广西壮族自治区商务厅RCEP、CPTPP数据库商用密码应用安全测评项目和升级改造项目采购公告

正文内容

根据工作需要，我厅决定采购**壮族自治区商务厅RCEP、CPTPP数据库商用密码应用安全测评项目和升级改造项目两个项目，现将采购信息公告如下，欢迎符合条件的供应商报名参与竞争。 一、RCEP、CPTPP数据库商用密码应用安全测评项目 （一）服务内容和要求 项号 服务名称 数量 服务内容和要求 * **壮族自治区商务厅**RCEP、CPTPP数据库商用密码应用安全测评服务 * 一、项目需求 依据《信息安全技术信息系统密码应用基本要求》（GB/T*****-****）为**壮族自治区商务厅**RCEP、CPTPP数据库商用密码应用安全测评项目约定的信息系统提供商用密码应用安全性评估服务，具体包括：商用密码应用方案开展安全性评估，以及从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置*个层面的商用密码应用系统密评，出具商用密码应用安全性评估报告，并协助完成商用密码应用安全性评估结果备案工作。 二、技术要求 （一）商用密码应用方案评估要求 按照GB/T*****-****《信息安全技术 信息系统密码应用指南》对商用密码应用方案进行评估，并出具评估报告。 （二）商用密码应用系统密评要求 *、系统安全性评估 从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全*个层面对信息系统中商用密码应用的合规性，正确性，有效性进行安全性评估。 物理和环境安全层面测评要求：通过访谈、文档审查、实地查看、配置检查、工具测试等方案对物理和环境层面的身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性进行评估。 网络和通信安全层面测评要求：通过访谈、文档审查、实地查看、配置检查、工具测试等方案对网络和通信层面的身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证进行评估。 设备和计算安全层面测评要求：通过访谈、文档审查、实地查看、配置检查、工具测试等方案对设备和计算层面的身份鉴别、远程管理通道安全、系统**访问控制信息完整性、重要信息**安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性进行评估。 应用和数据安全层面测评要求:通过访谈、文档审查、实地查看、配置检查、工具测试等方案对应用和数据层面的身份鉴别、访问控制信息完整性、重要信息**安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性进行评估。 *、安全管理测评要求 管理制度层面：通过访谈、文档审查对管理制度的具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存进行评估。 人员管理层面：通过访谈、文档审查了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度进行评估。 建设运行层面：通过访谈、文档审查制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行**行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习进行评估。 应急处置层面：通过访谈、文档审查应急策略、事件处置、向有关主管部门上报处置情况进行评估。 *、保密要求 （*）供应商对有关采购单位信息化建设项目的一切资料和信息保密。 （*）供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系，不得利用所处地位通过上述单位直接或间接获益。 （*）供应商对采购单位保密信息的保密期限为永久。 其他要求 服务期及服务地点： *、服务期：自合同签订之日起的**日内。 *、服务地点：*****良庆区**大道**号中国-东盟经贸中心。 （二）采购预算金额 本项目预算金额（含税）共*万元人民币（大写：柒万元整）。 （三）竞争人资质要求 *.具有独立法人资格； *.国内注册，经营本次采购服务的供应商； *.具有独立承担民事责任的能力； *.有依法缴纳税收和社会保障资金的良好记录； *.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单； *.特定资格要求：供应商应被纳入《商用密码应用安全性评估试点机构目录》（国家密码管理局第**号公告）中的机构。 （四）需提交的竞争文件（一式五份）： *.报价函（格式自拟）; *.法定代表人授权书（格式自拟并附法定代表人身份证复印件及被授权人身份证复印件）; *.营业执照及相关资质证书复印件，以上材料须加盖单位公章； *.项目服务方案（格式自拟）; *.业务能力证明。 （五）响应文件递交截止时间、地点和方式 *.响应文件递交截止时间：****年*月**日**时*分*秒前（**时间）。 *.响应文件递交截止地点及接收人：*****良庆区**大道**号中国-东盟经贸中心*号楼****室 来守林。 *.响应文件递交方式：面交或邮政快递。 （六）采购截止时间 本采购信息公告自发布之日起，公告期限为*个工作日。 （七）评审标准 *.评审方法 本项目采用综合评分法进行评审。综合评分法，是指满足采购资质要求且按照评审标准得分最高的供应商为成交候选人的评审方法。 *.评分表 评 定 内 容 及 标 准 满分值 一、商务部分（评审小组共同认定） **分 *、供应商业绩 *分 供应商提供近三年三级以上信息系统商用密码应用安全性评估项目业绩（提供合同关键页），提供一个得*.*分，最高得*分。 *、资质证书及荣誉 **分 ①具备ISO*****环境管理体系认证证书、ISO*****职业健康安全管理体系认证证书、ISO/IEC*****信息安全管理体系认证证书、ISO*****信息技术管理体系证书、ISO****质量管理体系认证证书，得*分，缺少一项扣*分； ②具备中国合格评定国家认证委员会检验机构认可证书（CNAS认证），认可能力需包含商用密码应用安全性评估，得*分； ③具备CCRC信息安全风险评估资质认证证书，得*分； ④具备健康、安全与环境管理体系HSSE认证证书，得*分；⑤具备中国密码学会会员单位证书，得*分。 【提供相关证书复印件并加盖公章，未提供不得分】 二、技术部分 **分 *、技术方案 **分 供应商需针对本项目提供详细的项目实施方案，内容包括但不限于： ①项目需求理解与分析； ②商用密码应用与安全性评估方案； ③项目团队人员安排； ④项目管理措施； ⑤质量管理方案； ⑥项目进度计划。 以上方案内容完整清晰明确且科学合理、可行性高具有针对性并满足采购需求的得**分，每缺少一项内容扣*分；每有一项内容不完整或未能满足采购需求的或每有一处不具有针对性或逻辑性错误且不完整的扣*分；扣完为止。 *、项目负责人（限*人） **分 具有国家商用密码应用安全性评估人员测评能力考核小组颁发的商用密码应用安全性评估人员资格证书（提供原件备查）在此基础上： *、具备网络安全等级保护测评师证书（高级），得*分； *、具备高级网络信息安全工程师，得*分； *、具备高级信息系统项目管理师证书或PMP证书，得*分； *、具备中国信息安全测评中心颁发的注册电子数据取证专业人员（CISP-F），得*分； *、具备中国信息安全测评中心颁发的注册渗透测试工程师（CISP-PTE），得*分。 【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续*个月的社保证明。】 *、团队成员（至少*人） **分 具有国家商用密码应用安全性评估人员测评能力考核小组颁发的商用密码应用安全性评估人员资格证书（提供原件备查）在此基础上： *、团队成员具备网络安全等级测评师证书（中级），得*分； *、团队成员具备密码工程师（高级）证书，得*分； *、团队成员具备信息安全管理工程师（高级）证书，得*分； *、团队成员具备注册电子取证专业人员证书（CISP-F），得*分； *、团队成员具备注册渗透测试工程师（CISP-PTE）证书，得*分。 【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续*个月的社保证明】 三、售后服务 **分 根据投标人提供的售后支持服务方案，至少包括服务承诺、服务标准、服务流程、服务内容、响应时间、保障措施、应急解决方案等内容进行综合打分。 有详细具体的售后服务方案，售后服务承诺保障方案合理，针对本项目能给出具备实际意义的措施及建议，能有效满足需求项目需求得**分； 售后服务方案科学合理、有针对性，但方案不够全面，可行的措施及建议较少，能基本满足需求项目需求得*分； 售后服务方案略有欠缺，可行性较低，可行的措施及建议较少得*分； 无售后服务保证措施及方案或方案不可用者不得分。 四、价格部分 **分 满足招标文件要求且价格最低的投标报价为评标基准价，其价格分为满分，其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价/有效投标报价）×**。对于投标报价明显低于正常*场价格的提供相关证明文件。 （八）服务单位的选定 通过评审，择优选定服务单位后，我厅将通知该单位，并与该单位签订项目服务合同。 二、RCEP、CPTPP数据库商用密码应用安全升级改造项目 （一）服务内容和要求 项号 服务名称 数量 服务内容和要求 * **壮族自治区商务厅**RCEP、CPTPP数据库商用密码应用安全升级改造 * 一、项目需求 依据《信息安全技术信息系统密码应用基本要求》（GB/T*****-****）为**壮族自治区商务厅**RCEP、CPTPP数据库商用密码应用安全升级改造项目约定的信息系统提供商用密码应用安全升级改造服务，具体包括：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置*个层面对现有系统开展商用密码应用安全升级改造，达到国家和自治区有关技术标准和要求。 二、技术要求 能够与系统原建设单位融洽沟通，顺利在原有系统基础上进行升级改造。 *、密码技术应用安全升级改造要求 从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全*个层面对信息系统中商用密码应用的合规性、正确性、有效性进行升级改造。 根据测评标准,通过升级改造达到物理、环境安全、网络和通信、设备和计算安全等层面测评要求。 *、安全管理升级改造要求 对现有系统管理制度、人员管理提出规范化和标准化建议，提升系统商用密码应用安全水平。 *、应急处置升级改造要求 提出系统商用密码应用安全应急处置方案，提出合理化建议。 *、保密要求 （*）供应商对有关采购单位信息化建设项目的一切资料和信息保密。 （*）供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系，不得利用所处地位通过上述单位直接或间接获取益处。 （*）供应商对采购单位保密信息的保密期限为永久。 其他要求 服务期及服务地点： *、服务期：自合同签订之日起***日内。 *、服务地点：*****良庆区**大道**号中国-东盟经贸中心。 （二）采购预算金额 本项目预算金额（含税）共**万元人民币（大写：壹拾叁万元整）。 （三）竞争人资质要求： *.具有独立法人资格； *.国内注册，经营本次采购服务的供应商； *.具有独立承担民事责任的能力； *.有依法缴纳税收和社会保障资金的良好记录； *.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单； *.特定资格要求：供应商应具备软件开发能力。 （四）需提交的竞争文件（一式五份）： *.报价函（格式自拟）; *.法定代表人授权书（格式自拟并附法定代表人身份证复印件及被授权人身份证复印件）; *.营业执照及相关资质证书复印件，以上材料须加盖单位公章； *.项目服务方案（格式自拟）; *.业务能力证明。 （五）响应文件递交截止时间、地点和方式 *.响应文件递交截止时间：****年*月**日**时*分*秒前（**时间）。 *.响应文件递交截止地点及接收人：*****良庆区**大道**号中国-东盟经贸中心*号楼****室 来守林。 *.响应文件递交方式：面交或邮政快递。 （六）采购截止时间 本采购信息公告自发布之日起，公告期限为*个工作日。 （七）评审标准 *.评审方法 本项目采用综合评分法进行评审。综合评分法，是指满足采购资质要求且按照评审标准得分最高的供应商为成交候选人的评审方法。 *.评分表 评 定 内 容 及 标 准 满分值 一、商务部分（评审小组共同认定） **分 *、供应商业绩 *分 供应商提供近三年软件开发项目业绩（提供合同关键页），提供一个得*.*分，最高得*分。 *、资质证书及荣誉（软件开发资质要求） **分 ①具备ISO*****环境管理体系认证证书、ISO*****职业健康安全管理体系认证证书、ISO/IEC*****信息安全管理体系认证证书、ISO*****信息技术管理体系证书、ISO****质量管理体系认证证书，得*分，缺少一项扣*分； ②具备中国合格评定国家认证委员会检验机构认可证书（CNAS认证），认可能力需包含商用密码应用安全性评估，得*分； ③具备CCRC信息安全风险评估资质认证证书，得*分； ④具备健康、安全与环境管理体系HSSE认证证书，得*分；⑤具备中国密码学会会员单位证书，得*分。 【提供相关证书复印件并加盖公章，未提供不得分】 二、技术部分 **分 *、技术方案 **分 供应商需针对本项目提供详细的项目实施方案，内容包括但不限于： ①项目需求理解与分析； ②商用密码应用与安全性升级改造方案； ③项目团队人员安排； ④项目管理措施； ⑤质量管理方案； ⑥项目进度计划。 以上方案内容完整清晰明确且科学合理、可行性高具有针对性并满足采购需求的得**分，每缺少一项内容扣*分；每有一项内容不完整或未能满足采购需求的或每有一处不具有针对性或逻辑性错误且不完整的扣*分；扣完为止。 *、项目负责人（限*人） **分 具有软件开发工程师证书（提供原件备查）在此基础上； *、具备网络安全等级保护测评师证书（高级），得*分； *、具备高级网络信息安全工程师，得*分； *、具备高级信息系统项目管理师证书或PMP证书，得*分； *、具备中国信息安全测评中心颁发的注册电子数据取证专业人员（CISP-F），得*分； *、具备中国信息安全测评中心颁发的注册渗透测试工程师（CISP-PTE），得*分。 【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续*个月的社保证明。】 *、团队成员（至少*人） **分 具有国家商用密码应用安全性评估人员测评能力考核小组颁发的商用密码应用安全性评估人员资格证书（提供原件备查）在此基础上： *、团队成员具备网络安全等级测评师证书（中级），得*分； *、团队成员具备密码工程师（高级）证书，得*分； *、团队成员具备信息安全管理工程师（高级）证书，得*分； *、团队成员具备注册电子取证专业人员证书（CISP-F），得*分； *、团队成员具备注册渗透测试工程师（CISP-PTE）证书，得*分。 【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续*个月的社保证明】 三、售后服务 **分 根据投标人提供的售后支持服务方案，至少包括服务承诺、服务标准、服务流程、服务内容、响应时间、保障措施、应急解决方案等内容进行综合打分。 有详细具体的售后服务方案，售后服务承诺保障方案合理，针对本项目能给出具备实际意义的措施及建议，能有效满足需求项目需求得**分； 售后服务方案科学合理、有针对性，但方案不够全面，可行的措施及建议较少，能基本满足需求项目需求得*分； 售后服务方案略有欠缺，可行性较低，可行的措施及建议较少得*分； 无售后服务保证措施及方案或方案不可用者不得分。 四、价格部分 **分 满足招标文件要求且价格最低的投标报价为评标基准价，其价格分为满分，其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价/有效投标报价）×**。对于投标报价明显低于正常*场价格的提供相关证明文件。 （八）服务单位的选定 通过评审，择优选定服务单位后，我厅将通知该单位，并与该单位签订项目服务合同。 三、联系方式 采购人：**壮族自治区商务厅 地址：*****良庆区**大道**号中国-东盟经贸中心*号楼****室 联系人：来守林 联系电话：****-******* **壮族自治区商务厅 ****年*月**日