“清新福建 文旅之声”官方微信平台微门户信息系统安全等级测试采购比选公告
时间:2020-05-28 作者: 来源:
根据工作需要,福建省文化和旅游厅将通过比选方式选定一家供应商负责执行“清新福建 文旅之声”官方微信平台微门户信息系统安全等级测试采购项目。现将有关事项公告如下:
一、项目名称
“清新福建 文旅之声”官方微信平台微门户信息系统安全等级测试采购项目
二、项目经费
费用控制在人民币玖万伍仟玖佰元(¥95900元)以内,项目所发生的人工、交通、验收、税收等费用均包含在报价中。
三、项目内容
(一)项目概况:
1.平台简介:福建旅游微营销基于微信的公众服务平台,在现有信息化手段的基础上增加面对公众群体的宣传、推广、互动方式,为打造基于福建省本地特色的旅游信息化标杆提供基础,也为福建建设智慧旅游提供奠基。
2.本次信息系统安全等级测评服务费最高控制价为人民币9.59万元(含税价)。
(二)项目要求:
由中标单位根据公安部印发《GB/T 22239-2019 信息安全技术 信息系统安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术信息系统安全等级保护测评要求》等标准规范要求,拟按照等级保护二级基本要求(具体以等级保护定级评审意见为准),提供相应咨询服务,开展差距分析、整改加固等工作,委托专业测评机构开展安全等级测评,并取得信息系统安全等级测评报告。主要服务内容如下(系统详情及技术服务要求见附件):
1.等级保护安全咨询服务
为信息系统提供主机安全、应用安全、数据安全以及安全管理制度等方面的信息安全需求分析、措施设计、安全加固、制度编写辅助等安全服务工作。
2.等级保护测评服务
提供信息系统安全等级保护测评服务,并提交被测系统信息系统安全等级保护测评报告,测评结果为“基本符合”及以上。测评机构应为国家网络安全等级保护工作协调小组办公室推荐的网络安全等级保护测评机构,并经福建省网络安全等级保护工作主管部门认可。
3.定级备案服务
协助整理定级备案相关材料,并提交福州市公安局网安支队完成备案,拿到备案证明。
(三)时间要求:
合同签订生效后的60日内按比选文件及采购人要求完成全部评测工作、验收合格并交付使用。
(四)商务要求:
1.付款方式:合同签订且成交单位开具发票后15个工作日内支付合同总价70%的服务费。完成验收且成交单位开具发票后15个工作日内支付合同总价30%的服务费。
2.项目服务:需要安排专门团队负责对接采购人。
四、采购形式
通过比选方式选择一家供应商承接该项目。请有意参加本项目的供应商,按要求向福建省文化和旅游厅提交相关材料。由福建省文化和旅游厅组建比选小组,对供应商基本情况和所提供材料及报价进行审核,采用经评审的最低投标价中标法,选取一家作为成交人。
五、评审方法和评分标准
本此比选采用经评审的最低投标价中标法
(一)经评审将资格审查和投标文件审查符合招标文件要求的投标人按投标报价从低到高排序,确认中标候选人。
(二)当出现二个或二个以上投标人的投标报价相同时,则由招标人或比选小组采用随机抽取的方式确认。
六、供应商资质要求
(一)报价方需提供的资质证明文件:
1.企业法人营业执照三证合一副本复印件(加盖公章);
2.法人代表及报价人代表的有效身份证明(加盖公章);
3.法定代表人授权书原件(必须双方签字并加盖公章,报价代表是法定代表人无需);
4.参加采购活动前三年内在经营活动中没有重大违法记录书面声明(加盖公章);
5.报价方需具备下列至少一项国内信息安全权威测评认证机构发布的有效的安全服务相关资质(报价方应在报价文件中提供资质证书复印件并加盖报价方单位公章)。
国家信息安全认证信息安全服务资质证书(安全工程类)
中国通信企业协会通信安全服务能力评定证书(风险评估)
中国信息安全认证中心ISCCC信息系统安全集成服务资质
中国信息安全认证中心ISCCC信息安全应急处理服务资质
福建省网络与信息安全信息通报中心支撑单位
6.所有测评费、定级评审费用包含在此项目报价中,由中标人承担(提供书面承诺函);
7.报价人承诺可一次性通过测评,否则,由此产生的费用及相关损失全部由中标人承担;(提供书面承诺函)
(二)供应商应当具备
政府采购法第二十二条第一款规定的条件,提供下列材料:
1.法人或者其他组织的营业执照等证明文件,自然人的身份证明。供应商是企业或个体工商户的,则提供工商部门注册的有效的营业执照复印件;供应商是事业单位的,则提供有效的“事业单位法人证书”复印件;供应商是非企业专业服务机构的,则提供执业许可等证明材料;供应商是自然人的,则提供自然人的身份证明复印件。
2.财务状况报告。提供会计师事务所出具的近两年任意一年审计报告,至少包括“资产负债表、利润表、现金流量表”;或者提供开户许可证和响应截止时间前六个月内基本开户银行出具的资信证明;或者提供财政部门认可的政府采购专业担保机构出具的担保函。
3.具备履行合同所必需设备和专业技术能力专项证明材料:履行合同所必需的设备:供应商提供办公场所的产地证明材料(属于自有产权的提供产权证复印件;非自有产权的提供产地租赁合同复印件);具备专业技术能力:提供负责本项目的主要技术人员的专业人员情况汇总表、劳动关系证明(缴纳社会保险的证明材料)。
4.依法缴纳税收的相关材料。提供响应截止时间前六个月任一个月的依法缴纳税收的凭据;或者提供依法免税的相应证明文件。
5.依法缴纳社会保障资金的相关材料。提供响应截止时间前六个月任一个月的依法缴纳社会保障资金的凭据;或者提供依法不需要缴纳社会保障资金的相应证明文件
6.无犯罪、违反证明。参加本项目比选前3年内在经营活动中没有重大违法记录的书面声明,以及无行贿犯罪承诺函(承诺函由供应商自拟)。
7.提供信用信息查询记录证明材料。根据《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》<财库〔2016〕125号>精神,供应商须提供在比选公告发布后、报价截止前通过“信用中国”网站(www.creditchina.gov.cn)和中国政府采购网(www.ccgp.gov.cn)两个网站查询相关主体信用记录证明材料(打印件或截图),在评审时将对供应商信用记录进行甄别,对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商,其报价响应文件将被视为无效。
8.提供1份报价表(格式自拟),并单独成册。
(三)本项目不接受联合体参与报价。
(四)经营业绩良好,近几年没有发生重大安全责任事故或投诉事件。
供应商未按报价资格要求完整提供证明材料的,或响应文件中的资格描述与证明材料不一致的,视为资格条件不符合;所提供材料须加盖公章和骑缝章。
七、响应文件的编制
供应商根据以上要求编制响应文件,内容包括但不限于(1)资格相关材料;(2)报价表(单独成册)。请供应商认真、详细地制定响应文件。响应文件正本一份、副本两份。响应文件须用A4幅面纸张打印,应编制封面、目录、页码,必须用线装或胶装(为永久性、无破坏不可拆分)装订成册,并在相应位置签名并加盖公章,须加盖骑缝章或逐页盖章并在封面加盖公章,在封面标明“正本”“副本”字样。副本可用正本的复印件,正本与副本内容如有不一致,则以正本为准。
八、提交响应文件时间
请供应商务必于2020年5月27 日17:00前将响应文件(密封,贴封条并加盖公章)寄送至福建省旅游宣传中心(地址:福州五一北路1号力宝天马大厦602)
联系人:林岚
联系电话:13950208543
福建省文化和旅游厅
2020年5月22 日
附件
技术服务要求
一、项目名称
福建旅游微营销项目等级保护咨询与测评服务采购项目
二、福建旅游微营销项目基本情况
(一)项目概述
福建旅游微营销基于微信的公众服务平台,在现有信息化手段的基础上增加面对公众群体的宣传、推广、互动方式,为打造基于福建省本地特色的旅游信息化标杆提供基础,也为福建建设智慧旅游提供奠基。
(二)系统部署及技术架构
系统部署在福建省电子政务云计算平台,1台Web服务器和1台数据库服务器,Web服务器计划开通80端口(完成运营商备案后开通),用户通过微信关注公众号之后,可通过微信公众账号后台管理平台的菜单管理维护添加“微门户”的快捷方式,用户进入微信公众账号后只需点击下方的菜单即可进入微门户页面。
三、项目内容
通过政府公开采购程序确定测评服务中标单位,由中标单位根据公安部印发《GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术信息系统安全等级保护测评要求》等标准规范要求,拟按照等级保护二级基本要求(具体以等级保护定级评审意见为准),提供相应咨询服务,开展差距分析、整改加固等工作,委托专业测评机构开展安全等级测评,并取得信息系统安全等级测评报告。具体内容如下:
(一)等级保护咨询服务
为信息系统提供主机安全、应用安全、数据安全以及安全管理制度等方面的信息安全需求分析、措施设计、安全加固、制度编写辅助等安全服务工作。
(二)等级保护测评服务
提供信息系统安全等级保护测评服务,并提交被测系统信息系统安全等级保护测评报告,测评结果为“基本符合”及以上。测评机构应为国家网络安全等级保护工作协调小组办公室推荐的网络安全等级保护测评机构,并经福建省网络安全等级保护工作主管部门认可。
(三)定级备案服务
协助整理定级备案材料,并提交福州市公安局网安支队完成备案,拿到备案证明。
四、技术和服务要求
服务范围:福建旅游微营销平台
通过本项目的等级保护咨询服务实施,最终完成服务范围内的信息系统通过信息系统安全等级保护测评,测评结果为“基本符合”及以上。
1、定级咨询
参照国家和地方对信息系统安全等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,撰写信息系统定级报告,明确信息系统的边界和安全保护等级,说明定级的方法和理由,收集整理信息系统定级所需的资料和文档。同时协助采购人组织并完成等级保护专家定级评审工作。
2、等级保护备案
按照《等级保护基本要求》完成系统等级保护备案工作,并取得公安机关出具的等级保护相关备案证明。
3、资产分析服务
3.1 资产调查:调查和统计信息资产,包括但不限于物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等,明确其现有状况、配置情况和管理情况,并对所有信息资产按照一定标准进行资产赋值,绘制各业务系统的数据流图。正式开展调查时调查内容需经采购人审核后实施。
3.2 网络拓扑调查:包括对所有网络的拓扑结构进行调查,并按统一标准绘制成图。
3.3安全系统调查:包括但不限于明确现有安全设备的部署情况和使用情况,编制安全区域图。
4、 差距评估服务
4.1根据信息系统安全等级保护基本要求,开展物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理现状评估,差距评估应当覆盖等级保护技术要求。
4.2根据等级保护的相关标准和要求,分析主机安全、应用安全和数据安全面临的威胁,评估现有系统的存在的弱点,明确现有信息系统面临的安全风险和隐患。
4.3应用系统风险评估:对业务系统存在的脆弱点进行综合评估,结合系统情况对漏洞的风险等级进行赋值,输出《风险评估报告》。
4.4 报价人应免费提供一套永久授权、基于B/S架构的综合型分布式漏洞扫描风险评估系统,支持根据不同扫描目标和扫描策略的需求进行全面、高效的安全漏洞扫描风险评估(提供软件著作权、销售许可证和国家信息安全产品认证证书复印件)。授权≥2048个IP或域名数量扫描授权许可;授权主机漏洞扫描功能,支持对主流操作系统、网络设备、网络安全设备的漏洞扫描风险评估;授权WEB应用漏洞扫描功能,支持对WEB应用提供专业的漏洞扫描风险评估、挂马检测和分析;授权数据库漏洞扫描功能,支持对主流数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出等漏洞扫描风险评估;并提供一年的免费升级服务。(提供承诺函)
4.5报价人提供的漏洞扫描风险评估系统漏洞知识库数量不少于30000条,WEB应用漏洞知识库数量不少于1000条,数据库漏洞知识库数量不少于800条,与CVE、CNVD等主流标准兼容,漏洞信息全中文支持,至少包含漏洞名称、威胁类型、风险级别等漏洞信息详细描述及其对应的解决方案;漏洞扫描风险评估结果支持一键生成信息系统安全等级保护合规报告。(提供截图证明)
4.6管理制度梳理与建设
(1)管理制度梳理:从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入评估采购人网络安全管理制度与等级保护标准差距。
(2)管理制度建设:结合采购人信息系统的实际情况,协助采购人建设安全管理制度,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助用户编写方针、制度、各类记录表格模板在内的安全管理制度等。管理制度包括但不限于:《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《信息系统安全培训管理》、《安全管理日常维护细则》、《安全审计管理制度》、《第三方人员管理制度》、《防病毒紧急响应流程》、《软件开发环境使用管理要求》、《系统交付管理规范》、《安全事件报告和处置管理规范》、《信息系统安全应急处理体系》、《人员安全管理规范》、《信息系统安全运维管理规范》等。
5、安全规划
投标人需根据差距评估结果,结合国家相关法律法规要求,在充分考虑信息系统状况下进行安全域设 计,分析安全需求得出安全控制措施,并对安全控制的相关性、紧迫性、可实施性、难易程度和预期效果等进行分析,对采购人未来几年信息安全工作进行规划,提出可行的安全解决方案和安全规划。
6、安全整改
报价人需根据差距评估结果和安全规划,结合等级保护要求,对于安全评估后在技术和管理中发现的安全漏洞和安全脆弱性情况以及与等级保护要求之间的差距,提出可行的安全整改方案,以达到等级保护基本要求。
7、安全监测
报价人针对该项目的WEB应用服务器可提供7*24小时应用安全预警监测服务,自动监测、跟踪信息安全事件,对攻击事件进行实时预警,该预警监测系统服务可通过福建省网络与信息安全信息通报中心现有“福建省网络与信息安全应急处置平台”(以下简称省应急处置平台)的联动接口对接,可上报WEB应用威胁预警事件至省应急处置平台。(提供方案可行性承诺函,并提供本服务与省应急处置平台实时连接的截图证明)
8、等级保护测评服务要求:
8.1、技术服务目标:根据项目建设方提交的《信息系统安全等级保护测评申请书》,参照公安部印发《GB/T 28448-2019 信息安全技术信息系统安全等级保护测评要求》等标准规范要求,对服务范围内的信息系统进行安全等级测评,并提交被测系统信息系统安全等级保护测评报告,测评结果为“基本符合”及以上。测评机构应为国家网络安全等级保护工作协调小组办公室推荐的网络安全等级保护测评机构,并经福建省网络安全等级保护工作主管部门认可。
8.2、技术服务内容
(1)网络安全:对网络安全的结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等方面进行现场测试。
(2)主机安全:对所采用的操作系统和数据库的信息系统进行身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面的测试。
(3)应用安全:对应用系统的身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等方面进行安全测试。
(4)数据安全及备份恢复:对信息系统的数据完整性、数据保密性和备份和恢复等方面进行测试。
