2024年中通阳光保险商城三级等保测评服务项目采购询价公告

项目概况
按照采购计划，拟对2024年中通阳光保险商城三级等保测评服务项目进行询价采购，（略）上下载获取：（略）
一、项目基本情况
（略）：ZTYGXJ（略）
项目名称：（略）
采购方式：（略）
预算金额：伍万元整（人民币）
最高限价：伍万元整（人民币）
采购需求：三级等保测评服务
合同履行期限：自合同签订之日起至60日历日之内
工期（供货期）要求：自合同签订之日起至60日历日之内
本项目不接受联合体投标。
二、申请人的资格要求
1.服务商应当具备下列一般条件
(1)具有独立承担民事责任的能力；
(2)具有良好的商业信誉和健全的财务会计制度；
(3)具有履行合同所必需的人员和专业技术能力；
(4)有依法缴纳税收和社会保障资金的良好记录；
(5)参加政府采购活动前3年内，在经营活动中没有重大违法记录；
(6)法律、行政法规规定的其他条件。
2.服务商需具备以下特殊条件
(1)服务商出具针对本项目所提供的维保服务人员本单位：（略）
(2)（略）软件模块提供得维保服务应是设备制造商原厂服务，服务方式：（略）
3.拒绝下述供应商参加本次采购活动
(1)供应商单位：（略）
(2)凡为采购项目提供项目管理、监理、检测等服务的供应商，不得再参加本项目的采购活动。
(3)供应商被“信用中国”网站（（略）.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
三、项目需求
（一）项目范围
（略）
（略）名称：（略）
定级
1
中通阳光保险商城
三级
（二）项目测评内容
1.项目依据
（略）络安全等级保护2.0标准开展本次等保测评工作，测评的指标、内容及其程序需严格执行如下规范要求：
《（略）络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《（略）安全保护等级定级指南》（GB/T（略））
《（略）络安全等级保护基本要求》（GB/T（略））
《（略）络安全等级保护安全设计技术要求》（GB/T（略））
《（略）络安全等级保护测评要求》（GB/T（略））
《（略）络安全等级保护测评过程指南》（GB/T（略））
《（略）络安全等级保护定级指南》（GB/T（略））
《（略）安全管理测评》（GA/T（略））
《信息安全等级保护等级测评实施细则》
《信息安全风险评估规范》（GB/T（略））
《信息安全风险管理指南》（GB/Z（略））
《信息安全管理体系要求》（GB/T（略））
《信息安全管理实用规则》（GB/T（略））
《（略）安全管理要求》（GB/T（略））
《信息安全事件分类分级指南》（GB/Z（略））
《信息安全事件管理指南》（GB/Z（略））
《（略）灾难恢复规范》（GB/T（略））
《信息安全应急响应计划规范》（GB/T（略））
《网络安全审查办法》
2.服务内容及说明
2.1等保保护测评
等保测评覆盖安全技术测评和安全管理测评两大类10个方面。安全技术测评包括：安全物理环境、（略）络、（略）域边界、（略）等5个层面上的安全控制测评；安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等5个方面的安全控制测评。
（略）等保测评内容
（略）络安全等级保护工作的相关法律和技术标准要求，（略）保护等级开展实施与之相应的检查工作，具体检查内容应包括：
（1）安全物理环境
测评内容主要包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
（2）（略）络
测评内容主要包括：网络架构、通信传输、可信验证等。
（3）（略）域边界
测评内容主要包括：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
（4）安全计算环境
测评内容主要包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
（5）（略）
测评内容主要包括：系统管理、审计管理、安全管理、集中管控等。
（6）安全管理制度
测评内容主要包括：安全策略、管理制度、制定和发布、评审和修订等。
（7）安全管理机构
测评内容主要包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。
（8）安全管理人员
测评内容主要包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
（9）安全建设管理
测评内容主要包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
（10）安全运维管理
测评内容主要包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、（略）安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
（略）等保测评目标
（1）识别信息安全风险。（略）在安全技术和安全管理方面的分析，（略）在安全技术和安全管理方面与相应安全等级保护要求之间的差距，并进行风险分析，出具差距分析报告，（略）面临的风险。
（2）增强安全防护能力。依据差距分析报告的结果，并结合实际情况，区分轻重缓急，制定针对性的安全整改计划，（略）的整体安全保护水平。
（3）测评结果分析
Ø单项测评结果判定
Ø单元测评结果判定
Ø整体测评分析
Ø形成测评分析报告
Ø针对测评分析报告的整改建议
2.2渗透测试
选取可能发起攻击的测试点，使用渗透测试的方式：（略）
（略）渗透测试内容
工作内容包括渗透测试及提供漏洞修复方案。本次渗透测试工作为黑盒测试。
（1）需要包含如下阶段
Ø前期交互阶段：与用户组织进行讨论，确定渗透测试范围和目标。
Ø信息搜集阶段：采用各种方法搜集用户方的所有相关信息。
Ø威胁建模阶段：使用在信息搜集阶段所获取：（略）
Ø漏洞分析阶段：综合前面几个环节获取：（略）
Ø渗透攻击阶段：针对确定好的攻击途径和攻击方法实施渗透攻击，获取：（略）
Ø后渗透攻击阶段：（略）作为目标，识别出关键的基础设施，找出用户组织最具价值和尝试进行安全保护的信息和资产，找出能够对用户组织造成重要业务影响的攻击途径。
Ø报告阶段：将渗透测试结果编制成文档提交给用户，提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
（2）渗透测试工作要求
（略）为前提条件，（略）的工作行为，遵守职业道德，遵守行业规则，严格遵守保密制度，保密要求，不得擅自修改、拷贝用户数据，不得泄露、传播用户的敏感信息，如有违反将负法律责任。
3.服务成果
本次安全服务应提交以下成果：
《（略）等级测评报告》，包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
《（略）渗透测试报告》，包含但不限于如下方面的内容：渗透测试的方法、目标、范围；测试的人员、时间、策略。测试的工具、风险规避措施；测试的过程、漏洞利用截图，测试的结果等。
4.项目总体要求
1）合同签订后60个日历日内完成相关测评工作。（略）实际情况合理安排测评进度，（略）可能因为各类突发状况导致测评周期的不确定性，（略）进行进度的合理安排。项目工作人员需遵守等保检测规定，采用符合标准的检测工具和检测方法实施检测，（略）的破坏，则应承担相应责任。
2）测评单位：（略）
3）测评单位：（略）
4）供应商必须单独配备安全测评工具，包含但不限于以下种类工具：（略）、web（略）。供应商必须在技术方案内明确专项检查所需要的所有技术检测工具，至少包含以下内容：名称：（略）
5）在测评过程中保证客观性和公正性原则，测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案开展。
6）（略）络的正常运行，不能对业务的正常运行产生明显的影响（（略）性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。（略）（略）造成的影响。对于项目实施过程中出现的异常情况如何处理，（略）系统正常运行以及测评的可进行性。
7）协助整改，针对差距测评结果，给公司提出合理、可行的整改方案和建议，（略）定级报告。
8）提供详尽、明确的技术培训，同时提供本次乃至后续的培训方案，（略）络安全相关课程内容以及详细培训体系流程。
9）本次等级保护测评项目不得转包或者分包，所有驻场测评师必须持证上岗，未经采购方同意，项目组成员不得更改。
5.项目实施方案要求
供应商需根据本项目服务内容编制详细的项目实施方案，包括测评内容、测评指标以及测评方法的详细方案；测评工作流程；测评工作的详细实施方案；测评过程中的渗透测试服务方案；测评工具的详细介绍；培训方案；人员配置方案以及供应商认为需要提供的其它方案。
6.项目服务期限
（略）使用。
7.项目验收标准及要求
项目完成后，供应商须按照项目采购服务内容及要求，按国家、行业或企业等标准，提供相应的服务内容及交付成果，供应商完成全部项目内容并经采购人：（略）
8.付款条件
项目合同签订，成交供应商人员服务到位，（略）等级保护测评报告和渗透测试报告，采购人：（略）
四、评标方法和定标原则
(1)参加询价采购活动的供应商，应当按照询价文件的规定一次报出不得更改的价格。
(2)询价小组应当从质量和服务均能满足采购文件实质性响应要求的供应商中，根据质量和服务均能满足采购文件实质性响应要求且报价最低的原则确定成交供应商。
评分因素
评审标准
分值
价格（30分）
本次采购，以进入详细评审的各供应商评审价的最低值为A值，A值为价格分的满分，即30分。其他供应商的价格分统一按照以下公式计算：供应商评审价得分=（A／该供应商评审价）×30。
30
总体方案（40分）
测评技术方案（12分）
评委根据供应商提供的测评技术方案（要求根据等级保护技术标准、涵盖安全技术测评、安全管理测评内容等）进行综合评分。方案合理细致、优于项目需求的得12分；方案符合项目需求的得8分；方案过于简单得4分；方案较差、没有针对性的得1分；完全不符合招标要求或不提供方案的不得分。
12
项目组织方案（10分）
评委根据供应商提供的项目组织方案（项目组织能有效保证测评工作质量、保密等组织措施）进行综合评分。方案合理细致、优于项目需求的得10分；方案符合项目需求的得7分；方案过于简单得4分；方案较差、没有针对性的得1分；完全不符合招标要求或不提供方案的不得分。
10
进度安排方案（10分）
评委根据供应商提供的进度安排方案（每一部分的进度安排方案都需写明，至少包括进度表等）进行综合评分。方案合理细致、优于项目需求的得10分；方案符合项目需求的得7分；方案过于简单得4分；方案较差、没有针对性的得1分；完全不符合招标要求或不提供方案的不得分。
10
风险分析及控制措施方案（8分）
评委根据供应商提供的风险分析及控制措施方案（如在评测过程中，（略）产生重大影响，为了规避风险，需要提供风险说明并提出规避措施等）进行综合评分。方案合理细致、优于项目需求的得9分；方案符合项目需求的得7分；方案过于简单得4分；方案较差、没有针对性的得1分；完全不符合招标要求或不提供方案的不得分。
8
服务保障水平与履约能力（30分）
（略）专业资质（24分）
1、（略）颁发的SA8000《社会责任管理体系认证证书》且认证范围含有等级保护测评、风险评估的的得4分，不提供不得分。（提供加盖公章的证书复印件（电子版））2、（略）颁发GB/T35770《合规管理体系认证证书》且认证范围含有等级保护测评得4分，不提供不得分。（提供加盖公章的证书复印件（电子版））3、供应商具有《信息技术服务标准》（ITSS）符合性证书的得4分，不提供不得分。（提供加盖公章的证书复印件（电子版））4、（略）颁发的（咨询申报：（略））ISO14001《环境管理体系认证证书》且认证范围含有等级保护测评的得4分，不提供不得分。（提供加盖公章的证书复印件（电子版））5、（略）颁发的（咨询申报：（略））ISO45001《职业健康安全管理体系认证证书》且认证范围含有等级保护测评的得4分，不提供不得分。（提供加盖公章的证书复印件（电子版））6、供应商具有（咨询申报：（略））ISO27001《信息安全管理体系认证证书》且认证范围含有等级保护测评的得4分。（提供加盖公章的证明材料复印件（电子版））
24
业绩（6分）
供应商具有自2020年1月1日以来的类似项目，提供采购项目合同，每提供1份合同得1分，本项最高得6分。（需提供合同复印件并加盖公章（电子版））
6
合计
100
五、响应文件提交
截止时间：2024年08月16日17点30分（北京时间）
提交邮箱：（略）
U盘邮寄地点：（略）
1.响应文件的组成
(1)响应单位：（略）
(2)响应单位：（略）
(3)授权委托书（格式见附件）扫描件；
(4)在有效期内的企业营业执照副本扫描件；
(5)《响应报价一览表》、《询价采购表》（格式见附件）扫描件；
(6)《参加本项目成员一览表》（格式见附件）扫描件；
(7)《承诺书》（格式见附件）。
2.文件的签署和密封要求
（1）询价响应文件均应采用打印或使用不能擦去的黑色或蓝色墨水书写，由响应单位：（略）
（2）响应文件仅需提交电子件壹份（U盘拷贝后邮寄或电子邮件形式投递），邮件标题上应注明“XX公司2023年中通阳光保险商城三级等保测评服务项目询价响应文件”；
（3）采购单位：（略）
六、开启
时间：2024年08月19日9点30分（北京时间）
地点：（略）
七、公告期限
自本公告发布之日起3个工作日。
八、合同模板（律师审核后的合同）
九、其他补充事宜
无
十、凡对本次采购提出询问，请按以下方式：（略）
1.采购人：（略）
名称：（略）
地址：（略）
2.项目联系方式：（略）
项目联系人：（略）
邮件地址：（略）
电话：（略）
点击查看原文