关闭本页 打印本页

等级保护测评项目询价采购公告


 


第一章 供应商须知


江苏省高校招生就业指导服务中心对91job智慧就业平台等级保护测评项目进行询价采购,现欢迎符合相关条件的供应商参加报价。

一、项目编号:SZJ2018-G-X008

二、项目名称:91job智慧就业平台等级保护测评

三、项目预算:9万元整

四、项目简要说明

91job智慧就业平台是为高校、学生用人单位等提供求职、招聘服务的信息平台。本次测评为91job智慧就业平台的首次等级保护测评,依据《信息系统安全等级保护测评要求》等技术标准,计划在采购人发出启动要求后50天内完成对91job智慧就业平台的安全等级测评工作,找出系统现存的风险加以整改,满足信息安全三级等级保护工作要求。

五、供应商资格要求

  1. 在中华人民共和国境内注册,能够独立承担民事责任的独立企业法人(提供企业法人营业执照副本复印件)。

  2. 具有良好的商业信誉和健全的财务会计制度,有依法缴纳税收和社会保障资金的良好记录。

  3. 具有履行合同所必需的设备和专业技术能力,完成过与本项目相类似的项目业绩。

  4. 参加本次采购活动前三年内,在经营活动中没有重大违法记录。

  5. 具备具有江苏省信息安全等级保护工作协调小组办公室颁发的《信息安全等级测评机构推荐证书》且没被行业主管部门处罚过。

    、报价文件要求

  1. 供应商应按照询价文件要求编制标书,报价文件应对询价文件提出的要求和条件做出实质性响应。

  2. 报价文件附企业法人营业执照(或法人证明)、税务登记证复印件、开户银行和账号以及企业资质等相关资格证明文件。

  3. 报价文件于201862109:0010:30前密封送达(不接受传真、邮寄)江苏省高校招生就业指导服务中心。

    七、联系方式:

    采购单位联系人:吴洋         联系电话:025-83335329

    项目技术咨询联系人:李昂     联系电话:025-83335751

    接收地点:江苏省南京市鼓楼区上海路2039号楼401

    八、备注

    有关对采购文件、技术及需求问题的询问,请与采购单位联系人联系。请供应商在递交报价文件截止时间前,关注本中心网站有关本项目有无变更公告。

     

    第二章 项目实施要求

一、项目目标

按照国家《信息安全等级保护管理办法》(公通字200743)和《江苏省信息化条例》、《信息安全技术信息安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术信息安全等级保护定级指南》(GB/T22240-2008)、《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2008)、《信息技术信息安全管理实用规则》(GB/T19716-2005)等相关标准要求,结合91JOB智慧就业网站实际情况,通过信息安全等级保护使91JOB智慧就业网站安全防护能力符合自身的安全需求。把安全工作常态化,缩短发现问题的周期,使得91JOB智慧就业网站做到事前预防、事中应急、事后追查高效、有序,全面提高91JOB智慧就业网站的安全防护能力,降低突发事故的机率。

二、项目内容

根据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》等等级保护系列标准,对91JOB智慧就业网站进行等级保护测评,具体工作内容如下: 测评对象:

序号

系统名称

等保保护级别

1

91job智慧就业平台

三级

本次测评对象需要包括核心汇聚设备、数据中心网络以及所有的网络接入点。等保测评要覆盖以上所有内容,具体测评包括但不限于防火墙、入侵检测、交换机等网络设备的安全配置、操作系统、数据库安全功能、应用软件安全功能验证,分析已有安全措施有效性且根据实际情况按照三级等保要求给出整改建议。

  1. 系统定级:在中心相关人员的协助下,完成对须测评信息系统的梳理定级;

  2. 系统调研:在中心相关人员的协助下,对现有信息系统功能模块、数据流向、用户群体等进行调研,记录被测信息系统的基本情况,包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况;

  3. 安全调研:通过问卷调查、日志收集、工具扫描、策略分析等手段,了解91job智慧就业平台的当前信息安全现状。

  4. 现场测评:依据国家等级保护相关要求,通过检查、测试、访谈等方式,对有关系统进行等级保护符合性测试,评估系统与国标《信息安全技术信息安全等级保护基本要求》三级保护要求的差距,并给出相应的安全处置建议。根据系统的定级结果,本次测评指标包括GB/T22239-2008“技术要求”中的三级通用指标类(G3),三级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第三级“管理要求”中的所有指标。

    根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体测评内容应包括:

    1)物理安全

    测评内容主要包括:机房位置选择、机房物理访问控制、机房防雷击、机房防火、机房防水和防潮、机房防静电、机房温湿度控制、机房供配电、机房电磁防护、设备安全防护、存储介质安全防护等。

    2)网络安全

    测评内容主要包括:网络结构安全、网络访问控制、网络安全审计、边界完整性保护、网络入侵防范、网络恶意代码防范、网络设备登录控制、网络备份与恢复等。

    3)主机安全

    测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、入侵防范、恶意代码防范、资源控制、可信路径、可执行程序保护、备份与恢复等。

    4)应用安全

    测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、检错和容错、资源控制等。

    5)数据安全与备份恢复

    测评内容主要包括:数据完整性保护、数据保密性保护、数据备份与恢复等

    6)安全管理机构

    测评内容主要包括:安全管理机构设置、人员配备及职责、安全授权和审批、安全沟通和合作、安全审核和检查等。

    7)安全管理制度

    测评内容主要包括:安全管理制度内容、制度的制定与发布、制度的评审和修订等。

    8)人员安全管理

    测评内容主要包括:人员岗位管理、人员培训与考核、人员安全意识教育、外部人员访问管理等。

    9)系统建设管理

    测评内容主要包括:安全设计管理、产品采购使用管理、自行软件开发管理、外包软件开发管理、安全工程实施管理、安全测试验收管理、安全系统交付管理、安全服务选择管理等。

    10)系统运维管理

    测评内容主要包括:运行环境管理、资产管理、存储介质管理、设备管理、安全审计管理、入侵防范管理、网络安全管理、主机系统安全管理、用户授权管理、备份与恢复管理、恶意代码防范管理、安全事件处置管理、应急响应管理等。

  5. 分析整改:根据前述工作内容,分析信息系统安全情况与等级保护基本要求的差距,列出被测信息系统中存在的主要问题以及可能造成的后果,针对系统存在的主要问题编制合理的安全改进建议,提交相关系统“等级保护整改方案”,根据测评结果,编写信息安全管理策略,规范安全管理工作,包含建立各项相关信息安全制度,协助中心完成相关的资产安全配置及管理方面的整改;

  6. 结论报告:根据前述工作内容,分析当前91job智慧就业平台安全保护能力是否符合相应等级的安全要求,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析,按照科学、规范、详尽、统一的要求编制相关系统“等级保护测评报告”,给出测评结论(结论为符合、基本符合、不符合);

三、成果提交

  1. 《系统信息安全等级测评报告》

  2. 《测评人员保密承诺》

  3. 《测评项目实施计划书》

  4. 《测评项目实施方案》

  5. 《现场测评结果确认书》

     

    第三章 评分准备

    一、评审方法

    评标小组,将根据投标响应方案的先进性、合理性、开放性、可拓展性和可靠性,对业务需求的响应情况,价格的合理性,技术力量、业绩、售后服务承诺等方面进行综合评审。

    二、评分标准

  1. 根据《中华人民共和国招标投标法》及本次招标的实际情况,遵循公开、公平、公正和诚实信用、科学、合理的原则制定本办法。

  2. 本次招标采用综合评分法,由评标组成员对各家投标方案进行综合打分,得分最高者中标。

  3. 具体评分内容

评分项

评分标准

分值

备注

一、报价部分(30分)

服务价格

30分)

满足招标文件要求且投标报价最低的报价为评审基准价,其价格为满分。其他供应商的价格分统一按照下列公式计算:报价得分=(评审基准价/报价)×25(小数点后保留两位)。

30

投标人需满足招标文件要求

二、商务部分(35分)

公司实力及资质情况

15分)

获得ISO9001《质量管理体系认证证书》

3

须提供“证书”复印件并加盖公司公章,原件备查。

获得ISO20000《信息技术服务管理体系认证证书》

3

获得江苏省企业信用管理贯标证书

3

获得ISCCC信息安全服务资质认证证书

3

获得ITSS信息技术服务运行维护标准符合性证书

3

拟派人员资质

8分)

项目经理资质

3分)

项目经理为高级测评师得3分;项目经理为中级测评师得2分;项目经理为初级测评师得1分。

3

须提供相应证书复印件并加盖公司公章,原件备查。

项目组成员资质

5分)

项目组成员具有1名中级测评师得1分,最高得3分。

3

须提供相应证书复印件并加盖公司公章,原件备查。

项目组成员具有CISP资质得1分,最高得2分。

2

须提供相应证书复印件并加盖公司公章,原件备查。

等级保护测评案例

12分)

提供近2年省级等级保护测评项目有效案例:每提供1个有效案例得3分。本项最高得12分。(原件备查,相同单位算一个有效案例

12

须提供合同复印件并加盖公司公章,原件备查。

三、技术部分(35分)

测评方案

24分)

单项测评

20分)

包含物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理10个测评点的得20分;每少一个测评点扣4分。

20

 

整体测评

4分)

包含安全控制间、层面间、区域间、系统结构4个测评点得1分,每少一个扣2分,扣完为止。

4

 

项目组织情况

11分)

服务组织架构(3分)

测评服务组织架构:具体负责技术、调研、管理、实施人员分工明确,总分3分,不合要求的酌情扣分。

3

 

项目进度安排(3分)

项目进度安排合理(根据工作量、工作强度合理安排进度)的得3分,不合要求的酌情扣分。

3

 

风险管控能力(3分)

风险管控措施合理且切实可行的得3分,不符合要求酌情扣分。

3

 

保密管控能力(2分)

保密管理合理(保密管理措施切实可行)的得2分,不符合要求酌情扣分。

2

 

 

第四章 其他要求

一、各投标人应当遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。

二、在项目实施过程中产生的所有过程文档必须进行电子和纸质双重归档,并交由采购人进行备案。

三、投标人中标后在项目中用于安全检测使用的安全产品必须为厂商正版授权、符合国家安全标准及用户提出的有关质量标准的设备和产品。

四、安全事件应急响应。一年内,针对基础网络系统、主机系统、安全系统等重要信息化设施出现突发的信息安全事件时,提供及时的信息安全应急响应服务,以最快的时间进行故障排查定位和应急处理,保护关键信息系统免受重大故障或灾难的影响,提供应急响应分析报告。

五、投标人应按等级保护测评要求制定测评过程中产生的文档,做科学、规范、详尽、统一等方面的要求。

六、项目工期自合同签订后50天内完成从现场测评至提交测评报告。

 

 

                           江苏省高校招生就业指导服务中心

                                    2018612

发布时间:2018/6/12 17:40:02

如对上述文章内容有任何疑问或建议,请与我们联系,谢谢!