还剩9页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息安全等级保护测评服务项目需求书
一、项目内容RR银行股分有限公司成立于RRRR年,RRRR年末资产规模达RRRR亿元在北京、天津、沈阳、大连、哈尔滨等地区设立分行目前,与70多个国家及地区500多个金融机构开展业务,代理行网络遍及世界各地作为重点金融机构,其信息系统承载了非常重要的患者数据为保证本行信息系统安全、降低风险,提高管理能力,进一步加强内部网络的整体安全防护能力,全面提升我行信息系统整体安全防范能力特对本行核心网络系统进行20XX年度安全等级保护测评项目本项目为预算为RR万服务范围
二、服务年限投标人中标,签订合同之日起一年
三、要求条款3服务方案不够完整,且服务方案的针对性及可行性普通4分•投标人服务方案中对本服务项目任务、需求的理解程度10分1全面分析了用户现状、性能要求、实施要求等内容,对于本项目任务目标及需求理解深刻10分;2对于用户系统现状、性能要求、实施要求等内容阐述不够充分,对于本项目任务目标及需求有基本了解7分;3对用户信息化现状、业务需求了解不够充分4分
3、信息安全等级保护响应6分投标人应响应招标人信息系统等级评测需求,完成其重要信息系统等级安全测评,出具符合国家规定的等级测评报告,负责提交有关部门并保证招标人信息系统可以顺利通过等保评测1具有完善的等级测评计划,包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案充分体现了完整性、针对性、专业性的6分2具有较完善的等级测评计划,基本包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案基本体现了完整性、针对性、专业性的3分3无完善的等级测评计划,缺少等级测评的重要环节、测评范围、质量控制、风险控制、完成标准等,实施测评方案缺乏完整性、针对性、专业性的0分
4、测评内容应对6分招标人应结合招标人信息系统现状进行信息安全等级保护测评,测评范围包括但不限于如下内容安全技术螂平物理安全、网络安全、主机系统安全、应用安全^数据安全等五个方面的安全测评安全管理测评安全管理机构、安全徵里制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评
(1)测评内容详尽,具有测评方案,符合招标人要求,每项测评内容均具有测评指导书,每项环节均留有相关测评材料(6分)
(2)测评内容不够详尽,无具体方案指导,不符合等保及招标人要求测评指导书不够充实(3分)
(3)对招标人需测评的内容把握不足,现在工作中不具备测评指导书无法保证每项环节均具有相关测评材料(0分)
5、信息安全等级保护整改方案应对(6分)投标人根据招标人暂时或者计划的要求,响应等保整改方案中的所有内容,出具符合国家标准的等级测评报告,并对报告中设计的安全问题协助指导招标人进行改正
(1)投标人出具符合国家标准的正式版测评报告,并报送相关部门;
(2)投标人针对报告中提出的安全整改项协助投标人完成整改工作的;投标人满足全部要求得6分,投标人满足一项要求得3分,无满足得0分
6、项目质量控制(6分)投标人应编制相关方案证明投标人具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效
(1)具有完善的质量控制方案(6分)
(2)质量控制方案内容普通(3分)
(3)质量控制方案内容较差(1分)
7、应急处置方案(6分)投标人应针对测评过程中各项环节可能浮现的突发事件建立针对本项目的应急处置方案,以应对突发事件浮现后可迅速解决,防止给招标人信息系统带来影响1应急处置方案比较细致、全面,各种故障处理准备充分6分2应急处置方案比较细致,各种故障处理比较充分3分3应急处置方案不够资质,各种故障处理准备不够充分1分实际情况列出总体方案价格和对
四、技术要求的安全测评投标人完成对招标人信息系统等级保护系统测评工作后,应出具符合国家要求的等级保护测评报告,并完成报告通过天津市网监备案工作,以保证信息系统可以顺利通过信息系统等级保护测评等保整改根据招标人暂时或者计划的要求,响应等保方案整改方案中的所有内容应对投标人应具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效投标人应具备在项目实施过程中的风险应急控制能力,保证招标人系统正常稳定运处置行,对于系统突发安全事件有应急处置方方案
五、评分因素及评标标准第一部份商务因素(35分)
1、本地化服务(3分)
(1)投标人是在天津工商行政管理部门注册企业(3分)
(2)投标人在天津设有分公司、全资子公司或者与本项目服务相关的投资公司(投资比例需超过50%提供户卡或者验资报告),并在天津依法纳税满一年的(提供纳税发票复印件)(2分)
(3)投标人在本市具有常驻机构,提供房屋租赁合同或者产权证明(1分)
2、投标人具备GB/T19001系列或者IS09001系列质量管理体系认证提供证书复印件(1分)具备1分,不具备0分
3、投标人需建立安全服务小组,投标人安全服务小组内实施人员应具备信息安全等级保护师认证(项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明)(3分)
(1)投标人安全服务小组内实施人员均为信息安全等级保护测评师,项目中安排高级、中级、初级测评师完成测评工作,分工合理(3分)
(2)投标人安全服务小组内实施人员部份具备信息安全等级保护测评师认证(1分)
(3)投标人安全服务小组内实施人员无信息安全等级保护测评师认证(0分)
4、安全服务小组内实施人员应包含CiscoCQE、华为、华三等认证的安全服务工程师项目实施人员应为投标人的本单位的正式员工,要求提供相关认证原件、劳动合同和社保证明3分1现场实施人员提供上述所有认证资质证明文件3分2现场实施人员提供上述1-2项证书资质证明文件1分3未提供或者不符合要求的0分
5、投标人安全服务小组内实施人员应包含IS
027001.ITIL等认证的安全服务工程师项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明2分1现场实施人员提供上述所有认证资质证明文件3分2现场实施人员提供上述任意一项项证书资质证明文件1分3未提供或者不符合要求的0分
6、投标人实施能力,提供自20RR年至今金融行业三级或者三级以上信息系统测评成果案例一项3分1测评系统为四级系统3分2测评系统为三级系统1分3测评系统为二级及以下系统0分
7、价格20分1投标报价超过采购预算的,投标无效,未超过采购预算的投标报价按以下公式进行计算2投标报价得分二评标基准价/投标报价x20注满足招标文件要求且投标报价最低的投标报价为评标基准价第二部份技术因素65分
1、信息安全等级保护差距分析8分投标人应根据招标人信息系统现状情况,结合该信息系统级别要求,建立相关方案,分析招标人信息系统与等级保护要求的差距情况,并出具《信息安全等级保护差距分析报告》1投标人相关项目经验丰富,熟悉差距分析内容,建立详细的差距分析方案,并在差距分析工作完成后出具符合要求的《信息安全等级保护差距分析报告》8分2投标人相关项目经验较多,比较熟悉差距分析内容,所建立差距分析方案内容比较详尽,可在差距分析工作后出具相关文件4分3投标人相关项目经验很少,不熟悉差距分析内容,所建立差距分析方案内容不充分,无法在差距分析工作后出具相关文件0分
2、信息安全等级保护方案27分•投标人服务方案规范化及标准化程度7分1投标人相关项目经验非常丰富,非常熟悉完成项目所有工作内容指共的服务方案规范性及标准化磔很高7分;2投标人相关项目经验较多,比较熟悉完成项目所有工作内容,提供的服务方案规范性及标准化程度比较好5分;3投标人相关项目经验很少,基本能够完成项目所有工作内容,提供的服务方案规范性及标准化程度普通3分;•投标人服务方案的针对性、可行性、完整性10分1服务方案完整,充分考虑用户需求,服务方案针对性及可行性很高10分2服务方案比较完整,服务方案具有一定的针对性及可行性7分系统名称级别核心网络系统第二级项目需求条款是否为实质性条款原因说明(实质性条款需列明原因)资格要求资格要求投标人必须是在天津,商行政管埋部门注册的企业,投标时应提交加盖投标人公章的营业执照副本复印件(复印件加盖公章,现场携带原件备查)是企业资格常规及本地化服务要求投标人必须具有公安部颁发的信息安全等级保护测评机构推荐证书(复印件加盖公章,现场携带原件备查)是安全资质认证要求有资格和能力对我单位进行等保评测响应和等保整改方案应对工作商务要求企业资信投标人必须具有依法缴纳税收和社会保障款1页的良好记录;(提供近一年的完税证明和社保缴存记录复印件,加盖公章)否投标人应提供税务登记证复印件,组织机构代码证复印件(复印件加盖公章,原件携带备查)否企业业绩投标人应证明其履行等级保护测评服务的能力,提供20RR年至今金融行业三级或者三级以上信息系统测评成果案例一项提供测评案否应各项工作的详细报价售后服务项目验收后,投标人提供1年免费技术支持服务,对招标人安全加固提供咨询建议否交货时间交货期签订合同之日起12个月内否交货地点交货地点招标人指定地点否付款月式合同签订5个工作日内,招标人向中标单位支付全部合同额否罚则未按约定的时间完成项目,招标人有权按照每延误一日扣除合同金额万分之五的处罚金,并向供应商索赔因此引起的全部损失否序号采购项名称需求条款是否为实质性条款原因说明(实质性条款需列明原因)1等级保护差距分析投标人应对招标人提供信息系统差距分析服务,通过对信息系统安全差距分析,从信息系统现状出发,明确招标人重要信息系统中存在的风险和相关脆弱点,并出具《信息系统差距分析报告》否2等保评测响应在项目实施前,应根据差距分析的结果及招标人实际情况,编制信息安全等级保护测评方案否3投标人应对招标人重要信息系统提供正式测评测评范围包括但不限于如下内容安全技术测评物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评安全管理测评安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面否。