德阳市统计局2019年“二级等保测评”服务项目公开招标的通知

各相关供应商：

 我局将采用公开招标的方式，购买德阳市统计局网站系统“二级等保测评”服务。请各供应商按照附件的要求准备资料，并按时参加开标。

                                           德阳市统计局

                                           2019年9月6日

附：德阳市统计局采购文件

德阳市统计局等级保护测评服务项目

采

购

文

件

采 购 人：德阳市统计局

日    期：2019年9月

各供应商：

根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕第861号）等有关要求，现拟对德阳市统计局网站系统等级保护测评服务项目安全等级保护测评服务工作进行采购。具体事项如下：

一、  项目名称：德阳市统计局等级保护测评服务项目。

二、  预算金额：5万元

三、采购内容

四、报名及开标事项：

1、截止报名时间：2019年9月20日下午2：30时

   现场开标时间：2019年9月20日下午3：00时

2、开标地点：德阳市统计局（德阳市旌阳区长江西路一段37号市政府13楼02号办公室）。

3、采用现场评分模式，评分标准见后续内容。

4、未按时到指定地点参与开标的视为弃权，采购人不予受理。

五、本次采购联系事项

联系科室：德阳市统计局大数据中心  电话：0838-2221550。

采购要求

(一)对供应商资格性审查的相关要求：

（1）具有独立承担民事责任的能力。

（2）具有良好的商业信誉和健全的财务制度。

（3）具有履行合同所必须的设备和专业技术能力。

（4）具有依法缴纳税收和社会保障资金的良好记录。

（5）参加本次采购活动前三年内，在经营活动中没有重大违法违规记录。

（6）法律和行政法规规定的其他条件。

（7）具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。

（8）本项目不接受联合体投标。

(二)测评目的

（1）通过等级保护测评，验证信息系统的安全性。

（2）对信息系统的安全状态做出判断，验证其是否符合等级保护要求。同时，将测评结论作为进一步完善系统安全防护措施的依据。

（3）出具信息安全等级保护测评报告。

（4）完成公安等级保护备案。

(三)测评依据

合格供应商应按照相关国标进行等级保护测评服务，包括不限于以下标准：

  GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求

GA/T 1389—2017信息安全技术网络安全等级保护定级指南

  GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南

  GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南

  GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求

  GB/T 20984-2007信息安全技术信息安全风险评估规范

  GB/T 18336.1-2008信息技术安全技术信息技术安全性评估准则

(四)网络安全等级保护测评服务需求和技术要求

4.1项目概述

本次测评的主要是根据GB 17859-1999《计算机信息系统安全保护等级划分准则》信息安全的相关标准，对德阳市统计局网站系统在技术和管理两个方面的10个大项内容进行逐一的检查和测试，其内容涉及信息系统的物理安全、网络安全、主机安全、应用安全、数据安全和管理安全等，以核查德阳市统计局网站系统已有的信息安全防护措施是否达到国家关于信息安全等级保护相应等级的防护要求，找出系统在信息安全方面存在的脆弱点，并提出安全整改建议。通过测评来发现问题、解决问题，从而帮助系统的使用者规避信息安全风险。

经我单位初步测算，德阳市统计局网站系统（共1个二级信息系统）需要进行等级保护测评服务。中标人将在招标人指定地点完成所有信息系统的等级保护测评服务，并提出整改建议。

4.2项目管理

供应商必须提供完整的项目管理方案，投标人需针对以下项目管理要求进行项目管理服务承诺，未提供项目管理服务承诺视为无效投标人。

1、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定，提供客观、公平、公正、有效的等级保护测评服务，并承担相应的法律责任；

2、应具备能够保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力；

3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议，测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允许，不得擅自复制、保留；

4、供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。

5、测评工具要求

（1）采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件；

（2）采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同类产品；

（3）采用的测评工具的生产商应为正规厂商，能够对产品进行持续更新并提供质量和安全保障；

（4）测评机构所使用的测评工具不会对单位系统产生破坏或负面影响。

4.3   技术要求

4.3.1    网络安全等级保护测评要求

1、投标人应详细描述本次项目整体实施方案，包括项目概述、等保测评服务方案、项目实施方案等。

2、投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

4.3.2网络安全等级保护测评的具体要求

1、信息系统技术安全测评

（1）物理安全测评：物理安全检测应当包含物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。

（2）网络安全测评：网路安全测评应当包含结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。

（3）主机安全测评：主机安全测评应当包含身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

（4）应用安全测评：应用安全测评应当包含身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

（5）数据安全及备份恢复测评：数据安全及备份恢复测评应当包含数据完整性、数据保密性、备份和恢复。

2、信息系统管理安全测评

（1）安全管理制度测评：安全管理制度测评应当包含管理制度、制定与发布、审批和修订。

（2）安全管理机构测评：安全管理机构测评应当包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（3）人员安全管理测评：人员安全管理测评应当包含人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。

（4）系统建设管理测评：系统建设管理测评应当包含系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全供应商选择。

（5）系统运维管理测评：系统运维管理测评应当包含环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

4.3.4项目交付文档

项目实施过程及完成后，投标人应向采购人提交包含但不限于以下的文档：

《网络安全系统漏洞扫描报告》

《信息系统安全等级定级报告》

《网络安全等级整改建议》

《网络安全等级测评报告》

《信息系统渗透测试报告》

4.4   商务要求

1、付款方式:测评工作完成，乙方出具测评报告经甲方认可，并通过公安局备案之后，乙方开具等额发票，甲方收到乙方开具的等额发票后15个工作日内，甲方向乙方支付合同全部金额。

2、服务期：合同签订后30日历天。

3、服务地点：德阳市统计局（德阳市长江西路一段37号市政府13楼）。

4、履约与验收：本项目采购人及其委托的采购代理机构将严格按照政府采购相关法律法规以及《四川省政府采购项目需求论证和履约验收管理办法》（川财采〔2015〕32号）的要求进行验收。

(五)保密要求

在服务过程中，需严格遵循保密原则。双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不得向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。

(六)评审方法及成交原则

1. 由采购人组建的采购小组按照采购文件要求，确定为符合采购文件资质要求，且实质上响应采购文件要求的报价文件进行评价和比较。

2. 评审方法：综合评标法，即在全部满足采购文件实质性要求前提下，依据统一的评分要素评定评分，以最高评分的供应商作为成交供应商。其成交原则是“符合采购需求、质量和服务要求且评分最高”。其操作程序为：采购小组将对通过符合要求的供应商按照其评分由高到低的顺序进行排序。

(七)采购废除情况

下列情况之一的，将作采购废除处理：

1、对采购文件作出实质性响应的供应商不足三家的；

2、出现影响采购公正的违法、违规行为的；

3、供应商的报价均超过了采购预算，采购人不能支付的；

4、因重大变故，采购任务取消的；

作采购废除处理后将重新组织开展采购活动。

(八)商务要求

1、付款方式

根据双方签订的合同约定。

2、交货要求

交货时间：按照双方签订合同执行。

交货地点：采购人指定地点。

(九)报价文件要求

供应商须在截至期前提交报价文件：

1、投标函、报价表

2、供应商资格证明材料

3、其他（供应商认为需提供的材料）

报价文件装订成册，正本一份副本两份，且密封完好。

(十)评分标准