深圳市人力资源和社会保障局信息安全服务项目招标书.docx
《深圳市人力资源和社会保障局信息安全服务项目招标书.docx》由会员分享,可在线阅读,更多相关《深圳市人力资源和社会保障局信息安全服务项目招标书.docx(21页珍藏版)》请在冰点文库上搜索。
深圳市人力资源和社会保障局信息安全服务项目
招标书
深圳市人力资源和社会保障局
2017年4月
本文档版权归深圳市人力资源和社会保障局所有,未经深圳市人力资源和社会保障
局书面批准,本文档中的任何内容都不允许被宣传、传播和发布。
根据工作需要,我局决定就深圳市人力资源和社会保障局信息安全服务项目进行招标,有关事项说明如下:
一、招标内容
(一)项目背景
为确保深圳市人力资源和社会保障局信息系统的稳定、安全运行,结合2017年深圳市党政机关信息安全联合检查和绩效评估要求,特对“深圳市人力资源和社会保障局2017年信息安全服务”项目进行公开招标。
依据国家、深圳市信息安全相关法规和指引文件,针对深圳市人力资源和社会保障局信息系统进行信息安全风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况等信息安全联合检查安全服务和绩效评估信息安全顾问服务,对安全服务过程中发现的脆弱点和问题提出科学、可行、有效的修复加固计划和建议,建立符合国家标准和深圳市电子政务要求的信息安全管理体系,并在服务期内,使系统长期保持在较安全的运行状态下。
(二)投标人要求
1、投标人必须为市政府采购中心注册供应商;
2、投标人须为独立法人机构;
3、本服务项目不允许联合体形式投标;
4、具有中国信息安全测评中心颁发的《信息安全服务资质认证证书》或广东省公安厅颁发的《广东省计算机信息系统安全服务等级证》;
5、供应商须提供近三年内(即至少从2014年4月开始起算,供应商成立不足三年的可从成立之日起算)无行贿犯罪记录承诺;
6、投标价格不高于人民币44万元。
(三)服务内容
见《深圳市人力资源和社会保障局信息安全服务项目需求说明书》(见附件)。
二、投标文件编制有关要求
贵公司如接受邀请决定参加投标,请按以下要求编制投标文件1式3份,其中正本1份,副本2份(投标文件的正本及所有副本的封面均须加盖投标人法人公章并加盖骑缝法人公章),内容包括但不限于:
(一)贵单位简介,加盖公章的营业执照、相关资质复印件。
(二)本次服务的工作方案。
(三)本次服务报价(以人民币为计量单位)。
三、投标文件的递交
(一)投标文件的密封和标记
1、投标人应将投标文件正本及副本分开各用两个封套装好密封,且在封套上标明“正本”“副本”字样。
封套的封口处须加盖投标人法人公章。
2.封套应注明:
“收件人:
深圳市人力资源和社会保障局信息安全服务项目”
投标文件北京时间2017年6月2日14:
30时之前不得启封”的字样。
3.如果封套未按投标人须知要求密封和加写标记,招标人对误投或过早
启封概不负责。
(二)投标截止时间
1、投标文件递交开始时间:
北京时间2017年6月2日9:
00。
2、投标文件递交截止时间:
北京时间2017年6月2日14:
30。
3、投标人务必于截止时间前,将有关文件按要求送达深圳市深南大道
8005号深圳人才园1069。
4、在推迟了投标截止时间的情况下,招标人和投标人受投标截止时间制约
的所有权利和义务均应延长至新的投标截止时间。
5、招标人将拒绝并原封退回在规定的投标截止时刻后收到的任何投标文件。
6、截至开标时,如不够三家投标人,本招标工作无效。
无论投标结果如何,投标者自行承担投标发生的所有费用。
(三)投标人在递交投标文件后,投标人不得对其投标文件做任何修改,亦
不得撤回其投标文件。
四、开标与评标
(一)开标
1、开标时间:
北京时间2017年6月2日14:
30时
2、开标地点:
深圳市深南大道8005号深圳人才园1071
(二)评标小组
本次招标组建评标小组,评标小组由3人组成。
本次招标组建监督小组,监督小组由2人组成。
(三)评标原则和方法
1、评分明细及标准
序号
评分项
权重
1
价格
20
评标方法:
综合评分法 平均价格下浮比例:
5%
评标方法说明:
价格分计算方法可分两种:
方法一:
价格分=[1-(投标报价-最低价)/最低价]×20×100;当价格分<0时,取0。
方法二:
价格分=[1-A×│1-投标报价/Z│]×20×100
Z---即本次招标的最佳报价,即对所有通过资格性检查和符合性检查且报价不超过预算控制金额的有效投标报价取算术平均值,并对算术平均值下浮10%作为本次招标最佳报价。
A---价格调整系数,当投标报价低于本次招标最佳报价时,A=0.5;当投标报价高于本次招标最佳报价时,取A=1。
说明:
投标供应商数量若不少于7家,采用方法二;否则,采用方法一。
2
技术服务
50
序
号
评分因素
权重
评分方式
评分准则
考察内容:
服务方案设计是否合理可行;项目进
度安排是否合理;对招标文件的各项
需求和要求及实现是否给予响应,是
1
服务方案设计
12
专家打分
否实现本项目的各项需求;
每项横向比较,分档评分:
评价为优
得80%-100%分数;评价为良得60%-
80%分数;评价为中得30%-60%分数;
评价为差不得分。
项目经理如具有信息系统项目管理师
(仅限工信部或人社部颁发)或PMP
证书或CISSP注册信息系统安全专业
人员认证资质或ITIL认证资质的,每
项证书得2分,最高得6分;都不具
2
拟安排的项目经理情况
6
专家打分
备,得0分。
要求提供该人员近3个
月社保资料(网页截图或窗口打印资
料或社保部门出具的证明均可)扫描
件(原件备查)作为评标依据。
评分
中出现无证明资料或专家无法凭所提
供资料判断是否得分的情况,一律作
不得分处理。
1名驻场项目团队成员工程师如同时具
备“CISP注册信息安全专业人员”和
“CISAW信息安全保障人员认证”认
证资质,得6分;只提供其中一种认
证证书,得3分;否则,得0分。
要
3
拟安排的项目团队成员
情况
6
专家打分
求提供项目团队人员近3个月的社保
资料(网页截图或窗口打印资料或社
保部门出具的证明均可)扫描件(原
件备查)作为评标依据。
评分中出现
无证明资料或专家无法凭所提供资料
判断是否得分的情况,一律作不得分
处理。
1、投标人提供的网站在线安全实时监
控产品为自主研发且具有计算机软件
著作权登记证书,得4分;否则,得
0分。
2、投标人提供的网站监控产品提供相
4
自主研发安全产品
6
专家打分
关的产品专利技术证明,得2分;否
则,得0分。
以上两项证明提供扫描件(原件备查),
评分中出现无证明资料或专家无法凭
所提供资料判断是否得分的情况,一
律作不得分处理。
为保障安全扫描服务质量,投标人须
自备绿盟极光硬件漏洞扫描系统(版
本不低于V5.0,型号不低于RSAS-S)
5
自备安全扫描设备
10
专家打分
与安恒明鉴扫描设备(版本不低于
V6.0型号不低于DAS-WS00-0)各一
台。
两项都符合得10分,否则得0分。
投标人须提供具备上述设备的书面承
诺。
6
安全监控及预警能力
10
专家打分
提供不少于3个城市IDC机房(每个城市均应包括移动、联通和电信运营商)部署监控探头证明文件,得4分,没有不得分;
为政府部门监管大规模政府网站提供安全监控服务的经验,并提供相关方案及监控截图等证明文件得3分,没有不得分;
投标方须建立网站安全监控室及监控展示平台,提供7×24人工监控服务。
须提供文字图片、办公地址、24小时值班电话等证明材料。
满足得3分,
没有不得分。
3
综合实力
25
序
号
评分因素
权重
评分方式
评分准则
1
投标人资质情况
20
专家打分
1、深圳市网络与信息安全突发事件应急处置专业技术队伍成员得4分,无得0分;
2、具有中国信息安全认证中心颁发的信息安全风险评估服务一级资质的得
6分,二级资质的得3分,其他得0分
3、具有国家信息安全认证中心授权的信息安全应急处理一级服务资质得6
分,二级服务资质得3分,其他得0
分;
4、具有国家信息安全测评中心授权的注册信息安全员与注册信息安全专业人员的培训资质得4分,无得0分。
以上各项均须提供相关证明文件。
2
投标人业绩情况
5
专家打分
投标人所签约的信息安全服务单位近三年(2014年至2016年)在深圳市党政机关信息安全联合检查情况通报文件中有被通报表扬的情况,每提供一个得1分,最高得5分。
证明文件:
1、须提供在深圳市党政机关信息安全联合检查情况通报文件以及投标人服务合同关键页复印件加盖投标人公章,原件备查;
2、没提供有效证明的,不得分。
4
公司诚信
5
序
号
评分因素
权重
评分方式
评分准则
1
公司诚信
5
专家打分
由供应商提供查询时间为本项目招标公告发布日之后的完整的企业信用信息资料截图证明或扫描件(以深圳信用网“信息打印”栏目中企业信用信
;
息资料为准);政府采购行政处罚记录查询情况由本项目评标委员会在评标时通过深圳市政府采购网系统查询。
根据深圳信用网()和政府采购行政处罚记录查询情况,投标人没有“警示信息”的得5分,有“警示信息”的得0分。
未提供深圳信用网企业信用信息资料的,或提供的内容不完整或不符合要求的得0分。
2、由我局自行组织有关人员组成采购评标小组(以下简称“评标小组”)按有关规定进行评标。
3、评定方法
(1)采用综合评标法,由采购评标小组确定中标单位,综合评估分最高的为中标候选人。
(2)综合评估分:
综合评估分(精确到小数点后两位)=价格得分+技术服务得分+综合实力得分+公司诚信得分。
(3)将综合评估分从高到低排序,得分相同的,按投标报价由低到高顺序排列。
得分且投标报价相同的,按技术得分高低顺序排列。
(4)如合格投标人不够三家,本招标工作无效。
(四)中标价格
中标人的报价即为中标价格。
(五)招标人的权利
招标人确定中标人后,无义务向未中标的投标人解释其未中标的原因。
五、纪律与相关事项
1.除投标人被要求对投标文件进行澄清外,从开标之时起至被授予合约书期间,投标人不得就其投标文件有关的事项主动与评标小组、招标人联系。
2.从开标之时起至授予合约书期间,投标人试图在投标文件审查、比较和
评价时对评标小组和招标人施加任何影响或对招标人的授标决定进行影响,都可能导致其投标资格被取消。
3.投标人不得串通作弊,以不正当的手段妨碍、排挤其他投标人,破坏公平竞争原则。
4.投标人获取的邀请函不得用作本次投标以外的任何用途。
5.投标人应保证其提交给招标人的资料和数据是真实的,并承担相应的法律责任。
6.投标人自行承担可能因资料遗漏、缺失等造成工作量估计不足的风险。
7.投标人应承担所有与编写和提交资格文件、投标文件有关的费用,不论投标的结果如何,招标人在任何情况下均无义务和责任承担这些费用。
六、有关本次招标之相关事宜,可以向招标人查询
招标人:
深圳市人力资源和社会保障局
联系人:
李剑 电 话:
0755-88123717
深圳市人力资源和社会保障局
2017年5月18日
附件:
深圳市人力资源和社会保障局信息安全服务项目需求说明书
1、本次招标的“信息安全服务项目”主要内容
1.根据深圳市信息安全风险评估指南和本年度信息化工作要求对深圳市人力资源和社会保障局包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息安全风险评估;
2.对深圳市人力资源和社会保障局信息系统进行全面梳理,协助深圳市人力资源和社会保障局依据信息系统的现状开展等级保护工作。
3.根据《2017年深圳市政府绩效评估信息安全指标考评标准操作规程》要求,定期提供业务系统服务器漏洞扫描、对外服务网站应用层漏洞扫描、网页防篡改状态检查、互联网安全保护技术状态检查、业务系统服务器恶意代码防范工具状态检查、个人终端漏洞扫描测试,并协助深圳市人力资源和社会保障局对发现的问题和漏洞进行修复。
4.对深圳市人力资源和社会保障局提供安全防范技术措施落实情况核查与优化、应急预案建设与演练、公众服务系统安全检测、安全培训等安全服务。
5.完成《2017年深圳市党政机关信息安全联合检查工作方案》规定的相关工作。
2、信息安全服务内容明细及要求
(一)安全服务内容
序号
大类
描述
子类
工作内容
全年次数
1
信息
以信息资产为主线,分
资产分析
分析所有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理
1
序号
大类
描述
子类
工作内容
全年次数
安全风险评估
析信息系统可能面临的威胁,当前存在的弱点以及弱点被袭击或带来破坏的可能性及影响,以此为基础对当前信息系统的安全风险进行分析和定义。
根据联合检查要求完成本年度的风险评估工作
等)的稳定性、可靠性、保密性、可用性、完整性等安全属性,对涉及安全的关键资产进行确认和划控。
,威胁分析
对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致威胁的问题所在,威胁发生的可能性有多大等问题进行分析。
1
弱点分析
从管理、技术两方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性
1
现有措施分析
分析已有的安全措施对安全风险的控制作用
1
风险分析
计算并得出当前系统仍存在的风险,并给出相应控制和管理风险的建议
1
评估报告
编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告
1
。
评估总结
编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结
1
2
信息系统加固修复
对在上年度联合联合检查中发现的问题进行加固修复,包含但不限于联合检查整改、风评结论整改等。
2017年
度信息安全联合检查整改
完善并落实2017年度信息安全联合检查的整改工作
1
2017年
度信息安全风险评估不可接受风险整改
完善并落实2017年度信息安全风险评估的不可接受风险整改工作
1
管理加固
对现有信息安全管理体系中存在的问题进行优化和完善,并协助甲方完成相关文档的编写和宣传
12
序号
大类
描述
子类
工作内容
全年次数
服务器加固
对全网的服务器进行漏洞扫描,并针对漏洞扫描结果给出修复建议,协助甲方完成系统加固并进行加固复核。
12
网络加固
对全网的网络设备和安全设备进行漏洞扫描,并针对漏洞扫描结果给出修复建议,协助甲方完成系统加固并进行加固复核。
12
应用系统和数据库系统加固
为所有B/S和C/S架构的应用系统提供修复加固技术支持和优化服务。
不限次数
安全策略加固
协助甲方对主机操作系统、应用系统的安全策略进行优化加固。
12
安全设备加固
协助甲方对安全设备中的配置、策略进行加固修复
12
3
信息安全制度自查与优化
建立与完善信息安全管理体系
信息安全制度自查
查找现有信息安全管理制度与联合检查要求之间的差距.
1
信息安全管理体系建设服务
建立与完善深圳市人力资源和社会保障局的信息安全管理机构、信息安全管理制度,建立符合我单位信息系统现状的信息安全管理体系。
4
安全防范措施自查与优化
检查现有信息系统中安全防范措施的落实情况对不符合检查要求的现状和措施进行优化和整改
外包软件安全检测
对我单位使用的相关外包开发软件进行安全检测。
不限次数
,涉密检查
协助我单位对非涉密存储介质进行检查。
检查内容包括:
非涉密设备存储、处理、传输涉密信息、非法外联、物理隔离、移动存储介质的混用、监控软件状态等
计算机资产统计
收集统计我单位在使用的计算机资产下列信息,包含:
a)计算机主机名;
b)计算机IP地址;c)计算机MAC地址;
1
序号
大类
描述
子类
工作内容
全年次数
d)计算机使用人或责任人;
e)计算机所属部门;
f)计算机的物理位置;
g)服务器的内外网IP对应。
安全防范
技术措施
有效性检
检查我单位信息系统现有安全防范技术措施的
有效性。
不限次数
查
5
应急体系建设与演练
建立符合信息系统现状的科学有效的应急预案并制定演练计划进行预案演练和验证
应急预案制定
应急预案建设
对我单位所有等保二级及以上信息系统和对公众服务的信息系统制定科学、有效的应急预案
1
应急技术支援队伍的建设
针应急预案的特点,建立合理、高效的应急技术支援队伍
,
应急预案演练
演练计划制定
对我单位所有等保二级及以上信息系统和对公众服务的信息系统制定科学、合理地的应急演练计划
演练预案培训
就应急预案内容对信息化相关岗位人员进行培训
应急演练实施
对应急预案进行演练,验证其可行性,并对发现的问题进行修正
应急预案修订
结合应急预案演练情况对预案进行修订和完善
为我单位信
对系统改
,技术方案咨询:
就新应用系统上线或网络结构改造、扩容等提供技术方案设计
不限次
信息
息系统提供
造、扩建
6
安全
例行全面的
顾问咨询
新系统的
服务
专业信息安
上线等提
全服务
供技术论
证和安全
咨询
序号
大类
描述
子类
工作内容
全年次数
技术论证咨询:
对新的安全体系的技术特点、功能进行论证
技术交流咨询:
就信息安全领域新的技术、体系与客户分享
安全通报
定期通报安全行业动态、系统漏洞和病毒预警信息
行业动态通报:
对信息安全领域的动态进行通报
不限次数
安全漏洞通报:
对新出现的安全漏洞进行通报
病毒安全通报:
对新出现的较严重病毒进行通报
7
协助完成安全自查及对直属单位信息安全检查
对直属单位组织开展信息安全检查工作
协助深圳市人力资源和社会保障局对直属单位的信息安全按绩效评估内容进行检测与检查,采用自查与抽查相结合方式进行检查,并对信息安全检查结果通报,指导相关单位完成信息安全整改工作.
1
8
信息安全绩效监测综合服务
服务器安全防护
每季度对单位服务器进行一次漏洞扫描,并协助对发现的漏洞进行整改。
4
网站安全防护
每季度对单位门户网站提供一次应用层漏洞扫描,并协助对发现的漏洞协助整改。
4
终端安全防护
每季度对配置IP地址的设备漏洞扫描,如发现问题,对发现的漏洞协助整改。
4
序号
大类
描述
子类
工作内容
全年次数
9
联合检查相关服务
未在上述逐一列举的
2017年信息安全联合检查的其它服务
严格按照2017年信息安全联合检查要求的,准时、优质的完成各项服务
不限次数
(二)安全服务要求
1.漏洞扫描服务要求
(1)每季度第一个月15日前,投标方需要制定深圳市人力资源和社会保障局本季度的信息系统及主机扫描计划(包含扫描时间、扫描设备信息、负责人等),通过部署在内网的深圳市党政机关信息安全联合工作平台(以下简称
“工作平台”)报送评估单位,并严格按照扫描计划开展信息系统及主机漏洞扫描工作。
(2)投标方在扫描开始前须对使用的扫描设备进行升级操作,确保扫描设备处于最新更新状态;进行扫描操作时,扫描设备与被扫描设备不能有防火墙隔离。
(3)在每季度末月份30日前通过工作平台报送当季度的服务器漏洞扫描报告。
(4)风险评估脆弱性识别过程中,投标方需要对深圳市人力资源和社会保障局风评范围内设备、系统进行漏洞扫描。
(5)投标方需要对深圳市人力资源和社会保障局的设备(已设置网络地址的服务器、终端、网络设备、打印机、一体机等)进行弱口令扫描。
(5)扫描结束后,编制主机信息系统漏洞扫描报告,提交至深圳市人力资源和社会保障局,督促并协助其对主机信息系统的漏洞进行修复。
(7)扫描频次:
每月1次。
设备名称及型号
配置
数量
(8)为保障安全扫描服务质量,投标人须为采购人提供绿盟极光硬件漏洞扫描系统与安恒明鉴扫描设备一年免费使用。
绿盟远程安全评估系统
版本不低于V5.0
型号不低于RSAS-S
1台
安恒明鉴Web应用弱点扫
描器
版本不低于V6.0
型号不低于DAS-WS00-0
1台
2.系统渗透测试服务要求
(1)投标方需要定期对深圳市人力资源和社会保障局信息系统、终端、服务器