网络安全等级保护项目参数及要求.docx
《网络安全等级保护项目参数及要求.docx》由会员分享,可在线阅读,更多相关《网络安全等级保护项目参数及要求.docx(33页珍藏版)》请在冰点文库上搜索。
网络安全等级保护项目参数及要求
网络安全等级保护项目参数及要求
1.1项目名称
项目名称:
商丘医学高等专科学校网络安全等级保护测评项目
1.2项目基本情况
1.项目概况:
商丘医学高等专科学校网络安全等级保护测评项目
2.采购内容包括:
智慧化校园平台、网站群、教务管理系统和财务内控管理系统。
3.采购方式:
竞争性谈判
4.项目预算金额:
5.工期:
合同签订生效后30个工作日(不包含整改建设时间)。
6.服务地点:
采购人指定地点。
7.服务要求:
满足采购人要求。
8.质量标准:
符合国家或行业规定的合格标准,满足采购人提出的技术标准及要求。
9.验收标准:
满足采购人的验收标准及要求。
10.技术要求:
序号
技术分类
技术要求
1
需遵循的政策法规
《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》(1997年12月8日国务院信息化工作领导小组审定)
《计算机病毒防治管理办法》(2000年4月26日中华人民共和国公安部第51号令)
《计算机信息系统安全专用产品分类原则》(1997年4月公安部发布)
《计算机信息系统安全保护等级划分准则》(1999年9月国家技术监督局发布)
《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)
《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)
《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)
《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)
《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002)
《计算机信息系统安全等级保护管理要求》(GA/T391-2002)
《计算机机房场地安全要求》(GB9361-88)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中央27号文件)
投标人必须遵循但不限于以上法律法规
2
需遵循的行业规范
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息系统安全等级保护实施指南》(信安字[2007]10号)
《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号)(含附件)
《信息安全技术信息系统安全保护等级保护基本要求》
《信息安全技术信息系统安全保护等级保护定级指南》
《信息安全技术信息系统安全保护等级保护测评要求》
投标人必须遵循但不限于以上行业规范
3
定级工作
定级
依据
根据教育部《教育行业信息系统安全等级保护定级工作指南(试行)》文件要求对我校信息系统组织定级。
定级
内容
学校综合服务门户网站、智慧化校园平台、教务管理系统和财务内控管理系统。
专家
评审
由中标方根据相关要求组织专家召开定级评审会,时间地点由双方协商确定,所有费用包含在本次投标报价中
交付
成果
根据专家评审结果,由中标方完成《商丘医学高等专科学校门户网站和信息系统安全等级定级报告》的整理和提交。
4
备案工作
工作
内容
由中标方完成《信息系统安全等级保护备案表》的整理和公安局备案,并向招标方提供公安局出具的备案证明。
5
等级测评
测评
依据
本项目按照信息安全等级的测评标准进行安全等级测评。
测评
内容
安全技术测评:
包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个方面的安全测评。
安全管理测评:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评.
系统整体测评:
安全控制点间、层面间、区域间、系统结构安全等四个方面的安全测评。
测评具体要求
在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)和《信息安全技术信息系统安全等级保护测评过程指
南》(GB/T28449-2012)文件,根据本项目信息系统已完成的定级
备案安全等级,开展相应级别的安全等级测评工作,根据测评结果出具相应的单项和整体测评报告,测评报告需得到学校的确认,测评报告编制的内容及格式严格遵照《信息系统安全等级测评报告模版(2015)》(公信安【2014】2866号)进行。
交付
成果
依据
项目各阶段的测评过程文档(参照《信息安全技术信息系统安全等级
保护测评过程指南》)编制。
具体包括包括但不限于以下:
测评准备活动
●项目计划书
●被测系统基本情况分析报告
方案编制活动
●测评指导书
●信息系统安全测评方案
现场测评活动
●测评结果记录
●测评中发现的问题汇总
分析与报告编制活动
●单项测评结果汇总分析
●整体测评结果汇总分析
●风险分析和评估
●等级测评结论
●信息系统安全等级测评报告
6
安全整改
依据
依据商丘医学高等专科学校门户网站安全等级测评的相关报告,编制并提交相关的信息安全整改建议方案,并全程协助完成整改工作。
具体
要求
依照《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号),严格遵循《信息安全等级保护安全建设整改工作指南》各项要求,在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全建设整改方案,方案内容包含但不限于:
(1)信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算,整改后可能存在的其他问题;
(2)安全管理测评:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
过程文档及交付成果(包括但不限于)
安全等级测评整改技术方案,方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。
提交要求:
涉及所有被测评系统的安全整改方案,需包含但不限于如下内容:
等级化安全保障建议方案内容应包括但不限于以下方面:
●安全区域和等级划分;
●安全体系框架设计;
●等级化安全指标体系报告。
安全体系建设建议方案内容应包括但不限于以下方面:
●网络面临风险分析;
●针对性措施建议。
相关网络安全管理制度内容应包括但不限于以下方面:
●机房安全管理制度;
●网络故障应急预案及应急方案流程制度;
●客户端管理制度;
●数据备份及恢复制度;
●灾难恢复策略及制度。
7
★测评方案
投标人应提交针对本项目的测评方案,并要严格遵循国家相关规定和行业要求,能够从单位实际情况出发,通过测评工作有效解决相关问题,促进单位的网络安全建设工作。
8
★能力证明
供应商具有网络安全等级保护测评服务证明。
(提供证明材料)
2供应商须知
一、响应投标文件的编写
1、要求
1.1投标人应仔细阅读招标文件的全部内容,按招标文件的要求提供响应投标文件,并保证所提供的全部资料的真实性和可靠性,以使其文件对招标文件作出实质性响应。
投标人应接受采购单位和采购代理机构对其中任何资料作出进一步审查的要求,否则其响应投标将有可能被拒绝。
1.2投标人应认真检查招标文件中所有的须知、格式、条款、技术、规格和其它资料,如果投标人未按照招标文件的要求提交全部资料,或者提交的资料没有对招标文件在各方面作出实质性响应,可能导致其响应投标文件被拒绝,由此导致的不利后果由投标人自行承担。
1.3响应投标文件的和资格证明文件的主要内容格式部分中的各项内容和表格为评审的重要参考内容和依据,投标人应严格按照格式要求统一填写编制,否则,其响应投标将有可能被拒绝。
2、响应语言
2.1响应投标文件及投标人、采购单位和采购代理机构就响应交换的文件和来往信件,应以中文书写。
若投标人提交的资料为英文或其他语言文字文本,须附中文译文以让评审小组成员知晓内容,否则视为未提供该资料。
3、货币单位
3.1响应投标文件涉及到的货币价格一律使用人民币元为单位。
4、响应投标文件的组成及要求:
按照本招标文件中所附的表格内容完整填写。
4.1投标文件应按要求提供,即投标人应在所有资料的适当位置加盖公章,提供复印件材料的还应在相应位置加盖公章。
4.2投标文件内容填写说明
4.2.1投标人对采购项目的投标必须是对完整的一个项目的投标,必须逐项填写单价及总价。
4.2.2服务承诺书内容填写(该项内容的填写不得低于招标文件的基本要求)。
5、报价
5.1所有报价均以人民币报价。
5.2投标人应根据项目技术要求所列采购项目内容和要求进行报价,并由法定代表人或投标人代表签署。
5.3投标人对所投标项目报价只能一种方案,投标人所报的单价和以细目总价填报的价格在合同实施期间应保持不变,即不受市场价格及政策性价格的调整而增减,投标人提交可调整的报价的投标文件将按非响应性投标予以拒绝,采购代理机构不接受任何有选择的报价。
5.4投标人承诺报价高于采购单位采购计划价预算及有多种报价方案的不做为有效报价。
6、响应投标货物符合招标文件规定的证明文件
6.1投标人须提交证明拟提供货物和服务符合招标文件规定的技术投标文件,作为响应投标文件的一部份。
6.2证明货物和服务与采购文件的要求相一致的文件,可以是文字资料、数据或数码照片,它包括:
(1)货物主要技术指标和性能的详细说明。
(2)货物从采购单位开始使用至采购文件中规定的周期内正常、连续地使用所必须的备件和专用工具清单,包括备件和专用工具的货源及现行价格。
(3)对照采购技术规格,逐条说明所提供货物和服务已对采购单位的技术规格做出了实质性的响应,或申明与技术规格条文的偏差和例外。
7、投标文件的有效期
7.1投标文件以开标日之起计算,投标文件的有效期为60个日历天。
7.2在特殊情况下,在原有效期截止之前,政府采购代理机构可要求供应商同意延长投标有效期。
这种要求与答复均应以书面形式提交。
8、投标文件的签署及规定
8.1组成投标文件的各项资料均应遵守本条。
8.2投标人应按照招标文件的要求,在适当位置填写投标人全称并加盖公章。
8.3投标文件必须用不褪色的墨水填写或打印,投标文件不得涂改和增删,如有修改错漏之处,必须由有权的同一签署人签字或盖章。
如果正本与副本有不符之处,以正本为准。
8.4投标文件因字迹潦草或表达不清所引起的后果由投标人负责。
二、投标文件的递交
9、投标文件的密封及标记
9.1投标文件密封袋内装投标文件共一式三份(正本一份、副本二份),一旦正本和副本有差异,以正本为准,投标文件密封袋上须加盖投标人公章。
9.2如果投标人未按上述要求密封,采购代理机构对投标文件的误投和提前启封概不负责。
对由此造成提前开封的投标文件,采购代理机构有权拒绝,并退回投标人。
10、投标截止时间:
详见招标要求规定的投标截止时间
10.1投标文件必须在投标截止时间前邮寄到达或派人送达指定的投标地点。
10.2采购代理机构推迟投标截止时间时,应以书面或传真的形式,通知所有的投标人。
这种情况下,采购代理机构和投标人的权利和义务将受到新的截止期的约束,
10.3采购代理机构对投标文件在邮寄过程中的遗失或损坏不负责任。
10.4在投标截止时间以后送达的投标文件或未密封的投标文件,采购代理机构拒绝接受。
11、投标文件的修改和撤回
11.1投标以后,如果投标人提出书面修改和撤标要求,在投标截止时间前送达采购代理机构的,采购代理机构可以接受,但不退还投标文件。
11.2投标人提出的修改投标文件的书面材料,须密封送达采购代理机构或开标现场,同时应在封套上标明“修改投标文件(并注明采购编号)”和“开标时启封”字样。
11.3撤回投标文件应以书面或传真形式通知采购代理机构。
如采用传真形式撤回投标,随后必须补充有法定代表人或授权代表签署的要求撤回投标的正式文件。
撤回投标的时间以送达采购代理机构或邮电到达日戳为准。
11.4在投标截止时间后投标人不得撤回投标。
三、询价投标及评审办法
12.1采购代理机构按招标文件规定的时间和地点组织开标,投标人须派代表参加并签名报到,投标人代表评审全过程进行监督。
12.2投标人代表未准时参加开标会议的视为自动弃权。
12.3开标时,采购代理机构、投标人查验投标文件密封情况,确认无误后,当众宣读投标人名称及采购代理机构认为适当的其他内容。
13、投标程序
13.1采购代理机构根据本次询价投标采购的特点和有关规定组成评审小组,由采购单位代表和有关专家共3人及以上的单数组成,其中专家的人数不得少于成员总数的三分之二。
13.2评审小组审查投标人资格证明文件和响应书是否符合招标文件的基本要求、内容是否完整、价格构成有无计算错误、文件签署是否齐全等,投标人响应文件出现下列情形之一的,由评审小组初审后按无效投标文件不再进行评审:
(1)投标文件未经投标单位盖章和法定代表人签字或其被授权人签字;
(2)投标人不符合国家或者招标文件规定的资格条件;
(3)投标文件未按招标文件规定的装订要求装订、提交的投标文件正副本数量不足的;
(4)同一投标人提交两个以上不同的投标文件或者投标报价,但招标文件要求提交备选投标的除外;
(5)投标文件未按招标文件规定的格式填写、内容不齐全、字迹不清晰的;
(6)超出经营范围投标的;
(7)投标有效期不足的;
(8)投标人有串通投标、弄虚作假、行贿等违法行为的;
(9)投标文件附有采购人不能接受的条件的;
(10)没有实质性响应询价投标招标文件要求的。
13.3评审小组就有关商务、技术、报价等内容与供应商分别进行投标,在投标中,投标的任何一方不得透露与投标有关的其他供应商的技术资料、价格信息或者其他与投标有关的信息。
13.4投标人进行承诺报价。
13.5评审小组进行评审并推荐成交候选人。
14、投标文件的修正:
与招标文件有重大偏离的投标文件将被拒绝。
重大偏离系指投标文件的重大改变等明显不能满足招标文件的要求。
这些偏离不允许在开标后修正。
但采购代理机构将允许修改投标中不构成重大偏离的地方,这些修正不会对其他实质上响应招标文件要求的投标人竞争地位产生不公正的影响。
15、评审小组对投标文件作出的判定,只依据投标文件内容本身,不依据任何其他外来证明。
16、响应投标的澄清、说明、答辩和补正
16.1评审小组有权就投标文件中含混之处向投标人提出询问或澄清要求。
投标人必须按照采购代理机构通知的时间、地点进行答疑和澄清。
16.2必要时评审小组可要求投标人就澄清的问题作书面答复,该答复经投标人代表的签字认可,将作为响应投标文件内容的一部分。
16.3投标人在进行澄清、说明、答辩或补正时,不得超出采购文件的范围或改变投标文件的实质性内容。
17、评审
17.1采购代理机构根据有关法律和本次招标文件的规定,结合本采购项目的特点组建评委,对具备实质性相应的投标文件进行评价和比较。
17.2评审原则
17.2.1评审严格按照招标文件的要求和条件进行;
17.2.2评委只对实质上响应招标文件的投标文件进行评价和比较。
18.评审程序细则:
评标委员会按照《政府采购货物和服务招标投标管理办法》、《财政部关于加强政府采购货物和服务项目价格评审管理的通知》和《评标委员和评标方法暂行规定》,结合本次采购具体情况进行评标。
具体评标方法、评标细则如下:
评标办法采用最低评标价法
一、评审小组审核确认招标文件
二、投标文件初审分为资格性检查和符合性检查。
条款号
评审因素
评审标准
投标公司1
投标公司2…
资格性检查
投标文件
按照招标文件规定要求制作\密封\盖章\装订;
有法定代表人或其委托代理人签字或加盖单位章;
一正二副;
投标人名称与企业法人营业执照、证书一致;
投标报价
投标文件中对同一(货物或服务)未提供选择性总报价或选择性单项报价或选择性方案;
联合体投标人
不接受联合体投标;
符合性检查
投标有效期
符合招标文件规定
其他
符合招标文件规定
初审结果(合格\不合格)
三、详细评审(只有资格性检查和符合性检查通过的投标人方可进入详细评审)
(一)商务评审
评审小组还需对供应商的投标报价进行审核,看其是否有计算或打印上的错误。
修正错误的原则如下:
1.投标时,响应投标文件中报价一览表内容与响应投标文件中明细表内容不一致的,以投标报价一览表为准。
2.如果以文字表示的数据与数字表示的有差别,以文字为准修正数字。
如果大小写金额不一致的,以大写金额为准。
3.如果单价乘以数量不等于总价,以单价为准修正总价,但单价金额小数点有明显错误的除外,如果明细价格相加不等于汇总价格,以明细价格为准。
4.调整后的价格应对投标人具有约束力,投标人不同意以上修正,其投标将可能被拒绝。
(二)技术评审
投标人投标文件中应附有关证明材料(包括技术标准或设备(货物)产品在社会上公开公开发布(带技术参数)的彩页或检验报告)供评审小组审核评审。
评审小组认真审核投标人所提交的技术指标参数和功能是否满足招标文件要求,如有偏差按以下原则处理:
1.无偏差:
指投标文件(含所附证明材料)描述的完全满足或响应招标文件要求,被评审小组接受;
2.细微偏差:
指投标文件(含所附证明材料)描述的较小偏差,不一定影响到采购人对货物的使用、安全、环保等因素的仍视为通过;或有可能影响到采购人对货物的使用、安全、环保等因素的视为不通过。
具体由评审小组现场举手表决,少数服从多数原则。
3.较大或重大偏差:
指投标文件描述(含所附证明材料)所出现的偏差,不能被评审小组接受,严重影响到采购人对货物的使用、安全、环保等因素的,则其投标按废标处理。
计算过程四舍五入保留小数点后3位,结果按四舍五入保留小数点后2位
4.如果所有投标人均不满足本招标文件中的实质性(废标条款项)要求的,则计为第一次投标失败;投标失败后,评审小组可按以下两种情况处理:
(1)对本次询价投标作出投标失败的废标结果意见;
(2)在本次投标活动开始之前没有收到潜在供应商对本招标文件提出异议时,对招标文件中的实质性条款进行修改(调整),并以书面形式通知所有参加投标的供应商进行第二次投标。
如供应商不接受修改调整后的内容,则视为其自动放弃参与第二次竞谈的资格要求,参与第二次投标人的个数仍按上述28条
(一)款2项中的(5)原则进行。
19、成交基本条件,即必须同时满足以下要求:
19.1投标文件完全满足招标文件中所有的实质性要求;
19.2商务、技术能最大程度满足招标文件要求、评标价最低的投标人将作为成交候选人,且报价低于本次采购最高限价。
20、评审过程保密
20.1开标后,直到授予投标人合同止,凡是属于审查、澄清、评价和比较投标的有关资料以及授标意向等,均不得向投标人或其他无关人员透露。
20.2在开标期间,投标人企图影响采购代理机构或评委的任何活动,将导致投标被拒绝,并承担相应的法律责任。
21、最终审查
21.1最终审查的对象是采购项目的候选人,即意向授予合同的投标人。
21.2最终审查的内容是对投标货物的价格、性能、成交候选人履行合同的能力(即:
服务与技术状况、生产条件、资格、信誉)以及采购单位认为有必要了解的其他问题作进一步的审查。
21.3接受最终审查的成交候选人必须如实回答和受理采购单位的询问或考查,并提供所需的有关资料。
21.4为验证投标产品技术指标的真实、准确性,采购单位有权委托第三方检测机构对投标产品进行测试,若投标人投标的技术指标与测试结果偏差较大,或存在虚假投报现象,采购单位可决定否决该投标产品。
本验证方式和采购单位的否决同样适用于公布成交结果后。
21.5根据最终审查的结果对投标人进行排序并将供货协议以邮寄或传真等书面形式向成交供应商发出成交通知,将供货协议授予成交供应商。
21.6关于报价人瑕疵滞后发现的处理规则
无论基于何种原因,各项本应作拒绝报价处理的情形,即便未被及时发现而使该报价人进入初审、详细评审或其它后续程序,包括已经签约的情形。
一旦被发现存在上述情形,采购代理机构均有权决定取消该报价人的此前评议结果,或决定对该报价予以拒绝,并有权采取相应的补救及纠正措施。
22、出现下列情况之一,将对采购项目予以废标;
22.1出现影响采购公正的违法,违规行为的;
22.2投标人的报价均超过了采购单位采购计划价,采购单位不能支付的;
22.3因重大变故,采购任务取消的。
四、质疑须知
23.1质疑原则
质疑内容不得含有虚假、恶意成份。
依照谁主张谁举证的原则,提出质疑者必须同时提交相关确凿的证据材料和注明事实的确切来源,对捏造事实、滥用维权扰乱采购秩序的恶意质疑者或举证不全查无实据被驳回次数在一年内达三次以上,将纳入不良行为记录名单并承担相应的法律责任。
23.2质疑有关须知
质疑内容不得含有虚假、恶意成份。
依照谁主张谁举证的原则,提出质疑者必须同时提交相关确凿的证据材料和注明事实的确切来源,对捏造事实、滥用维权扰乱采购秩序的恶意质疑者或举证不全查无实据被驳回次数在一年内达三次以上,将纳入不良行为记录名单并承担相应的法律责任。
23.3质疑有关须知
第一条为保护政府采购当事人的合法权益,维护政府采购公平竞争环境,建立规范高效的政府采购质疑处理机制,依据《中国人民共和国政府采购法》、《政府采购质疑和投诉办法》(财政部94号令)等文件的规定执行。
3项目总体管理及技术要求
3.1项目背景
为落实《中华人民共和国网络安全法》、《关于深入开展教育行业信息系统安全等级保护工作的通知》教科技〔2015〕710号的通知。
商丘医学高等专科学校参照《信息安全等级保护管理办法》(公通字〔2007〕43号)、《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)和《信息安全等级保护安全建设整改工作指导意见》等相关文件要求,严格落实信息安全等级保护相关级别的安全管理和安全技术要求,实施网络安全等级测评工作,根据河南省公安厅等级保护管理部门反馈的“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合规定条件的测评机构,依据《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)技术标准,对我校智慧校园平台系统安全等级状况定期开展等级测评。
3.2项目范围
本项目测评范围包括以下方面:
智慧校园平台系统包含的子系统有:
网站群(门户网站系统)、财务系统(二级)
3.2.1项目要求
1.按照等保2.0技术标准完成商丘医学高等专科学校信息系统安全等级测评工作,提交信息系统的安全等级测评报告,依据测评报告编制整改建议方案,并协助完成整改工作。
2.完成商丘医学高等专科学校信息系统在当地网安部门的备案工作并取得相关等级备案证书。
3.为商丘医学高等专科学校提供一年的网络安全咨询服务。
4.为响应中华人民共和国网络安全法第二十五条,制定应急预案措施,保障网络安全持续稳定发展投标人至少有一名中级测评师在本地缴纳社保近6个月以上和该名测评师证书在本地公安部门有备案
3.2.2实施基本要求
鉴于测评工作实施的复杂性,投标人必须逐条予以明确以下承诺:
(1)在认证过程中,当与其它应用系统(含硬件、集成平台、应用系统、数据库系统等)发生任何矛盾时(如协作冲突、技术分歧等),均应服从招标人的协调或裁决。
(2)投标人实行项目总负责人制