北京交通运输职业学院2025年网络安全等保备案复测及新增备案服务项目邀请函

正文内容

**************年网络安全等保备案复测及新增备案服务项目邀请函 **********（以下简称采购人）根据学院年度网络安全等级保护备案及测评工作规划，需对已定级备案系统进行复测，对新系统进行定级备案和测评，需遴选有资质的服务企业提供技术服务。现遴选意向服务方，欢迎具有相应能力的合格服务商前来报名，具体事宜如下： 一、基本情况 *. 项目名称：****年网络安全等保备案复测及新增备案服务项目 *. 采购人名称：********** *. 采购人地址：******滨河街**号院 *. 采购预算控制价格：**.**万元 *. 资金来源：财政资金 *. 采购方式：比选 二、采购需求 依据《中华人民**国网络安全法》等法律法规要求，学院现有“**********网站群”、“**********应用系统平台”两个等保二级备案，同时目前新增《宿舍能源缴费》，《统一身份认证系统》两个应用系统，需对上述的系统开展等级保护测评任务，同时对新增系统进行定级备案，全面提高**********信息安全防护能力，保障重要信息系统安全，满足其高效安全稳定运行的需求。 * * *.*测评范围 本次测评项目包括如下*个应用系统，中标人应分别对各应用系统开展等级保护测评。 序号 项目名称 应用系统名称 备注 * ****年网络安全等保备案复测及新增备案服务项目 **********网站群系统 复测 * **********应用系统平台系统 复测 * **********身份认证系统 初测 * **********能源管理系统 初测 *.*测评原则 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究测评公司的责任。 标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准，确保测评结果的准确性和可比性。 规范性原则：测评工作中的过程和文档应具有规范性，便于项目的跟踪和控制。 可控性原则：测评服务的进度要符合投标时的时间安排，保证招标人对于测评工作的可控性。 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内，确保测评工作不会对现有信息系统的正常运行、业务的正常开展产生任何影响。 客观性原则：测评结果应客观、公正地反映被测评系统的实际安全状况，不受任何主观因素或外部压力的影响，确保测评结果的准确性和可信度。 *.*遵循的主要标准 遵循的主要标准包括以下，如本项目需求引用的标准有更新的，则中标方应按最新的标准执行。 《信息安全技术 网络安全等级保护基本要求》（GB/T *****-****）； 《信息安全技术 网络安全等级保护测评要求》（GB/T *****-****）； 《信息安全技术 网络安全等级保护测试评估技术指南》（GB∕T *****-****） 《信息安全技术网络安全等级保护实施指南》（GB/T *****-****）； 《计算机信息系统安全保护等级划分准则》（GB *****-****）； 《信息系统等级保护等级定级指南》（GB/T *****-****）； 《信息安全技术 网络安全等级保护测评过程指南》（GB/T *****-****）； 《信息安全等级保护管理办法》（公通字[****]**号）。 *.*测评服务内容 （一）服务范围 测评主要为**********重要应用系统网络安全等级保护测评项目所涉及的物理环境、网络设备、安全设备、操作系统、数据库、中间件、应用系统、安全管理制度、操作管理流程等进行合规性检查，具体如下： 通过访谈、现场检查、漏洞扫描、渗透验证等方式，全面查找信息系统存在的安全隐患； 检查所涉及的网络设备、主机服务器、数据库、中间件、应用软件等设备安全基线配置是否达到国家标准要求； 审核信息系统业务管理流程、操作规程、管理制度是否存在管理缺陷。 对**********重要应用系统提供配套安全服务，周期性提供服务保障，协助对上级单位的检查提供现场支持服务。 （二）服务内容 *.系统定级 依据《信息系统安全保护等级定级指南》所提出的确定信息系统安全保护等级的步骤和方法，在信息系统业务安全性分析的基础上，提出等级建议，协助采购人进行新系统定级。 *.等级备案 根据**部等级保护相关备案要求，协助采购人完成等级保护备案工作，直至获得信息系统安全等级保护备案证明。 *.现场测评 现场测评前需提交项目《实施方案》，方案内容包括但不限于：测评内容、测评步骤、测评方法、项目重点分析等。 *.协助整改 根据差距测评结果给出整改建议，协助测评信息系统整改。 *.安全测试 对上述信息系统进行弱密码检测、操作系统漏洞检测、数据库漏洞检测、中间件漏洞检测等，并提供输出“信息系统漏洞扫描报告”（含整改意见）。 对上述信息系统网络中的重要网络设备，包括服务器、网络设备、安全设备等进行非破坏性质的模拟黑客攻击，完成渗透测试工作，并输出“渗透测试报告”（含整改意见）。 *.配置核查服务 本项目自合同签署有效期一年内提供不少于*次基线配置核查工作，并出具基线配置核查报告。 *.安全自查协助服务 本项目自合同签署有效期一年内提供所有等保系统的等保自查工作，包括协助资料整理、自查报告编写、自查材料申报等。 *.现场支撑服务 本项目自合同签署有效期一年内提供针对监管单位（网安、网信、交通委等）现场临检服务，派遣工程师现场服务。 *.交付成果要求 每个应用系统单独测评，每个应用系统项目成果包括但不少于下列文档（纸板和电子版）： 服务名称 交付物名称 数量 网络安全等保备案复测及新增备案服务 (*) 《信息系统网络安全等级保护备案证明》 (*) 《信息系统网络安全等级保护差距分析报告》 (*) 《信息系统漏洞扫描检测报告》 (*) 《数据安全网络扫描报告》 (*) 《web安全监测报告》 (*) 《信息系统渗透测试检测报告》 (*) 《信息系统配置核查报告》 (*) 《信息系统网络安全等级保护测评报告》 *套 注：测评工作及交付的成果必须符合****年*月**日，**部发布公网安〔****〕****号文件的要求。 三、合格服务商的资格要求 *. 在中华人民**国境内注册的、具有独立承担民事责任的能力的服务商； *. 有依法缴纳税收和社会保障资金的良好记录； *. 近三年内，在经营活动中没有重大违法记录； *. 通过“信用中国”网站（www.creditchina.gov.cn）查询信用记录（截止时点为公告截止时间），未被列入失信被执行人、重大税收违法案件当事人名单的服务商； *. 符合《网络安全等级保护测评机构管理办法》要求； *. 服务企业须为小微企业； *. 本项目不接受联合体投标。 注：须对以上要求作出响应，加盖公章。若缺少一条，则按废标项处理。 四、报名资料内容及格式要求 *. 报价清单（见附件*）； *. 有效期内的营业执照等企业资质； *. 依法缴纳税收和社会保障资金的证明； *. 参加本次比选活动前三年内，在经营活动中没有重大违法记录的声明； *. 通过“信用中国”网站查询信用记录（截止时点为公告截止时间）截图； *. 提供**部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》证书； *. 提供是小微企业的声明函； *. 提供不是联合体参与投标的声明函； *. 服务商法人代表授权书及其被授权人的身份证复印件； **. 资信证明复印件或审计报告； **. 对本项目需求的理解、技术服务方案、服务团队情况、实施文档交付方案、保密方案及服务承诺、项目实施与组织管理、售后方案及服务响应承诺等； **. 邀请文件要求的其它文件及服务商认为有必要提供的其它文件； **. 阳光工程承诺书（见附件*，单独成册）。 上述材料复印件均须加盖单位公章。 封装要求：参加报价文件正本*份，副本*份，并标明“正本”“副本”字样；电子版*份，其中包含word版+盖章扫描后的PDF版本各一份，可单独密封包装也可与纸质版一起封装。 投标材料采用邮寄方式（邮寄封面上需注明“****年等级保护备案及测评服务项目”，单位及其公章、日期）地址：******滨河街**号**********，邮编******联系人：黄老师，电话*********** 资料文件报送截止时间：****年*月**日下午**:**前。 五、评价标准 序号 评分内容 分值 评分标准 * 价格 ** 服务商报价得分的计算采用低价优先法，按如下公式进行计算： 报价得分=（评标基准价/投标报价）×**；评标基准价为报价最低价。 * 业绩 ** 服务商具有的类似测评业绩，每有一个得*分，本项最高得**分。其中： 类似测评业绩指对于硬件设备以及软件设备建设项目进行等保测评。 上述业绩文件签署时间须为自****年*月*日至投标截止日。 注：须同时提供合同复印件作为有效证明材料，合同复印件至少包括合同首页、内容页以及盖章页。未附有效证明材料或不满足上述要求的业绩将不予认可。 * 投标方资质证书 * 具有ISO***** 环境管理体系认证证书、ISO***** 职业健康安全管理体系认证证书、ISO***** 信息安全管理体系认证证书、ISO***** 信息技术服务管理体系认证证书，每具有一项证书得* 分，最多得*分。（覆盖范围须至少包含：信息系统测评服务、信息系统咨询服务、信息系统运行维护管理咨询服务）； * 测评方案 测评技术服务方案 ** *、方案内容全面、合理，可行，符合采购人实际需求得*-**分； *、方案内容较全面，可行性和合理性满足基本要求的得*-*分； *、方案内容简略，描述有明显缺陷的得*-*分； *、方案未提供不得分。 实施组织计划 ** *、计划时间安排合理，符合采购人实际需求，执行力强的得*-**分； *、计划安排不够合理详细，执行能力一般的得*-*分； *、计划安排简单，未能符合当前具体情况，执行力较差的得*分； *、未提供不得分。 质量保证措施 ** *、措施内容全面，在此次测评报告有效期内（二级系统两年），可随时响应用户服务需求的且提供服务保证承诺书的得*-**分； *、措施描述不够详实，但基本能满足服务需求的得*-*分； *、措施过于简略，服务保证内容有明显缺失的得*-*分； *、未提供不得分。 * 安全测试服务 * 提供网络安全漏洞扫描服务，能够提供主机和web扫描报告，为保证服务质量，需提供最新漏洞库授权信息截图，满足以上内容得 *分，未按要求提供不得分。 * 提供数据安全网络扫描服务，能够对服务器目录、FTP服务器、数据库、文件共享服务器等全部内容进行扫描的，提供全部*种以上扫描功能截图的得*分，未按要求提供不得分。 ** 提供Web安全监测服务，服务内容至少包括智能POST控制、业务系统保持在线、实时监测和分析网络流量、外链监测，坏链监测，敏感信息监测功能。 注：提供服务内容中包含上述*种功能的证明材料，每项得*分，共计**分；未按要求提供不得分。 * 保密方案承诺 * 根据服务商提供的保密方案承诺进行评分。对本项目提供严格的保密措施，承诺对承担的工作内容、工作性质和工作要求等控制知情范围，不对外公开，保密措施严谨规范，内容全面且可行，全程和后续服务保障体系完善合理，承诺全面，具有可行性得，综合比较，得分范围*-*分。 * 团队组织人员 * 项目经理*人，具有网络安全等级测评师证书（高级）、工业和信息部教育与考试中心颁发的高级软件测试工程师证书、工业和信息部教育与考试中心颁发的高级数据库管理工程师证书、检验机构认可内审员证书、实验室认可内审员证书，全部具备得*分，未完全具备的得*分，不具备不得分。 注：须提供相关证书（复印件加盖公章）及近*个月内任*月在投标单位的社保证明影印件，未按要求提供不得分。 * * 配备技术负责人*人，需具有网络安全等级测评师证书（高级）、注册信息安全专业人员（CISE）、软件测试工程师资质，技术负责人每具备一项得*分，本项最高*分。 注：须提供相关证书（复印件加盖公章）及近*个月内任*月在投标单位的社保证明影印件，未按要求提供不得分。 * * 配备多名团队人员，需具有网络安全等级测评师证书，每有一人具备的得*分，本项最高得*分。 注：须提供相关证书（复印件加盖公章）及近*个月内任*月在投标单位的社保证明影印件，未按要求提供不得分。 总计 *** 六、 本邀请函由**********信息中心负责解释 ********** ****年*月**日 附件*报价清单表 候选人名称:_______ ____ 项目名称:________ ____ ___ 报价单位：人民币元 序号 服务内容 数量 报价摘要 报价 * ****年网络安全等保备案复测及新增备案服务 候选人授权代表签字 候选人(盖章): 注:*.如果按单价计算的结果与总价不一致,以单价为准修正总价。 *.如果不提供详细分项报价将视为没有实质性响应招标文件。 *.该分项报价为签订合同和结算时的重要依据，请仔细核对。 *.如果不考虑项目实际需求而恶意竞争报价，则取消其资格。 附件* 关于项目供应方参加**********“阳光项目工程”建设的承诺书 项目名称： 接受邀请单位名称： 法定代表人签名（或盖章）： 法定代表人的委托人签名： 我公司郑重承诺：自 年 月 日接受邀请起，至该项目实施验收结束（未中标单位至接收到落选结果通知止），我公司将严格遵守《中华人民**国政府采购法》和《中华人民**国政府采购法实施条例》的规定，自觉参加**********“阳光项目工程”建设，不从事任何违法行为。特别是： 一、对采购方任何人员不提供任何回扣和服务；不组织宴请、旅游、健身、娱乐或进入私人会所等活动；不赠送任何礼品、现金、有价证券（卡）、贵重物品和好处费、感谢费等；不报销应当由其单位或个人承担的费用；不为其个人及其亲属装修住房、婚丧嫁娶、配偶、子女的工作安排以及出国（境）、旅游、消费、娱乐等提供方便和交通、资金等支持。 二、不接受采购方人员及其配偶、子女、亲属介绍或参与同该项目合同内外有关的设备、材料工程分包、劳务等经济活动。 三、如有违反上述内容的任何行为，我方依法接受任何处理；涉嫌犯罪的，主动接受司法机关的刑事责任追究；给采购方造成经济损失的予以赔偿。 签订人（盖单位公章）： 签订时间： 年 月 日