招标
2024NCZ000917自然资源信息系统运维(2024)(标段一至七、十一至十三)标段七:数据安全风险评估的采购需求
金额
30万元
项目地址
-
发布时间
2024/04/23
公告摘要
公告正文
一、采购标段
| 采购计划编号: | 2024NCZ000917 | 项目名称: | 自然资源信息系统运维(2024)(标段一至七、十一至十三) |
|---|---|---|---|
| 分包名称: | 标段七:数据安全风险评估 | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 预算金额 | 300000.00 |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
| 是否为执行国家统一定价标 和固定价格采购项目: | 否 |
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.满足《中华人民共和国政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.供应商在中国政府采购网(www.ccgp.gov.cn)未被列入政府采购严重违法失信行为记录名单,在“信用中国”网站(www.creditchina.gov.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业:
1是
0否
4.合格投标人的其他资格要求:
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| 1 | 本项目不接受联合体投标。 |
| 2 | 本项目为专门面向小微企业预留项目。 |
三、商务要求
采购标的交付(实施)的时间(期限)
自项目合同签订之日起,15个工作日内驻场工作并进行初步评估,根据初步评估结果,协助自然资源厅对数据安全风险进行整改。完成整改后对数据资产进行二次评估,要求自项目合同签订之日后150天内完成评估工作并出具最终评估报告。
涉及工程项目的工程质量、项目经理、工程进度、工程计量方式、工程变更、竣工验收、质量保证等要求
人员配备要求: 项目实施人员至少由4人组成,实施人员中至少配备1名项目负责人,1名技术负责人,项目实施过程中驻场人员不得少于3人,中标人须与采购人签订项目合同、保密协议和现场评估授权书、风险预判告知书,核实驻场评估人员资质与投标时承诺为本项目配备的评估人员是否一致。确应工作调配需要更换评估人员,更换人员需与投标人员具备相同资质,且提前10个工作日向甲方书面报备,并提供更换评估人员资质证明。 5.实施要求 (1)中标人须提供完善的评估实施方案,经甲方审核通过后实施。完成对安全管理制度的补充完善和整理工作,配合对数据风险进行整改咨询服务。 (2)中标人应具有满足项目实施要求的评估能力,包括资产识别能力、脆弱性扫描能力、风险评估能力、数据安全基线检查能力、数据抓包分析能力、数据库检测能力等; (3)中标人在评估过程中,须严格遵守国家和地方相关法律、法规、规范、标准等相关要求,确保评估数据、过程记录的完整性和真实性; (4)中标人需根据宁夏自然资源厅实际情况,协助甲方制定和完善数据安全事件应急响应预案,提升应急处置能力。 6.服务要求 (1)一旦收到甲方的服务请求,乙方项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,乙方工程师在3小时内到达用户现场,提供服务; (2)提供技术服务热线,并安排专业人员为自治区自然资源厅解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即做出响应; (3)在合同服务期内,中标方须提供应急事件处理及应急响应服务。一旦被评估系统出现紧急或重大安全事件,中标方应在收到单位服务请求20分钟内提供远程协助;确定需要现场服务的,1小时内到达现场提供服务。 7.验收要求 (1)严格按照国家标准实施,评估结果及过程文档须符合数据安全风险评估相关要求; (2)文档资料要严格按照合同要求提交,各类报告编写要符合相关规范要求; (3)项目须通过甲方组织的验收,项目验收后15天内提交项目成果。
其他商务要求
交付成果: 序号 成果内容 格式 数量 1 宁夏自然资源厅数据安全风险评估实施方案 *.doc和 *.pdf 3份 2 宁夏自然资源厅数据资产清单 *.doc和 *.pdf 3份 3 宁夏自然资源厅业务数据分类分级目录清单 *.doc和 *.pdf 3份 4 宁夏自然资源厅数据安全风险评估报告 *.pdf 3套 5 宁夏自然资源厅数据应用场景分析报告 *.doc和 *.pdf 3份 6 宁夏自然资源厅数据安全风险整改建议书 *.doc和 *.pdf 3套 7 宁夏自然资源厅数据安全风险评估工作总结 *.doc和 *.pdf 3套
采购标的交付地点(范围)
宁夏回族自治区自然资源厅(银川市金凤区尹家渠北街25号) 2.交付期限:
售后服务
项目通过验收后,需提供1年期数据安全风险评估工作相关技术指导和支撑服务。中标方在收到甲方的服务请求后应立即给予响应,双方确认需要到现场服务时,须2小时内到达现场提供服务;遇到重大技术问题应及时组织有关技术专家进行会诊,4小时内解决问题。免费提供技术培训,培训内容包括:数据安全评估相关规定、数据安全评估流程、常见的数据安全风险判定及整改措施等。
四、技术要求
货物类
服务类
工程类
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| 1 | C16060000-测试评估认证服务 | 数据安全风险评估 | 落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规,按照《信息安全技术 网络数据处理安全要求》(GB/T 41479—2022)《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)《网络安全标准实践指南——网络数据分类分级指引》《信息安全技术 大数据服务安全能力要求》(GB/T 35274-2023)等标准要求,开展自然资源厅数据安全风险评估工作,识别存在风险,形成一套可落地可指导实践的数据安全风险评估方法,并对在数据安全风险评估中发现的数据安全风险点给出应对措施,出具有针对性的数据安全加固建议方案,协助各系统责任单位开展风险整改及复测工作,出具评估报告。 | 1 | 300000.00 | 标的1-测试评估认证服务:具体服务标准及详细要求以上传采购需求附件为准。 | 自项目合同签订之日起,15个工作日内驻场工作并进行初步评估,根据初步评估结果,协助自然资源厅对数据安全风险进行整改。完成整改后对数据资产进行二次评估,要求自项目合同签订之日后150天内完成评估工作并出具最终评估报告。 | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
| 01、自然资源信息系统运维-采购需求(0417最终).doc |
五、合同管理安排
合同类型:
货物类
服务类
工程类
服务类
服务内容
具体服务内容以最终合同为准。
涉及采购标的的知识产权归属和处理方式
1.本项目所有工作完成后最终知识产权归甲方所有,乙方承诺未经甲方许可,不得向第三方展示或交付项目成果,否则承担相应法律责任。 2.在本合同有效期内,甲方利用乙方提交的技术服务工作成果所完成的新的技术成果,归甲方所有。 3. 乙方应当保证其交付给甲方的项目成果不侵犯任何第三人的合法权益。 4.乙方不得在向甲方交付研究开发成果之前,自行将研究开发成果转让给第三人。
履约保证金
无
甲方责任
(1)合同签订后及时向乙方提供有关资料。 (2)应当协助乙方的作业队伍顺利进入现场工作。乙方进场后,因甲方原因造成乙方无法开展工作,工期顺延。 (3)甲方保证工程款按时到位,以保证工程的顺利进行。
乙方责任
(1)合同签订后,乙方应在得到甲方通知后立即组织项目人员进入工作现场。 (2)乙方自项目合同签订后,及时向甲方提交项目进度汇报。 (3)本项目数据成果、过程数据均归甲方所有,项目结束后,乙方不得保留任何数据。
违约责任
1.乙方如违反本合同保密条款约定,应承担所造成的损害赔偿责任。 2.由于乙方原因,未按照项目进度计划完成技术设计评审(含评审未通过)、第三方测评(根据项目情况选择)、预验收(含预验收未通过),甲方根据情况予以通报、督办,因此造成甲方损失的,乙方还应承担损害赔偿责任。 3.乙方违反本合同工期条款约定造成甲方损失的,由双方协商核定损失额。如果乙方超过合同约定工期30日后仍无法完工的,甲方有权因乙方违约解除合同,乙方仍有义务支付上述核定损失金额。、 4.乙方投入项目实施人员、数量、相应资质人员不得低于招投标文件要求,项目实施人员变更(撤离、更换、辞退等),应提前30天通知甲方项目负责人同意,未经同意更换人员或减少项目实施人员的将视违约处理,甲方根据情况予以通报,发生3次及以上,甲方有权解除合同。 5.乙方驻场项目人员应严格遵守甲方外协人员管理相关制度,因违反甲方外协人员管理相关制度造成甲方损失的,乙方应承担损失赔偿责任。违反制度被通报发生3次及以上的甲方有权解除合同。 6.甲方未按照合同约定提供技术资料、原始数据和协作事项或所提供的技术资料、原始数据和协作事项有重大缺陷,导致研究开发工作停滞、延误、失败的,应承担或补偿乙方相应的损失。 7.甲方未按照合同要求按时提供现场工作用的软硬件系统,导致技术服务工作停滞、延误的,甲方应及时向乙方做出解释并经双方协商工期适当顺延。
不可抗力
发生不可抗力时,可以免责;
服务期限
自项目合同签订之日起,15个工作日内驻场工作并进行初步评估,根据初步评估结果,协助自然资源厅对数据安全风险进行整改。完成整改后对数据资产进行二次评估,要求自项目合同签订之日后150天内完成评估工作并出具最终评估报告。
争议解决
双方因履行本合同而发生的争议,应协商、调解解决。协商、调解不成的,确定按以下第 2 种方式处理: 1.提交 银川 仲裁委员会仲裁; 2.依法向 甲方所在地 人民法院起诉。
合同生效及其他
本合同执行过程中的未尽事宜,双方应本着实事求是的协商态度加以解决,或签订补充协议,补充协议经双方签章认可与本协议具有同等法律效力。补充协议中的条款若与本合同中的相应条款发生冲突,则以补充协议为准。
验收标准(附验收方案)
1.初步验收:服务期开始 3 个月后,由甲方对项目进行初验,工作质量、文档成果等满足项目要求,视为初验合格并出具初验报告。 2.最终验收:服务期满且通过初验后,由甲方组织项目验收。 (验收方案附件):履约验收方案.docx
其他
人员要求:乙方须按照投标文件明确人员安排,项目负责人和技术负责人原则上不能变更。若乙方需更换项目实施主要人员,应提前30天书面通知甲方并征得甲方同意方可进行更换;若甲方书面提出乙方项目实施主要人员的撤换要求,乙方应在三个工作日内按甲方要求撤换相应人员并补充水准不低于原有人员的人员。
服务地点(范围)
银川市金凤区尹家渠北街25号
付款条件(进度和方式)
1.技术服务报酬总额为: 元整(¥ .00 )。 2.具体支付方式和时间如下: (1)首付款:合同生效后,甲方收到乙方提交的等值金额的增值税发票后 个工作日内,甲方向乙方支付合同金额的 %。即人民币: 元整(¥ 0.00)。 (2)第二期款:项目初验合格,甲方向乙方支付合同金额的 %。即人民币: 元整(¥ 0.00)。 (3)尾款:项目完成终验并签署终验报告后,甲方向乙方支付合同金额的 %。即人民币: 元整(¥ 0.00元)。 3.付款时,乙方必须先向甲方提供真实合法的等额发票。乙方不提供发票导致甲方未及时付款的,甲方不承担迟延付款的责任。 4.乙方开户银行名称、地址和账号为: 开户名称: 开户银行: 账 户: 税 号: 电 话: 地 址:
六、评审方法及评审细则
评标方法:
最低评标价法
综合评分法
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| 1 | 投标报价 | 10 | 投标人的价格分统一按照下列公式计算: 投标报价得分=(评标基准价/投标报价)×10。 评标委员会认为投标人的报价明显低于其他通过符合性审查的投标人报价,有可能影响质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效投标处理。 备注:本项目专门面向中小企业,不享受价格折扣。 |
| 2 | 技术标响应情况 | 20 | (一)投标人应配备满足项目实施要求的评估能力,涵盖资产识别能力、脆弱性扫描能力、风险评估能力、数据安全基线检查能力、数据抓包分析能力、数据库检测能力等。每具备一项能力得 1分,满分6分。 注:需提供评估能力的相关证明材料(证明材料不限于功能截图、采购合同等)。 (二)对项目进度计划安排、进度控制和保证措施、容错机制等4项内容进行打分(6分): 1.项目进度计划合理,进度控制和保证措施具体可行,容错机制健全,得6分; 2.有1项内容不具体、可操作性不强的,得4分; 3.有2项内容不具体、可操作性不强的,得2分; 4.3项内容都不具体、可操作性不强的,得1分。 5.未提供的不得分。 (三)根据投标人提供的项目质量控制方案是否全面,对控制流程、过程控制、变更控制、项目沟通、实施进度、过程文档管理、保密管理方面是否明确、全流程质量控制措施进行打分(满分8分): 1. 质量控制措施全面,质量控制流程及内容描述详细的,得8分; 2.有1项不完整不具体或不可行的,得6分; 3.有2项不完整不具体或不可行的,得4分; 4.有3项不完整不具体或不可行的,得2分; 5.有4项及以上不完整不具体不可行或未提供的,不得分。 注:不完整、不具体和不可行是指内容具有明显缺陷,前后内容无法连贯,逻辑不通,文字内容不能清楚表达意图;不满足实际情况是指内容脱离了该项目实际情况;与国家或行业相关政策法规或管理办法不符,或与行业惯例不符;不具备实施的可能性或套用其他项目方案或引用错误或前后内容不一致甚至矛盾或存在与本项目无关的内容。 |
| 3 | 服务方案 | 30 | (一)实施流程包括风险识别、风险分析、风险评估、风险处置(10分): (1)实施流程安排规范、条理性强,且运用技术路线图清晰描述评估实施流程的,得10分; (2)有1项解决方案不具体可行或技术路线图缺失,得7分; (3)有2项解决方案不可行或技术路线图缺失的,得4分; (4)有3项解决方案不可行或技术路线图缺失的,得1分; (5)未按采购需求提交解决方案或提交的解决方案不完整的,得0分。 (二)对投标人实施方案中数据资产梳理及标签制作方案进行打分,数据标签至少涵盖数据的类别,安全等级,影响对象,影响程度,共享属性,开放属性6项目内容(满分10分): 1.数据资产梳理流程准确,数据标签内容详细、准确的,得10分; 2.数据资产梳理流程准确,数据标签内容有1项不准确或缺少1项的,得7分; 3.数据资产梳理流程准确,数据标签内容有2项不准确或缺少2项的,得4分; 4.数据资产梳理流程不准确或数据标签内容有3项不准确或缺少3项的,得1分; 5.缺少数据资产梳理流程或数据标签内容有4项不准确或缺少4项以上的,得0分。 (三)评估工作方法包括文档查验、人员访谈、系统演示和测评验证(满分10分): 1.数据安全风险评估方法全面、内容描述准确、完整、清晰,得10分; 2.有1项不完整或不准确的,得7分; 3.有2项不完整或不准确的,得4分; 4.有3项不完整或不准确的,得1分; 5.有4项评估方法漏项或者未提供的,不得分。 注:不完整、不可行、不准确是指内容具有明显缺陷,前后内容无法连贯,逻辑不通,文字内容不能清楚表达意图;不满足实际情况是指内容脱离了该项目实际情况;与国家或行业相关政策法规或管理办法不符,或与行业惯例不符;不具备实施的可能性或套用其他项目方案或引用错误或前后内容不一致甚至矛盾或存在与本项目无关的内容。 |
| 4 | 人员配备(人员要求应以最新发布的《国家职业资格目录》为准) | 10 | 1.项目负责人:具有计算机技术与软件专业技术资格(水平)考试系统规划管理师,得3分,满分3分,没有不得分。 2.技术负责人:具有计算机技术与软件专业技术资格(水平)考试信息系统管理工程师或数据库系统工程师资格证书的,得3分,满分3分,没有不得分。 3.其他技术人员:具有计算机技术与软件专业技术资格(水平)中级及以上证书的,每提供1个得2分;初级证书每提供1个得1分,满分4分,没有不得分。 注:拟投入项目人员不能重复,须提供项目投入人员为本单位人员的证明材料、资格证书扫描件并加盖鲜章,提供不全不得分。投标企业应确保投标所提供的所有资料真实有效,若提供虚假证明资料,中标无效,且供应商必须承担相应的法律责任。 |
| 5 | 类似业绩 | 5 | 投标人在近三年内(2021年至今)承担过同类项目业绩,每提供一项得1分,最高得5分,未提供的不得分。 注:供应商须提供项目中标通知书或采购合同,并同时提供验收意见或用户证明,提供材料为加盖公章的原件扫描件,提供不全不得分。 |
| 6 | 售后服务 | 10 | 根据投标人提供的售后承诺打分。售后服务包括售后服务内容、服务方式、售后响应时间、人员安排等4项内容(承诺书须加盖投标人公章)。 1.服务内容完整、服务方式可行、售后响应时间符合要求、人员安排具体的,得10分; 2.有1项内容不具体、不可行性或缺失的,得7分; 3.有2项内容不具体、不可行性或缺失的,得4分; 4.有3项及以上内容不具体、不可行性或缺失的,得1分; 5.未提供的不得分。4.有3项及以上内容不具体、可操作性不强,或未提供售后承诺的,不得分。 |
| 7 | 其他(服务承诺,现场讲解,管理制度,应急措施,培训方案等) | 15 | (一)对应急预案中的重大故障的应急预案、应急流程、处理措施等3项内容进行打分(5分): 1.针对系统突发重大故障或其他紧急情况有具体详细的应急预案,应急流程完整清晰,处置措施规范、可操作性强的,得5分; 2.有1项内容不具体、流程不规范、可操作性不强的,得4分; 3.有2项内容不具体、流程不规范、可操作性不强的,得2分; 4.3项内容都不具体、流程不规范、可操作性不强的,得1分。 5.未提供的不得分。 (二)对人员、设备、数据等3项内容的安全保密管控方案进行打分(5分): 1.人员、设备、数据等安全保密管控措施具体,且符合国家有关要求的,得5分; 2.有1项内容不具体的,得4分; 3.有2项内容不具体的,得2分; 4.3项内容都不具体的,得1分。 5.未提供的不得分。 (三)对培训方案进行打分,培训方案应包含培训时间、地点、方式、内容、对象等5项内容进行打分(5分): 1.培训方案5项内容具体、可操作性强,得5分; 2.有1项内容不具体或可操作性不强的,得4分; 3.有2项内容不具体或可操作性不强的,得2分; 4.有3项内容不具体或可操作性不强的,得1分; 4.有4项及以上内容不具体或可操作性不强的,不得分。 注:不完整、不具体、不可行是指内容有明显缺陷,前后内容无法连贯,逻辑不通,文字内容不能清楚表达意图;不满足项目实施实际情况;与国家或行业相关政策法规或管理办法不符,或与行业惯例不符,不具备实施的可能性。 |
| 合计: | 100 | ||
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
解决方案
联系我们
返回顶部