海南省考试局网络信息安全保障服务项目竞争性磋商文件公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
一、项目基本情况
项目名称:海南省考试局网络信息安全保障服务项目
采购方式:竞争性磋商
预算金额:16万元。
最高限价:16万元。
采购需求:详见“用户需求”
本项目(是/否)接受联合体:否。
所属行业:教育
二、资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:无
3.本项目的特定资格要求:
(1)在中华人民共和国注册,具有独立承担民事责任能力(提供营业执照、税务登记证、组织机构代码证复印件,或者三证合一复印件);
(2)具有依法缴纳税收的良好记录(提供2023年至今任意1个月的纳税证明复印件);
(3)具有依法缴纳社会保障资金的良好记录(提供2023年至今任意1个月的社保缴费记录复印件);
(4)具备《中华人民共和国政府采购法》第二十二条规定的条件(提供承诺书);
三、用户需求
1.服务范围
序号 | 信息系统名称 | 安全保护等级 |
1 | 海南省国家教育考试综合管理平台 | 三级(S3A3G3) |
2 | 海南省招生考试信息管理系统 | 三级(S3A3G3) |
3 | 海南省公务员招录管理系统 | 三级(S3A3G3) |
2.服务内容
本项目一共包含六个方面的服务,分别为渗透测试服务、漏洞扫描服务、重点时段安全保障服务、应急响应服务、网络安全应急演练服务,以及安全巡检服务,具体内容如下:
序号 | 服务 名称 | 服务内容描述 | 服务 频次 | 服务对象 |
1 | 渗透测试服务 | 参照《网络安全等级保护基本要求》中二级S2A2G2和三级S3A3G3、《OWASP测试指南》、《OWASP Top10 2017》、PTES等国内外网络与信息安全标准及规范,在考试局授权许可和安全可控前提下,在海南省考试局授权许可和安全可控前提下,由多名具备丰富攻防实战经验的资深安服工程师及安全专家组成的红队,结合ATT&CK模型、Cyber Kill Chain模型及攻防对抗体系,采用“不限攻击时间,不限攻击路径,不限攻击方法”的攻击方式,形成“有组织”的网络攻击行为,对信息系统进行实战渗透,旨在检验单位信息系统实战防御能力,及时发现网络安全短板与安全问题,尤其是传统检测手段难以发现的突出问题、深层次漏洞隐患和未被掌握的安全防护弱点和盲区,并提供安全整改建议,协助与指导整改。 | 一年1次 | 操作系统、数据库、网络设备、主机设备和应用系统 |
2 | 漏洞扫描服务 | 在考试局授权许可和安全可控前提下,由资深安服工程师使用专用安全评估工具,对信息系统实施全面深度漏洞检测,及时发现安全漏洞及没有被掌控到的脆弱点。针对检测结果,经人工分析及验证确认后,提出安全修复建议并指导修复。服务内容如下: 提供操作系统、数据库系统、网络设备、安全设备、中间件、应用系统等安全漏洞扫描;漏洞分析与验证后,提供详细的安全漏洞扫描评估报告,并协助、指导修复安全漏洞。 1.根据省考试局需求发起,对所有的信息系统提供一年4次不定期的全面安全漏洞扫描评估服务 2.根据省考试局的需求发起,针对新上线系统提供一年8次的系统上线前安全漏洞扫描评估服务 | 一年12次 | 操作系统、数据库、网络设备、主机设备和应用系统 |
3 | 重点时段安全保障服务 | 重点时段安全保障期间,依据等保要求中二级S2A2G2和三级S3A3G33的要求,进行保障工作;利用多种专业漏洞扫描工具对主机设备、应用系统等进行交叉扫描验证;排查安全隐患、协助进行安全加固; 重点时段安全保障期间,根据业务需求,安排一名安全工程师进行现场或者远程技术保障,,提供监测业务运行情况,监控日志等安全保障服务。在出现安全事故时,及时响应并组织各方技术人员修复系统问题,指导海南省考试局处理安全故障以保证信息系统在最短时间内恢复,降低时间影响和损失。 出具重点时段安全保障服务期间的安全服务报告。 | 1年4次,包含安全监测、安全加固、现场值守工作,合计120天 | 操作系统、数据库、网络设备、主机设备和应用系统 |
4 | 应急响应服务 | 在信息系统出现安全事件时,乙方提供远程或现场应急响应处置服务;乙方提供7*24小时的电话支持安全服务,当远程支持无法解决问题时,将第一时间派遣专业的安全服务工程师提供现场支持服务,及时采取相关安全措施限制安全事件扩散和影响范围,尽可能减少损失,并协助排查安全事件原因,提出基于安全事件的解决方案,协助后续安全处置。 应急响应的安全事件包括如下: 1、计算机病毒与木马攻击安全事件; 2、网络攻击安全事件; 3、信息泄露或篡改事件; 4、网页代码篡改事件; 5、安全漏洞或漏洞攻击事件,包括相关网络安全监管部门发出的漏洞通报、安全预警等 | 一年四次 | 信息系统 |
5 | 网络安全应急演练服务 | 依据《中华人民共和国网络安全法》《国家网络安全事件应急预案》《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术 网络安全事件应急演练指南》(GB/T 38645-2020)等有关法律法规、政策文件和标准规范对网络安全事件“应急预案”、“应急演练”的相关要求,结合信息系统实际情况,编制《网络安全事件应急预案》,规范与指导甲方开展演练工作,建立健全网络安全事件应急工作机制; 服务包括三项内容:网络安全事件应急预案编制、网络安全事件预防与应急技巧培训、网络安全事件应急演练实施。 | 一年一次 | 信息系统 |
6 | 安全巡检服务 | 1.按照网络安全等级保护制度的相关要求,结合实际安全需求,通过开展信息系统的常态安全巡检服务,通过对检查结果的分析、汇总形成安全巡检报告,及时发现存在的安全问题和薄弱环节,分析面临的安全威胁和风险,并对发现的安全隐患提供改善建议,协助指导落实防范对策和改进措施。 2.服务内容包括:建立安全巡检台账、物理机房安全巡检、网络边界安全巡检、关键安全设备巡检、操作系统安全巡检、数据库系统安全巡检、中间件安全巡检、数据备份与恢复措施巡检、工具扫描与技术检测及安全管理落实情况巡检十个方面安全巡检项。 | 一年两次 | 网络设备、安全设备、通信线路 |
四、磋商程序
(一)评审原则
1、本次采购采用竞争性磋商方式进行,评审由省考试局组成的项目磋商小组(评审小组)负责完成。评审基本原则:评审工作应依据《中华人民共和国政府采购法》以及国家和地方政府采购的有关规定,遵循“公开、公平、公正、择优、诚实信用”的原则。
2、本次竞争性磋商采购的评审采用综合评分法。
(二)磋商程序和评审方法
1、磋商小组对响应文件的有效性、完整性和响应程度进行审查,如发现响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的等内容,可以要求报价人作出必要的澄清、说明或者更正。报价人的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。
2、磋商小组根据对资格响应文件进行初步评审,只有通过初步评审的报价人才能继续进行磋商程序。
除符合“政府采购竞争性磋商采购方式管理暂行办法”第三条第四项情形的,通过初步评审的报价人必须不少于3家,否则磋商失败。
3、磋商小组所有成员应当集中与单一报价人分别进行磋商。
4、磋商结束后,磋商小组应当要求所有实质性响应的报价人在规定时间内提交最后报价。最后报价是报价人响应文件的有效组成部分。
已提交响应文件的报价人,在提交最后报价之前,可以根据磋商情况退出磋商。
5、磋商小组认为报价人的报价明显低于其他通过初步审查报价人的报价,有可能影响产品质量或者不能诚信履约的,将要求其在评标现场接到通知后20分钟内提供书面说明,必要时提交相关证明材料。报价人不能证明其报价合理性的,磋商小组将其作为无效投标处理。
6、经磋商确定最终采购需求和提交最后报价的报价人后,由磋商小组采用综合评分法对提交最后报价的报价人的响应文件和最后报价进行综合评分(详见综合评分表)。
7、价格分计算方法:
满足磋商文件要求且最终报价最低的报价为基准价,价格分统一按照下列公式计算:价格分=(基准价/最终报价)×价格权值×100
8、 综合评分及其统计:磋商小组成员对各报价人评分的算术平均值为该报价人的综合评分。综合得分最高的报价人为第一成交候选人,综合得分次高的报价人为第二成交候选人,以此类推。综合得分相同的,按投标报价由低到高顺序排列。综合得分和投标报价均相同的,按技术指标由优至劣顺序排列。
(三)磋商、评审过程的保密性
1、接受报价后,直至成交报价人与采购人签订合同后止,凡与磋商、审查、澄清、评价、比较、确定成交供应商意见有关的内容,任何人均不得向报价人及与磋商、评审无关的其他人透露。
2、从报价递交截止时间起到确定成交报价人日止,报价人不得与参加磋商、评审的有关人员私下接触。在磋商评审过程中,如果报价人试图在响应文件审查、澄清、比较及推荐成交报价人方面向参与磋商、评审的有关人员和采购人施加任何影响,其报价将被拒绝。
(四)变更技术方案的权利
在竞争性磋商过程中,征得采购人同意后,磋商小组可以根据磋商文件和磋商情况实质性变动采购需求中的技术、服务要求以及合同草案条款。
综合评分表
项目名称:海南省考试局网络信息安全保障服务项目
序号 | 评审要素 | 评分标准 | 分值 |
商务部分(25分) | 投标人具有ISO9001质量管理体系认证的得3分,没有得零分。(提供证书复印件加盖公章) | 3 | |
投标人获得中国网络安全审查技术与认证中心三级含以上信息安全应急处理资质证书的得3分,没有得零分。(提供证书复印件加盖公章) | 3 | ||
投标人获得中国网络安全审查技术与认证中心三级含以上信息系统安全运维资质证书的得3分,没有得零分。(提供证书复印件加盖公章) | 3 | ||
投标人自2020年1月1日以来具有国家级重大活动网络安全保障工作经验的得6分,具有省级重大活动网络安全保障工作经验得3分,没有得零分。(提供省级或以上政府部门颁发的证书等证明材料复印件加盖公章) | 6 | ||
投标人自2020年1月以来具有类似项目合同案例(包含重点保障服务、渗透测试、应急演练、应急响应至少三项服务),每个合同得1分,满分10分(提供合同关键页和项目验收报告复印件加盖公章) | 10 | ||
2 | 技术部分(65分) | 投标人拟派本项目的项目总监(经理)同时具有高级信息系统项目管理师得2分,否则不得分。(提供证书及最近三个月社保证明复印件加盖公章) | 2 |
投标人自2021年1月以来获得过国家互联网应急中心颁发的国家信息安全漏洞共享平台(CNVD)原创漏洞证明,每个证明得0.5分,没有得零分,满分5分。(提供官网查询截图复印件加盖公章)。 | 5 | ||
为保障项目服务响应速度,投标人实施团队需在项目所在地,并为本项目提供详细人员名单及职责分工和详细的分工部署安排方案;方案优秀得8分,良好得6分,一般得3分,不提供者得0分; | 8 | ||
项目实施团队人员具备以下要求: 1.注册网络安全渗透评估专业人员(NSATP-A)证书,每名得2分,满分4分; 2.高级软件评测工程师证书,每名得2分,满分4分; 3.注册渗透测试工程师(CISP-PTE)证书,每名得2分,满分4分; (以上须提供相应证书及在投标单位近三个月连续不断的社保证明,复印件加盖公章。) 注:同一人员具有多个证书的只参与一次评分。 | 12 | ||
投标人项目实施过程至少使用2种(含2种)同时获得中国国家信息安全产品认证证书和国家信息安全漏洞库兼容性资质证书的专业漏洞扫描工具,满足得6分,不满足得0分。(以上测评工具均以采购合同为准,需提供工具的相关证书复印件) | 6 | ||
对招标文件中的各项服务需求的响应情况,包括但不限于服务内容的详细描述、服务对象、服务目标、服务成果等;方案完整详细,措施特点明确,各项方案有明确流程能完全满足用户需求,且能够针对项目实际情况,提供了相应的措施方案,各项服务方案等有具体实施步骤; 优秀得8分,良好得6分,一般得3分,不提供者得0分。 | 8 | ||
对采购人的网络结构、系统组成情况、业务功能的理解,方案贴合采购人实际现状,包含但不限于网络架构描述准确、系统组成清晰、业务功能目标明确、整体方案满足采购人需求等方面。 优秀得8分,良好得6分,一般得3分,不提供者得0分。 | 8 | ||
根据本项目的服务特点和经验总结,技术实施方案包含但不限于①项目管理、实施计划、进度安排;②质量保证、风险规避措施;③人员配备、资质水平、项目经验,岗位分工;验收标准、成果交付、售后服务等方面; 优秀得8分,良好得6分,一般得3分,不提供者得0分。 | 8 | ||
投标人售后服务方案,提供“出现安全事件在0.5个小时内响应,并在4小时内处理,同时出具完善报告说明”的应急响应服务承诺书。 优秀得8分,良好得6分,一般得3分,不提供者得0分。 | 8 | ||
3 | 价格分 (10分) | 在有效投标报价中,以最低投标报价为基准价,其价格分为满分。其他投标人的报价分统一按下列公式计算: 投标报价得分=(评标基准价/投标报价)×10 | 10 |
评委:
五、响应文件递交要求
(一)响应文件一式三份(正本一份,副本二份),每份响应文件须清楚表明“正本”或“副本”字样,响应文件必须含“.海南省考试局网络信息安全服务保障项目报价单”、资格要求材料及综合评分表中要求的相关材料。
(二)响应文件递交截止时间:2023年10月26日17:00;
(三)响应文件递交地点:海口市红城湖路60号海南省考试局办公楼三楼办公室308室;
(四)响应文件开标时间:2023年10月27日 ;
(五)响应文件开标地点:海口市红城湖路60号海南省考试局办公楼三楼会议室。
| 附件: | |
微信扫码关注
