深圳市民政局2018年信息安全服务项目招标公告
一、项目概况
为确保市民政局信息系统的稳定、安全运行,结合2018年深圳市党政机关信息安全联合检查和绩效评估要求,特对“深圳市民政局2018年信息安全联合检查与绩效评估服务”项目进行公开招标。
本项目内容为:深圳市民政局2018年信息安全服务项目。
中标人应与建设单位就此项目签订合同。
市民政局主要信息系统相关资产数量如下:
序号 | 设备名称/型号 | 数量 |
1 | 服务器与存储设备 | ≤16 |
2 | 交换机、路由器等主要核心的网络设备 | ≤28 |
3 | 内外网防火墙、VPN等安全设备 | ≤8 |
4 | 内外网应用系统(外网门户网站、电子政务系统等) | ≤3 |
二、项目建设目标
依据国家、深圳市信息安全相关法规和指引文件,针对深圳市民政局信息系统进行信息安全风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况等信息安全联合检查安全服务和绩效评估信息安全顾问服务,对安全服务过程中发现的脆弱点和问题提出科学、可行、有效的修复加固计划和建议,建立符合国家标准和深圳市电子政务要求的信息安全管理体系,并在服务期内,使系统的安全状况得以长期保持。
三、项目依据
1.国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号)
2.《政府信息系统安全检查办法》(国办发[2009]28号)
3.《深圳市人民政府信息系统安全检查办法》(深府办[2009]138号)
4.国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
5.《信息安全等级保护管理办法》(公通字[2007]43号)
6.深圳市关于开展信息安全风险评估工作的实施意见(深科信[2006]268号)
7.信息安全风险评估规范(GB/T20984-2007)
8.深圳市信息安全风险评估实施指南
9.检查机构运作的一般规则(ISO-IEC17020-2004)
10.关于印发《2018年深圳市党政机关信息安全联合检查工作方案》的通知
四、项目范围
1.根据深圳市信息安全风险评估指南和本年度信息化工作要求对深圳市民政局包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息安全风险评估;
2.对深圳市民政局信息系统进行全面的梳理,对未定级的信息系统,在等级保护国标的指导下,协助深圳市民政局依据信息系统的真实现状进行定级。
3.根据《2018年深圳市政府绩效评估信息安全指标监测方案》要求,定期提供业务系统服务器漏洞扫描、对外服务网站应用层漏洞扫描、网页防篡改状态检查、互联网安全保护技术状态检查、业务系统服务器恶意代码防范工具状态检查、个人终端漏洞扫描测试,并协助深圳市民政局对发现的问题和漏洞进行修复。
4.对深圳市民政局提供安全防范技术措施落实情况核查与优化、应急预案建设与演练、公众服务系统安全检测、安全培训等安全服务。
5.完成《2018年深圳市党政机关信息安全联合检查工作方案》规定的相关工作;
五、项目技术要求
(一)安全服务内容:
序号 | 大类 | 描 述 | 子类 | 工作内容 | 全年次数 | |
1 | 信息安全风险评估 | 以信息资产为主线,分析信息系统可能面临的威胁,当前存在的弱点,以及弱点被袭击或带来破坏的可能性及影响,以此为基础对当前信息系统的安全风险进行分析和定义。根据联合检查要求完成本年度的风险评估工作。 | 资产分析 | 分析所有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等)的稳定性、可靠性、保密性、可用性、完整性等安全属性,对涉及安全的关键资产进行确认和划控。 | 1 | |
威胁分析 | 对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致威胁的问题所在,威胁发生的可能性有多大等问题进行分析。 | 1 | ||||
弱点分析 | 从管理、技术两方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性 | 1 | ||||
现有措施分析 | 分析已有的安全措施对安全风险的控制作用 | 1 | ||||
风险分析 | 计算并得出当前系统仍存在的风险,并给出相应控制和管理风险的建议 | 1 | ||||
评估报告 | 编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告 | 1 | ||||
评估总结 | 编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结 | 1 | ||||
2 | 信息系统加固修复 | 对在上年度联合检查中发现的问题进行加固修复,包含但不限于联合检查整改、风评结论整改等。 | 2017年度信息安全联合检查整改 | 完善并落实2017年度信息安全联合检查的整改工作 | 1 | |
2017年度信息安全风险评估不可接受风险整改 | 完善并落实2017年度信息安全风险评估的不可接受风险整改工作 | 1 | ||||
管理加固 | 对现有信息安全管理体系中存在的问题进行优化和完善,并协助甲方完成相关文档的编写和宣传 | 1 | ||||
服务器加固 | 对全网的服务器进行修复加固和漏洞扫描。Windows服务器直接修复加固,非Windows服务器协助甲方或维护厂商完成修复加固 | 1 | ||||
网络加固 | 对全网的网络设备和安全设备进行修复加固和漏洞扫描 | 1 | ||||
应用系统和数据库系统加固 | 为所有B/S和C/S架构的应用系统提供修复加固技术支持和优化服务 | 1 | ||||
安全策略加固 | 确认主机操作系统、应用系统的安全策略未被更改或还原 | 1 | ||||
安全设备加固 | 对安全设备中的配置、策略进行加固修复 | 1 | ||||
3 | 信息安全制度自查与优化 | 建立与完善信息安全管理体系 | 信息安全制度自查 | 查找现有信息安全管理制度与联合检查要求之间的差距 | 1 | |
信息安全管理体系建设服务 | 建立与完善深圳市民政局的信息安全管理机构、信息安全管理制度,建立符合我单位信息系统现状的信息安全管理体系 | |||||
4 | 安全防范措施自查与优化 | 检查现有信息系统中安全防范措施的落实情况,对不符合检查要求的现状和措施进行优化和整改 | 外包软件安全检测 | 对我单位使用的外包开发软件在投入使用前的进行安全检测 | 1 | |
***检查 | 协助我单位对非***存储介质进行检查。检查内容包括:非***设备存储、处理、传输***信息、非法外联、物理隔离、移动存储介质的混用、监控软件状态等 | |||||
计算机资产统计 | 收集统计我单位在使用的计算机资产下列信息,包含: | |||||
a)计算机主机名; | ||||||
b)计算机IP地址; | ||||||
c)计算机MAC地址; | ||||||
d)计算机使用人或责任人; | ||||||
e)计算机所属部门; | ||||||
f)计算机的物理位置; | ||||||
g)服务器的内外网IP对应。 | ||||||
网站备案 | 协助完成我单位所有网站在公安网监部门的备案,并取得国际联网备案登记证书和备案编号等证明文件 | |||||
安全防范技术措施有效性检查 | 检查我单位信息系统现有安全防范技术措施的有效性 | |||||
5 | 应急体系建设与演练 | 建立符合信息系统现状的科学有效的应急预案,并制定演练计划进行预案演练和验证 | 应急预案制定 | 应急预案建设 | 1 | |
对我单位所有等保二级及以上信息系统和对公众服务的信息系统制定科学、有效的应急预案 | ||||||
应急技术支援队伍的建设 | ||||||
针对应急预案的特点,建立合理、高效的应急技术支援队伍 | ||||||
应急预案演练 | 演练计划制定 | |||||
对我单位所有等保二级及以上信息系统和对公众服务的信息系统制定科学、合理地的应急演练计划 | ||||||
演练预案培训 | ||||||
就应急预案内容对信息化相关岗位人员进行培训 | ||||||
应急演练实施 | ||||||
对应急预案进行演练,验证其可行性,并对发现的问题进行修正 | ||||||
应急预案修订 | 结合应急预案演练情况对预案进行修订和完善 | |||||
6 | 信息安全服务 | 为我单位信息系统提供例行全面的专业信息安全服务 | 顾问咨询 | 对系统改造、扩建,新系统的上线等提供技术论证和安全咨询 | 技术方案咨询: | 不限次 |
就新应用系统上线或网络结构改造、扩容等提供技术方案设计 | ||||||
技术论证咨询: | ||||||
对新的安全体系的技术特点、功能进行论证 | ||||||
技术交流咨询: | ||||||
就信息安全领域新的技术、体系与客户分享 | ||||||
安全通报 | 定期通报安全行业动态、系统漏洞和病毒预警信息 | 行业动态通报: | ≥24 | |||
对信息安全领域的动态进行通报 | ||||||
安全漏洞通报: | ||||||
对新出现的安全漏洞进行通报 | ||||||
病毒安全通报: | ||||||
对新出现的较严重病毒进行通报 | ||||||
7 | 协助完成安全自查及对下属单位信息安全检查 | 对直属单位组织开展信息安全检查工作 | 协助深圳市民政局对直属机构的信息安全按绩效评估内容进行检测与检查,采用自查与抽查相结合方式进行检查,并对信息安全检查结果通报,指导相关单位完成信息安全整改工作。 | 1 | ||
8 | 信息安全绩效监测综合服务 | 服务器安全防护 | 每季度对单位服务器进行一次漏洞扫描,并协助对发现的漏洞协助整改。 | ≥4 | ||
网站安全防护 | 每季度对单位门户网站提供一次应用层漏洞扫描,并协助对发现的漏洞协助整改。 | ≥4 | ||||
终端安全防护 | 每季度对配置IP地址的设备漏洞扫描,如发现问题,对发现的漏洞协助整改。 | ≥4 | ||||
9 | 联合检查相关服务 | 未在上述逐一列举的2018年信息安全联合检查的其它服务 | 严格按照2018年信息安全联合检查要求的,准时、优质的完成各项服务 | 不限次 | ||
10 | 渗透测试自查 | 对市局重要外网系统(包括:深圳民政在线、深圳民政电子政务系统、深圳市养老服务信息惠民项目、深圳市民政局公共财政资金管理系统等)开展渗透测试自查工作。 | ≥2 |
注:需要专项检测的(如国家、省市下文规定或主管部门通知重点检查检测的事项),我局将根据实际情况另行采购。
(二)安全服务要求
1、信息安全风险评估要求:
(1)风险评估的范围要全面包括深圳市民政局的所有信息系统资产;
(2)对内网、外网的服务器、网络设备、安全设备进行详细的安全风险分析;
(3)风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
(4)担任用户单位计算机网络和主机系统的安全顾问,在网络和主机系统进行升级、扩建时,提供安全风险评估,并提供安全修补建议。
2、信息安全服务要求:
(1)安全防范技术措施落实情况的核查务必真实准确,确保在规定的时间内完成核查并汇编成册后上报甲方;
(2)信息系统应急预案必须以信息系统真实业务流程为基础,要求科学、有效;
(3)信息系统应急预案演练过程的文档、会议纪要、修订文档等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
(4)服务范围和项目实施要求以关于印发《2018年深圳市党政机关信息安全联合检查工作方案》的通知为准。
(5)投标单位应根据实际情况和我局要求派驻人员到现场,项目经理负责对其派出人员的监督和管理。
六、项目验收
1.在联合检查现场检查前完成所有的准备工作,并移交项目中的电子和纸制过程文档;
2.在材料上报的各阶段准时完成所有联合检查材料的上报;
3.风险评估结果全面、真实、可靠,风险评估报告及整改建议满足党政机关信息安全联合检查相关要求;
4.信息安全管理制度齐全有效,内容可操作性强,并满足党政机关信息安全联合检查的相关要求;
5.安全防范技术措施落实情况的核查务必真实准确,确保在规定的时间内完成核查并汇编成册后上报甲方;
6.信息系统应急预案必须以信息系统的真实业务流程为基础,科学有效可操作;
7.信息系统应急预案演练过程的文档、会议纪要、修订文档等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
8、信息安全年度评分时不出现因投标方主观原因造成的信息安全扣分。
七、项目总体要求
投标人必须响应下列要求:
1.项目服务周期为12个月。
2.本项目服务费用为18万元人民币以内。
3.投标人中标后在项目中用于安全检测使用的安全产品必须为厂商正版授权、符合国家安全标准及用户提出的有关质量标准的设备和产品。
4.投标人中标后必须与用户签订保密协议,不得泄漏工作中所接触获得的信息。
5. 提交资料文件(所有资料一正两副)
八、资质要求:
1.投标人必须是在中华人民共和国境内注册并合法运作的独立法人机构,须提供工商行政管理部门颁发的企业法人《营业执照》副本或事业单位登记管理局颁发的事业单位法人证书副本复印件;
2. 注册资金人民币500万元及以上;
3.投标人必须具有深圳市政府采购注册供应商资格(注册网址:http://www.szzfcg.cn),须提供深圳市政府采购供应商注册卡复印件;
4.本项目不接受联合体投标,不允许转包分包。
九、投标时间及地址
所有投标文件须于2018年4月2日10:00前送至深圳市罗湖区笋岗东路12号中民时代广场A座1816室。联系人:张步波,联系电话:25831728。
十、评分标准:
序号 | 评分因素 | 分值 | 评价内容 |
一 | 投标报价 | 20 | 综合评分法中的价格分统一采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算: |
投标报价得分=(评标基准价/投标报价)×分值 | |||
二 | 技术部分 | 50 | 1、整体方案(10分) |
依据投标人提供的整体方案的完整性、合理性进行横向比较。 | |||
评分标准:优(8.1-10分);良(5.1-8.0分);中(3.1-5.0分);差(0-3.0分)。 | |||
2、方案与相关政策法规及国标的符合性(5分) | |||
依据投标人提供的方案与安全风险评估、等级保护以及深圳市当前电子政务相关政策法规和国家标准的符合性情况进行横向比较。 | |||
评分标准:优(4.1-5.0分);良(2.1-4.0分);差(0-2.0分)。 | |||
3、项目拟使用的工具情况(8分) | |||
投标人具备开展业务信息系统服务器漏洞扫描、网络层扫描、对外服务网站应用层扫描所使用的专业检测工具,1个工具得1分数,2个工具得2分数,3个工具得4分数,4个工具或以上得8分数。要求的工具有安全性测试工具、性能测试工具、源代码扫描工具等。 | |||
注: | |||
1.须提供检查工具品牌、型号、与工具厂商签订的合同等证明资料,原件备查。 | |||
2.若为自行开发的工具软件,要求提供《软件著作权登记证书》。 | |||
(以提供扫描工具合同复印件加盖投标人法人公章为准,原件备查,提供的证明文件不满足要求或未提供证明文件的不得分。) | |||
4、拟安排的项目负责人情况(5分) | |||
项目负责人2013年1月1日(以合同签订或委托书时间为准)至今承担制定国家信息安全技术类标准课题研究的,得3分数,否则不得分; | |||
项目负责人具有CSA云安全联盟认证的C-CCSK云计算安全知识认证,得1分,否则不得分; | |||
项目负责人具有中国电子信息行业联合会颁发的信息系统集成及服务项目管理人员项目经理证书,得1分,否则不得分。 | |||
注:提供拟派项目负责人近2个月的社保证明和相应工作经验的合同关键页或委托书、技术认证证书复印件加盖投标人公章,提供的材料不满足要求的不得分。 | |||
5、拟安排的项目团队成员情况(12分) | |||
评审标准: | |||
拟派本项目团队成员中有具备CISP或CISSP,每一人得2分,(若一人同时具备两个及以上资质证书的,得2分),最高得12分。 | |||
证明文件: | |||
1) 注:提供社保部门出具的项目团队成员近两个月的社保证明及技术认证证书复印件加盖投标人公章(原件备查)。提供的材料不满足要求的不得分。 | |||
6.技术团队保障(10分) | |||
评审标准:依据各投标人在深圳具备的稳定的技术团队人员数量进行评分。 | |||
(1)人数≥100人,得10分; | |||
(2)80人≤人数<100人,得8分; | |||
(3)50人≤人数<80人,得5分; | |||
(4)30人≤人数<50人,得3分; | |||
(5)20人≤人数<30人,得2分; | |||
(6)1人≤人数<20人,得1分。 | |||
(7)在深圳市不具备稳定技术团队的,得0分。 | |||
证明文件:须提供驻深圳技术团队成员深圳市社保局出具的近两个月的社保清单复印件,加盖投标人公章。 | |||
三 | 商务部分 | 30 | 1.快速响应服务 (4分) |
评审标准: 投标人注册地在深圳得4分,投标人为非深圳注册且在深圳有分公司得1分,否则不得分。 | |||
证明文件: | |||
(1)提供相关证明扫描件,原件备查;投标人如为非深圳注册且在深圳有分公司的:须提供经深圳市工商局注册的分公司营业执照扫描件; | |||
(2)不提供或者不能有效证明的,不得分。 | |||
2.投标人综合实力(6分) | |||
(1)投标人2012年1月1日至本项目发布招标公告之日期间承担过的项目获得专业信息安全服务奖项的,得2分; | |||
(2)投标人2012年1月1日至本项目发布招标公告之日期间参与过国家信息安全标准制定的,得4分。 | |||
证明文件: | |||
(1)须提供奖项证书复印件加盖投标人公章; | |||
(2)须提供已发布的标准或参与标准制定的通知或合同复印件加盖投标人公章。 | |||
3.投标人资质(12分) | |||
(1)投标人具有国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》的,得2分; | |||
(2)投标人具有中国信息安全测评中心颁发的《信息安全服务资质证书》的,得2分; | |||
(3)投标人具有中国信息安全测评中心颁发的《信息安全风险评估服务资质证书》的,得2分; | |||
(4)投标人具有国家密码管理局颁发的《商用密码产品销售许可证》书的,得2分。 | |||
(5) 投标人具有ISO9001:2015质量管理体系认证证书的,得2分; | |||
(6)投标人具有保密技术防护专用系统研制资格的,得2分; | |||
证明文件: | |||
提供有效期内的相关证书复印件并加盖投标单位公章;不提供,不得分。 | |||
4.信息安全服务单位案例情况(8分) | |||
依据投标人所签约的信息安全联合检查服务单位在“中共深圳市委办公厅、深圳市人民政府办公厅关于2015年深圳市党政机关信息安全联合检查的情况通报文件”中被通报表扬的客户案例个数。 | |||
表扬案例数≥8,得8分; | |||
5≤案例数<7,得6分; | |||
3≤案例数<5,得3分; | |||
1≤案例数<3,得1分; | |||
无表扬案例,不得分。 |
深圳市民政局
2018年3月23日