招标
2023NCZ004067宁夏地方金融监管和服务智能化建设项目运维服务宁夏地方金融监管和服务智能化建设项目运维服务(二标段)的采购需求
金额
30万元
项目地址
宁夏回族自治区
发布时间
2023/11/10
公告摘要
公告正文
一、采购标段
| 采购计划编号: | 2023NCZ004067 | 项目名称: | 宁夏地方金融监管和服务智能化建设项目运维服务 |
|---|---|---|---|
| 分包名称: | 宁夏地方金融监管和服务智能化建设项目运维服务 (二标段) | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 多年期错茬项目总概算 | 300000.00 |
| 多年期错茬性项目本年预算: | 100000.00 | ||
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
| 是否为执行国家统一定价标 和固定价格采购项目: | 否 | ||
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.满足《中华人民共和国政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.供应商在中国政府采购网(www.ccgp.gov.cn)未被列入政府采购严重违法失信行为记录名单,在“信用中国”网站(www.creditchina.gov.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业:
1是
0否
4.合格投标人的其他资格要求:
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| 1 | 无 |
三、商务要求
采购标的交付(实施)的时间(期限):自合同签订之日起至2024年12月31日
国家标准、行业标准、地方标准等标准、规范:按合同执行
其他商务要求:中标单位按招标单位要求的时间、地点进行服务,过程中产生的一切费用由中标单位承担。
采购标的交付地点(范围):宁夏回族自治区地方金融监督管理局指定地点。
付款条件(进度和方式):合同签订后甲方向乙方支付合同金额的10%,项目实施中,乙方根据项目建设进度,向甲方提出支付申请,甲方审核后进行费用支付。乙方应按照甲方财务要求提供相应的增值税发票。
售后服务:1.乙方提供服务的质量保证期为自服务通过最终验收之日起个月。若国家有明确规定的质量保证期高于此质量保证期的,执行国家规定。 2.服务期内,乙方应提供相关服务支持。对甲方所反映的任何服务问题在日(小时)之内做出及时响应,在日(小时)之内赶到现场实地解决问题。若问题在工作日(小时)后仍无法解决,乙方应在日(小时)内免费提供服务的补偿、替换方案,直至服务恢复正常。 3.乙方必须遵守甲方的有关管理制度、操作规程。对于乙方违规操作造成甲方损失的,由乙方按照本合同第十一条的约定承担赔偿责任。
质量保修范围和保修期:招标文件和投标文件作为本合同的一部分,其中甲方要求和乙方承诺的服务内容等作为合同的依据,乙方实际提供的交付成果,须使用方经现场查验,若不符合招标服务要求,甲方有权解除合同,要求乙方退还已收取的全部款项,并有权向乙方收取合同金额20%的违约金。 甲方保证服务期间,对乙方工作给予支持,提供必须的基础工作条件。如乙方有需要,还应提供履行合同所必需的有关图纸、数据、资料等。没有甲方事先同意,乙方不得将甲方资料提供给与履行本合同无关的任何其他人。即使向履行本合同有关的人员提供,也应注意保密并限于履行合同的必需范围内。
培训:免费培训
四、技术要求
货物类
服务类
工程类
| 标的清单(服务类) | |||||||
|---|---|---|---|---|---|---|---|
| 序号 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| 1 | 平台运营服务 | 等保测评及商用密码测评需求说明书 一、等级保护测评概况 按照《中华人民共和国网络安全法》和网络安全等级保护制度相关规定,对第三级(含) 以上的网络每年至少进行一次等级测评,二级网络每两年进行一次等级测评,新建第三级以上网络应当在通过等级保护测评后投入运行。为进一步加强网络安全防护能力,认真贯彻落实网络安全监管单位等级保护要求,切实做好信息系统安全等级保护测评、安全防护评估和测评整改等工作,依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等相关规定,结合我局实际,制定本方案。通过等级保护测评,对网络安全防护能力的分析与确认,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查安全隐患和薄弱环节、明确网络安全建设整改需求,有效地提高网络安全防护能力网络安全建设的整体水平;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力,对网络安全状态做出判断、提供合理化建议,并协助设计详细、合理的等级保护整改方案,通过安全建设整改工作能够使网络安全达到相应安全保护等级的能力要求,不断提升网络安全保护能力。三是提升网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解网络安全状况提升人员安全威胁处置能力。四是遵循国家等级保护有关规定的要求,对网络安全建设进行符合性测评,出具网络安全等级保护测评报告,将测评结论作为进一步完善系统安全防护措施的依据。 依据《国家网络安全等级保护测评机构管理办法》及《网络安全等级保护测评活动管理办法》相关要求,为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,网络安全等级保护测评活动必须遵循以下法律法规规定: 1.《中华人民共和国网络安全法》 2.《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令) 3.《计算机信息系统 安全保护等级划分准则》(GB 17859-1999) 4.《信息系统安全等级保护实施指南》 (GB/T25058-2010) 5.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 6.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 7.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020 ) 8.《信息安全等级保护备案实施细则》(公信安[2007]1360 号) 9.《信息安全技术 网络安全等级保护安全设计技术要求》(GBT25070-2019) 10.《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018) 11.《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T36627-2018) 12.《网络安全等级保护测评报告模板(2021 版)》 13.《关键信息基础设施安全保护条例》 二、等级保护测评指标要求 依据等保 2.0 版相关要求,对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统网络安全等级保护测评工作,并对差距项提出整改建议方案。 等级保护测评包括但不限于以下内容: (一)安全技术测评。 包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评; 1.安全物理环境。根据对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 2.安全通信网络。安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 3.安全区域边界。安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 4.安全计算环境。安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 5.安全管理中心。安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 (二)安全管理测评。 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 1.安全管理制度。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 2.安全管理机构。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 3.安全管理人员。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 4.安全建设管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 5.安全运维管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (三)扩展测评要求: 系统测评须严格按照等级保护 2.0 版安全通用要求指标进行测评,并结合应用系统使用移动互联网技术情况,增加测评扩展项指标。 三、商用密码应用安全性评估概况 随着信息技术的发展,一个国家拥有的数据规模,以及对数据的运用能力已成为衡量综合国力的重要组成部分,对数据的占有权和控制权将成为“海、陆、空”之外的国家战略资源。我国高度重视“互联网+政务”建设,近几年各地方政府积极推进党政机关数据资源整合和开放共享,掀起了以云计算、大数据技术为主的“政务云”建设高潮。 随着等级保护工作贯彻落实,电子政务的迅速发展,网络安全已成为制约信息化发展的重要一环,大量存储或运行的数据缺乏必要的数据隔离措施和安全的应用程序接口控制,面临数据丢失、泄露及非法访问等风险。密码技术作为网络与信息安全保障的核心技术和基础支撑,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。2019年12月30日,国务院办公厅发布《国家政务信息化项目建设管理办法》国办发[2019]57号文,指出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”安全可靠的密码技术已成为信息安全的最后一道防线,各级党政机关网络与信息系统迫切需要加强国产密码应用。 依据国家《密码法》、《网络安全法》和中央办公厅、国务院办公厅《金融和重要领域密码应用与创新发展工作规划(2018-2022 年)》(厅字[2018]36 号)相关要求,对以下系统开展商用密码应用测评、咨询服务工作,根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,开展密码应用安全性评估工作以及国产密码应用改造的咨询、论证等工作。 法律法规及政策依据: 1、《中华人民共和国密码法》 2、《国家政务信息化项目建设管理办法》 3、《贯彻落实网络安全等保制度和关保制度的指导意见》 商用密码应用安全性评估在实施过程中所依据的政策文件除上述文件外,还包含各地方政府或主管部门发布的相关管理办法及指导意见等。 商用密码测评实施依据: 1、《信息安全技术 信息系统密码应用基本要求》 2、《信息系统密码应用测评过程指南》 3、《信息系统密码应用测评要求》 4、《商用密码应用安全性评估量化评估规则》 5、《信息系统密码应用高风险判定指引》 商用密码应用安全性评估在实施过程中所依据的规范指南文件除上述文件外,还包含有国家密码管理局发布的其余有关密码技术、密码算法、密码产品和密码服务的规范标准文件。 四、商用密码应用安全性评估指标要求 对宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码应用的合规性,正确性,有效性进行安全性评估项目并提供《密码应用安全性评估报告》 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第二级别} 要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 7.1a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 71b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 可 网络和通信安全 身份鉴别 7.2a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 宜 通信数据完整性 7.2b)宜采用密码技术保证通信过程中数据的完整性; 可 通信过程中重要数据的机密性 7.2c)应采用密码技术保证通信过程中重要数据的机密性; 宜 网络边界访问控制信息的完整性 7.2d)宜采用密码技术保证网络边界访问控制信息的完整性; 可 设备和计算安全 身份鉴别 7.3a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 宜 系统资源访问控制信息完整性 7.3b)宜采用密码技术保证系统资源访问控制信息的完整性; 可 日志记录完整性 7.3c)宜采用密码技术保证日志记录的完整性; 可 应用和数据安全 身份鉴别 7.4a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 宜 访问控制信息完整性 7.4b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; 可 重要数据传输机密性 7.4c)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 宜 重要数据存储机密性 7.4d)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 宜 重要数据传输完整性 7.4e)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 7.4f)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 管理要求 管理制度 具备密码应用安全管理制度 7.5a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 7.5b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 7.5c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 7.6a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 7.6b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 7.6c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 建立关键岗位人员保密制度和调离制度 7.6d)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 7.7a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 7.7b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术信息系统密码应用基本要求》附录A; 应 制定实施方案 7.7c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 7.7d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 宜 应急处置 应急策略 7.8a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 测评指标合计 27项 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第三级别}要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 8.1 a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 8.1 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 宜 视频监控记录数据存储完整性 8.1 c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 宜 网络和通信安全 身份鉴别 8.2 a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 应 通信数据完整性 8.2 b) 宜采用密码技术保证通信过程中数据的完整性; 宜 通信过程中重要数据的机密性 8.2 c) 应采用密码技术保证通信过程中重要数据的机密性; 应 网络边界访问控制信息的完整性 8.2 d) 宜采用密码技术保证网络边界访问控制信息的完整性; 宜 安全接入认证 8.2 e) 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 可 设备和计算安全 身份鉴别 8.3 a) 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 应 远程管理通道安全 8.3 b) 远程管理设备时,应采用密码技术建立安全的信息传输通道; 应 系统资源访问控制信息完整性 8.3 c) 宜采用密码技术保证系统资源访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.3 d) 宜采用密码技术保证设备中的重要信息资源安全标记的完整性; 宜 日志记录完整性 8.3 e) 宜采用密码技术保证日志记录的完整性; 宜 重要可执行程序完整性、重要可执行程序来源真实性 8.3 f) 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 宜 应用和数据安全 身份鉴别 8.4 a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 应 访问控制信息完整性 8.4 b) 宜采用密码技术保证信息系统应用的访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.4 c) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; 宜 重要数据传输机密性 8.4 d) 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 应 重要数据存储机密性 8.4 e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 应 重要数据传输完整性 8.4 f) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 8.4 g) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 不可否认性 8.4 h) 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 宜 管理要求 管理制度 具备密码应用安全管理制度 8.5 a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 8.5 b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 8.5 c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 定期修订安全管理制度 8.5 d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; 应 明确管理制度发布流程 8.5 e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; 应 制度执行过程记录留存 8.5 f)应具有密码应用操作规程的相关执行记录并妥善保存。 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 8.6 a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 8.6 b) 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2) 对关键岗位建立多人共管机制; 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4) 相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 8.6 c) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 定期进行安全岗位人员考核 8.6 d) 应定期对密码应用安全岗位人员进行考核; 应 建立关键岗位人员保密制度和调离制度 8.6 e) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 8.7 a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 8.7 b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; 应 制定实施方案 8.7 c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 8.7 d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 应 定期开展密码应用安全性评估及攻防对抗演习 8.7 e)在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。 应 应急处置 应急策略 8.8 a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 事件处置 8.8 b)事件发生后,应及时向信息系统主管部门进行报告; 应 向有关主管部门上报处置情况 8.8 c)事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。 应 测评指标合计 41项 五、测评实施过程 为做好宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码测评服务密评实测评工作,确保测评数据真实可靠、测评过程记录完整、测评内容充分全面、保证不存在影响评测结果的疏忽或遗漏、测评结果公正,测评实施过程应严格遵守国家的相关法律、法规、规范、标准等相关要求建立完整科学的测评过程,在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。测评过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。从项目启动阶段、系统收集阶段、工具和表单准备、方案编制阶段、现场测评阶段、分析与报告编制阶段、整改方案编制阶段等方面进行项目实施规范管理。 项目实施应满足以下原则∶ 符合性原则∶应符合国家密码管理局针对密码应用安全性评估的要求及相关法律法规。 标准性原则∶密评实施方案设计、项目实施应依据行业及国内相关标准进行。 规范性原则∶项目实施应由专业密评测评师依照规范得操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。 可控性原则∶项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排,保证项目实施得可控性。 整体性原则∶测评范围与内容应当整体全面,包括涉及评估的各个层面和指标。 最小景响原则∶项目实测评作应尽可能小得景响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。 保密原则:对项目实施过程获得得数据与结果严格保密,未经授权不得泄露给任何单位与个人,不得利用此数据与结果进行任何侵害测评委托单位利益得行为。 六、增值服务 针对宁夏回族自治区地方金融监督管理局网络安全工作实际需求提供以下安全增值服务。 序号 服务项目 服务内容 1 安全检查支撑 根据招标方实际工作需求,提供项目系统安全基线检查、漏洞扫描、策略加固等技术支持。 2 重保时期技术支持 甲方实际工作需求,在项目系统应急演练及重点保障时期,提供技术支持。 3 系统安全渗透测试 根据甲方实际工作需求,自合同签订之日起一年内,对系统提供两次渗透测试,分析问题并协助建设方完成整改。 4 安全风险评估服务 根据甲方实际工作需求,自合同签订之日起一年内,每季度提供一次安全风险评估服务。 | 1 | 300000.00 | 标的1-平台运营服务:等保测评及商用密码测评需求说明书 一、等级保护测评概况 按照《中华人民共和国网络安全法》和网络安全等级保护制度相关规定,对第三级(含) 以上的网络每年至少进行一次等级测评,二级网络每两年进行一次等级测评,新建第三级以上网络应当在通过等级保护测评后投入运行。为进一步加强网络安全防护能力,认真贯彻落实网络安全监管单位等级保护要求,切实做好信息系统安全等级保护测评、安全防护评估和测评整改等工作,依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等相关规定,结合我局实际,制定本方案。通过等级保护测评,对网络安全防护能力的分析与确认,一是可以发现网络存在的安全问题,掌握网络的安全状况、排查安全隐患和薄弱环节、明确网络安全建设整改需求,有效地提高网络安全防护能力网络安全建设的整体水平;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力,对网络安全状态做出判断、提供合理化建议,并协助设计详细、合理的等级保护整改方案,通过安全建设整改工作能够使网络安全达到相应安全保护等级的能力要求,不断提升网络安全保护能力。三是提升网络安全事件应急响应及安全事件分析,使技术人员更全面掌握了解网络安全状况提升人员安全威胁处置能力。四是遵循国家等级保护有关规定的要求,对网络安全建设进行符合性测评,出具网络安全等级保护测评报告,将测评结论作为进一步完善系统安全防护措施的依据。 依据《国家网络安全等级保护测评机构管理办法》及《网络安全等级保护测评活动管理办法》相关要求,为进一步加强网络安全等级保护测评机构管理,规范测评行为,提升测评能力和质量,保障国家网络安全等级保护制度深入贯彻实施,网络安全等级保护测评活动必须遵循以下法律法规规定: 1.《中华人民共和国网络安全法》 2.《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令) 3.《计算机信息系统 安全保护等级划分准则》(GB 17859-1999) 4.《信息系统安全等级保护实施指南》 (GB/T25058-2010) 5.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 6.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 7.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020 ) 8.《信息安全等级保护备案实施细则》(公信安[2007]1360 号) 9.《信息安全技术 网络安全等级保护安全设计技术要求》(GBT25070-2019) 10.《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018) 11.《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T36627-2018) 12.《网络安全等级保护测评报告模板(2021 版)》 13.《关键信息基础设施安全保护条例》 二、等级保护测评指标要求 依据等保 2.0 版相关要求,对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统网络安全等级保护测评工作,并对差距项提出整改建议方案。 等级保护测评包括但不限于以下内容: (一)安全技术测评。 包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评; 1.安全物理环境。根据对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 2.安全通信网络。安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 3.安全区域边界。安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 4.安全计算环境。安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 5.安全管理中心。安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 (二)安全管理测评。 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 1.安全管理制度。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 2.安全管理机构。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 3.安全管理人员。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 4.安全建设管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 5.安全运维管理。根据现场安全测评记录,针对宁夏地方金融监管和服务智能化建设项目系统开展信息系统及宁夏企业融资服务平台系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (三)扩展测评要求: 系统测评须严格按照等级保护 2.0 版安全通用要求指标进行测评,并结合应用系统使用移动互联网技术情况,增加测评扩展项指标。 三、商用密码应用安全性评估概况 随着信息技术的发展,一个国家拥有的数据规模,以及对数据的运用能力已成为衡量综合国力的重要组成部分,对数据的占有权和控制权将成为“海、陆、空”之外的国家战略资源。我国高度重视“互联网+政务”建设,近几年各地方政府积极推进党政机关数据资源整合和开放共享,掀起了以云计算、大数据技术为主的“政务云”建设高潮。 随着等级保护工作贯彻落实,电子政务的迅速发展,网络安全已成为制约信息化发展的重要一环,大量存储或运行的数据缺乏必要的数据隔离措施和安全的应用程序接口控制,面临数据丢失、泄露及非法访问等风险。密码技术作为网络与信息安全保障的核心技术和基础支撑,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。2019年12月30日,国务院办公厅发布《国家政务信息化项目建设管理办法》国办发[2019]57号文,指出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”安全可靠的密码技术已成为信息安全的最后一道防线,各级党政机关网络与信息系统迫切需要加强国产密码应用。 依据国家《密码法》、《网络安全法》和中央办公厅、国务院办公厅《金融和重要领域密码应用与创新发展工作规划(2018-2022 年)》(厅字[2018]36 号)相关要求,对以下系统开展商用密码应用测评、咨询服务工作,根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,开展密码应用安全性评估工作以及国产密码应用改造的咨询、论证等工作。 法律法规及政策依据: 1、《中华人民共和国密码法》 2、《国家政务信息化项目建设管理办法》 3、《贯彻落实网络安全等保制度和关保制度的指导意见》 商用密码应用安全性评估在实施过程中所依据的政策文件除上述文件外,还包含各地方政府或主管部门发布的相关管理办法及指导意见等。 商用密码测评实施依据: 1、《信息安全技术 信息系统密码应用基本要求》 2、《信息系统密码应用测评过程指南》 3、《信息系统密码应用测评要求》 4、《商用密码应用安全性评估量化评估规则》 5、《信息系统密码应用高风险判定指引》 商用密码应用安全性评估在实施过程中所依据的规范指南文件除上述文件外,还包含有国家密码管理局发布的其余有关密码技术、密码算法、密码产品和密码服务的规范标准文件。 四、商用密码应用安全性评估指标要求 对宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码应用的合规性,正确性,有效性进行安全性评估项目并提供《密码应用安全性评估报告》 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第二级别} 要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 7.1a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 71b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 可 网络和通信安全 身份鉴别 7.2a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 宜 通信数据完整性 7.2b)宜采用密码技术保证通信过程中数据的完整性; 可 通信过程中重要数据的机密性 7.2c)应采用密码技术保证通信过程中重要数据的机密性; 宜 网络边界访问控制信息的完整性 7.2d)宜采用密码技术保证网络边界访问控制信息的完整性; 可 设备和计算安全 身份鉴别 7.3a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 宜 系统资源访问控制信息完整性 7.3b)宜采用密码技术保证系统资源访问控制信息的完整性; 可 日志记录完整性 7.3c)宜采用密码技术保证日志记录的完整性; 可 应用和数据安全 身份鉴别 7.4a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 宜 访问控制信息完整性 7.4b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; 可 重要数据传输机密性 7.4c)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 宜 重要数据存储机密性 7.4d)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 宜 重要数据传输完整性 7.4e)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 7.4f)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 管理要求 管理制度 具备密码应用安全管理制度 7.5a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 7.5b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 7.5c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 7.6a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 7.6b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 7.6c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 建立关键岗位人员保密制度和调离制度 7.6d)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 7.7a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 7.7b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术信息系统密码应用基本要求》附录A; 应 制定实施方案 7.7c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 7.7d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 宜 应急处置 应急策略 7.8a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 测评指标合计 27项 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》{第三级别}要求基本指标 测评单元 测评指标 应用要求 技术要求 物理和环境安全 身份鉴别 8.1 a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; 宜 电子门禁记录数据存储完整性 8.1 b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; 宜 视频监控记录数据存储完整性 8.1 c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 宜 网络和通信安全 身份鉴别 8.2 a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; 应 通信数据完整性 8.2 b) 宜采用密码技术保证通信过程中数据的完整性; 宜 通信过程中重要数据的机密性 8.2 c) 应采用密码技术保证通信过程中重要数据的机密性; 应 网络边界访问控制信息的完整性 8.2 d) 宜采用密码技术保证网络边界访问控制信息的完整性; 宜 安全接入认证 8.2 e) 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 可 设备和计算安全 身份鉴别 8.3 a) 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; 应 远程管理通道安全 8.3 b) 远程管理设备时,应采用密码技术建立安全的信息传输通道; 应 系统资源访问控制信息完整性 8.3 c) 宜采用密码技术保证系统资源访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.3 d) 宜采用密码技术保证设备中的重要信息资源安全标记的完整性; 宜 日志记录完整性 8.3 e) 宜采用密码技术保证日志记录的完整性; 宜 重要可执行程序完整性、重要可执行程序来源真实性 8.3 f) 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 宜 应用和数据安全 身份鉴别 8.4 a) 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; 应 访问控制信息完整性 8.4 b) 宜采用密码技术保证信息系统应用的访问控制信息的完整性; 宜 重要信息资源安全标记完整性 8.4 c) 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; 宜 重要数据传输机密性 8.4 d) 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; 应 重要数据存储机密性 8.4 e) 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; 应 重要数据传输完整性 8.4 f) 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; 宜 重要数据存储完整性 8.4 g) 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; 宜 不可否认性 8.4 h) 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 宜 管理要求 管理制度 具备密码应用安全管理制度 8.5 a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; 应 密钥管理规则 8.5 b)应根据密码应用方案建立相应密钥管理规则; 应 建立操作规程 8.5 c)应对管理人员或操作人员执行的日常管理操作建立操作规程; 应 定期修订安全管理制度 8.5 d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; 应 明确管理制度发布流程 8.5 e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; 应 制度执行过程记录留存 8.5 f)应具有密码应用操作规程的相关执行记录并妥善保存。 应 人员管理 了解并遵守密码相关法律法规 和密码管理制度 8.6 a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; 应 建立密码应用岗位责任制度 8.6 b) 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2) 对关键岗位建立多人共管机制; 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4) 相关设备与系统的管理和使用账号不得多人共用。 应 建立上岗人员培训制度 8.6 c) 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; 应 定期进行安全岗位人员考核 8.6 d) 应定期对密码应用安全岗位人员进行考核; 应 建立关键岗位人员保密制度和调离制度 8.6 e) 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 应 建设运行 制定密码应用方案 8.7 a)应依据密码相关标准和密码应用需求,制定密码应用方案; 应 制定密钥安全管理策略 8.7 b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; 应 制定实施方案 8.7 c)应按照应用方案实施建设; 应 投入运行前进行密码应用安全性评估 8.7 d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; 应 定期开展密码应用安全性评估及攻防对抗演习 8.7 e)在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。 应 应急处置 应急策略 8.8 a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; 应 事件处置 8.8 b)事件发生后,应及时向信息系统主管部门进行报告; 应 向有关主管部门上报处置情况 8.8 c)事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。 应 测评指标合计 41项 五、测评实施过程 为做好宁夏地方金融监管和服务智能化建设项目系统及宁夏企业融资服务平台系统密码测评服务密评实测评工作,确保测评数据真实可靠、测评过程记录完整、测评内容充分全面、保证不存在影响评测结果的疏忽或遗漏、测评结果公正,测评实施过程应严格遵守国家的相关法律、法规、规范、标准等相关要求建立完整科学的测评过程,在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为测评实施的依据。测评过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。从项目启动阶段、系统收集阶段、工具和表单准备、方案编制阶段、现场测评阶段、分析与报告编制阶段、整改方案编制阶段等方面进行项目实施规范管理。 项目实施应满足以下原则∶ 符合性原则∶应符合国家密码管理局针对密码应用安全性评估的要求及相关法律法规。 标准性原则∶密评实施方案设计、项目实施应依据行业及国内相关标准进行。 规范性原则∶项目实施应由专业密评测评师依照规范得操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程与结果提供规范得记录,以便于项目得跟踪与控制。 可控性原则∶项目实施得方法与过程要在双方认可得范围之内,实施进度要按照进度表进度得安排,保证项目实施得可控性。 整体性原则∶测评范围与内容应当整体全面,包括涉及评估的各个层面和指标。 最小景响原则∶项目实测评作应尽可能小得景响网络与信息系统得正常运行,不能对信息系统得运行与业务得正常提供产生显著影响。 保密原则:对项目实施过程获得得数据与结果严格保密,未经授权不得泄露给任何单位与个人,不得利用此数据与结果进行任何侵害测评委托单位利益得行为。 六、增值服务 针对宁夏回族自治区地方金融监督管理局网络安全工作实际需求提供以下安全增值服务。 序号 服务项目 服务内容 1 安全检查支撑 根据招标方实际工作需求,提供项目系统安全基线检查、漏洞扫描、策略加固等技术支持。 2 重保时期技术支持 甲方实际工作需求,在项目系统应急演练及重点保障时期,提供技术支持。 3 系统安全渗透测试 根据甲方实际工作需求,自合同签订之日起一年内,对系统提供两次渗透测试,分析问题并协助建设方完成整改。 4 安全风险评估服务 根据甲方实际工作需求,自合同签订之日起一年内,每季度提供一次安全风险评估服务。 | 自合同签订之日起至2024年12月31日 | |
五、合同管理安排
合同类型:
货物类
服务类
工程类
服务类
服务内容:宁夏地方金融监管和服务智能化建设项目运维服务 (二标段)
国家标准、行业标准、地方标准等标准、规范:按合同执行
履约保证金:无
甲方责任:1.双方均应遵守上述条款,未按上述条款执行的,将被视为违约。 2.合同生效后,非经双方协商一致,任何一方不得随意终止合同(不可抗力除外),如乙方擅自终止合同,则甲方有权要求乙方按合同总金额向甲方支付违约金,并要求乙方承担甲方因此遭受的损失。 3.乙方所交付服务成果不符合本合同规定的,甲方有权拒收,乙方在得到甲方通知之日起15天内采取补救措施,逾期仍未通过甲方验收的,甲方有权解除本合同,要求乙方退还已收取的全部款项,并赔偿因此给甲方造成的损失,同时甲方有权另行要求乙方支付合同总金额的违约金。 4.如乙方未在合同约定期限内按时交付服务成果并通过甲方验收,则自逾期之日起按合同金额的每日千分之三向甲方支付违约金,逾期超过十五日,甲方有权解除本合同,并有权另行要求乙方支付合同总金额的违约金。 5.其它未尽事宜,以《中华人民共和国民法典》和《中华人民共和国政府采购法》等有关法律法规规定为准,无相关规定的,双方协商解决。
乙方责任:1.双方均应遵守上述条款,未按上述条款执行的,将被视为违约。 2.合同生效后,非经双方协商一致,任何一方不得随意终止合同(不可抗力除外),如乙方擅自终止合同,则甲方有权要求乙方按合同总金额向甲方支付违约金,并要求乙方承担甲方因此遭受的损失。 3.乙方所交付服务成果不符合本合同规定的,甲方有权拒收,乙方在得到甲方通知之日起15天内采取补救措施,逾期仍未通过甲方验收的,甲方有权解除本合同,要求乙方退还已收取的全部款项,并赔偿因此给甲方造成的损失,同时甲方有权另行要求乙方支付合同总金额的违约金。 4.如乙方未在合同约定期限内按时交付服务成果并通过甲方验收,则自逾期之日起按合同金额的每日千分之三向甲方支付违约金,逾期超过十五日,甲方有权解除本合同,并有权另行要求乙方支付合同总金额的违约金。 5.其它未尽事宜,以《中华人民共和国民法典》和《中华人民共和国政府采购法》等有关法律法规规定为准,无相关规定的,双方协商解决。
违约责任:1.双方均应遵守上述条款,未按上述条款执行的,将被视为违约。 2.合同生效后,非经双方协商一致,任何一方不得随意终止合同(不可抗力除外),如乙方擅自终止合同,则甲方有权要求乙方按合同总金额向甲方支付违约金,并要求乙方承担甲方因此遭受的损失。 3.乙方所交付服务成果不符合本合同规定的,甲方有权拒收,乙方在得到甲方通知之日起15天内采取补救措施,逾期仍未通过甲方验收的,甲方有权解除本合同,要求乙方退还已收取的全部款项,并赔偿因此给甲方造成的损失,同时甲方有权另行要求乙方支付合同总金额的违约金。 4.如乙方未在合同约定期限内按时交付服务成果并通过甲方验收,则自逾期之日起按合同金额的每日千分之三向甲方支付违约金,逾期超过十五日,甲方有权解除本合同,并有权另行要求乙方支付合同总金额的违约金。 5.其它未尽事宜,以《中华人民共和国民法典》和《中华人民共和国政府采购法》等有关法律法规规定为准,无相关规定的,双方协商解决。
不可抗力:甲、乙方中任何一方,因不可抗力不能按时或完全履行合同的,应及时通知对方,并个工作日内提供相应证明,结算服务费用。未履行的部分是否继续履行、如何履行等问题,可由双方初步协商,并向主管部门和政府采购管理部门报告。确定为不可抗力原因造成的损失,免予承担责任。
服务期限:自合同签订之日起至2024年12月31日
争议解决:在合同履行期间,甲乙双方应严格按照公平、公正的原则,维护甲乙双方的合法利益。 在合同履行期间所发生的一切争端,甲乙双方应通过友好协商的办法加以解决。自协商之日开始的30天内仍得不到解决,双方可将争端提交甲方所在地人民法院起诉解决。
合同生效及其他:合同经甲乙双方法人或授权代表人签字盖章后即生效。甲方的招标文件、乙方的投标文件、承诺书为本合同不可分割部分。 本合同一式陆份,具有同等法律效力。
验收标准(附验收方案):1.乙方完成服务内容并达到使用要求后,可向甲方提出验收申请,甲方在个工作日内组织验收。 2.甲方组织验收小组负责验收工作。 3.乙方应对提供的服务成果作出全面自查和整理,并列出清单,作为甲方验收和使用的服务条件依据,清单应随提供的服务成果交给甲方。 4.验收时,甲乙双方必须同时在场,如经甲方通知乙方未按时在场参与验收的,视为乙方认可甲方作出的验收结果。在验收过程中,乙方所提供的服务内容不符合合同内容规定的,甲方有权拒绝验收。乙方应及时按本合同内容规定和甲方要求免费进行整改,直至验收合格,方视为乙方按本合同规定完成服务。验收合格的,由双方共同签署《验收报告》。验收不合格的按照本合同约定限期整改。 5.如根据项目实施情况需要分阶段验收,则双方分阶段签署《验收报告》。 6.项目验收结束后,验收小组成员必须签订验收报告。验收报告一式三份,一份报财政厅备案,作为支付采购资金的必备附件;一份由采购人备存,一份留投标人备存。
服务地点(范围):宁夏回族自治区地方金融监督管理局指定地点。
付款条件(进度和方式):合同签订后甲方向乙方支付合同金额的10%,项目实施中,乙方根据项目建设进度,向甲方提出支付申请,甲方审核后进行费用支付。乙方应按照甲方财务要求提供相应的增值税发票。
售后服务:1.乙方提供服务的质量保证期为自服务通过最终验收之日起个月。若国家有明确规定的质量保证期高于此质量保证期的,执行国家规定。 2.服务期内,乙方应提供相关服务支持。对甲方所反映的任何服务问题在日(小时)之内做出及时响应,在日(小时)之内赶到现场实地解决问题。若问题在工作日(小时)后仍无法解决,乙方应在日(小时)内免费提供服务的补偿、替换方案,直至服务恢复正常。 3.乙方必须遵守甲方的有关管理制度、操作规程。对于乙方违规操作造成甲方损失的,由乙方按照本合同第十一条的约定承担赔偿责任。
培训:免费培训
六、评审方法及评审细则
评标方法:
最低评标价法
综合评分法
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| 1 | 投标报价 | 10 | 价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×100%×权重分值。(四舍五入后保留小数点后两位)对于高于项目采购预算金额的投标报价不予接受,视为无效投标。 |
| 2 | 企业实力 | 10 | 1、投标人提供信息技术管理体系认证ISO20000认证证书、且服务范围包含商用密码测评测评的得2分; 2、投标人提供信息安全管理体系认证ISO27001认证证书、且服务范围包含商用密码测评测评的得2分; 3、投标人提供中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质认证证书得3分; 投标人提供工业信息安全应急服务支撑单位证书得3分。 |
| 3 | 项目总体技术方案 | 55 | 1、项目需求理解方案:投标人提供的项目需求理解方案中,包括但不限于①项目背景、②项目目标、③测评总体要求、④项目服务需求分析,其中包含四项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的项目需求理解方案架构、内容不符合项目情况的得4分;未提供不得分。 2、项目实施方案:投标人提供的项目实施方案中,包括但不限于①测评依据、②测评指标、③测评方法、④测评工具、⑤测评技术案例,其中包含五项以上内容,内容细化完善的得15分,针对以上内容存在缺漏,不够细化完善的得10分;有最基本的项目实施方案架构、内容不符合项目情况的得5分;未提供不得分。 3、质量管理方案:投标人提供的质量管理方案中,包括但不限于①质量管理目的、②质量管理计划、③质量管理制度、④质量保证措施、⑤测评过程质量控制,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的质量管理方案架构、内容不符合项目情况的得4分;未提供不得分。 4、安全保密方案:投标人提供的安全保密方案中,包括但不限于①安全管理体系、②服务人员保密管理、③现场设备保密管理、④测评报告保密管理、⑤保密承诺,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的安全保密方案架构、内容不符合项目情况的得4分;未提供不得分。 5、售后服务方案:投标人提供的售后服务方案中,包括但不限于①售后服务承诺、②售后服务保障措施、③售后技术支持、④售后服务流程、⑤售后服务管理制度,其中包含五项以上内容,内容细化完善的得10分,针对以上内容存在缺漏,不够细化完善的得7分;有最基本的售后服务方案架构、内容不符合项目情况的得4分;未提供不得分。 |
| 4 | 类似业绩 | 5 | 投标人提供截止开标之日前三年(2020年1月至今)的类似项目业绩,每提供一项得1分,最高得5分,不提供不得分; 备注:投标人需提供业绩的合同或中标通知书的原件的扫描件,并放置在投标文件相应位置,需保证所扫描的资料完整并清晰可辨。如出现模糊无法辨认的情况,评委有权视其为不合格资料,未提供不得分。 |
| 5 | 团队人员 | 20 | 1、项目经理须具备网络安全等级保护高级测评师证书,并通过商用密码应用安全性评估人员考核的得3分,在此基础上:具备CISSP注册信息系统安全专家证书、PMP项目管理师证书、CISP-F注册电子取证专业人员证书,每具备一项得3分,满分12分。 注:投标文件附相关人员资质证书和近三个月社保证明复印件加盖公章,提供不全或未提供的不得分。 2、项目团队配备的测评师须具备网络安全等级保护测评师证书,并通过商用密码应用安全性评估人员考核的得4分,在此基础上:项目团队人员具备CISP注册信息安全工程师证书、中国通信企业协会网络安全人员能力认证证书、渗透测试工程师(高级)证书、NSATP注册网络安全测评专业人员证书,每具备一项得1分,满分4分。 注:投标文件附相关人员资质证书和近三个月社保证明复印件加盖公章,提供不全或未提供的不得分。 |
| 合计: | 100 | ||
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
解决方案
联系我们
返回顶部