首頁 /2024NCZ000905寧夏回族自治區(qū)道路運輸事務(wù)中心2024年信息系統(tǒng)等保測評及密評服務(wù)項目三級系統(tǒng)等保測評和密評的采購需求

2024NCZ000905寧夏回族自治區(qū)道路運輸事務(wù)中心2024年信息系統(tǒng)等保測評及密評服務(wù)項目三級系統(tǒng)等保測評和密評的采購需求

結(jié)果-中標(biāo)通知

寧夏 -銀川

發(fā)布時間： 2024年04月17日

摘要信息

中標(biāo)單位

中標(biāo)金額

中標(biāo)單位聯(lián)系人

招標(biāo)單位

招標(biāo)編號

招標(biāo)估價

招標(biāo)聯(lián)系人

代理單位

代理單位聯(lián)系人

關(guān)鍵信息

道路運輸

招標(biāo)詳情

下文中****為隱藏內(nèi)容，僅對千里馬會員開放，如需查看完整內(nèi)容請或撥打咨詢熱線： 400-688-2000

一、采購標(biāo)段

采購計劃編號：項目名稱：分包名稱：分包類型：采購方式：預(yù)算金額報價方式：是否屬于技術(shù)復(fù)雜，
專業(yè)性強的采購項目：是否為執(zhí)行國家統(tǒng)一定價標(biāo)
和固定價格采購項目：

****	****2024年信息系統(tǒng)等保測評及密評服務(wù)項目
三級系統(tǒng)等保測評和密評	服務(wù)類
公開招標(biāo)	780000.00
總價采購項目	否
否

發(fā)起異議

任何供應(yīng)商、單位或者個人對以上公示的項目采購需求有異議的，可以在招標(biāo)公告發(fā)布之前在線發(fā)起異議，并填寫異議內(nèi)容及事實依據(jù)，該異議僅作為社會主體對采購需求內(nèi)容的監(jiān)督，采購人查詢異議內(nèi)容后，可根據(jù)實際情況自行決定是否采納異議內(nèi)容。供應(yīng)商認(rèn)為采購文件、采購過程、中標(biāo)或者成交結(jié)果使自己的權(quán)益受到損害的，應(yīng)按照《政府采購質(zhì)疑和投訴辦法》規(guī)定執(zhí)行。

二、供應(yīng)商資格條件

1.滿足《****政府采購法》第二十二條規(guī)定，應(yīng)提供以下材料：

1.1 提供在中華人民**國境內(nèi)注冊的法人或其他組織的營業(yè)執(zhí)照（或事業(yè)單位法人證書，或社會團(tuán)體法人登記證書），如投標(biāo)供應(yīng)商為自然人的需提供自然人身份證明；

1.2 法人授權(quán)委托書、法人及被授權(quán)人身份證復(fù)印件（法定代表人直接投標(biāo)可不提供，但須提供法定代表人身份證復(fù)印件）；

1.3 提供具有良好商業(yè)信譽和健全的財務(wù)會計制度的承諾函；

1.4 提供履行合同所必需的設(shè)備和專業(yè)技術(shù)能力的證明材料；

1.5 具有依法繳納稅收和社會保障資金的良好記錄的承諾函；

1.6 提供參加采購活動前三年內(nèi)在經(jīng)營活動中沒有重大違法記錄的書面聲明；（提供《資格承諾函》）。

2.****政府采購網(wǎng)（www.****.cn****政府采購嚴(yán)重違法失信行為記錄名單，在“信用中國”網(wǎng)站（www.****.cn）未被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單。

3.（是/否）專門面向中小微企業(yè)： 1是 0否

4.合格投標(biāo)人的其他資格要求：

序號合格投標(biāo)人的其他資格要求

1	供應(yīng)商須具有《網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認(rèn)證證書》，并在中國網(wǎng)絡(luò)安全等級保護(hù)網(wǎng)的《**網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)目錄》中，并提供證明材料。
2	供****管理局最新發(fā)布的《商用密碼應(yīng)用安全性評估試點機構(gòu)目錄》中，并提供證明材料。

三、商務(wù)要求

采購標(biāo)的交付（實施）的時間（期限）合同履行期限：一年。

四、技術(shù)要求

貨物類服務(wù)類工程類

標(biāo)的清單(服務(wù)類) 序號品目名稱及編碼標(biāo)的名稱服務(wù)內(nèi)容數(shù)量單價服務(wù)標(biāo)準(zhǔn)及詳細(xì)要求服務(wù)期限備注

C****0000-測試評估認(rèn)證服務(wù)

三級系統(tǒng)等保測評和密評

①等級保護(hù)測評。針對3個等級保護(hù)三級信息系統(tǒng)按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》GB∕T 28448-2019中相關(guān)安全要求對測評對象進(jìn)行技術(shù)評估。針對測評信息進(jìn)行分析評估，形成整體測評結(jié)論，出具網(wǎng)絡(luò)安全等級保護(hù)測評報告。 ②商用密碼應(yīng)用安全性評估。按照國家《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》GB/T 39786-2021對3個系統(tǒng)開展密碼應(yīng)用安全性評估，形成整體評估結(jié)論，出具安全性評估報告。

780000.00

標(biāo)的1-測試評估認(rèn)證服務(wù)：等級保護(hù)測評 1、等級保護(hù)測評系統(tǒng) 本次項目測評系統(tǒng)為：**道路運輸聯(lián)網(wǎng)售票系統(tǒng)（三級）、**危險貨物道路運輸安全監(jiān)管系統(tǒng)（三級）、**道路運政管理信息系統(tǒng)（三級）。 2、等級保護(hù)測評服務(wù)內(nèi)容及工作要求等級測評的目的是準(zhǔn)確掌握系統(tǒng)當(dāng)前的安全保護(hù)水平與國家信息系統(tǒng)安全等級保護(hù)基本要求、信息系統(tǒng)安全等級保護(hù)測評要求等有關(guān)等級保護(hù)標(biāo)準(zhǔn)規(guī)范要求之間的差距，查找系統(tǒng)中可能存在的安全弱點和缺陷，從而能夠有針對性地實施安全建設(shè)和整改，后續(xù)的安全整改和檢查工作提供有針對性地參考和依據(jù)。測評內(nèi)容包括如下部分： 2.1安全物理環(huán)境 2.1.1物理位置選擇測評內(nèi)容如下： a) 機房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)； b) 機房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強防水和防潮措施。 2.1.2物理訪問控制測評內(nèi)容如下：機房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 2.1.3防盜竊和防破壞測評內(nèi)容如下： a) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識； b) 應(yīng)將通信線纜鋪設(shè)在隱蔽安全處； c) 應(yīng)設(shè)置機房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。 2.1.4防雷擊測評內(nèi)容如下： a) 應(yīng)將各類機柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地； b) 應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器或過壓保護(hù)裝置等。 2.1.5防火測評內(nèi)容如下： a) 機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火； b) 機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料； c) 應(yīng)對機房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置隔離防火措施。 2.1.6防水和防潮測評內(nèi)容如下： a) 應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透； b) 應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透； c) 應(yīng)安裝對水敏感的檢測儀表或元件，對機房進(jìn)行防水檢測和報警。 2.1.7防靜電測評內(nèi)容如下： a) 應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施； b) 應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。 2.1.8溫濕度控制測評內(nèi)容如下： a）應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機房溫濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。 2.1.9電力供應(yīng) 測評內(nèi)容如下： a) 應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備； b) 應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運行要求； c) 應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。 2.1.10電磁防護(hù) 測評內(nèi)容如下： a) 電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾； b) 應(yīng)對關(guān)鍵設(shè)備實施電磁屏蔽。 2.2安全通信網(wǎng)絡(luò) 2.2.1網(wǎng)絡(luò)架構(gòu) 本項要求包括： a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要； b) 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要； c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址； d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段； e) 應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。 2.2.2通信傳輸本項要求包括： a) 應(yīng)采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性； b) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。 2.2.3可信驗證本項要求包括：可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結(jié)果形成****管理中心。 2.3安全區(qū)域邊界 2.3.1邊界防護(hù) 本項要求包括： a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信； b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制； c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制； d) 應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。 2.3.2訪問控制本項要求包括： a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信； b) 應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化； c) 應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出； d) 應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力； e) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。 2.3.3入侵防范本項要求包括： a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為； b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為； c) 應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析； d) 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。 2.3.4惡意代碼和垃圾郵件防范本項要求包括： a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機制的升級和更新； b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機制的升級和更新。 2.3.5安全審計本項要求包括： a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計； b) 審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息； c) 應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等； d) 應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進(jìn)行行為審計和數(shù)據(jù)分析。 2.3.6可信驗證本項要求包括： a) 可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結(jié)果形成****管理中心。 2.4安全計算環(huán)境 2.4.1身份鑒別本項要求包括： a) 應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換； b) 應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施； c) 當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； d) 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。 2.4.2訪問控制本項要求包括： a) 應(yīng)對登錄的用戶分配賬戶和權(quán)限； b) 應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令； c) 應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在； d) 應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離； e) 應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則； f) 訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級； g) 應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息**的訪問。 2.4.3安全審計本項要求包括： a) 應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計； b) 審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息； c) 應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等； d) 應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。 2.4.4入侵防范本項要求包括： a) 應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序； b) 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口； c) 應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制； d) 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求； e) 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞； f) 應(yīng)能夠檢測到對重要節(jié)點進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報警。 2.4.5惡意代碼防范本項要求包括：應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。 2.4.6可信驗證本項要求包括： a) 可基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結(jié)果形成****管理中心。 2.4.7數(shù)據(jù)完整性本項要求包括： a) 應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等； b) 應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。 2.4.8數(shù)據(jù)保密性本項要求包括： a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等； b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。 2.4.9數(shù)據(jù)備份恢復(fù) 本項要求包括： a) 應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能； b) 應(yīng)提供異地實時備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地； c) 應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。 2.4.10剩余信息保護(hù) 本項要求包括： a) 應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除； b) 應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。 2.4.11個人信息保護(hù) 本項要求包括： a) 應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息； b) 應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。 2.5****中心 2.5.1系統(tǒng)管理本項要求包括： a) 應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計； b) 應(yīng)通過系統(tǒng)管理員對系統(tǒng)的**和運行進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)**配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。 2.5.2審計管理本項要求包括： a) 應(yīng)對審計管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計操作，并對這些操作進(jìn)行審計； b) 應(yīng)通過審計管理員對審計記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計策略對審計記錄進(jìn)行存儲、管理和查詢等。 2.5.3安全管理本項要求包括： a) 應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并對這些操作進(jìn)行審計； b) 應(yīng)通過安全管理員對系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對主體進(jìn)行授權(quán)，配置可信驗證策略等。 2.5.4集中管控本項要求包括： a) 應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控； b) 應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理； c) 應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進(jìn)行集中監(jiān)測； d) 應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求； e) 應(yīng)對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進(jìn)行集中管理； f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析。 2.6安全管理制度 2.6.1安全策略本項要求包括：應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。 2.6.2管理制度本項要求包括： a) 應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度； b) 應(yīng)對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程； c) 應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。 2.6.3制定和發(fā)布本項要求包括： a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定； b) 安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進(jìn)行版本控制。 2.6.4評審和修訂本項要求包括：應(yīng)定期對安全管理制度的合理性和適用性進(jìn)行論證和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。 2.7安全管理機構(gòu) 2.7.1崗位設(shè)置本項要求包括： a) 應(yīng)成立指導(dǎo)和管****委員會****小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)； b) 應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)； c) 應(yīng)設(shè)立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責(zé)。 2.7.2人員配備本項要求包括： a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員等； b) 應(yīng)配備專職安全管理員，不可兼任。 2.7.3授權(quán)和審批本項要求包括： a) 應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等； b) 應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度； c) 應(yīng)定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。 2.7.4溝通和** 本項要求包括： a) 應(yīng)加強各類管理人員、組織內(nèi)****管理部門之間的**與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)安全問題； b) 應(yīng)加強與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的**與溝通； c) 應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、**內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。 2.7.5審核和檢查本項要求包括： a) 應(yīng)定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況； b) 應(yīng)定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等； c) 應(yīng)制**全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形**全檢查報告，并對安全檢查結(jié)果進(jìn)行通報。 2.8安全管理人員 2.8.1人員錄用本項要求包括： a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用； b) 應(yīng)對被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核； c) 應(yīng)與被錄用人員簽署保密協(xié)議，與關(guān)鍵崗位人員簽署崗位責(zé)任協(xié)議。 2.8.2人員離崗本項要求包括： a) 應(yīng)及時終止離崗人員的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備； b) 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開。 2.8.3安全意識教育和培訓(xùn) 本項要求包括： a) 應(yīng)對各類人員進(jìn)行安全意識教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施； b) 應(yīng)針對不同崗位制定不同的培訓(xùn)計劃，對安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)； c) 應(yīng)定期對不同崗位的人員進(jìn)行技能考核。 2.8.4外部人員訪問管理本項要求包括： a) 應(yīng)在外部人員物理訪問受控區(qū)域前先提出書面申請，批準(zhǔn)后由專人全程陪同，并登記備案； b) 應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請，批準(zhǔn)后由專人開設(shè)賬戶、分配權(quán)限，并登記備案； c) 外部人員離場后應(yīng)及時清除其所有的訪問權(quán)限； d) 獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)簽署保密協(xié)議，不得進(jìn)行非授權(quán)操作，不得復(fù)制和泄露任何敏感信息。 2.9系統(tǒng)整體測評系統(tǒng)整體測評主要是在單項測評的基礎(chǔ)上，通過測評分析系統(tǒng)在安全控制間、層面間和安全區(qū)域間三個方面存在的關(guān)聯(lián)作用，驗證和分析不符合項是否影響系統(tǒng)的安全保護(hù)能力，同時分析系統(tǒng)與其他系統(tǒng)邊界安全性是否影響系統(tǒng)的安全保護(hù)能力，綜合測試分析系統(tǒng)的整體安全性是否合理。具體內(nèi)容包括：安全控制間安全測評、層面間安全測評、區(qū)域間安全測評和系統(tǒng)結(jié)構(gòu)安全測評。 2.9.1安全控制間安全測評安全控制間安全測評主要對同一區(qū)域內(nèi)、同一層面上的不**全控制間存在的功能增強、補充或削弱等關(guān)聯(lián)作用進(jìn)行測評，同時，也包括對《基本要求》的要求項與同一區(qū)域、同一層面上的非《基本要求》要求的安全控制之間的安全測評。依據(jù)不同層面的劃分，分類分析各個層面中安全控制間存在的關(guān)聯(lián)作用，從系統(tǒng)層面上分析考察單元測評中確定的不符合項對系統(tǒng)整體安全保護(hù)能力的影響，及不符合項整改的必要性。 2.9.2安全層面間安全測評層面間安全測評主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強、補充和削弱等關(guān)聯(lián)作用。在進(jìn)行層面間安全測評時，可以考慮不同層面的兩個不**全控制，也可以同時考慮兩個以上不**全控制的相互作用。 2.9.3安全區(qū)域間安全測評區(qū)域間安全測評主要考慮互聯(lián)互通（包括物理上和邏輯上的互聯(lián)互通等）的不同區(qū)域之間存在的安全功能增強、補充和削弱等關(guān)聯(lián)作用。一般邊界區(qū)域都會和內(nèi)部某個或某些區(qū)域之間發(fā)生數(shù)據(jù)交換；內(nèi)部不同區(qū)域之間也可能因為業(yè)務(wù)的需要而發(fā)生數(shù)據(jù)交換，需要重點測評這些區(qū)域之間的關(guān)聯(lián)作用。 2.9.4系統(tǒng)結(jié)構(gòu)安全測評系統(tǒng)結(jié)構(gòu)安全測評主要考慮信息系統(tǒng)整體結(jié)構(gòu)的安全性和整體安全防范的合理性。系統(tǒng)結(jié)構(gòu)安全測評的測評范圍是整個信息系統(tǒng)，包括被測系統(tǒng)與其他信息系統(tǒng)邊界之間的安全測評。信息系統(tǒng)整體結(jié)構(gòu)的安全性主要是指從安全的角度，分析信息系統(tǒng)整體結(jié)構(gòu)的安全性（從安全角度看系統(tǒng)）。整體安全防范的合理性主要是指從系統(tǒng)的角度，分析信息系統(tǒng)安全防范的合理性（以系統(tǒng)的觀點看安全防范（體系））。從系統(tǒng)整體結(jié)構(gòu)層面分析系統(tǒng)的安全防范能力，對于外部安全威脅的防范主要可以從系統(tǒng)網(wǎng)絡(luò)訪問控制和系統(tǒng)外聯(lián)邊界控制等幾個方面考慮：在系統(tǒng)網(wǎng)絡(luò)層面上，保證系統(tǒng)網(wǎng)絡(luò)訪問控制能力，限制設(shè)備訪問，防范非法設(shè)備從內(nèi)部接入系統(tǒng)；在系統(tǒng)外聯(lián)邊界上，通過各種防護(hù)手段（防火墻、路由控制等）和限制外聯(lián)的通路（只存在于其它可控的系統(tǒng)的連接，不存在私自的撥號連出情況），增強系統(tǒng)的安全保護(hù)能力。整體安全防范的合理性，基于目前部署的安全體系，分析各種設(shè)備的安全配置在目前系統(tǒng)中部署是否合理，是否符合成本－效益原則，是否存在重復(fù)投資和冗余配置，是否在啟用安全措施的同時對系統(tǒng)性能和實際業(yè)務(wù)需求帶來較大負(fù)面影響。商用密碼應(yīng)用安全性評估 1、密評系統(tǒng) 本次項目評估系統(tǒng)為：**道路運輸聯(lián)網(wǎng)售票系統(tǒng)（三級）、**危險貨物道路運輸安全監(jiān)管系統(tǒng)（三級）、**道路運政管理信息系統(tǒng)（三級）。 2、服務(wù)內(nèi)容對委托評估系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施、重要應(yīng)用、網(wǎng)絡(luò)進(jìn)行商用密碼應(yīng)用安全性評估。具體包括：商用密碼總體要求測評、密碼技術(shù)應(yīng)用測評、密鑰管理測評、安全管理測評。測評后，出具加蓋檢測機構(gòu)印章的《密碼應(yīng)用安全評估報告》紙質(zhì)一式三份。 3、服務(wù)詳細(xì)要求 3.1 商用密碼總體要求測評（1）密碼算法合規(guī)性測評：信息系統(tǒng)中使用的密碼算法是否符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。（2）密碼技術(shù)合規(guī)性測評：信息系統(tǒng)中使用的密碼技術(shù)是否遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。（3）密碼產(chǎn)品合規(guī)性測評：信息系統(tǒng)中使用的密碼產(chǎn)品與密碼模塊****管理部門核準(zhǔn)。（4）密碼服務(wù)合規(guī)性測評：信息系統(tǒng)中使用的密碼服務(wù)****管理部門許可。 3.2 密碼技術(shù)應(yīng)用測評從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)4個層面對信息系統(tǒng)中應(yīng)用的密碼技術(shù)進(jìn)行分析與評估。物理和環(huán)境層面測評：分析評估信息系統(tǒng)是否合理、合規(guī)地利用商用密碼完整性、真實性功能，對影響信息系統(tǒng)安全防護(hù)效能的物理和環(huán)境層面因素進(jìn)行保護(hù)。包括但不限于下列典型因素：重要場所的物理訪問控制，監(jiān)控設(shè)備的物理訪問控制，以及物理訪問記錄、監(jiān)控信息等敏感信息數(shù)據(jù)完整性。網(wǎng)絡(luò)和通信層面測評：分析評估信息系統(tǒng)是否合理、合規(guī)地利用商用密碼機密性、完整性、真實性功能，對影響信息系統(tǒng)安全防護(hù)效能的網(wǎng)絡(luò)和通信層面因素進(jìn)行保護(hù)。包括但不限于下列典型因素：安全認(rèn)證連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備，通信雙方的身份認(rèn)證過程，通信數(shù)據(jù)完整性，敏感信息數(shù)據(jù)字段機密性，網(wǎng)絡(luò)邊界訪問控制信息完整性，系統(tǒng)**訪問控制信息完整性，安全設(shè)備、安全組件的集中管理方式和信息傳輸通道。設(shè)備和計算層面測評：分析評估信息系統(tǒng)是否合理、合規(guī)地利用商用密碼機密性、完整性、真實性功能，對影響信息系統(tǒng)安全防護(hù)效能的設(shè)備和計算層面因素進(jìn)行保護(hù)。包括但不限于下列典型因素：登錄信息系統(tǒng)設(shè)備和計算環(huán)境的用戶身份鑒別過程，系統(tǒng)設(shè)備和計算環(huán)境**訪問控制信息完整性，重要信息**敏感標(biāo)記完整性，重要程序或文件完整性，信息系統(tǒng)設(shè)備和計算環(huán)境的日志記錄完整性。應(yīng)用和數(shù)據(jù)層面測評：分析評估信息系統(tǒng)是否合理、合規(guī)地利用商用密碼機密性、完整性、真實性以及不可否認(rèn)性功能，對影響信息系統(tǒng)安全防護(hù)效能的應(yīng)用和數(shù)據(jù)層面因素進(jìn)行保護(hù)。包括但不限于下列典型因素：登錄信息系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境的用戶身份鑒別過程，系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境**訪問控制信息完整性，重要信息**敏感標(biāo)記完整性，重要數(shù)據(jù)傳輸過程的機密性、完整性，重要信息存儲過程的機密性、完整性，重要程序的加載和卸載過程，信息系統(tǒng)應(yīng)用相關(guān)實體行為不可否認(rèn)性，信息系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境的日志記錄完整性。 3.3 密鑰管理測評對影響商用密碼防護(hù)效能的密鑰生命周期相關(guān)環(huán)節(jié)，以及相關(guān)環(huán)節(jié)管理和策略制定的全過程進(jìn)行分析與評估。密鑰生命周期相關(guān)環(huán)節(jié)包括但不限于下列典型環(huán)節(jié)：密鑰生成，密鑰存儲，密鑰分發(fā)，密鑰導(dǎo)入，密鑰導(dǎo)出，密鑰使用，密鑰備份，密鑰恢復(fù)，密鑰歸檔，密鑰銷毀。 3.4 安全管理測評對影響商用密碼防護(hù)效能的管理制度與措施進(jìn)行分析與評估。管理制度與措施包括但不限于下列典型維度：安全管理制度，人員管控，信息系統(tǒng)實施，應(yīng)急預(yù)案。（1）安全管理制度維度，包括但不限于下列內(nèi)容與措施：密碼建設(shè)、運維、人員、設(shè)備、密鑰管理內(nèi)容，密碼相關(guān)操作規(guī)范、安全操作規(guī)范，安全管理制度的合理性和適用性論證與審定，安全管理制度的改進(jìn)和修訂，安全管理制度的發(fā)布，安全管理制度的執(zhí)行。（2）人員管控維度，包括但不限于下列內(nèi)容與措施：了解并遵守密碼相關(guān)法律法規(guī)密碼產(chǎn)品使用，關(guān)鍵崗位劃分，相關(guān)人員職責(zé)與權(quán)限劃分，崗位責(zé)任制與人員制約、監(jiān)督機制，管理和使用賬號，人員培訓(xùn)、人員選拔，人員考核、獎懲與調(diào)離，人員保密措施。（3）信息系統(tǒng)實施維度，包括但不限于下列內(nèi)容與措施：信息系統(tǒng)規(guī)劃，信息系統(tǒng)建設(shè)方案，信息系統(tǒng)密碼產(chǎn)品、服務(wù)選用，信息系統(tǒng)運行前與定期評估，信息系統(tǒng)整改。（4）應(yīng)急預(yù)案維度，包括但不限于下列內(nèi)容與措施：應(yīng)急預(yù)案，應(yīng)急**準(zhǔn)備，應(yīng)急情況與處置，上級主管部門應(yīng)急報告，同級密碼主管部門應(yīng)急報告。 4. 其他要求（1）報價供應(yīng)商對有關(guān)采購單位信息化建設(shè)項目的資料和信息保密。（2）報價供應(yīng)商不得與設(shè)計單位、建設(shè)承包人及軟件開發(fā)商、設(shè)備供應(yīng)商發(fā)生經(jīng)濟(jì)利益關(guān)系，不得利用所處地位通過上述單位直接或間接獲益處。

一年

采購需求附件：

采購需求附件

政府采購項目采購需求.doc

五、合同管理安排

合同類型：貨物類服務(wù)類工程類

服務(wù)類

服務(wù)內(nèi)容三級系統(tǒng)等保測評和密評

履約保證金合同總價的5%****政府采購合同金額的5%）

甲方責(zé)任1) 在乙方進(jìn)行項目實施過程中需提供必要的配合。保障乙方順利開展工作。 2) 按照合同約定，按時向乙方支付項目費用。 3) 在乙方進(jìn)行項目實施過程中提供必要的資料。 4) 甲方在乙方提交項目成果 10 個工作日內(nèi)，組織開展成果復(fù)核，并提交驗收。 5) 項目成果知識產(chǎn)權(quán)規(guī)甲方所有。

乙方責(zé)任1) 合同簽訂后7日之內(nèi)，完成本項目策劃書的編制，并報甲方審核。 2) 嚴(yán)格按照甲方審核通過的項目策劃書或?qū)嵤┓桨搁_展工作，并提交成果。 3) 按合同要求按時完成項目內(nèi)容，并按照要求及時向甲方通報項目進(jìn)展情況。 4) 因技術(shù)等原因需對設(shè)計方案和工期作調(diào)整的，應(yīng)及時上報甲方審批。若乙方未按時提出調(diào)整要求或甲方認(rèn)為調(diào)整不合理，乙方應(yīng)采用原設(shè)計和工期繼續(xù)執(zhí)行。 5) 乙方必須遵守國家相關(guān)保密規(guī)定，自覺維護(hù)國家安全，并與甲方簽訂保密協(xié)議。 6) 項目執(zhí)行中做好安全生產(chǎn)，防止安全事故發(fā)生。 7) 乙方除需向甲方提供相關(guān)法律法規(guī)規(guī)定的售后服務(wù)外，還應(yīng)按其投標(biāo)文件中的承諾向甲方提供其他售后服務(wù)。

違約責(zé)任乙方在投標(biāo)文件中的各項技術(shù)參數(shù)及承諾應(yīng)在本合同中完全響應(yīng)。乙方無正當(dāng)理由改變承諾、變更合同要求，甲方將追究乙方相應(yīng)違約責(zé)任。 1．未經(jīng)甲方許可，乙方不得將項目的主體、關(guān)鍵性工作轉(zhuǎn)包給他人，否則甲方有權(quán)無條件終止合同，同時乙方需賠償由此給甲方造成的損失，賠償金額不低于合同總價的 10%。 2.乙方逾期交付或未能完成約定的服務(wù)任務(wù)，每逾期一日按照合同總價款 0.5‰向甲方支付違約金；逾期超過30日的，甲方有權(quán)解除合同。甲方解除合同的，乙方應(yīng)在合同解除后5日內(nèi)支付違約金并退還甲方全部已支付合同款。 3.甲、乙雙方無正當(dāng)理由均不得提前終止本合同，否則應(yīng)向?qū)Ψ街Ц斗?wù)費總額10 %的違約金；約定的違約金低于實際損失的，不足部分應(yīng)據(jù)實賠償。 4.若乙方交付的成果不符合甲方要求，乙方應(yīng)根據(jù)甲方提出的修改意見完善并在合同約定期限內(nèi)交付合格成果，如成果提交時間超出合同約定期限，乙方應(yīng)按本合同第十一條第二款規(guī)定承擔(dān)相應(yīng)的違約責(zé)任。 5.乙方應(yīng)遵守國家相關(guān)保密法律法規(guī)政策及項目保密規(guī)定，若因乙方原因造成泄密事故，乙方自行承擔(dān)相應(yīng)責(zé)任，且甲方有權(quán)要求乙方因此給甲方造成的損害進(jìn)行賠償。 6.乙方應(yīng)執(zhí)行安全生產(chǎn)相關(guān)法規(guī)政策及項目安全生產(chǎn)規(guī)定，若因乙方自身原因發(fā)生安全生產(chǎn)事故，乙方自行承擔(dān)全部責(zé)任。

不可抗力1. 自然災(zāi)害、政府行為、社會異常事件等不能預(yù)見、不能避免、不能克服的客觀事件為不可抗力事件。 2.由于不可抗力事件對乙方履行合同產(chǎn)生影響時，乙方應(yīng)及時向甲方書面通報，并在合同約定提交成果資料驗收時間前 20 天，向甲方提供事件詳情以及合同不能履行、或部分不能履行、或需****機關(guān)出具的客觀有效證明及乙方的綜合情況報告。 3.乙方若未履行或遲延履行上述義務(wù)，則不能認(rèn)可有不可抗力事件的發(fā)生，乙方應(yīng)按本合同的約定承擔(dān)相應(yīng)的違約責(zé)任。

服務(wù)期限一年

驗收標(biāo)準(zhǔn)（附驗收方案）1.乙方交付甲方項目成果進(jìn)行驗收的地點為：甲方所在地。 2.甲方驗收“成果”的標(biāo)準(zhǔn)及依據(jù)見甲方審核通過的項目策劃書或?qū)嵤┓桨浮?（驗收方案附件）：驗收方案（參考樣本）.doc

服務(wù)地點（范圍）甲方所在地

付款條件（進(jìn)度和方式）/

六、評審方法及評審細(xì)則

評標(biāo)方法：

最低評標(biāo)價法

綜合評分法

評審細(xì)則類別：服務(wù)類細(xì)則類別

服務(wù)類細(xì)則類別序號評審項目權(quán)重分評分標(biāo)準(zhǔn)

1	投標(biāo)報價	10	滿足招標(biāo)文件要求且報價最低的供應(yīng)商的報價為評標(biāo)基準(zhǔn)價，供應(yīng)商的價格分統(tǒng)一按下列公式計算：投標(biāo)報價得分＝（評標(biāo)基準(zhǔn)價/投標(biāo)報價）×10 ，除報價明顯低于其他通過符合性審查供應(yīng)商的報價又不能做出合理解釋的投標(biāo)報價被拒絕外，最低報價得10分，得分結(jié)果由高分到低分依次排列為各自最終得分。
2	項目理解	10	供應(yīng)商需描述對項目各階段的理解，項目階段應(yīng)至少包括：項目準(zhǔn)備階段、系統(tǒng)調(diào)研和方案編制階段、現(xiàn)場測評階段、綜合分析和評估階段、整改指導(dǎo)和驗證階段、測評報告編制階段等內(nèi)容。對項目實施內(nèi)容理解深刻、分析全面、思路清晰、符合等級保護(hù)和密碼測評要求，內(nèi)容完整、可操作性強的得10分；對項目實施內(nèi)容理解準(zhǔn)確、能夠提供正確思路，符合等級保護(hù)和密碼測評要求，內(nèi)容較完整、階段劃分清晰的得8分；對項目實施內(nèi)容理解較準(zhǔn)確、思路混亂，符合等級保護(hù)和密碼測評要求，內(nèi)容簡單粗略，階段劃分有待完善的得6分；對項目實施內(nèi)容理解有偏差，方案內(nèi)容不適用本項目需求、套用其他項目內(nèi)容、不利于本項目目標(biāo)實現(xiàn)，未分階段劃分的，得4分；未提供不得分。
3	項目實施	10	實施方案包括但不限于實施內(nèi)容、方法、階段任務(wù)實施計劃安排、人員配置職責(zé)分工、風(fēng)險控制措施等。實施方案內(nèi)容詳盡具體、闡述清晰明了，對實施重點分析透徹且能夠抓住技術(shù)工作的核心內(nèi)容；針對測評項的測評方法可行；能明確闡述各階段工作任務(wù)實施計劃，計劃安排有序；人員配置完善、明確人員數(shù)量，詳細(xì)介紹各人員經(jīng)驗，人員職責(zé)分工明確，工作銜接流暢，能有效支撐項目實施，人員配備充足；能夠全面分析測評中對系統(tǒng)可能造成的風(fēng)險，提出切實控制規(guī)避各項風(fēng)險措施的，得10分；實施方案內(nèi)容能夠提供工作思路，對實施工作重點進(jìn)行分析，方案內(nèi)容完整；針對測評項的測評方法可行但仍需完善；能概括闡述各階段工作任務(wù)實施計劃；人員配置能明確人員數(shù)量，方案有人員分工和職責(zé)劃分；風(fēng)險點覆蓋全面，各項風(fēng)險規(guī)避措施得當(dāng)?shù)?，?分；實施方案內(nèi)容完整與要點相符，且適用本項目，但方案深度欠缺；針對測評項的測評方法操作有一定難度；各階段工作任務(wù)實施計劃簡略；人員配置不夠詳細(xì)，人員職責(zé)分工不明確，風(fēng)險分析和防控措施有遺漏，措施闡述欠詳細(xì)的，得6分；實施方案內(nèi)容僅有綱要、內(nèi)容簡略，未詳細(xì)展開闡述；針對測評項的測評方法缺乏可執(zhí)行性；各階段工作任務(wù)實施計劃安排存在瑕疵，人員配置不足，風(fēng)險防控措施不能防控風(fēng)險的，得4分；未提供的不得分。
4	安全保密措施	10	針對等級保護(hù)測評、商用密碼應(yīng)用方案評估及密碼應(yīng)用安全性評估編制保密安全方案，包括人員、終端、存儲介質(zhì)、文檔、電子資料等信息保密和防泄露相關(guān)措施全面具體、詳實、闡述清晰明了，針對性強，能完全滿足本次項目需求的，得10分；方案包含以上全部內(nèi)容，能夠覆蓋保密控制點，保密措施得當(dāng)，整體方案具有可行性，能滿足本次項目需求的，得8分；方案不能完全覆蓋保密控制點，內(nèi)容簡單粗略，闡述內(nèi)容模糊，保密措施闡述不夠詳細(xì)的，提出的措施有待完善的得6分；保密措施有遺漏的，方案內(nèi)容存在不一致、非專門針對本項目或不適用本項目特性、套用其他項目內(nèi)容、不利于本項目目標(biāo)實現(xiàn)的，得4分；未提供的不得分。
5	等保案例	3	供應(yīng)商近三年內(nèi)具有類似網(wǎng)絡(luò)安全等級保護(hù)測評評估案例，每提供一個得1分，最多得3分，沒有不得分（提供合同復(fù)印件并加蓋公章）。
6	服務(wù)承諾	5	投標(biāo)人針對本項目提供服務(wù)承諾，承諾事項包括明確項目技術(shù)負(fù)責(zé)人、聯(lián)系電話、響應(yīng)效率等內(nèi)容。能提供以上服務(wù)并做出相應(yīng)說明，內(nèi)容完整準(zhǔn)確、過程描述清晰得5分；滿足部分承諾事項，描述不清晰的得3分；未承諾的不得分。
7	密評案例	3	供應(yīng)商近三年內(nèi)具有類似商用密碼應(yīng)用安全性評估案例，每提供一個得1分，最多得3分，沒有不得分（提供合同復(fù)印件并加蓋公章）。
8	風(fēng)險管理	10	項目風(fēng)險管理需根據(jù)項目情況識別可能存在的項目風(fēng)險進(jìn)行風(fēng)險規(guī)避論述。風(fēng)險管理考慮全面，有針對性，措施完善，可操作性強的得10分；風(fēng)險管理基本全面，規(guī)避措施有待完善的得8分；風(fēng)險管理內(nèi)容粗淺，規(guī)避措施描述模糊，部分內(nèi)容無法實施的得6分；風(fēng)險管理僅有簡單提綱，規(guī)避措施欠缺，不適用本項目的得4分；未提供不得分。
9	服務(wù)方案	10	針對本項目特點，安排的測評人員應(yīng)具體到物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、安全管理、移動互聯(lián)安全、云計算安全、密碼安全等方面，配置的測評人員技術(shù)力量強、經(jīng)驗豐富且充足到位的，人員崗位職責(zé)劃分明確、合理，方案符合招標(biāo)技術(shù)需求所有內(nèi)容的得10分；配置的測評人員經(jīng)驗有所欠缺，人員配備能夠滿足項目需要，人員崗位職責(zé)有劃分，但不夠具體的得8分；配備的測評人員從業(yè)時間短、項目經(jīng)歷少，人員崗位職責(zé)有劃分模糊的得6分；配置的測評人員為實習(xí)生、缺少項目經(jīng)歷，人員配備不能夠滿足項目需要，人員崗位職責(zé)未做劃分或劃分粗略的得4分；未提供不得分。
10	項目經(jīng)理能力證明	8	項目經(jīng)理具有信息安全等級測評師證書（高級）、注冊信息安全專業(yè)人員CISP、信息系統(tǒng)項目管理師證書（高級）、商用密碼應(yīng)用安全性評估人員測評能力考核證書。每提供一個得2分，滿分8分。（提供相關(guān)證書復(fù)印件加蓋公章及供應(yīng)商為其繳納的近半年內(nèi)連續(xù)三個月社保證明）
11	等保項目組成員資質(zhì)	4	等保項目組成員資質(zhì)：除項目經(jīng)理外項目組成員必須具有網(wǎng)絡(luò)安全等級測評師證書，具有CISP或CISSP的，每有1名得1分，最高得4分。（提供相關(guān)證書復(fù)印件加蓋公章及供應(yīng)商為其繳納的近半年內(nèi)連續(xù)三個月社保證明）
12	密評項目組成員資質(zhì)	3	密評項目組成員資質(zhì)：除項目經(jīng)理外項目組成員必須具有商用密碼應(yīng)用安全性評估人員測評能力考核證書，每1名得1分，最高3分（提供相關(guān)證書復(fù)印件加蓋公章及供應(yīng)商為其繳納的近半年內(nèi)連續(xù)三個月社保證明）
13	供應(yīng)商綜合技術(shù)能力1	5	供應(yīng)商具有《CNAS檢驗機構(gòu)認(rèn)可證書》、《CNAS實驗室認(rèn)可證書》、ISO/ISO27001《信息安全管理體系認(rèn)證證書》、ISO9001《質(zhì)量管理體系認(rèn)證證書》、ISO/IEC20000《信息技術(shù)服務(wù)管理體系認(rèn)證證書》，具備一項得 1 分，滿分5分。（提供相關(guān)證書復(fù)印件并加蓋公章）
14	供應(yīng)商綜合技術(shù)能力2	3	供應(yīng)商具有中國網(wǎng)****認(rèn)證中心頒發(fā)的《信息安全服務(wù)資質(zhì)認(rèn)證證書》（風(fēng)險評估）一級的得3分，二級得2分，三級得1分，沒有不得分。（提供相關(guān)證書復(fù)印件并加蓋公章）
15	培訓(xùn)方案	6	投標(biāo)人需提供網(wǎng)絡(luò)安全等級保護(hù)及密評政策培訓(xùn)方案，包括培訓(xùn)內(nèi)容、培訓(xùn)方式、培訓(xùn)對象等內(nèi)容，方案需有詳細(xì)描述。培訓(xùn)方案合理、內(nèi)容豐富，描述詳細(xì)清晰的得6分；培訓(xùn)方案存在描述不清晰、培訓(xùn)內(nèi)容單一的得4分；培訓(xùn)方案內(nèi)容缺失、描述粗略的得2分；未提供方案的不得分。
合計：		100

發(fā)起異議

附件（2）

招標(biāo)進(jìn)度跟蹤

2024-04-17

中標(biāo)通知

2024NCZ000905寧夏回族自治區(qū)道路運輸事務(wù)中心2024年信息系統(tǒng)等保測評及密評服務(wù)項目三級系統(tǒng)等保測評和密評的采購需求

當(dāng)前信息

招標(biāo)項目商機

暫無推薦數(shù)據(jù)

400-688-2000

歡迎來電咨詢～