第一章項(xiàng)目概況

PAGE6第一章項(xiàng)目概況一、項(xiàng)目基本情況招標(biāo)人：云南省文山壯族苗族自治州交通運(yùn)輸局項(xiàng)目實(shí)施地點(diǎn)：文山工期：自簽訂合同之日起40天之內(nèi)完成。二、招標(biāo)內(nèi)容本次項(xiàng)目的系統(tǒng)范圍及工作內(nèi)容要求如下表所示：序號(hào)服務(wù)內(nèi)容系統(tǒng)名稱(chēng)系統(tǒng)級(jí)別備注1等級(jí)保護(hù)測(cè)評(píng)TOCC平臺(tái)綜合交通應(yīng)急協(xié)同與指揮調(diào)度系統(tǒng)擬定二級(jí)未定級(jí)備案三、投標(biāo)人資格要求（一）基本資格要求1．投標(biāo)人須為國(guó)內(nèi)依法注冊(cè)的企業(yè)法人或者其他組織；2．投標(biāo)人自2016年1月1日至投標(biāo)截止日不曾騙取中標(biāo)、串標(biāo)或嚴(yán)重違約；3．投標(biāo)人自2016年1月1日至投標(biāo)截止日在同類(lèi)服務(wù)中未因該服務(wù)原因出現(xiàn)過(guò)重大及以上的質(zhì)量問(wèn)題或安全事故(以住建部、國(guó)家質(zhì)檢總局、國(guó)家食藥監(jiān)總局、國(guó)家能源局、國(guó)家安監(jiān)總局等有關(guān)部門(mén)網(wǎng)站公開(kāi)通報(bào)為準(zhǔn))；4．沒(méi)有處于被責(zé)令停業(yè)，財(cái)產(chǎn)被接管、凍結(jié)及破產(chǎn)狀態(tài)。（二）專(zhuān)項(xiàng)資格要求1.投標(biāo)人具備國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》（原件或復(fù)印件加蓋公章）；2、投標(biāo)人須在云南省或文山州設(shè)有辦事處，能保證接到采購(gòu)人需求后4小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)時(shí)間為采購(gòu)人解決故障。第二章技術(shù)規(guī)范書(shū)2.1工作范圍本次項(xiàng)目的系統(tǒng)范圍及工作內(nèi)容要求如下表所示：序號(hào)服務(wù)內(nèi)容系統(tǒng)名稱(chēng)系統(tǒng)級(jí)別備注1等級(jí)保護(hù)測(cè)評(píng)TOCC平臺(tái)綜合交通應(yīng)急協(xié)同與指揮調(diào)度系統(tǒng)擬定二級(jí)未定級(jí)備案2.2工作依據(jù)《網(wǎng)絡(luò)安全法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T28449-2019）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2018）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2010）2.3網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)要求2.3.1系統(tǒng)調(diào)研須制定詳細(xì)的系統(tǒng)調(diào)研計(jì)劃，了解信息系統(tǒng)及單位現(xiàn)狀，對(duì)后期測(cè)評(píng)做好準(zhǔn)備工作。2.3.2系統(tǒng)定級(jí)備案須協(xié)助文山州交通運(yùn)輸局及交投集團(tuán)對(duì)本項(xiàng)目涉及的信息系統(tǒng)在當(dāng)?shù)毓矙C(jī)關(guān)完成定級(jí)備案工作，取得備案證書(shū)并協(xié)助文山州交通運(yùn)輸局完成安全整改工作。2.3.3信息安全支撐服務(wù)需在TOCC平臺(tái)建設(shè)的全周期內(nèi)提供網(wǎng)絡(luò)安全有關(guān)的安全咨詢(xún)服務(wù)，滿(mǎn)足相關(guān)監(jiān)管單位的基本要求，并保障平臺(tái)平穩(wěn)安全運(yùn)行。2.3.4單元測(cè)評(píng)本次測(cè)評(píng)依據(jù)為《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，同時(shí)根據(jù)相應(yīng)指標(biāo)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)，總體框架采用網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理十個(gè)層面。2.3.5整體測(cè)評(píng)安全控制間安全測(cè)評(píng)安全控制間的安全測(cè)評(píng)主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個(gè)不同強(qiáng)度、不同等級(jí)的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個(gè)低等級(jí)安全控制在特定環(huán)境中達(dá)到高等級(jí)信息系統(tǒng)的安全要求。安全功能上的削弱可能會(huì)使一個(gè)安全控制的引入影響另一個(gè)安全控制的功能發(fā)揮或者給其帶來(lái)新的脆弱性，使其在特定環(huán)境中不能達(dá)到該等級(jí)信息系統(tǒng)的安全要求。層面間安全測(cè)評(píng)層面間的安全測(cè)評(píng)主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個(gè)不同層面上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個(gè)低等級(jí)安全控制在特定環(huán)境中達(dá)到高等級(jí)信息系統(tǒng)的安全要求。安全功能上的削弱會(huì)使一個(gè)層面上的安全控制影響另一個(gè)層面安全控制的功能發(fā)揮或者給其帶來(lái)新的脆弱性。區(qū)域間安全測(cè)評(píng)區(qū)域間的安全測(cè)評(píng)主要考慮互連互通（包括物理上和邏輯上的互連互通等）的不同區(qū)域之間存在的安全功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用，特別是有數(shù)據(jù)交換的兩個(gè)不同區(qū)域。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個(gè)不同區(qū)域上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個(gè)低等級(jí)安全控制在特定環(huán)境中達(dá)到高等級(jí)信息系統(tǒng)的安全要求。安全功能上的削弱會(huì)使一個(gè)區(qū)域上的安全功能影響另一個(gè)區(qū)域安全功能的發(fā)揮或者給其帶來(lái)新的脆弱性。系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)主要考慮信息系統(tǒng)整體結(jié)構(gòu)的安全性和整體安全防范的合理性。測(cè)評(píng)分析信息系統(tǒng)整體結(jié)構(gòu)的安全性，主要是指從信息安全的角度，分析信息系統(tǒng)的物理布局、網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)邏輯等在整體結(jié)構(gòu)上是否合理、簡(jiǎn)單、安全有效。測(cè)評(píng)信息系統(tǒng)整體安全防范的合理性，主要是指從系統(tǒng)的角度，分析研究信息系統(tǒng)安全防范在整體上是否遵循縱深防御的思路，明晰系統(tǒng)邊界，確定重點(diǎn)保護(hù)對(duì)象，在適當(dāng)?shù)奈恢貌渴鹎‘?dāng)?shù)陌踩夹g(shù)和安全管理措施等。2.3.6測(cè)評(píng)報(bào)告編制測(cè)評(píng)機(jī)構(gòu)在完成現(xiàn)場(chǎng)檢查工作后，應(yīng)按要求完成安全問(wèn)題匯總及分析，經(jīng)過(guò)后期的綜合分析與風(fēng)險(xiǎn)判斷，確定等級(jí)保護(hù)測(cè)評(píng)結(jié)論，編寫(xiě)等級(jí)保護(hù)測(cè)評(píng)報(bào)告，為后續(xù)的信息系統(tǒng)安全整改提供有力的依據(jù)，每個(gè)測(cè)評(píng)的系統(tǒng)各一份報(bào)告。測(cè)評(píng)報(bào)告要求嚴(yán)格按照《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版》進(jìn)行編寫(xiě)。2.4測(cè)評(píng)團(tuán)隊(duì)人員配置要求投標(biāo)人必須為項(xiàng)目配備專(zhuān)門(mén)的項(xiàng)目組，項(xiàng)目組應(yīng)不少于5人，其中項(xiàng)目經(jīng)理應(yīng)當(dāng)擁有高級(jí)信息系統(tǒng)項(xiàng)目管理師和注冊(cè)信息系統(tǒng)審計(jì)師(CISA)證書(shū)，擁有3年以上信息安全項(xiàng)目管理經(jīng)驗(yàn)，承擔(dān)過(guò)大型信息安全服務(wù)項(xiàng)目。項(xiàng)目實(shí)施人員應(yīng)至少具備等保測(cè)評(píng)師證書(shū)及如下專(zhuān)業(yè)認(rèn)證之一CISP、CISSP、CCNP、HCNP、OCM、OCP。招標(biāo)方有權(quán)驗(yàn)證項(xiàng)目團(tuán)隊(duì)成員技術(shù)能力，對(duì)不滿(mǎn)意的成員有權(quán)要求投標(biāo)方按招標(biāo)方要求進(jìn)行更換。2.5測(cè)評(píng)進(jìn)度要求投標(biāo)人應(yīng)按招標(biāo)方要求按時(shí)完成等級(jí)保護(hù)測(cè)評(píng)工作，并協(xié)助招標(biāo)方完成在當(dāng)?shù)鼐W(wǎng)安部門(mén)進(jìn)行的等保備案工作。2.6項(xiàng)目交付物要求要求測(cè)評(píng)機(jī)構(gòu)在完成現(xiàn)場(chǎng)測(cè)評(píng)工作后，形成安全問(wèn)題匯總及分析，經(jīng)過(guò)后期的綜合分析與風(fēng)險(xiǎn)判斷，確定等級(jí)保護(hù)測(cè)評(píng)結(jié)論，編寫(xiě)等級(jí)保護(hù)測(cè)評(píng)報(bào)告，為后續(xù)的信息系統(tǒng)安全整改提供有力的依據(jù)，每個(gè)測(cè)評(píng)的系統(tǒng)各一份報(bào)告。測(cè)評(píng)報(bào)告要求嚴(yán)格按照《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版》進(jìn)行編寫(xiě)。等保測(cè)評(píng)工作完成后應(yīng)按要求提供包括但不限于下列材料：（1）《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)方案》（紙版和電子版）（2）《等級(jí)保護(hù)測(cè)評(píng)實(shí)施計(jì)劃》（紙版和電子版）（3）《等級(jí)保護(hù)測(cè)評(píng)過(guò)程記錄文件》（電子版）（4）《網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)整改方案》（紙版和電子版）（5）《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告》（紙版和電子版）（6）其它應(yīng)交付的文檔2.6工作進(jìn)度要求自簽訂合同之日起40天之內(nèi)完成招標(biāo)范圍內(nèi)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作，并出具報(bào)告。2.7項(xiàng)目團(tuán)隊(duì)進(jìn)度要求投標(biāo)單位應(yīng)針對(duì)本項(xiàng)目成立專(zhuān)門(mén)的項(xiàng)目組，項(xiàng)目團(tuán)隊(duì)?wèi)?yīng)設(shè)有項(xiàng)目經(jīng)理，項(xiàng)目經(jīng)理應(yīng)符合測(cè)評(píng)團(tuán)隊(duì)人員配置要求中項(xiàng)目經(jīng)理要求，項(xiàng)目成員應(yīng)持有開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作應(yīng)具備的專(zhuān)業(yè)資質(zhì)。第三章評(píng)分辦法條款號(hào)評(píng)分因素評(píng)審辦法1談判報(bào)價(jià)F1（滿(mǎn)分20）報(bào)價(jià)部分（最終報(bào)價(jià)計(jì)算）滿(mǎn)足競(jìng)爭(zhēng)性磋商文件要求且最后報(bào)價(jià)最低的供應(yīng)商的價(jià)格為磋商基準(zhǔn)價(jià)，其價(jià)格分為滿(mǎn)分。其他供應(yīng)商的價(jià)格分統(tǒng)一按照下列公式計(jì)算：磋商報(bào)價(jià)得分=（磋商基準(zhǔn)價(jià)/最后磋商報(bào)價(jià)）×202技術(shù)部分評(píng)分標(biāo)準(zhǔn)F2（滿(mǎn)分80）測(cè)評(píng)服務(wù)服務(wù)方案（滿(mǎn)分10分）對(duì)服務(wù)方案、實(shí)施步驟、等方面進(jìn)行綜合評(píng)分：第一檔：具有完善的服務(wù)計(jì)劃，包含服務(wù)的各個(gè)環(huán)節(jié)，服務(wù)范圍，完成標(biāo)準(zhǔn)，實(shí)施方案充分體現(xiàn)完整性、針對(duì)性、專(zhuān)業(yè)性，提供的服務(wù)方案規(guī)范性及標(biāo)準(zhǔn)化程度較高。（8-10分）第二檔：具有較完善的服務(wù)計(jì)劃，方案內(nèi)容基本完整、基本包含服務(wù)的各個(gè)環(huán)節(jié)、服務(wù)范圍，有一定針對(duì)性和操作性，基本滿(mǎn)足本項(xiàng)目的需求，提供的服務(wù)方案規(guī)范性及標(biāo)準(zhǔn)化程度高。（4-7分）第三檔：無(wú)完善的服務(wù)計(jì)劃，缺少服務(wù)的重要環(huán)節(jié)，實(shí)施方案缺乏針對(duì)性和操作性，提供的服務(wù)方案較差。（0-3分）企業(yè)服務(wù)能力（滿(mǎn)分30分）1.投標(biāo)人持有中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證證書(shū)（風(fēng)險(xiǎn)評(píng)估三級(jí)及以上），得6分；（0-6分）2.投標(biāo)人在近五年內(nèi)獲得過(guò)公安部頒發(fā)的網(wǎng)絡(luò)安全管理優(yōu)秀團(tuán)隊(duì)稱(chēng)號(hào)，提供證明文件，得6分。（0-6分）3.投標(biāo)人測(cè)評(píng)能力通過(guò)公安部驗(yàn)證，近五年內(nèi)連續(xù)三年通過(guò)公安部測(cè)評(píng)聯(lián)盟組織的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)能力驗(yàn)證，提供證明文件，得6分；（0-6分）4.投標(biāo)人除具有等保測(cè)評(píng)資質(zhì)外，還具有國(guó)產(chǎn)商用密碼應(yīng)用安全性評(píng)估能力，能夠提供國(guó)產(chǎn)商用密碼應(yīng)用建設(shè)的有效建議，得6分；（0-6分）5.投標(biāo)人是中關(guān)村信息安全測(cè)評(píng)聯(lián)盟理事單位，提供證明文件，得6分；（0-6分）服務(wù)質(zhì)量及保證措施（滿(mǎn)分10分）根據(jù)投標(biāo)人的服務(wù)質(zhì)量、保證措施，綜合評(píng)比打分；滿(mǎn)分10分。第一檔：服務(wù)質(zhì)量及保證措施科學(xué)合理且保證措施科學(xué)有效；（8-10分）第二檔：服務(wù)質(zhì)量及保證措施可行且滿(mǎn)足項(xiàng)目需求；（4-7分）第三檔：服務(wù)質(zhì)量及保證措施基本滿(mǎn)足本項(xiàng)目的需要。（0-3分）項(xiàng)目組人員配置（滿(mǎn)分20分）根據(jù)投標(biāo)人擬投入項(xiàng)目組人員配置情況、專(zhuān)業(yè)情況、能力、經(jīng)驗(yàn)等相關(guān)內(nèi)容進(jìn)行評(píng)分：1.項(xiàng)目經(jīng)理具有高級(jí)信息系統(tǒng)項(xiàng)目管理師和注冊(cè)信息系統(tǒng)審計(jì)師(CISA)，得10分。（0-10分）2.項(xiàng)目團(tuán)隊(duì)成員擁有2名高級(jí)等保測(cè)評(píng)師，以及4名中級(jí)及以上等保測(cè)評(píng)師，得3分；擁有2名注冊(cè)信息安全專(zhuān)業(yè)人員（CI