蘇州健雄職業(yè)技術學院

PAGEPAGE4蘇州健雄職業(yè)技術學院OA協(xié)同辦公平臺等保測評項目競爭性磋商文件項目名稱：OA協(xié)同辦公平臺等保測評項目采購方:蘇州健雄職業(yè)技術學院二○二三年七月

蘇州健雄職業(yè)技術學院OA協(xié)同辦公平臺等保測評項目競爭性磋商文件一、采購需求蘇州健雄職業(yè)技術學院OA協(xié)同辦公平臺等保測評項目以競爭性磋商方式組織采購，歡迎符合條件的供應商參加。一、磋商編號：202307004二、采購內容：OA協(xié)同辦公平臺等保測評項目采購方式：競爭性磋商采購采購預算：人民幣伍萬零伍佰元整（￥50500.00）三、采購內容及需求：（一）項目概況：網(wǎng)絡信息化的程度越來越高，網(wǎng)絡安全問題也應運而生。為更好的貫徹落實《中華人民共和國網(wǎng)絡安全法》和網(wǎng)絡安全等級保護制度，有效應對當前網(wǎng)絡安全面臨的嚴峻威脅與挑戰(zhàn)，全力做好重要信息系統(tǒng)網(wǎng)絡安全保衛(wèi)工作，亟需對重要信息系統(tǒng)展開等保評測工作，通過該測評工作及時發(fā)現(xiàn)系統(tǒng)安全隱患并迅速進行整改，從而全面提升重要信息系統(tǒng)的網(wǎng)絡安全防護水平，保障系統(tǒng)的安全、高效、穩(wěn)定運行。（二）、項目要求序號系統(tǒng)名稱等保測評級別1OA協(xié)同辦公平臺二級（三）項目依據(jù)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）；《信息安全等級保護管理辦法》（公通字[2007]43號）；《信息安全技術信息安全風險評估規(guī)范》（GB/T20984—2007）；《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）；《信息安全技術網(wǎng)絡安全等級保護定級指南》（GBT22240-2020）；《信息安全技術網(wǎng)絡安全等級保護基本要求》（GBT22239-2019）《信息安全技術網(wǎng)絡安全等級保護測評要求》（GB/T28448-2019）；《信息安全技術網(wǎng)絡安全等級保護測評過程指南》（GB/T28449-2018）；《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（GB/T25070-2019）；《信息安全技術網(wǎng)絡安全等級保護安全管理中心技術要求》（GB/T36958-2018）；《信息安全技術網(wǎng)絡安全等級保護測試評估技術指南》（GB/T36627-2018）；《信息安全技術信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）《信息安全技術網(wǎng)絡基礎安全技術要求》（GB/T20270-2006）；《信息安全技術操作系統(tǒng)安全技術要求》（GB/T20272-2006）；《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》（GB/T20273-2006）；《信息安全技術終端計算機系統(tǒng)安全等級技術要求》（GA/T671-2006）；《信息安全技術服務器安全技術要求》（GB/T21028-2007）；《信息安全技術信息安全管理體系要求》（GB/T22080-2008）；《關于印發(fā)《信息系統(tǒng)安全等級測評報告模版（試行）》的通知》（公信安[2009]1487號）；《關于印送<關于開展信息安全等級保護安全建設整改工作的指導意見>的函》(公信安[2009]1429號)；《江蘇省開展重要信息系統(tǒng)安全等級保護定級工作的實施意見》（蘇公通［2007］187號）。項目工作內容1、等級保護測評時間要求本次測評項目簽訂合同后90個工作日內完成，具體項目流程分為前期準備、現(xiàn)場實施、報告分析與編制、檢查驗收、總結驗收五個階段。等保測評內容根據(jù)國家對信息安全等級保護工作的相關法律和技術標準要求，結合系統(tǒng)保護等級開展實施與之相應的測評工作，等保測評主要包括以下內容：一、安全通用要求指標（1）安全物理環(huán)境測評內容主要包括：物理位置選擇，物理訪問控制，防盜竊和防破壞，防雷擊，防火，防水和防潮，防靜電，溫濕度控制，電力供應，電磁防護。（2）安全通信網(wǎng)絡測評內容主要包括：網(wǎng)絡架構，通信傳輸，可信驗證。（3）安全區(qū)域邊界測評內容主要包括：邊界防護，訪問控制，入侵防范，惡意代碼和垃圾郵件防范，安全審計，可信驗證。（4）安全計算環(huán)境測評內容主要包括：身份鑒別，訪問控制，安全審計，入侵防范，惡意代碼防范，可信驗證，數(shù)據(jù)完整性，數(shù)據(jù)保密性，數(shù)據(jù)備份恢復，剩余信息保護，個人信息保護。（5）安全管理中心測評內容主要包括：系統(tǒng)管理，審計管理，安全管理，集中管控。（6）安全管理制度測評內容主要包括：安全策略，管理制度，制定和發(fā)布，評審和修訂。（7）安全管理機構測評內容主要包括：崗位設置，人員配備，授權和審批，溝通與合作，審核和檢查。（8）安全管理人員測評內容主要包括：人員錄用，人員離崗，安全意識教育和培訓，外部人員訪問管理。（9）安全建設管理測評內容主要包括：定級和備案，安全方案設計，產品采購和使用，自行軟件開發(fā)，外包軟件開發(fā)，工程實施，測試驗收，系統(tǒng)交付，等級測評，服務供應商選擇。（10）安全運維管理等方面。測評內容主要包括：環(huán)境管理，資產管理，介質管理，設備維護管理，漏洞和風險管理，網(wǎng)絡和系統(tǒng)安全管理，惡意代碼防范管理，配置管理，密碼管理，變更管理，備份與恢復管理，安全事件處置，應急預案管理，外包運維管理。3、等保測評服務對信息系統(tǒng)進行等級保護差距測評，測評內容包括安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境等?？陀^的分析信息系統(tǒng)保護現(xiàn)狀和信息安全等級保護基本要求之間的差距。完成信息安全等級保護的測評，提交信息系統(tǒng)的測評報告至本地公安等保辦，完成等級保護測評工作。4、測評實施原則客觀性和公正性原則：測評人員應當沒有偏見，在最小主觀判斷情形下，按照測評雙方相互認可的測評方案開展。保密原則：在測評過程中，需嚴格遵循保密原則，雙方簽訂保密協(xié)議，對服務過程中涉及到的任何用戶信息未經(jīng)允許不向其他任何第三方泄漏，以及不得利用這些信息損害采購方利益。最小影響原則：測評工作應該盡可能小地影響系統(tǒng)和網(wǎng)絡的正常運行，不能對業(yè)務的正常運行產生明顯的影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡阻塞、服務中斷等），如無法避免，則應做出說明。規(guī)范性原則：信息安全等級保護測評服務的實施必須由專業(yè)的測評服務人員依照規(guī)范的操作流程進行，對操作過程和結果要有相應的記錄，并提供完整的服務報告。質量保障原則：在整個測評過程中，須特別重視項目質量管理。項目的實施將嚴格按照項目實施方案和流程進行，并由項目協(xié)調小組從中監(jiān)督，控制項目的進度和質量。系統(tǒng)安全原則：項目工作人員需遵守等保檢測規(guī)定，采用符合標準的檢測工具和檢測方法實施檢測，如因違規(guī)操作造成對檢測系統(tǒng)的破壞，則應承擔相應責任。測評師規(guī)范原則：檢測實施方工作人員必須通過公安部的等級保護等級測評師認證，持證上崗，經(jīng)項目委托方確認資格后方可實施檢測。（四）其它說明報價要求：本項目采用總價包干的方式。包括收集資料費、調查費、會議費、評審費、人員費、培訓費、交通費、辦公設備費、食宿費、風險費、保險費、稅金、利潤等政策性文件規(guī)定及合同包含的所有風險、責任等各項應有費用。合同價格不因服務期延長、物價變動及規(guī)范性、指導性、政策性文件等發(fā)生變化等因素而調整。供應商必須說明其是否響應采購文件中提出的全部服務內容與要求，如果以其中某些條款不響應時，應在文件中逐條列出，未列出的視同響應。1、服務成果本次安全服務應提交以下成果：（1）《網(wǎng)絡安全等級測評報告》，包括單元測評分析結果、整改測評分析結果、測評結論和安全整改建議等。（2）《滲透測試報告》，包含但不限于如下方面的內容：滲透測試的方法、目標、范圍。測試的人員、時間、策略。測試的工具、風險規(guī)避措施。測試的過程、漏洞利用截圖，測試的結果等。2、服務人員要求（1）項目實施過程中實行專人專職原則，保證各安全層面的測評全面有效，能夠發(fā)現(xiàn)實際存在安全風險，現(xiàn)場實施人員均需持有等級保護測評師證書。（2）項目組人員必須熟練掌握網(wǎng)絡安全相關標準與規(guī)范，具備豐富的網(wǎng)絡安全測評工作經(jīng)驗，具有成熟的網(wǎng)絡安全技術和項目管理能力，能夠應對可能的突發(fā)性安全事件應急工作。工具配備要求（1）投標人必須單獨配備安全測評工具，包含但不限于以下種類工具：網(wǎng)絡漏洞掃描系統(tǒng)、Web漏洞掃描系統(tǒng)。（2）投標人必須在技術方案內明確專項檢查所需要的所有技術檢測工具，至少包含以下內容：名稱、型號、主要功能、數(shù)量等。四、磋商響應文件要求：（一）磋商響應文件組成：磋商響應函（見附件格式）；磋商響應報價表（見附件格式）；關于資格文件的聲明函（見附件格式）；營業(yè)執(zhí)照或登記證明副本（三證合一）；法定代表人（或負責人）授權委托書（如有授權）；供應商法定代表人（或負責人）身份證復印件；供應商代理人身份證復印件（如有授權）；服務項目組織實施方案；響應單位針對本項目所投入的人員情況介紹及人員資質證書復印件；類似項目業(yè)績情況；采購文件要求的其他文件；上述資料均需加蓋磋商響應單位公章，需要法定代表人或委托代理人簽字蓋章的地方須按要求簽署。磋商響應單位必須按上述要求制作提供磋商響應文件，磋商響應文件的完整與否將直接影響其評標得分和最終評標排名。（二）文件要求：1、數(shù)量要求為一本正本，兩本副本，裝訂成冊；裝在一個文件袋里密封，封口處蓋公章，并在密封袋正面有醒目的采購文件編號、項目名稱和供應商全稱；2、響應文件應由供應商法定代表人或其委托代理人簽字或蓋公章。（三）磋商程序1、采購人按本須知規(guī)定的時間、地點主持磋商采購活動。2、供應商法定代表人或委托代理人應攜帶本人身份證明簽名報到。3、在磋商文件遞交截止時間前，供應商憑身份證明原件遞交響應文件，未能出示身份證明原件的供應商，采購單位有權拒絕接受其響應文件。4、由磋商小組審查供應商提交的響應文件。5、磋商小組在對響應文件的有效性、完整性和響應程度進行審查時，可以要求供應商對響應文件中含義不明確、同類問題表述不一致或者有明顯文字和計算錯誤的內容等作出必要的澄清、說明或者更正。供應商的澄清、說明或者更正不得超出響應文件的范圍或者改變響應文件的實質性內容。6、磋商小組要求供應商澄清、說明或者更正響應文件應當以書面形式作出。供應商的澄清、說明或者更正應當由法定代表人或其委托代理人簽字或者加蓋公章。7、磋商小組所有成員集中與單一供應商分別進行磋商，并給予所有參加磋商的供應商平等的磋商機會。8、在磋商過程中，磋商小組可以根據(jù)磋商文件和磋商情況實質性變動采購需求中的技術、服務要求以及合同草案條款。對磋商文件作出的實質性變動是磋商文件的有效組成部分，磋商小組將及時以書面形式同時通知所有參加磋商的供應商。9、供應商應當按照磋商文件的變動情況和磋商小組的要求重新提交響應文件，并由其法定代表人或委托代理人簽字或者加蓋公章。10、磋商結束后，磋商小組將要求所有實質性響應的供應商在最后一個供應商磋商結束后十五分鐘內提交最后報價，提交最后報價的供應商不得少于2家。11、經(jīng)磋商確定最終采購需求和提交最后報價的供應商后，由磋商小組采用綜合評分法對提交最后報價的供應商的響應文件和最后報價進行綜合評分。12、磋商小組根據(jù)磋商成交原則確定成交供應商，并將結果通知所有參加磋商的供應商。13、如磋商過程中出現(xiàn)本采購文件未盡事宜，由磋商小組根據(jù)有關法律、法規(guī)討論決定。（四）綜合說明1、供應商必須說明其是否響應采購文件中提出的全部服務內容與要求，如果以其中某些條款不響應時，應在文件中逐條列出，未列出的視同響應。2、磋商說明：（1）不符合供應商資格要求的響應文件將被拒絕；（2）參加磋商的供應商必須提供磋商代表的身份證明原件和法人授權委托書原件（法定代表人為磋商代表的可不提供）；（3）響應文件密封和簽署不符合要求的，響應文件將被拒絕；（4）最終報價超過采購預算的，不能成交；（5）不實質性響應磋商文件的不能成交；（6）實質性響應磋商文件不滿二家或進入二次報價的不滿二家或二次報價在采購預算內不滿二家的，磋商采購失敗。（7）最終合同單價按最終總報價同比例下（上）浮。3、知識產權：供方應保證需方免除且供方承擔由于需方在其本國使用該項目或項目任何一部分時而引起第三方提出的侵犯其專利權、商標權或設計權的起訴、行動、行政程序索賠、請求等以及需方為此而產生的損失和損害、費用和支出，包括律師費用。4、凡涉及磋商采購文件的補充說明和修改，均以采購單位發(fā)布的通知為準。

評審方法及評分標準（一）價格基準分：10分價格分統(tǒng)一采用低價優(yōu)先法計算，即滿足招標文件要求且最后報價最低（未超采購預算）的供應商的價格為招標基準價，其價格分為滿分。其他供應商的價格分統(tǒng)一按照下列公式計算：招標報價得分=（招標基準價/最后投標報價）×價格權值×100。（二）技術方案及綜合能力（90分）序號評分內容分值評分標準一、商務部分（31分）1.1綜合實力161.具備有效期內的質量管理體系、信息安全管理體系、信息技術服務管理體系認證證書，每提供一個得2分，最高得6分。2.具有中國網(wǎng)絡安全審查技術與認證中心的應急處理服務資質證書的得2分3.具有中國網(wǎng)絡安全審查技術與認證中心的網(wǎng)絡安全審計服務資質證書的得2分4.具有工業(yè)信息安全應急處置機構證書得3分。5.提供近一年內（以合同簽訂日期為準）以來承擔的項目業(yè)績，每具備1項業(yè)績得1分，最高得3分。（以上材料須提供證書復印件，并加蓋公章，未提供不得分）1.2人員配備15項目負責人：項目經(jīng)理具備信息安全等級測評師（高級）證書、CISP（注冊信息安全專業(yè)人員）證書、CISA（信息系統(tǒng)審計師）證書，具備一個得2分，最高6分。提供相應證書復印件。（6分）項目組成員：擬投入人員（除項目經(jīng)理）中具備信息安全等級測評師（中級）證書、CISP-PTE證書、RHCE證書、信息安全保障人員認證證書的。具備一個得1分，最高4分。提供2020年至今（以收錄時間為準）的CNVD國家信息安全漏洞共享平臺的原創(chuàng)漏洞證明證書進行打分，每提供一個得1分，最高5分，提供證明材料，未提供不得分。（以上材料須提供證書復印件，并加蓋公章，未提供不得分）二、技術部分（59分）2.1測評方案451、技術方案內明確列出等級保護測評的具體內容，至少包含以下內容：測評項、測評方法、測評內容。提供對等保測評流程、測評步驟、測評關鍵點、雙方配合事項有詳細的說明比較。（15分）（1）測評具體內容完整、條理清楚的得3分；內容完整度一般、條例較為清楚的得2分；內容不完整、條例不清楚的得1分；未提供不得分。（2）對等保測評流程針對性強、可操作性好的得3分；針對性一般、可操作性一般的得2分；針對性差、可操作性差的得1分；未提供不得分。（3）對等測評步驟針對性強、可操作性好的得3分；針對性一般、可操作性一般的得2分；針對性差、可操作性差的得1分；未提供不得分。（4）對等測評關鍵點針對性強、可操作性好的得3分；針對性一般、可操作性一般的得2分；針對性差、可操作性差的得1分；未提供不得分。（5）對等雙方配合事項針對性強、可操作性好的得3分；針對性一般、可操作性一般的得2分；針對性差、可操作性差的得1分；未提供不得分。2、技術方案中滲透測試方案至少包含以下內容：滲透測試流程、各類測試對象可能存在的漏洞的測試方法、滲透測試過程中的風險規(guī)避和安全保密比較。（15分）（1）測試過程方法及技術手段科學有效、針對性強，對各類漏洞的測試和利用方法科學有效、描述清晰，對于測試過程中的風險規(guī)避和安全保密手段合理的得15分；（2）測試過程方法及技術手段科學有效、針對性較好，對各類漏洞的測試和利用方法描述一般，對于測試過程中的風險規(guī)避和安全保密手段合理的得10分。（3）測試過程方法及技術手段科學有效、針對性一般，對各類漏洞的測試和利用方法描述一般，對于測試過程中的風險規(guī)避和安全保密手段一般5分。（4）測試過程方法及技術手段科學有效、針對性較差，對各類漏洞的測試和利用方法描述較差，對于測試過程中的風險規(guī)避和安全保密防防護較差得2分；未提供不得分。技術方案中列出現(xiàn)場測評過程工作模版，至少包含以下內容：測評現(xiàn)場調研表模版、測評指導書模版、會議記錄模板、質量監(jiān)督和控制模板、漏洞掃描報告模板、滲透測試模板、測評報告模版。（15分）（1）模板覆蓋全面、內容詳細、合理清晰、對現(xiàn)場測評項目理解透徹的得15分；（2）模板較為清晰、對現(xiàn)場測評項目理解較好的得10分；（3）模板全面性一般、對現(xiàn)場測評項目理解一般的得5分；（4）模板全面性較差、對現(xiàn)場測評項目理解不足的得2分；未提供不得分。2.2組織實施10包括時間計劃、工具配備及人員的分工安排等。時間計劃契合項目進度、工具配備齊全、人員分工安排合理的得10分；時間計劃較契合項目進度、工具配備較齊全、人員分工安排較合理的得7分；時間計劃一般、工具配備一般、人員分工安排一般的得3分；時間計劃較差、工具配備較差、人員分工安排較差的得1分；不提供不得分。（10分）2.3優(yōu)惠措施4響應單位提供一個信息化相關服務內容得2分，最高得4分（4分）注：1、最終報價超過采購預算的將不進入綜合評審程序，也不得標。2、付款步驟、服務期限如有負偏離的不得中標。3、針對評分標準中評分的每一條，響應單位均應提供相關資料并作出相應說明供評委評判，不提供相關資料的視為不具備該項得分的條件，資料須編好目錄及頁碼并利于評委評審、查閱。附件：響應文件格式響應文件采購項目名稱：報價人：20年月日

（一）響應函（格式）：響應函致蘇州健雄職業(yè)技術學院：我方收到貴方網(wǎng)絡安全服務項目采購文件，經(jīng)仔細閱讀和研究，我方?jīng)Q定參加此項目的報價。我方愿意按照采購文件的一切要求，提供本項目的報價，總報價見《報價一覽表》。我方愿意提供蘇州健雄職業(yè)技術學院在采購文件中要求的文件、資料。我方同意按采購文件中的規(guī)定，本響應文件報價的有效期限為報價截止之日起90天。如果我方的響應文件被接受，我方將履行采購文件中規(guī)定的每一項要求，按期、按質、按量，完成交貨任務。我方認為貴中心有權決定成交者。我方愿意遵守《中華人民共和國政府采購法》，并按《中華人民共和國合同法》和合同條款履行自己的全部責任。我方認可并保證遵守采購文件的所有規(guī)定，放棄對采購文件提出質疑的權利。如果我方被確定為成交供應商，我方愿意在合同簽訂前向采購人交納不超過政府采購合同金額10%的履約保證金。且我方如無不可抗力，又未履行采購文件、響應文件和合同條款的，一經(jīng)查實，我方愿意賠償由此而造成的一切損失，并同意接受按采購文件的相關要求對我方進行的處理。我方?jīng)Q不提供虛假材料謀取成交、決不采取不正當手段詆毀、排擠其他供應商、決不與采購人、其它供應商或者采購中心惡意串通、決不向采購人、采購中心工作人員和評委進行商業(yè)賄賂、決不在采購過程中單獨與采購人進行協(xié)商談判、決不拒絕有關部門監(jiān)督檢查或提供虛假情況，如有違反，無條件接受貴方及相關管理部門的處罰。報價人（蓋章）：法定代表人或法定代表人授權代表簽字或蓋章：電話：傳真：通訊地址：郵編：（二）（報價人）關于資格的聲明函（格式）：關于資格的聲明函蘇州健雄職業(yè)技術學院：我公司（單位）參加本次項目（XXXX）政府采購活動前三年內，在經(jīng)營活動中沒有重大違法記錄，我公司（單位）愿針對本次項目（XXXX）進行報價，響應文件中所有關于報價資格的文件、證明、陳述均是真實的、準確的。若有違背，我公司（單位）愿意承擔由此而產生的一切后果。報價人（蓋章）：法定代表人或法定代表人授權代表（簽字或蓋章）：

（三）（報價人）法定代表人授權委托書（格式）：法定代表人授權委托書日期：蘇州健雄職業(yè)技術學院：系中華人民共和國合法公司（單位），特授權代表我公司（單位）全權辦理針對本項目（XXXX）的報價，參與磋商、簽約等具體工作，并簽署全部有關的文件、協(xié)議及合同。我公司（單位）對被授權代表的簽名負全部責任。在撤銷授權的書面通知送達你處以前，本授權書一直有效，被授權代表簽署的所有文件（在授權書有效期內簽署的）不因授權的撤銷而失效。被授權代表情況：姓名：性別：電話：單位名稱（蓋章）：法定代表人（簽字或蓋章）：

（四）（報價人）中小企業(yè)聲明函（格式）：中小企業(yè)聲明函本公司鄭重聲明，根據(jù)《政府采購促進中小企業(yè)發(fā)展暫行辦法》（財庫[2011]181號）的規(guī)定，本公司為______（請?zhí)顚懀褐行汀⑿⌒?、微型）企業(yè)。即，本公司同時滿足以下條件：1、根據(jù)《工業(yè)和信息化部、國家統(tǒng)計局、國家發(fā)展和改革委員會、財政部關于印發(fā)中小企業(yè)劃型標準規(guī)定的通知》（工信部聯(lián)企業(yè)[2011]300號）規(guī)定的劃分標準，本公司為______（請?zhí)顚懀褐行?、小型、微型）企業(yè)。2、本公司參加__________________單位的________________________項目采購活動提供本企業(yè)制造的貨物，由本企業(yè)承擔工程、提供服務，或者提