招标
长沙市大数据中心:2024-2026年度长沙市大数据中心等保测评项目采购需求公开
金额
-
项目地址
湖南省
发布时间
2024/08/16
公告摘要
公告正文
一、功能及要求:
一、项目概况
1、项目名称:2024-2026年度长沙市大数据中心等保测评项目
2、项目概述:根据《中华人民共和国网络安全法》第二十一条“国家实施网络安全等级保护制度”、《信息安全等级保护管理办法》(公通字〔2007〕第43号)第十四条“第三级信息系统应当每年至少进行一次等保测评”以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)第二点中“第三级以上网络运营者应委托符合国家有关规定的等级测评机构,每年开展一次网络安全等级测评”要求,在2024年对市大数据中心所属等保三级系统每年完成30次等保测评,在2025-2026年对市大数据中心所属等保三级系统每年完成39次等保测评,并且协助完成资产识别、差距分析、整改加固等安全服务,出具等级保护测评报告。
二、服务要求
1、项目实施范围包括
长沙市大数据中心等级保护测评服务系统范围为:
2024年市大数据中心拟测等保三级系统30个;
2025年市大数据中心拟测等保三级系统39个。
2026年市大数据中心拟测等保三级系统39个
如有系统新增、停用、降级、更换等情况,按相同要求完成其它等保三级系统测评,在不超过总预算情况下按实际测评次数进行结算。
2、 测评内容:
2.1 对系统进行安全现状等级保护测评,以找出系统与相应等级基本要求之间的差距,明确系统安全运行现状。
2.2 对系统进行安全等级保护测评,包括安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心等内容、安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等内容,以确保系统在其相应等级保护要求下运行。
2.3参照《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求》、《GBT 28448-2019信息安全技术网络安全等级保护测评要求》等相关规范,对信息系统进行等级保护测评,找出系统与国家标准要求之间的差距,对存在的风险进行评估,提出整改建议,协助采购人及承建单位整改,并出具公安部门认可的《信息安全等级测评报告》。
通用指标如下:
2.4 工具及渗透测试
根据工具测试过程管理表单,使用漏洞扫描工具对信息系统的设备进行扫描,扫描结束后,根据目标设备的具体情况,判断漏洞验证的风险程度。
组织人员开展按测评要求渗透测试,并给出整改建议。
3、测评原则:
本次等级保护测评应满足的原则:
保密原则:对测评的过程数据和结果数据及因测试所知悉的任何非公开信息均应严格保密,未经采购人授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究成交供应商的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:成交供应商工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息安全系统的的正常运行、业务的正常开展产生任何影响。
成交供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
4、测评实施流程:
4.1 测评准备活动:测评准备活动中,成交供应商主要完成启动测评项目,组建测评项目组;
通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。
4.2 方案编制活动:方案编制活动中,成交供应商主要完成确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施内容,并从已有的测评指导书中选择本次需要用到的测评指导书,最后根据上述情况编制测评方案。
4.3 现场测评活动:现场测评活动中,成交供应商在与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。
4.4 分析与报告编制活动:分析与报告编制活动中,测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,进行整体测评和风险分析,形成等级保护测评结论,并编制等级保护测评报告。
5、知识产权保护:
5.1 成交供应商应当享有知识产权或经权利人合法授权,保证没有侵犯任何第三人的知识产权和商业秘密等权利。
5.2 采购人使用成交供应商提供的内容对第三人构成侵权的,应当由成交供应商承担全部法律责任。
6、执行标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
《信息安全等级保护管理办法》(公通字〔2007〕43号);
《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019);
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2020);
《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019);《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019);《信息安全技术信息安全风险评估方法》(GB/T 20984—2022);
《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018);
《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
7、需实现的要求及目标
7.1人数配备情况:
须配备1名项目经理(即项目负责人),1名技术总监(不能与项目经理为同一人),不少于5名项目成员(除项目经理和技术总监外)。投标人须在投标文件中提供承诺函并加盖投标单位公章。(承诺函内容须包含:项目组成员名单、所获证书、联系方式、组内职务)
7.2实施人员和服务工作要求:
客观性和公正性要求:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
保密原则要求:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
最小影响要求:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应在测试前做出说明。
规范性要求:信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的等级测评报告。
质量保障要求:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
系统安全要求:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏或其他损失的,则应承担相应责任。
测评师规范要求:检测实施方工作人员必须通过等级保护等级测评师认证,持证上岗,经项目委托方确认资格后方可实施检测。
7.3交付成果要求:
成交供应商应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:
7.4 服务响应要求:
供应商需具备及时响应能力,签订后根据采购人安排的日期时间进场测评,出具整改报告协助完成系统建设整改。同时如发生故障,在得到采购人通知后,能及时响应并协助处理。
现场实施测评时供应商应尽量避开业务高峰期,并合理提出关于如何减低测评过程中可能产生的风险建议。
7.5 保密责任要求:
成交供应商必须承诺对从采购及履约活动中获得的采购人、项目相关资料承担保密责任,未经采购人许可不得泄露给任何第三人。
7.6 考核管理范围:
服务人员考核 :
采购人对成交供应商所指派工程师的服务不满意(包括技术能力、服务态度等),有权通过书面形式提出撤换该工程师的要求,成交供应商应予以执行。
服务质量考核:
采购人根据相关管理规定中的要求,严格对整体服务质量进行考核。成交供应商须遵守采购人相应的管理规定。
考核指标如下表:
考评打分与付款:
成交供应商年度考核分数按整数计分为X
X≥90时按照“按测评数量结算的当年度实际结算金额”支付;
85分≤X<90分,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.3%,扣款金额可以累加;
80分≤X<85分,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.4%,扣款金额可以累加;
75分≤X<80分,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.5%,扣款金额可以累加;
X<75分,采购人将约谈成交供应商,待问题确认整改后,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.6%,相关费用不再另行支付。”
7.7 应达到的目标:
通过系统等级保护测评,出具等级保护测评报告。
具体以发布的招标文件为准。
二、相关标准:
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
《信息安全等级保护管理办法》(公通字〔2007〕43号);
《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019);
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2020);
《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019);《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019);《信息安全技术信息安全风险评估方法》(GB/T 20984—2022);
《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018);
《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
具体以发布的招标文件为准。
三、技术规格:
详见附件,具体以发布的招标文件为准。
四、交付时间和地点:
1、服务时间:2024年度:自本项目合同签订之日起2个月内,等保测评机构完成相应测评并出具盖章的测评报告。
2025-2026年度:接采购人通知之日起2个月内,等保测评机构完成相应测评并出具盖章的测评报告。
若未按以上时间要求完成任务,按照考核指标进行评分考核。
2、 服务期限:自合同签订之日起叁年。
3、服务地点:采购人指定地点。
详见附件,具体以发布的招标文件为准。
五、服务标准:
详见附件,具体以发布的招标文件为准。
六、验收标准:
1、项目验收国家有强制性规定的,按国家规定执行,与本项目有关的国家、行业标准亦成为本项目验收标准。根据《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)、按照《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购〔2024〕5号)的规定,本项目采用按年度分期验收,验收报告作为申请付款的凭证之一,以成交供应商提交项目成果并得到采购人认可的方式验收项目,成果包括盖有DJCP章和测评报告专用章的等级保护测评报告;
2、验收过程中产生纠纷的,由市场监督部门认定的检测机构检测,如为成交供应商原因造成的,由成交供应商承担检测费用;因采购人原因造成的,由采购方承担;双方原因造成的,协商分摊检测费用。
3、项目验收不合格,由供应商返工直至合格,有关返工、再行验收,以及给采购方造成的损失等费用由成交供应商承担。连续两次项目验收不合格的,采购方可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交供应商承担。
具体以发布的招标文件为准。
七、其他要求:
1、结算方法
1.1付款人:长沙市大数据中心。
1.2付款方式:国库集中支付。
1.3付款条件:在满足下列条件后15日内,以合同签订后的年度为周期按实际完成的等保测评数量据实结算,采购人向中标人支付当年应付款项的100%。条件:①采购人与中标人正式签订等保测评服务合同②出具等保测评报告且经该期验收合格③财政经费预算指标下达④付款前,乙方应向甲方开具并提交等额税务发票。
2、 其他
2.1本项目采用费用包干方式建设,供应商应根据项目要求,详细列明项目所需的设备及材料购置,以及人工、管理、财务等所有费用,如一旦中标,在项目实施中出现任何遗漏,均由成交人免费提供,采购人不再支付任何费用。
2.2一旦中标,中标人必须独立完成本项服务,不得将本项服务转包、分包给第三方机构。
2.3中标人负责为其派出的所有工作人员购买足额的工伤及人身意外保险,成交供应商承担其派出人员受到人身伤害(包括但不限于工伤、交通事故、意外、第三人侵权等)引发 的责任、损失和所有费用。采购人不承担成交供应商工作人员因受到人身伤害(包括但不限于:在项目地点工作中发生以及抵 达项目地点途中及返程中发生)所致的任何责任。
2.4利益冲突回避:中标人及其所有项目参与人员均不得在所测评的项目的采购、建设、验收等各阶段再为第三方提供咨询服务,但是,经甲方允许的情形除外。
具体以发布的招标文件为准。
采购需求仅供参考,相关内容以采购文件为准。
一、项目概况
1、项目名称:2024-2026年度长沙市大数据中心等保测评项目
2、项目概述:根据《中华人民共和国网络安全法》第二十一条“国家实施网络安全等级保护制度”、《信息安全等级保护管理办法》(公通字〔2007〕第43号)第十四条“第三级信息系统应当每年至少进行一次等保测评”以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)第二点中“第三级以上网络运营者应委托符合国家有关规定的等级测评机构,每年开展一次网络安全等级测评”要求,在2024年对市大数据中心所属等保三级系统每年完成30次等保测评,在2025-2026年对市大数据中心所属等保三级系统每年完成39次等保测评,并且协助完成资产识别、差距分析、整改加固等安全服务,出具等级保护测评报告。
二、服务要求
1、项目实施范围包括
长沙市大数据中心等级保护测评服务系统范围为:
2024年市大数据中心拟测等保三级系统30个;
2025年市大数据中心拟测等保三级系统39个。
2026年市大数据中心拟测等保三级系统39个
如有系统新增、停用、降级、更换等情况,按相同要求完成其它等保三级系统测评,在不超过总预算情况下按实际测评次数进行结算。
2、 测评内容:
2.1 对系统进行安全现状等级保护测评,以找出系统与相应等级基本要求之间的差距,明确系统安全运行现状。
2.2 对系统进行安全等级保护测评,包括安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心等内容、安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等内容,以确保系统在其相应等级保护要求下运行。
2.3参照《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求》、《GBT 28448-2019信息安全技术网络安全等级保护测评要求》等相关规范,对信息系统进行等级保护测评,找出系统与国家标准要求之间的差距,对存在的风险进行评估,提出整改建议,协助采购人及承建单位整改,并出具公安部门认可的《信息安全等级测评报告》。
通用指标如下:
| 序号 | 测评内容分类 | 测评控制点 |
| 1 | 安全物理环境 | 物理位置选择 |
| 2 | 物理访问控制 | |
| 3 | 防盗和防破坏 | |
| 4 | 防雷击 | |
| 5 | 防火 | |
| 6 | 防水和防潮 | |
| 7 | 防静电 | |
| 8 | 温湿度控制 | |
| 9 | 电力供应 | |
| 10 | 电磁防护 | |
| 11 | 安全通信网络 | 网络架构 |
| 12 | 通信传输 | |
| 13 | 可信验证 | |
| 14 | 安全区域边界 | 边界防护 |
| 15 | 访问控制 | |
| 16 | 入侵防范 | |
| 17 | 恶意代码及垃圾邮件防范 | |
| 18 | 安全审计 | |
| 19 | 可信验证 | |
| 20 | 安全计算环境 | 身份鉴别 |
| 21 | 访问控制 | |
| 22 | 安全审计 | |
| 23 | 入侵防范 | |
| 24 | 恶意代码防范 | |
| 25 | 可信验证 | |
| 26 | 数据完整性 | |
| 27 | 数据保密性 | |
| 28 | 数据备份恢复 | |
| 29 | 剩余信息保护 | |
| 30 | 个人信息保护 | |
| 31 | 安全管理中心 | 系统管理 |
| 32 | 审计管理 | |
| 33 | 安全管理 | |
| 34 | 集中管控 | |
| 35 | 安全管理制度 | 安全策略 |
| 36 | 管理制度 | |
| 37 | 制定和发布 | |
| 38 | 评审和修订 | |
| 39 | 安全管理机构 | 岗位设置 |
| 40 | 人员配备 | |
| 41 | 授权和审批 | |
| 42 | 沟通和合作 | |
| 43 | 审核和检查 | |
| 44 | 安全管理人员 | 人员录用 |
| 45 | 人员离岗 | |
| 46 | 安全意识教育和培训 | |
| 47 | 外部人员访问管理 | |
| 48 | 安全建设管理 | 定级和备案 |
| 49 | 安全方案设计 | |
| 50 | 产品采购和使用 | |
| 51 | 自行软件开发 | |
| 52 | 外包软件开发 | |
| 53 | 工程实施 | |
| 54 | 测试验收 | |
| 55 | 系统交付 | |
| 56 | 等级测评 | |
| 57 | 服务供应商选择 | |
| 58 | 安全运维管理 | 环境管理 |
| 59 | 资产管理 | |
| 60 | 介质管理 | |
| 61 | 设备维护管理 | |
| 62 | 漏洞和风险管理 | |
| 63 | 网络和系统安全管理 | |
| 64 | 恶意代码防范管理 | |
| 65 | 配置管理 | |
| 66 | 密码管理 | |
| 67 | 变更管理 | |
| 68 | 备份与恢复管理 | |
| 69 | 安全事件处置 | |
| 70 | 应急预案管理 | |
| 71 | 外包运维管理 |
2.4 工具及渗透测试
根据工具测试过程管理表单,使用漏洞扫描工具对信息系统的设备进行扫描,扫描结束后,根据目标设备的具体情况,判断漏洞验证的风险程度。
组织人员开展按测评要求渗透测试,并给出整改建议。
3、测评原则:
本次等级保护测评应满足的原则:
保密原则:对测评的过程数据和结果数据及因测试所知悉的任何非公开信息均应严格保密,未经采购人授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究成交供应商的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:成交供应商工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息安全系统的的正常运行、业务的正常开展产生任何影响。
成交供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
4、测评实施流程:
4.1 测评准备活动:测评准备活动中,成交供应商主要完成启动测评项目,组建测评项目组;
通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。
4.2 方案编制活动:方案编制活动中,成交供应商主要完成确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施内容,并从已有的测评指导书中选择本次需要用到的测评指导书,最后根据上述情况编制测评方案。
4.3 现场测评活动:现场测评活动中,成交供应商在与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。
4.4 分析与报告编制活动:分析与报告编制活动中,测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,进行整体测评和风险分析,形成等级保护测评结论,并编制等级保护测评报告。
5、知识产权保护:
5.1 成交供应商应当享有知识产权或经权利人合法授权,保证没有侵犯任何第三人的知识产权和商业秘密等权利。
5.2 采购人使用成交供应商提供的内容对第三人构成侵权的,应当由成交供应商承担全部法律责任。
6、执行标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
《信息安全等级保护管理办法》(公通字〔2007〕43号);
《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019);
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2020);
《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019);《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019);《信息安全技术信息安全风险评估方法》(GB/T 20984—2022);
《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018);
《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
7、需实现的要求及目标
7.1人数配备情况:
须配备1名项目经理(即项目负责人),1名技术总监(不能与项目经理为同一人),不少于5名项目成员(除项目经理和技术总监外)。投标人须在投标文件中提供承诺函并加盖投标单位公章。(承诺函内容须包含:项目组成员名单、所获证书、联系方式、组内职务)
7.2实施人员和服务工作要求:
客观性和公正性要求:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
保密原则要求:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
最小影响要求:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应在测试前做出说明。
规范性要求:信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的等级测评报告。
质量保障要求:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
系统安全要求:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏或其他损失的,则应承担相应责任。
测评师规范要求:检测实施方工作人员必须通过等级保护等级测评师认证,持证上岗,经项目委托方确认资格后方可实施检测。
7.3交付成果要求:
成交供应商应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:
| 项目阶段 | 项目成果 |
| 定级备案阶段 | 合同约定覆盖的各信息系统《定级报告》 合同约定覆盖的各信息系统定级报告的《专家评审意见表》 合同约定覆盖的各信息系统《备案表》 |
| 现状调研阶段 | 合同约定覆盖的各信息系统《网络安全等级保护测评调研表》 |
| 现场测评阶段 | 现场测评文档:测评结果记录、整改建议等 |
| 报告编制阶段 | 合同约定覆盖的各系统《等级测评报告》 |
7.4 服务响应要求:
供应商需具备及时响应能力,签订后根据采购人安排的日期时间进场测评,出具整改报告协助完成系统建设整改。同时如发生故障,在得到采购人通知后,能及时响应并协助处理。
现场实施测评时供应商应尽量避开业务高峰期,并合理提出关于如何减低测评过程中可能产生的风险建议。
7.5 保密责任要求:
成交供应商必须承诺对从采购及履约活动中获得的采购人、项目相关资料承担保密责任,未经采购人许可不得泄露给任何第三人。
7.6 考核管理范围:
服务人员考核 :
采购人对成交供应商所指派工程师的服务不满意(包括技术能力、服务态度等),有权通过书面形式提出撤换该工程师的要求,成交供应商应予以执行。
服务质量考核:
采购人根据相关管理规定中的要求,严格对整体服务质量进行考核。成交供应商须遵守采购人相应的管理规定。
考核指标如下表:
| 序号 | 考核指标 | 考核标准 |
| 1 | 测评规范性 (20分) | 文档内容符合《信息安全技术 网络安全等级保护测评要求》 GB_ T 28448-2019标准,内容是否遵循GB17859、GB/T 22239等国家标准。 优秀得18-20分,良好得11-17分,一般得0-10分。 |
| 2 | 测评全面性 (25分) | 评估测评输入是否参照业务需求文档;是否按委托测评协议书的要求编制项目计划书;系统调查表格中安全保护等级、业务情况、数据情况、网络情况、软硬件情况、管理模式和相关部门及角色等情况的准确性、完整性;测评工具选型准确性;风险告知、交接的文档名称、会议记录、会议签到表、现场测评授权书等表单完整性; 优秀得15-25分, 良好得5-15分,一般得0-5分。 |
| 3 | 测评结果符合度 (25分) | 测评服务机构出具测评报告的质量,主要考察:测试覆盖度,测试报告的准确性、完整性、专业度、测评指标、测评对象、测评实施、结果判定情况。 优秀得15-25分, 良好得5-15分,一般得0-5分。 |
| 4 | 测评服务时间(20分) | 按测评服务机构完成相应测评并出具盖章的测评报告的时间进行评价。因测评服务机构的原因未按签收的工作联系单要求的时间内完成,每个系统每延迟 1 天扣 0.1分。 |
| 5 | 人员稳定性 (10分) | 未获得招标单位同意擅自更换项目经理,每次扣2分; 未获得招标单位同意擅自更换项目其他成员,每次扣1分。 |
考评打分与付款:
成交供应商年度考核分数按整数计分为X
X≥90时按照“按测评数量结算的当年度实际结算金额”支付;
85分≤X<90分,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.3%,扣款金额可以累加;
80分≤X<85分,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.4%,扣款金额可以累加;
75分≤X<80分,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.5%,扣款金额可以累加;
X<75分,采购人将约谈成交供应商,待问题确认整改后,采购人按如下规则扣款:按测评数量结算的当年度实际结算金额*(100-X)*0.6%,相关费用不再另行支付。”
7.7 应达到的目标:
通过系统等级保护测评,出具等级保护测评报告。
具体以发布的招标文件为准。
二、相关标准:
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
《信息安全等级保护管理办法》(公通字〔2007〕43号);
《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019);
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2020);
《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019);《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019);《信息安全技术信息安全风险评估方法》(GB/T 20984—2022);
《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018);
《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
具体以发布的招标文件为准。
三、技术规格:
详见附件,具体以发布的招标文件为准。
四、交付时间和地点:
1、服务时间:2024年度:自本项目合同签订之日起2个月内,等保测评机构完成相应测评并出具盖章的测评报告。
2025-2026年度:接采购人通知之日起2个月内,等保测评机构完成相应测评并出具盖章的测评报告。
若未按以上时间要求完成任务,按照考核指标进行评分考核。
2、 服务期限:自合同签订之日起叁年。
3、服务地点:采购人指定地点。
详见附件,具体以发布的招标文件为准。
五、服务标准:
详见附件,具体以发布的招标文件为准。
六、验收标准:
1、项目验收国家有强制性规定的,按国家规定执行,与本项目有关的国家、行业标准亦成为本项目验收标准。根据《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)、按照《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购〔2024〕5号)的规定,本项目采用按年度分期验收,验收报告作为申请付款的凭证之一,以成交供应商提交项目成果并得到采购人认可的方式验收项目,成果包括盖有DJCP章和测评报告专用章的等级保护测评报告;
2、验收过程中产生纠纷的,由市场监督部门认定的检测机构检测,如为成交供应商原因造成的,由成交供应商承担检测费用;因采购人原因造成的,由采购方承担;双方原因造成的,协商分摊检测费用。
3、项目验收不合格,由供应商返工直至合格,有关返工、再行验收,以及给采购方造成的损失等费用由成交供应商承担。连续两次项目验收不合格的,采购方可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交供应商承担。
具体以发布的招标文件为准。
七、其他要求:
1、结算方法
1.1付款人:长沙市大数据中心。
1.2付款方式:国库集中支付。
1.3付款条件:在满足下列条件后15日内,以合同签订后的年度为周期按实际完成的等保测评数量据实结算,采购人向中标人支付当年应付款项的100%。条件:①采购人与中标人正式签订等保测评服务合同②出具等保测评报告且经该期验收合格③财政经费预算指标下达④付款前,乙方应向甲方开具并提交等额税务发票。
2、 其他
2.1本项目采用费用包干方式建设,供应商应根据项目要求,详细列明项目所需的设备及材料购置,以及人工、管理、财务等所有费用,如一旦中标,在项目实施中出现任何遗漏,均由成交人免费提供,采购人不再支付任何费用。
2.2一旦中标,中标人必须独立完成本项服务,不得将本项服务转包、分包给第三方机构。
2.3中标人负责为其派出的所有工作人员购买足额的工伤及人身意外保险,成交供应商承担其派出人员受到人身伤害(包括但不限于工伤、交通事故、意外、第三人侵权等)引发 的责任、损失和所有费用。采购人不承担成交供应商工作人员因受到人身伤害(包括但不限于:在项目地点工作中发生以及抵 达项目地点途中及返程中发生)所致的任何责任。
2.4利益冲突回避:中标人及其所有项目参与人员均不得在所测评的项目的采购、建设、验收等各阶段再为第三方提供咨询服务,但是,经甲方允许的情形除外。
具体以发布的招标文件为准。
采购需求仅供参考,相关内容以采购文件为准。
解决方案
联系我们
返回顶部