廣東以色列理工學(xué)院

項(xiàng)目需求2019年5月10日，《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》2.0國(guó)家標(biāo)準(zhǔn)發(fā)布，該標(biāo)準(zhǔn)的發(fā)布標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入“2.0時(shí)代”。等級(jí)保護(hù)工作的落實(shí)有效提升了我國(guó)的網(wǎng)絡(luò)安全防護(hù)能力。等保2.0的發(fā)布，是對(duì)除傳統(tǒng)信息系統(tǒng)之外的新型網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力提升的有效補(bǔ)充，是貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、實(shí)現(xiàn)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的基礎(chǔ)。廣東以色列理工學(xué)院作為一所具有國(guó)際公認(rèn)高水平教育、科研和創(chuàng)新能力的研究型大學(xué)，全面引進(jìn)全球知名的以色列理工學(xué)院的優(yōu)質(zhì)教育資源。由于網(wǎng)絡(luò)安全威脅的范圍不斷擴(kuò)大和演化，廣東以色列理工學(xué)院校園一卡通系統(tǒng)自身對(duì)于安全防護(hù)的需求也顯得更加迫切。因此，根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)，為廣東以色列理工學(xué)院校園一卡通系統(tǒng)在2022年已開(kāi)展相應(yīng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，通過(guò)了校園一卡通系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)，現(xiàn)需要繼續(xù)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，使其達(dá)到相應(yīng)的安全等級(jí)保護(hù)級(jí)別要求。提高信息系統(tǒng)的安全防護(hù)能力，保障業(yè)務(wù)的安全性和可用性。項(xiàng)目預(yù)算本項(xiàng)目預(yù)算費(fèi)用為：70,000元，包含廣東以色列理工學(xué)院門(mén)戶(hù)網(wǎng)站、校園一卡通系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)。序號(hào)測(cè)評(píng)項(xiàng)目信息系統(tǒng)名稱(chēng)自定義信息安全等級(jí)項(xiàng)目總預(yù)算1校園一卡通系統(tǒng)三級(jí)或者二級(jí)70,000元項(xiàng)目要求與內(nèi)容：供應(yīng)商須由持有國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》的測(cè)評(píng)機(jī)構(gòu)出具的項(xiàng)目授權(quán)函。等級(jí)保護(hù)工作基本內(nèi)容包含等級(jí)保護(hù)定級(jí)工作、等級(jí)保護(hù)評(píng)估工作。等級(jí)保護(hù)定級(jí)工作等級(jí)保護(hù)定級(jí)是指對(duì)信息系統(tǒng)安全等級(jí)保護(hù)的確定，主要包括兩個(gè)方面內(nèi)容：從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱(chēng)業(yè)務(wù)信息安全保護(hù)等級(jí)；從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱(chēng)系統(tǒng)服務(wù)安全保護(hù)等級(jí)。等級(jí)保護(hù)定級(jí)工作是等級(jí)保護(hù)評(píng)估及后續(xù)工作的前提。由于廣東以色列理工學(xué)院信息系統(tǒng)還未進(jìn)行定級(jí)備案，因此，需要協(xié)助學(xué)校對(duì)信息系統(tǒng)進(jìn)行定級(jí)和備案工作。等級(jí)保護(hù)評(píng)估工作協(xié)助廣東以色列理工學(xué)院對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行測(cè)試評(píng)估，包括兩個(gè)方面的內(nèi)容：一是安全控制評(píng)估，主要評(píng)估信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況；二是系統(tǒng)整體評(píng)估分析，主要評(píng)估分析信息系統(tǒng)的整體安全性。其中，安全控制評(píng)估分析是信息系統(tǒng)整體安全評(píng)估分析。對(duì)安全控制評(píng)估的描述，使用評(píng)估單元方式組織。評(píng)估單元分為安全技術(shù)測(cè)評(píng)和安全管理評(píng)估兩大類(lèi)。安全技術(shù)評(píng)估包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五個(gè)層面上的安全控制評(píng)估；安全管理評(píng)估包括：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五個(gè)方面的安全控制評(píng)估。具體見(jiàn)下圖：需依據(jù)國(guó)家以及相關(guān)規(guī)范標(biāo)準(zhǔn)，對(duì)我校信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，并出具網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)報(bào)告，對(duì)系統(tǒng)存在技術(shù)、管理等方面安全問(wèn)題進(jìn)行分析，提出整改建議。具體工作內(nèi)容如下：序號(hào)服務(wù)類(lèi)型服務(wù)內(nèi)容1協(xié)助定級(jí)備案對(duì)本次項(xiàng)目中1個(gè)信息系統(tǒng)情況進(jìn)行調(diào)研，協(xié)助編寫(xiě)定級(jí)報(bào)告、辦理等保備案，取得相應(yīng)得備案證明。2初次測(cè)評(píng)實(shí)施過(guò)程：依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》實(shí)施等級(jí)測(cè)評(píng)，對(duì)物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器、信息系統(tǒng)等進(jìn)行合規(guī)性檢查，發(fā)現(xiàn)信息系統(tǒng)與安全保護(hù)等級(jí)要求之間的差距。3漏洞掃描1、使用專(zhuān)業(yè)的WEB掃描工具，對(duì)本次項(xiàng)目中的信息系統(tǒng)針對(duì)WEB服務(wù)進(jìn)行強(qiáng)力攻擊檢測(cè)和緩沖區(qū)溢出檢測(cè)等漏洞掃描；2、根據(jù)漏洞掃描結(jié)果進(jìn)行人工驗(yàn)證，用以驗(yàn)證工具掃描的漏洞結(jié)果的準(zhǔn)確性，出具相應(yīng)的《漏洞掃描報(bào)告》，提供安全加固建議；4滲透測(cè)試1、采用專(zhuān)業(yè)工具與人工的方法，通過(guò)模擬黑客可能使用的攻擊方式和漏洞挖掘行為進(jìn)行滲透測(cè)試，對(duì)目標(biāo)信息系統(tǒng)的安全進(jìn)行深入安全檢測(cè)、評(píng)估。2、根據(jù)滲透測(cè)試結(jié)果進(jìn)行人工驗(yàn)證，用以驗(yàn)證結(jié)果的準(zhǔn)確性，出具相應(yīng)的《滲透測(cè)試報(bào)告》，提供安全加固建議；5協(xié)助安全整改差距測(cè)評(píng)結(jié)束后，提交問(wèn)題清單及整改建議，協(xié)助用戶(hù)進(jìn)行整改。待被測(cè)信息系統(tǒng)完成整改工作后，方可進(jìn)行下一階段的驗(yàn)收測(cè)評(píng)工作。6驗(yàn)收測(cè)評(píng)及報(bào)告編制及提交驗(yàn)收測(cè)評(píng)完成后，測(cè)評(píng)項(xiàng)目組針對(duì)采購(gòu)人定級(jí)信息系統(tǒng)整體測(cè)評(píng)情況，對(duì)符合、不符合、部分符合的測(cè)評(píng)項(xiàng)進(jìn)行整體分析和匯總，給出等級(jí)測(cè)評(píng)結(jié)論，完成《網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)報(bào)告》編制。將測(cè)評(píng)報(bào)告提交至國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)主管部門(mén)，并通過(guò)國(guó)家信息安全等級(jí)保護(hù)主管部門(mén)的最終測(cè)評(píng)驗(yàn)收。技術(shù)參數(shù)要求依據(jù)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》以及《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南》的要求，在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，應(yīng)采用人工訪(fǎng)談、工具檢測(cè)、登錄系統(tǒng)檢測(cè)、文檔分析的方式分析信息系統(tǒng)在等級(jí)保護(hù)方面與標(biāo)準(zhǔn)要求的差距。商務(wù)要求項(xiàng)目預(yù)算：人民幣70,000元報(bào)價(jià)要求：超過(guò)預(yù)算的投標(biāo)無(wú)效。交付要求：合同簽訂之日起15天內(nèi)完成網(wǎng)絡(luò)安全等級(jí)保護(hù)差距測(cè)評(píng)并交付差距測(cè)評(píng)結(jié)果；采購(gòu)人完成所有整改后30天內(nèi)出具測(cè)評(píng)驗(yàn)收?qǐng)?bào)告。付款方式：合同簽訂之日起30日內(nèi)甲方向乙方支付合同款，乙方即可進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)差距測(cè)評(píng)工作并交付差距測(cè)評(píng)結(jié)果。甲方憑乙方提供的發(fā)票支付項(xiàng)目款。評(píng)分標(biāo)準(zhǔn)綜合評(píng)分法，總分100分，商務(wù)技術(shù)得分70分+價(jià)格得分30分序號(hào)評(píng)審項(xiàng)目分值評(píng)分細(xì)則1價(jià)格30以投標(biāo)總價(jià)作為評(píng)審的依據(jù)，若單價(jià)乘以數(shù)量得到的總價(jià)與投標(biāo)總價(jià)不一致，以單價(jià)為準(zhǔn)修改總價(jià)；金額的中文大寫(xiě)與阿拉伯?dāng)?shù)字不一致時(shí)，以中文大寫(xiě)為準(zhǔn)。投標(biāo)人價(jià)格得分評(píng)分方法如下：1)評(píng)標(biāo)基準(zhǔn)價(jià)＝實(shí)質(zhì)性響應(yīng)招標(biāo)文件要求的投標(biāo)中的最低投標(biāo)總價(jià)2)投標(biāo)人價(jià)格得分＝評(píng)標(biāo)基準(zhǔn)價(jià)/投標(biāo)總價(jià)×302綜合資質(zhì)20供應(yīng)商須由持有國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》的測(cè)評(píng)機(jī)構(gòu)出具蓋章的項(xiàng)目授權(quán)函。提供授權(quán)函得5分，不提供不得分。供應(yīng)商具有由國(guó)家認(rèn)證認(rèn)可監(jiān)督管理部門(mén)批準(zhǔn)設(shè)立的認(rèn)證機(jī)構(gòu)頒發(fā)并在有效期內(nèi)的以下認(rèn)證證書(shū)：（1）信息安全管理體系認(rèn)證（2）信息技術(shù)服務(wù)管理體系認(rèn)證（3）信息安全服務(wù)資質(zhì)認(rèn)證（4）質(zhì)量管理體系認(rèn)證（ISO9001）（5）服務(wù)質(zhì)量評(píng)價(jià)認(rèn)證提供每個(gè)證書(shū)3分，最高15分。注：體系認(rèn)證證書(shū)須在認(rèn)監(jiān)委網(wǎng)站（/）查詢(xún)有效，須提供查詢(xún)截圖，已失效或撤銷(xiāo)的不得分。3業(yè)績(jī)8每提供一個(gè)2021年1月1日以來(lái)含有安全等保測(cè)評(píng)服務(wù)業(yè)績(jī)得2分，最高得8分，不提供不得分。提供相關(guān)掃描件。4項(xiàng)目團(tuán)隊(duì)15投標(biāo)人擬派駐負(fù)責(zé)本項(xiàng)目的項(xiàng)目經(jīng)理為投標(biāo)人全職員工，可提供社保證明。(全程參與風(fēng)險(xiǎn)測(cè)評(píng)，分析，方案設(shè)計(jì)，匯報(bào)，為現(xiàn)場(chǎng)方案主匯報(bào)人)：

（1）具有高級(jí)工程師職稱(chēng)證書(shū)，得1分；

（2）具有人力資源和社會(huì)保障部和工業(yè)和信息化部頒發(fā)的信息系統(tǒng)項(xiàng)目管理師資質(zhì)，得1分；

（3）具有中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的注冊(cè)信息安全員（CISM）資質(zhì)，得2分；

2、投入本項(xiàng)目技術(shù)人員的資質(zhì)情況（投入本項(xiàng)目項(xiàng)目經(jīng)理除外）：

2.1.技術(shù)負(fù)責(zé)人（1人）：

（1）具備高級(jí)工程師職稱(chēng)證書(shū)，得1分；

（2）具備工業(yè)和信息化部教育與考試中心頒發(fā)的高級(jí)網(wǎng)絡(luò)信息安全工程師資質(zhì)證書(shū)，得1分；

（3）具備中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的注冊(cè)信息安全管理人員資格（CIS0）證書(shū)，得1分；

2.2.安全管理工程師（1人）：

（1）具備工業(yè)和信息化部教育與考試中心頒發(fā)的高級(jí)網(wǎng)絡(luò)信息安全工程師資質(zhì)證書(shū)，得1分；

（2）具備工業(yè)和信息化部教育與考試中心頒發(fā)的高級(jí)智能化系統(tǒng)工程師資質(zhì)證書(shū)，得1分；

（3）具備人力資源和社會(huì)保障部和工業(yè)和信息化部頒發(fā)的通信專(zhuān)業(yè)技術(shù)人員職業(yè)資格證書(shū)（互聯(lián)網(wǎng)技術(shù)），1分；

（4）具備中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的注冊(cè)信息安全工程師資格（CISE）證書(shū)，得1分；3、投入本項(xiàng)目其他技術(shù)人員人數(shù)情況（投入本項(xiàng)目項(xiàng)目經(jīng)理除外）（1）投入本項(xiàng)目其他技術(shù)人員人數(shù)多于3人，得4分；（2）投入本項(xiàng)目其他技術(shù)人員人數(shù)1-3人，得2分；（3）投入本項(xiàng)目其他技術(shù)人員人數(shù)少于1人，得0分；注：同一人員不重復(fù)計(jì)分，提供以上人員相關(guān)資質(zhì)證書(shū)，以及2023年任意一個(gè)月在投標(biāo)人單位購(gòu)買(mǎi)的社保繳納憑證復(fù)印件并加蓋響應(yīng)供應(yīng)商公章，無(wú)或未按要求提供證明材料的，不得分。5企業(yè)榮譽(yù)72021年1月1日以來(lái)供應(yīng)商在市級(jí)及以上政務(wù)系統(tǒng)的網(wǎng)絡(luò)安全攻防演練活動(dòng)中，獲得一等獎(jiǎng)得7分，二等獎(jiǎng)4分，三等獎(jiǎng)3分，沒(méi)有提供不得分。6服務(wù)方案15根據(jù)投標(biāo)服務(wù)方案對(duì)本項(xiàng)目等保測(cè)評(píng)進(jìn)行綜合比較打分：方案針對(duì)性強(qiáng)，項(xiàng)目管理到位，合理，人員分工明確，對(duì)測(cè)評(píng)過(guò)程的質(zhì)量、進(jìn)度及安全監(jiān)督到位，在項(xiàng)目的統(tǒng)籌、協(xié)調(diào)方面到位，符合采購(gòu)人要求，服務(wù)方案完整科學(xué)、可行性強(qiáng)，完全滿(mǎn)足并優(yōu)于采購(gòu)要求得15分；方案有較強(qiáng)針對(duì)性，項(xiàng)目管理到位，合理，人員分工明確，對(duì)測(cè)評(píng)過(guò)程的質(zhì)量、進(jìn)度及安全監(jiān)督到位，在項(xiàng)目的統(tǒng)籌、協(xié)調(diào)方面到位，符合采購(gòu)人要