序号项目阶段输出成果《测评计划书》、《调研结果报告》、《工具清单》、《信息安全等级1测评准备阶段保护测评方案》、《测评指导书》2现场测评阶段《网络安全等级保护测评过程文档》3现场结果分析《网络等级安全保护测评加固建议方案》4报告编制《网络安全等级保护测评报告》5备案《等保定级报告》《备案表》6安全服务《安全培训方案和相关文档》、《漏洞扫描报告》、《渗透测试报告》。