中航安盟财产保险有限公司信息安全等级保护测评及备案招标项目

来源 
中航安盟保险
分享

 

 

中航安盟财产保险有限公司

信息安全等级保护测评及备案项目

 

 

 

招 标 文 件

 (商务&技术)

 

 

 

 

 

采   购   人:中航安盟财产保险有限公司

 

二○一八年五月

 

 

目录

招  标  公  告... - 4 -

第一章 投标须知... - 10 -

一、招标服务范围... - 10 -

二、对投标资格要求... - 10 -

三、费用承担... - 11 -

四、招标答疑... - 12 -

第二章 关于投标文件... - 13 -

一、投标文件组成... - 13 -

1.投标文件编订... - 13 -

2.投标文件修改、补充、撒回说明... - 14 -

3.投标文件编写注意事项... - 14 -

4.投标文件的签署和印刷规定... - 15 -

5.投标文件的数量、装订和密封规定... - 15 -

6.投标文件递交... - 15 -

7.投标语言及计量单位... - 16 -

7.关于投标报价... - 16 -

二、关于开标、评标、定标... - 17 -

1.开标... - 17 -

2.评标... - 17 -

3.定标... - 19 -

三、关于投标无效和招标失败... - 20 -

1.投标无效情况... - 20 -

2.招标失败情况... - 21 -

四、关于合同签署、付款和实施... - 21 -

1.合同签订... - 21 -

2.关于合同付款... - 21 -

五、关于保密... - 22 -

第三章 招标技术需求... - 22 -

一、项目概况... - 22 -

1.项目背景... - 22 -

2.项目目标... - 22 -

3.招标内容... - 23 -

第四章 技术标准和服务要求... - 42 -

一、技术标准和规范... - 42 -

二、招标人技术及管理要求... - 43 -

1.技术要求... - 43 -

2.进度与时间要求... - 44 -

3.输出过程文档... - 44 -

4.考核及验收要求... - 45 -

5.其他要求... - 45 -

第五章 附录... - 46 -

附件1:投标文件封面... - 46 -

附件2:投标声明函... 47

附件3:投标报价单... 48

附件4:商务偏离表(仅描述偏离项)... 49

附件5:技术偏离表(仅描述偏离项)... 49

附件6:成功案例清单... 49

附件7:资质、信誉文件列表清单... 50

附件8:授权委托书... 50

附件9:拟任本项目工作主要人员情况表... 51

 

 

 

 

 

 

 

中航安盟财产保险有限公司

信息安全等级保护测评及备案项目

招  标  公  告

 

为贯彻落实国家《网络安全法》、等级保护制度以及上级监管部门的相关要求,中航安盟财产保险有限公司现针对信息安全等级保护测评及备案项项目进行邀请招标,现将招标有关事宜公告如下:

一、项目名称:中航安盟财产保险有限公司信息安全等级保护测评及备案项目

二、招标服务范围:本次招标是依据《网络安全法》、《信息安全等级保护测评要求》等要求,对公司重要信息系统开展信息安全等级保护测评工作,提供差距项整改建议,出具等级保护测评报告,指导协助各公司进行整改加固,协助公司完成信息系统备案等相关工作,并最终通过成都市公安机关等保认证并获得由成都市公安机关颁发的“信息系统安全等级保护备案证明”凭证。

需等保测评备案系统如下:

序号

信息系统名称

定级

数量

(套)

1

核心业务系统(含子系统)

3

1

2

资金系统

3

1

3

呼叫中心CC系统

2

1

4

办公OA

2

1

5

邮箱系统

2

1

6

公司官网

2

1

 

三、服务期:合同签订后,半年内需完成测评服务。

四、服务地点:招标人指定地点。

五、投标人资质要求

1)凡是在中华人民共和国境内依照《中华人民共和国公司法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;

2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:

(一)具有独立承担民事责任的能力;  

(二)具有良好的商业信誉和健全的财务会计制度;  

(三)具有履行合同所必需的设备和专业技术能力;  

(四)有依法缴纳税收和社会保障资金的良好记录;  

(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;  

(六)法律、行政法规规定的其他条件。

3)投标人须具有四川省信息安全等级保护工作领导小组办公室盖章的信息安全等级保护测评机构推荐证书

4)投标人提供的信息安全等级保护测评机构推荐证书上单位名称与投标人营业执照上单位名称一致,且可在www.djbh.net上进行查询。

5)投标人不得直接或间接地与招标人为采购本次招标的货物和服务进行设计、编制规范和其他文件所委托的咨询公司或其附属机构有任何关联;

6)按照本投标邀请的规定,获得招标文件;

7)本项目不接受联合体投标。

六、招标文件领取时间、地点:

有意参加该项目投标的单位应携带以下资料到招标人指定地点报名领取招标文件:

1)有效的营业执照副本复印件、税务登记证副本复印件、组织机构代码证副本复印件、开户许可证复印件或“三证合一”的营业执照副本复印件(复印件须加盖单位公章);

2)投标人须具有四川省信息安全等级保护工作领导小组办公室盖章的信息安全等级保护测评机构推荐证书(复印件加盖单位公章);

3)法人身份证明或法人授权委托书及被授权人的身份证(复印件加盖单位公章);

4)经会计师事务所出具的2017度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件(加盖单位公章);

5)近三个月的缴纳社会保障资金的入账票据凭证复印件(加盖单位公章);

6)近三个月的依法缴纳税收的入账票据凭证复印件(加盖单位公章);

7)参加本次采购活动前三年内,在经营活动中没有重大违法记录的声明(加盖单位公章)。

招标文件(电子版)领取时间:自本招标公告发布之日起5个工作日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。

招标文件领取地点:四川省成都市高新区天泰路112号四川投资大厦南楼16层。

8)投标保证金:伍仟元人民币

9)投标及标书投递

投标书投递截止时间:2018年5月23日下午17:30(北京时间)。逾期送达或不符合规定的投标文件恕不接受。

投标投递地址:见开标地点,正本送往成都开标地点,副本送往北京开标地点。

10)开标地点:

(1)成都地址:四川省成都市高新区天泰路112号四川投资大厦南楼16层。

联系人:王建国

联系电话:018 - 67670517

(2)北京市朝阳区建国门外大街甲6号SK厦10。

     联系人:刘志明

    联系电话:010-85086270

11)评标办法:综合评分法。

12)公告时限:五个工作日

招标人信息:中航安盟财产保险有限公司

地      址:四川省成都市高新区天泰路112号四川

投资大厦南楼16层

联  系  人:王建国

联系方式:028-67670517

凡对本次招标提出询问,请按以上联系方式联系。

七、投标保证金

1)投标单位须在报名确认并领取招标文件后3日内(包含报名日)缴纳投标保证金人民币伍仟元整,并将投标保证金缴纳到本招标书指定的账号。

2)投标单位应按招标文件规定的金额和期限缴纳投标保证金,投标保证金作为投标文件的组成部分。提交投标保证金的投标单位须已报名本项目。投标单位与交款单位名称必须一致,投标单位必须从企业基本账户银行一次性缴交足额投标保证金,不接受现金或分批次缴款。非投标单位缴纳的投标保证金无效。

3)投标单位交纳投标保证金后,请致电本招标书所描述联系人自行核对保证金是否有效并发送缴费凭证至联系人指定地址。

4)报名后未按要求缴纳投标保证金,报名无效。

5)投标保证金的退回:

(1)未中标公司的投标保证金在开标后30个工作日内予以无息退还。

(2)中标公司的投标保证金在中标方与招标方签订合同后30个工作日内予以无息退还。

6)投标保证金指定账号信息

公司基本户信息如下:

账号:51001870836050914945

户名:中航安盟财产保险有限公司

开户行:中国建设银行成都新华支行

联行号:105651000604

注: 要求只能通过转账方式收取。

特此公告!                                         

                     中航安盟财产保险有限公司

            二〇一八年五月十五日

 

 

 

 

 

 

 

 

 

 

 

 

 

第一章 投标须知

一、招标服务范围

本次招标是依据《网络安全法》、《信息安全等级保护测评要求》等要求,对公司重要信息系统开展信息安全等级保护测评工作,提供差距项整改建议,出具等级保护测评报告,指导协助各公司进行整改加固,协助公司完成信息系统备案等相关工作,并最终通过成都市公安机关等保认证并获得由成都市公安机关颁发的“信息系统安全等级保护备案证明”凭证。

需等保测评备案系统如下:

序号

信息系统名称

定级

数量

(套)

1

核心业务系统(含子系统)

3

1

2

资金系统

3

1

3

呼叫中心CC系统

2

1

4

办公OA

2

1

5

邮箱系统

2

1

6

公司官网

2

1

二、对投标资格要求

1)凡是在中华人民共和国境内依照《中华人民共和国公司法》注册的、营业执照范围允许的、具有法人资格的有能力提供招标货物及服务的企业;

2)投标人必须满足《中华人民共和国政府采购法》二十二条之规定:

(一)具有独立承担民事责任的能力;  

(二)具有良好的商业信誉和健全的财务会计制度;  

(三)具有履行合同所必需的设备和专业技术能力;  

(四)有依法缴纳税收和社会保障资金的良好记录;  

(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;  

(六)法律、行政法规规定的其他条件。

3)投标人须具有四川省信息安全等级保护工作领导小组办公室盖章的信息安全等级保护测评机构推荐证书。

4)投标人提供的信息安全等级保护测评机构推荐证书上单位名称与投标人营业执照上单位名称一致,且可在www.djbh.net上进行查询。

5)投标人不得直接或间接地与招标人为采购本次招标的货物和服务进行设计、编制规范和其他文件所委托的咨询公司或其附属机构有任何关联;

6)按照本投标邀请的规定,获得招标文件;

7)本项目不接受联合体投标。

三、费用承担

投标人应自行承担所有与准备和参加投标有关的全部费用,不论投标的结果如何,招标人或用户均无义务和责任承担这些费用。

四、招标答疑

1)投标单位如对招标文件中所述内容有疑问,请按招标公告规定的投标截止时间和地点以书面或传真形式进行递交,招标单位将视情况对所有投标单位以书面形式进行答复。

2)招标单位收到投标单位提出的疑问后,由招标单位分别对投标单位所提的相关问题进行解答,书面答疑文件将作为招标文件的补充文件,并在规定投标截止时间前提供给所有投标单位。

3)招标单位对投标单位提出的疑问所做出的任何口头或电话询问与答复均属无效,以书面答疑为准。

4)在投标截止时间前,招标单位都有权对招标文件进行修改、补充,若原招标文件与后补充文件有矛盾时,以后补文件为准。

5)如果考虑到招标澄清或修改的内容会导致投标单位不能按期完成投标文件,招标单位有权延长投标截止日期。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第二章 关于投标文件

一、投标文件组成

请按下列要求顺序装订,目录索引与投标书页码对应。

1.投标文件编订

  1. 投标文件封面目录(格式见附件1);
  2. 投标声明函(格式见附件2);
  3. 报价报价单(格式见附件3);
  4. 服务承诺;
  5. 商务偏离表(格式见附件4);
  6. 技术偏离表(格式见附件5);
  7. 成功案例清单列表(格式见附件6)
  8. 资质能力、信誉文件证明列表清单(格式见附件7)

9)投标人有效的营业执照副本复印件、税务登记证副本复印件、组织机构代码证副本复印件、开户许可证复印件或“三证合一”的营业执照副本复印件(复印件须加盖单位公章);

10)四川省信息安全等级保护工作领导小组办公室盖章的信息安全等级保护测评机构推荐证书(复印件加盖单位公章);

11)投标企业法定代表人资格证明或法人授权委托书(格式见附件8);

12)拟担任本项目工作主要人员情况表(格式见附件9)

13)企业信誉相关证明资料;

(1)经会计师事务所出具的2017度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件(加盖单位公章);

(2)近三个月的缴纳社会保障资金的入账票据凭证复印件(加盖单位公章);

(3)近三个月的依法缴纳税收的入账票据凭证复印件(加盖单位公章);

14)2016-2018年成功案例说明(案例合同甲乙双方盖章位置及服务内容复印盖章);

15)联系人姓名、电话、传真、邮编、地址及身份证明;

16)技术方案

2.投标文件修改、补充、撒回说明

投标人在投标截止时间前,可以对所递交的投标文件进行补充、修改或者撤回(仅限1次),并书面通知招标人。补充、修改的内容应当按招标文件要求签署、盖章,并作为投标文件的组成部分。

3.投标文件编写注意事项

1)投标人必须保证所提供的全部资料的真实性、准确性,否则,将拒绝其投标。投标人在投标文件中提供不真实的材料,无论其材料是否重要,都将视为投标无效,并承担由此产生的法律责任。

2)投标人必须对本招标文件的每一项要求给予实质性响应,否则将视为不响应。“实质性响应”指符合招标文件所有要求、条款、条件和规定,且没有重大偏离。

3)投标人对本招标文件的每一项要求所给予的响应必须是唯一的。否则将视为不响应。

4.投标文件的签署和印刷规定

1)投标文件正本须打印并由投标人法定代表人或其委托代理人在正本和副本上要求的地方签字。

2)投标文件除签字外其余必须是印刷形式,其中不许有加行、涂抹或改写。

3)邮箱、电话、传真形式的投标概不接受。

5.投标文件的数量、装订和密封规定

1)投标人应准备投标文件的正本1套,副本2套,在每一份投标文件上要明确注明“正本” 或“副本”字样。一旦正本和副本内容有差异,以正本为准。

2) 投标人应将投标文件按照本章第1部分投标文件编订要求单独装订成册,在正副本封面上加盖公章并签字。

3)投标文件应装订牢固不可拆卸(如:胶订),如因装订不牢固导致的任何损失由投标人承担。

4)正本与副本分别独立封装,在每一封口处加盖公章,并在信封上标明投标人名称和联系方式信息。

6.投标文件递交

1)投标人将投标文件按上述规定进行密封和标记后,按招标公告注明的地址在投标截止时间之前由专人送至或邮寄至招标采购单位。

2)招标单位将拒绝在投标截止时间后收到的投标文件。

3)正本投递至北京指定地点(详见招标公告),副本投递至成都指定地点(详见招标公告)。

7.投标语言及计量单位

1)投标文件及投标人和招标采购单位就投标交换的文件和来往信件,应以中文书写。投标人提供的支持文件、技术资料和印刷的文献可以用其他语言,但相应内容应附有中文翻译本,以中文为准。

2)计量单位应使用中华人民共和国法定公制计量单位。

7.关于投标报价

综合考虑招标方信息系统等级保护测评工作量,并结合招标方测评工作的特殊性,将项目规划为按被测评信息系统级别进行单项核算,并给出汇总报价。

1)投标人必须以人民币报价。

2)投标人必须按招标文件指定格式正确填写报价单,报价单中相应内容的报价应计算正确。

3)每一项目的报价必须是唯一的。报价栏项目中如出现数字0,视报价为零,即免费;如出现空白,视为已响应但漏报价。

4)漏报的单价或每单价报价中漏报、少报的费用,视为此项费用已隐含在投标报价中,中标后不得再向采购人收取任何费用。

5)所有报价应包含本项目的所有费用(包含国家规定的所有税费)。

6)报价单的总报价大小写应该一致,大写金额和小写金额不一致的,以大写金额为准。

7)开标时,投标文件中报价单的总报价与投标文件中明细表的报价不一致的,以报价单的总报价为准。

8)投标文件的大写金额和小写金额不一致的,以大写金额为准;总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;单价金额小数点有明显错位的,应以总价为准,并修改单价;对不同文字文本投标文件的解释发生异议的,以中文文本为准。

二、关于开标、评标、定标

1.开标

1)由招标采购单位根据安排确定时间,并提前通知投标人。

2.评标

1)招标单位根据项目招标需要组建评标委员会。

2)评标委员会将遵照公开、公平、公正、科学合理的评标原则,严格按照招标文件的要求和条件进行评标,平等地对待所有投标方,评标委员会综合分析投标方的各项指标择优定标,而不以单项指标的优劣评选出入围单位。

3)评标委员会将对投标文件进行审查、质疑、评估和比较;必要时,可对投标文件中的问题向投标方进行询问。

2.1综合评分明细表

序号

评分因素及权重

分值

评分标准

说明

1

报价40%

40分

投标报价得分=(评标基准价/投标报价)×价格权值×100。

注:综合评分法中的价格分统一采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价。

 

2

商务、技术方案20%

30分

1、完全符合投标文件技术、商务要求,没有负偏离得20分。与招标文件商务、技术要求中有一项负偏离的每条扣1分,最多扣20分;

2、投标人对测评方案的完整性、可行性、先进性和合理性,对本项目的理解及建议、组织管理的合理性、计划安排的完整性综合评分,方案描述完整、合理、先进的得 10 分;较为完整、较为合理得 6 分;一般的得3分,否则不得分。

 

4

信息安全服务能力情况

10%

10分

1、 投标人参与过国家标准制修订的,每参与一项得2分,最高6分;(需提供相关证明);

2、投标人具有中国信息安全测评中心颁发的风险评估资质证书的得2分,没有的不得分(需提供证书复印件加盖公章);

3、投标人具有ISO/IEC27001信息安全管理体系认证证书、ISO/IEC9001质量体系认证证书。两项同时满足得2分;满足一项得1分,其他不得分。

1、2、3、原件备查

5

业绩10%

10分

1、投标人具有重要信息系统安全测评能力,每提供一个三级信息系统等级保护测评案例得1分,最多得6分,没有不得分;

2、投标人具有重要信息系统安全测评能力,提供一个四级信息系统等级保护测评案例得4分,没有不得分。

提供相关证明材料加盖公章。

6

服务承诺

10%

10分

从售后服务保障体系、保障方案、质保期及响应时间承诺等方面综合考虑,服务承诺优[9-10]分,良得[6-8]分,一般的[1-5]分,差的或不提供者不得分。

 

 

3.定标

1)评标委员会综合评审,择优确定入围公司。

2)综合考虑以下因素评标定标:

(1)报价

(2)等级保护测评人员资质情况

(3)信息安全服务能力情况

(4)服务承诺

(5)企业信誉

(6)成功案例情况

3)不承诺最低价格方为中标公司。

4)不向落标方解释落标原因。

5)评标结束后,招标人将及时通过投标人所预留联系方式通知入围中标公司。入围公司2天内要给出明确答复,并与招标人洽谈合同事项。若因商务或其他原因无法达成协议,招标人有权选择第二入围公司。

6)招标人不再向未入围公司发出未中标通知。

7)入围公司在洽谈合同时,提出与招标文件规定相反的意见,如招标人不予认可而入围公司坚持不变的,招标人有权取消入围公司的中标资格,由此产生的后果和经济损失均由入围公司负责。

8)本招标书、入围公司的投标文件及其澄清文件等,均为签订经济合同的依据。

三、关于投标无效和招标失败

1.投标无效情况

1)投标文件未密封;

2)投标声明函无单位盖章和法定代表人或法定代表人委托的代理人的印鉴;

3)投标文件不完整、不真实或未对招标文件做出实质的响应导致投标无效;

4)投标设备或服务明显不符合技术规格、技术标准的要求;

5)投标文件载明的货物包装方式、检验标准和方法等不符合招标文件的要求;

6)投标文件附有招标采购单位不能接受的条件;

7)投标文件逾期送达;

8)不满足招标文件中其它重要指标;

2.招标失败情况

1)符合专业条件的投标人或者对招标文件作实质响应的投标人不足三家的;

2)出现影响采购公正的违法、违规行为的;

3)投标人的报价均超过了采购预算,采购人不能支付的;

4)因重大变故,采购任务取消的。

四、关于合同签署、付款和实施

1.合同签订

投标人将与招标人一起进行实施方案的细化确认,并经过商务谈判后才能签订合同。

2.关于合同付款

按项目进度分阶段付款,每阶段工作完成后由招标方(甲方)阶段验收签字确认后按比例付款,付款比例由双方协商确定并写入合同,尾款须在招标方(甲方)最终签字确认后才可付款。

五、关于保密

未经招标人和投标人许可,双方都不得将招标文件中关于采购人的系统现状及需求情况、建设情况提供给任何第三方。

 

 

第三章 招标技术需求

一、项目概况

1.项目背景

为贯彻落实国家《网络安全法》、等级保护制度以及上级主管部门的相关要求,深入开展中航安盟财产保险有限公司(以下简称招标人)网络及信息系统的安全隐患发现、安全隐患整治,提升中航安盟建设新形势下整体网络安全保障能力,开展2018年等级保护(以下简称等保)测评服务工作,确保公司信息系统安全稳定运维。

2.项目目标

本次招标是依据《网络安全法》、《信息安全等级保护测评要求》等要求,对招标人重要信息系统开展信息安全等级保护测评工作,提供差距项整改建议,出具等级保护测评报告,指导协助各公司进行整改加固,协助招标人完成信息系统备案等相关工作,并最终通过成都市公安机关等保认证并获得由成都市公安机关颁发的“信息系统安全等级保护备案证明”凭证。

需等保测评备案系统如下:

序号

信息系统名称

定级

数量

(套)

1

核心业务系统(含子系统)

3

1

2

资金系统

3

1

3

呼叫中心CC系统

2

1

4

办公OA

2

1

5

邮箱系统

2

1

6

公司官网

2

1

 

3.招标内容

3.1 服务内容概述

3.1.1 等保测评

依据《信息安全等级保护基本要求》,对中航安盟保险信息系统开展信息安全等级保护测评工作,提供差距项整改建议,出具等级保护测评报告,配合招标人在成都市公安局完成信息系统等级保护备案。

1)信息系统的信息安全等级定级和备案工作,必须确保每个信息系统定级、备案通过市级以上公安机关的备案手续,取得相应等级保护备案证明。

2)按照信息系统安全等级保护要求,对信息系统完成系统拓扑描绘及说明;协助信息系统业主方完善系统安全管理制度;对系统安全保护实施设计方案或改建实施方案提供咨询;出具成都市公安局认可的系统等级测评报告。

3)现状测评,至少包括:

  • 安全技术测评。包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
  • 安全管理测评。包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
  • 形成差距分析报告。依据测评结果,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出《系统等级保护测评差距分析报告》,列出被测信息系统中存在的主要问题以及可能造成的后果。

4)编制系统安全整改方案。依据差距分析报告结果,编制针对各信息系统的安全整改建设方案,方案要具有可行性;并协助业主完成管理制度的修制定。

5)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务,并协助制定整改计划和确定信息安整改标准和整改结果达标确认。

6)等级测评,至少包括:

在系统整改完成后,按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。

编制测评报告。制定并提交《系统信息安全等级测评报告》,报告需提交公安机关网安部门备案,且能满足合规性要求,备案证明作为验收材料之一。

3.2 服务指标

3.2.1物理安全

物理等级测评将通过访谈和检查的方式评测该信息系统的物理安全保障情况。主要涉及对象为机房。

序号

安全子类

测评指标描述

1

物理位置的选择

测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

2

物理访问控制

测评信息系统在物理访问控制方面的安全保护能力。

3

防盗窃和防破坏

测评信息系统是否采取了必要的安全措施预防设备、介质等丢失和被破坏。

4

防雷击

测评信息系统是否采取相应的措施预防雷击。

5

防火

测评信息系统是否采取必要的措施防止火灾的发生。

6

防水和防潮

测评信息系统是否采取必要措施来防止水灾和机房潮湿。

7

防静电

测评信息系统是否采取必要措施防止静电的产生。

8

温湿度控制

测评信息系统是否采取必要措施对机房内的温湿度进行控制。

9

电力供应

测评是否具备为信息系统提供一定电力供应的能力。

10

电磁防护

测评信息系统是否具备一定的电磁防护能力。

3.2.2 网络安全

网络安全测评将通过访谈、检查和测试的方式评测该信息系统的网络安全保障情况。主要涉及对象包括网络设备、网络安全设备以及网络拓扑结构等三大类对象。

序号

安全子类

测评指标描述

1

结构安全

测评分析网络架构与网段划分、隔离等情况的合理性和有效性。

2

访问控制

测试系统对外暴露漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。

3

安全审计

测评分析信息系统审计配置和审计记录保护情况。

4

边界完整性检查

测评分析信息系统私自联到外部网络的行为。

5

入侵防范

测评分析信息系统对攻击行为的识别和处理情况。

6

恶意代码防范

测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。

7

网络设备防护

测评网络设备自身的安全防范能力。

 

序号

安全子类

测评指标描述

1

身份鉴别

测评服务器的身份标识与鉴别和用户登录的配置情况。

2

访问控制

测评服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。

3

安全审计

测评服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。

4

剩余信息保护

测评服务器鉴别信息的存储空间,被释放或再分配给其他用户前得到完全清除。

5

入侵防范

测评服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。

6

恶意代码防范

测评服务器的恶意代码防范情况。

7

资源控制

测评服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。

序号

安全子类

测评指标描述

1

身份鉴别

测评应用系统的身份标识与鉴别功能设置和使用配置情况;

测评应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。

2

访问控制

测评应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。

3

安全审计

测评应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;

检查应用系统安全审计进程和记录的保护情况。

4

剩余信息保护

测评应用系统是否对存放鉴别信息等资源的存储空间进行清理

5

通信完整性

测评应用系统客户端和服务器端之间的通信完整性保护情况。

6

通信保密性

测评应用系统客户端和服务器端之间的通信保密性保护情况。

7

抗抵赖

测评应用系统是否具有为通信双方提供原发证据和接收证据的管理能力

8

软件容错

测评应用系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。

9

资源控制

测评应用系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。

3.2.3 主机安全

主机安全测评将通过访谈、检查和测试的方式评测该信息系统的主机安全保障情况。

3.2.4 应用安全

应用安全测评将通过访谈、检查和测试的方式评测该信息系统的应用安全保障情况。

3.2.5 数据安全及备份恢复

数据安全及备份恢复测评将通过访谈、检查和测试的方式评测该信息系统的数据安全及备份恢复保障情况。

序号

安全子类

测评指标描述

1

数据完整性

测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。

2

数据保密性

测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。

3

数据备份和恢复

测评信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。

3.2.6 安全管理制度

安全管理制度测评将通过访谈和检查的方式评测该安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其他人员。各类管理制度。各类操作规程文件等对象。

序号

安全子类

测评指标描述

1

管理制度

测评信息系统管理制度在内容覆盖上是否全面、完善。

2

制定与发布

测评信息系统管理制度的制定和发布过程是否遵循一定的流程。

3

评审和修订

测评信息系统管理制度定期评审和修订情况。

3.2.7 安全管理机构

安全管理机构测评将通过访谈和检查的方式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

序号

安全子类

测评指标描述

1

岗位设置

测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。

2

人员配备

测评信息系统各个岗位人员配备情况。

3

授权和审批

测评信息系统对关键活动的授权和审批情况。

4

沟通和合作

测评信息系统内部部门间、与外部单位间的沟通与合作情况。

5

审核和检查

测评信息系统安全工作的审核和检查情况。

3.2.8 人员安全管理

人员安全管理测评将通过访谈和检查的方式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。

序号

安全子类

测评指标描述

1

人员录用

测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。

2

人员离岗

测评信息系统人员离岗时是否按照一定的手续办理。

3

人员考核

测评是否对人员进行日常的业务考核和工作审查。

4

安全意识教育和培训

测评是否对人员进行安全方面的教育和培训。

5

外部人员访问管理

测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。

3.2.9 系统建设管理

系统建设管理测评将通过访谈和检查的方式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、相关管理制度、操作规程文件、执行过程记录等对象。

序号

安全子类

测评指标描述

1

系统定级

测评是否按照一定要求确定系统的安全等级。

2

安全方案设计

测评系统整体的安全规划设计是否按照一定流程进行。

3

产品采购和使用

测评是否按照一定的要求进行系统的产品采购。

4

自行软件开发

测评自行开发的软件是否采取必要的措施保证开发过程的安全性。

5

外包软件开发

测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。

6

工程实施

测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。

7

测试验收

测评系统运行前是否对其进行测试验收工作。

8

系统交付

测评是否采取必要的措施对系统交付过程进行有效控制。

9

系统备案

测评是否根据《信息安全等级保护管理办法》进行定级、评审和备案活动。

10

等级测评

测评是否选择具有资质的测评机构进行等级测评,并至少每年进行一次等级测评。

11

安全服务商选择

测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

 
3.2.10 系统运维管理

系统运维管理测评将通过访谈和检查的方式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。

序号

安全子类

测评指标描述

1

环境管理

测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。

2

资产管理

测评是否采取必要的措施对系统的资产进行分类标识管理。

3

介质管理

测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。

4

设备管理

测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。

5

监控管理和安全管理中心

测评是否采取必要措施对各类设备运行情况进行监控,对安全设备进行集中管理和集中安全审计,对监控数据分析并及时发现存在的问题,对恶意代码和补丁统一管理升级。

6

网络安全管理

测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。

7

系统安全管理

测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。

8

恶意代码防范管理

测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。

9

密码管理

测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。

10

变更管理

测评是否采取必要的措施对系统发生的变更进行有效管理。

11

备份与恢复管理

测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。

12

安全事件处置

测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。

13

应急预案管理

测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。

 

 

3.3 服务要求

3.3.1 设计方案要求

信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:

保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。

标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。

规范性原则:投标人的工作中的过程和文档,具有很好的规范性,以便于项目的跟踪和控制。

可控性原则:等保测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。

整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。

最小影响原则:等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

3.3.2 测评要求

1)投标人应详细描述本次项目整体实施方案,包括项目概述、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2)投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。

投标人应配置有经验的测评人员进行本次等级保护测评工作。

投标人应以文件形式任命一名技术主管,并明确其在等级测评技术方面的职责,全面负责等级测评方面的技术工作。

3)投标人应保证有足够的能力满足测评工作要求,包括安全技术测评实施能力、安全管理测评实施能力、安全测试与分析能力、整体测评实施能力等。

4)投标人应依据测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。应建立完善的测评项目管理制度,划分测评各阶段,明确各阶段的工作内容。

6)投标人应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、渗透测试工具等。

投标人应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。

7)投标人应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保投标人各级人员能够理解和执行。应建立一套完善的管理体系文件,该体系文件应能覆盖机构日常工作和测评活动的各个方面。体系文件可以制度、手册、程序等形式发布执行,并应建立执行记录。

8)投标人应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务,应制定保证其公正性、客观性、诚实性的制度、程序或行为规范,并向客户和社会作出公正性声明或承诺,接受行为监督。

投标人的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。机构应保证其单位法人及主要工作人员身份的可信性,并可提供用于证明的机构注册资料和人员档案信息。

9)投标人应重视安全保密工作,指派安全保密工作的责任人。投标人应依据保密管理制度,定期对工作人员进行保密教育,投标人和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等,应制定保密管理制度,明确保密范围、各岗位的保密职责和保密要求。

投标人应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于:

a) 被测评单位提供的资料;

b) 等级测评活动生成的数据和记录;

c) 依据上述信息做出的分析与专业判断。

投标人应着重对被测单位的技术资料、测评数据、测评报告等信息进行保护。对上述信息资料应专门保管,对数据信息存储和借阅应严格控制。

10)投标人应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。机构应借助技术手段,如数据加密存储、传输、处理方式,保证数据的安全。同时防止存储测评数据信息的计算机非法外联、非受控移动存储设备接入、重要信息的互联网传输等问题的发生。

11)测评记录的规范性,测评记录应当清晰规范,并获得被测评方的书面确认;测评过程中的记录应按规定的格式填写,字迹要求清晰;数据结果应当现场记录,不得漏记、补记、追记;记录的更正应有规范性要求;测评记录应获得被测评方的确认。

12)测评报告的规范性,测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;

13)风险控制能力:投标人应充分估计测评可能给被测系统带来的风险,风险包括投标人由于自身能力或资源不足造成的风险、测试验证活动可能对被测系统正常运行造成影响的风险、测试设备和工具接入可能对被测系统正常运行造成影响的风险、测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。投标人应全面分析评估,针对不同风险,采取不同的规避和控制措施。包括合同评审、签署保密协议、风险告知确认、现场测评授权、系统备份、制定应急预案以及邀请全程监督等,做好防范和控制工作,避免为自身带来额外风险。

 

第四章 技术标准和服务要求

一、技术标准和规范

《中华人民共和国网络安全法》

《信息安全等级保护管理办法》(公通字[2007]43号)

《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)

《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)

《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)

《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)

《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)

《信息安全技术信息系统安全等级保护测评过程指南》(GB/T 8449-2012)

二、招标人技术及管理要求

1.技术要求

1.1 技术规范要求

(1)具备较强的系统分析、问题判断和解决等方面的能力;

(2)对工作职责有充分认知,有较强的工作责任心,具备较好的沟通协调、口头表达能力,能够与客户进行良好的沟通。

1.2 安全管理规范要求

(1)服务人员应严格遵守招标人各项规章制度及计算机信息行业的法律法规,保持安全、规范、清洁的工作环境,做好信息安全保护措施及计算机病毒的防范工作;

(2)数据或其他涉密信息传递时,应按照要求进行加密,通过电话或其他方式通知接受方;

(3)未经允许,切勿对自己或他人的计算机网络功能进行删除、修改或者增加;切勿私自安装病毒或其他含病毒软件;

1.3 行为管理规范

(1)遵守用户的各项规章制度,严格按照用户相应的规章制度办事;

(2)与用户运行维护体系其他部门和环节协同工作,密切配合,共同开展技术支持工作;

(3)出现疑难技术、业务问题和重大紧急情况时,及时向负责人报告;

(4)现场技术支持时要精神饱满,穿着得体,谈吐文明,举止庄重;

(5)接听电话时要文明礼貌,语言清晰明了,语气和善;

遵守保密原则。对被支持单位的网络、主机、系统软件、应用软件等的密码、核心参数、业务数据等负有保密责任,不得随意复制和传播。

1.4服务质量要求

投标方应建立严格的质量保障体系和应急事件相应机制。投标人应配备技术人员进行远程支持。当有服务请求时,现场人员应在2小时内响应并进行处理,如遇故障,现场人员无法解决的,远程人员需在30分钟内响应并进行处理,如远程无法处理的,投标方需在2小时到达现场进行处理,如遇应急事件投标方须在10分钟响应并启动应急事件处理机制。

2.进度与时间要求

时间要求,合同签订日至2018年11月30日。

完成内容:在服务期间内,按照中航安盟的管理要求,定期完成等级保护测评工作。针对用户使用过程中出现的系统业务支撑问题进行及时的解答、跟踪并及时反馈至管理部门。

3.输出过程文档

本次信息系统等级保护测评活动,应针对各个阶段输出各自的过程文档,文档应包括但不限于以下方面:

《等级测评工作计划》

《信息系统调研表》

《信息系统测评方案》

《信息系统扫描方案》

《信息系统现场测评记录表》

《信息系统漏洞扫描报告》

4.考核及验收要求

本项目根据中航安盟相关项目管理办法进行考核及验收。

5.其他要求

该项目需要达到的效果、质保期、售后服务、及项目过程中和后期投标方所需提供的资料。

(1)招标工作完成,中标人须向中航安盟提交本项目的《测评方案》,该《测评方案》须从项目服务内容、范围、流程、人员、计划等方面进行详细阐述。

(2)投标方参加本项目现场工作的人员不少于3人。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第五章 附录

附件1:投标文件封面

 

项目名称

 

 

 

 

 

 

投 标 文 件

            

 

 

 

项目名称:                                              

投标单位(盖公章):                                   

法 定 代 表 人

或其委托代理人(签字或盖章):                         

日  期:       年      月    

 

附件2:投标声明函

 

 

                               项目名称:

                               日期:

中航安盟财产保险有限公司:

我公司(单位)_______________已仔细研究并了解(项目名称)                     招标文件的全部内容,愿意以人民币(大写)          元(¥      )的投标总报价进行投标,投标文件中所有关于投标资格证明文件、内容陈述等均是真实的、准确的,若有违背,我公司愿意承担由此而产生的一切后果。

 

 

                        投标方代表签字:

                        投标方公章:

 

 

 

 

 

 

 

 

 

 

 

 

附件3:投标报价单

序号

信息系统名称

定级

数量(套)

报价

(元)

备注

1

核心业务系统

3

1

 

 

2

资金系统

3

1

 

3

呼叫中心CC系统

2

1

 

4

办公OA

2

1

 

5

邮箱系统

2

1

 

6

公司官网

2

1

 

7

合计

/

6

 

8

合计大写金额

 

 

说明:

1、此表可延长,合计报价分别以大写、小写格式进行填写。

2、此表应包含本投标项目所有产品及模块报价。

3、此“备注”栏可详细描述具体的服务优惠方案,可包括且不限于售后服务,培训等。

 

 

 

附件4:商务偏离表(仅描述偏离项)

序号

招标文件要求

投标响应

差异

差异原因

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

附件5:技术偏离表(仅描述偏离项)

序号

招标文件要求

投标响应

差异

差异原因

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

附件6:成功案例清单

序号

被测评单位名称

测评系统

备案等级

合同证明文件在投标书中位 置页码

1

 

 

 

 

2

 

 

 

 

3

 

 

 

 

4

 

 

 

 

 

 

附件7:资质、信誉文件列表清单

序号

资质、信誉(资信证明、获奖等)文件名称

获取时间

描述

在投标书中位置页码

1

 

 

 

 

2

 

 

 

 

3

 

 

 

 

 

附件8:授权委托书

 

本授权委托书声明:我__________(姓名)系___________(投标方)的法定代表人,现授权委托________(投标方)的____________(姓名)为我司代理人,以本公司的名义参加____________(招标人)的___________________________项目的投标活动。投标方在开标、评标、合同谈判、签署合同过程中所签署的一切文件和处理与之有关的一切事务,我均予以承认。代理人无转委权利。特此委托。

 

 

      代理人:____________________性别:___________年龄:____________

      单  位:____________________部门:___________职务:____________

          身份号码:______________________________________________________

 

      投标方:(盖公章)

      法定代表人:(签字并盖章

附件9:拟任本项目工作主要人员情况表

姓  名

 

性别

 

出生年月

 

职 称

 

学历

 

毕业时间

 

毕业院校

 

所学专业

 

监理专业

 

 

 

专业工作年限

 

从事相关工作年限

 

拟在本项目工作中承担的职务

 

资格证书名称

 

资格证书编号

 

主要工作经历及业绩:

注:1、“主要人员”是指本项目负责人及实施人员;

    2、本表应相应附有本项目负责人身份证、职称证书、资格证书等复印件及业绩证明材料。

 

投 标 人:                 (盖公章)

法定代表人或其委托代理人:       (签字或盖章)

日    期:           年        月        日