招标文件
第四章 技术规格、参数与要求
一、项目名称:长沙市人力资源和社会保障局2019年至2021年度信息系统等级保护项目
二、项目预算:735000元(两年)
三、需求明细
|
序号 |
服务名称 |
服务内容 |
数量 |
|
1 |
等级保护测评 |
完成六大业务系统等级保护三级测评、完成十三个系统等级保护二级测评,提交各个系统信息安全等级保护测评报告、协助填写定级报告和备案表,并协助到公安机关完成备案。 |
2年 |
|
2 |
等保安全现场服务 |
针对前期测评情况,每年对我局的网络安全、系统安全、数据安全、硬件安全、物理环境安全提出总体规划和优化方案报告一份。以安全值守长期和定期同时进行的值守服务的方式对网络、系统、数据、硬件、物理环境存在的安全隐患提出切实可行的解决建议并协助我局对这些安全隐患进行处理,解决问题,保障数据中心所有信息系统安全运行 |
2年 |
|
3 |
等保测评人员现场服务 |
派驻现场的测评工程师具备等级测评师资质证书;常驻现场的工程师具备CISP资质证书.日常测评工作必须按数据中心日常人员出勤管理进行工作。必须按照数据中心工作管理规范开展测评及相关业务工作。 |
2年 |
|
4 |
信息安全培训服务 |
每年度组织数据与信息安全部工作人员进行一次信息安全培训,组织数据与信息安全部工作人员参加国家颁发的信息安全认证方面的专业培训(含培训费用) |
2年 |
|
5 |
信息安全应急支持服务 |
为我局制定等保2.0安全建设方案提供咨询建议,针对重大信息安全突发事件提供应急处理服务,保障1小时内安全应急人员到场,迅速确定事件原因,缩小事件影响,遏制事态发展,快速恢复系统运维,并提交应急响应报告。 |
2年 |
四、项目概况
等级保护是我国关于信息安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号,以下简称“43号文件”)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作。
五、项目内容
按照人社部下发的等级保护定级指南,长沙市人社局当前需要开展等级保护测评工作的主要系统及级别如下:
|
序号 |
系统名称 |
级别 |
备注 |
|
|
长沙市社会保险管理信息系统(五险合一) |
三级 |
|
|
|
人事人才综合管理系统 |
三级 |
|
|
|
社会保障卡管理系统 |
三级 |
|
|
|
微信平台 |
三级 |
|
|
|
长沙市12333公共服务平台 |
三级 |
原二级升三级 |
|
|
长沙市人力资源和社会保障生物特征基础平台项目 |
三级 |
原二级升三级 |
|
|
长沙市人力资源和社会保障卡数字证书服务系统 |
二级 |
|
|
|
被征地农民社会保障信息系统 |
二级 |
|
|
|
门户网站 |
二级 |
|
|
|
城乡居民医保服务系统 |
二级 |
|
|
|
长沙市人力资源和社会保障自助服务一体机支撑系统 |
二级 |
|
|
|
IT运维管理系统 |
二级 |
|
|
|
创业服务信息网络管理系统 |
二级 |
|
|
|
劳动就业信息管理系统 |
二级 |
|
|
|
OA办公自动化系统 |
二级 |
|
|
|
长沙市人力资源网 |
二级 |
|
|
|
劳动监察两网化信息管理系统 |
二级 |
|
|
|
劳动用工备案信息管理系统 |
二级 |
新增 |
|
|
就业专项资金系统 |
二级 |
新增 |
此次评估具体服务内容如下:
安全物理环境
安全通信网络
安全区域边界
安全计算环境等
安全管理制度测评
安全管理机构测评
人员安全管理测评
系统建设管理测评
系统运维管理测评
六、评估标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)
关于开展全省重要信息系统安全等级保护定级工作的通知(湘公通[2007]94号)
关于进一步推进全省信息安全等级保护工作的函(湘公函[2011]21号)
关于对全省重要信息系统开展信息安全等级保护专项检查工作的函(湘公函[2011]74号)
《 信息安全技术网络安全等级保护基本要求》GB/T 22239-2019;
《信息安全技术 信息系统安全等级保护定级指南》-GB/T 22240-2016;
七、项目要求
1、等级保护测评服务
要求完善各个系统信息安全,通过信息安全等级保护测评,提交等级保护测评报告,协助到公安机关完成备案。提供2年的信息安全等级保护服务,在2年的服务期内,各个系统达到等级保护要求。
2、信息安全现场建议服务
针对前期测评情况,对我局的网络安全、系统安全、数据安全、物理环境安全提出总体规划和优化方案。等级保护测评工作需驻人社局现场开展,其中一名工程师常长期值守服务,一名工程师定期值守服务,服务期均为2年。以安全值守长期和定期同时进行的值守服务的方式对网络、系统、数据、硬件、物理环境存在的安全隐患提出切实可行的解决建议并协助我局对这些安全隐患进行处理,解决问题,保障数据中心所有信息系统安全运行。
3、信息安全培训
协助我局培训信息安全专业团队。通过工作交流、学术讨论、外出考察、培训及考试等一系列建设手段,为我局打造出一支专业技术过硬,能胜任我局信息安全日常运维和具有信息安全突发事件处理能力的团队。
4、信息安全应急支持服务
为我局制定等保2.0安全建设方案提供咨询建议,针对重大信息安全突发事件提供应急处理服务。服务期内提供7*24小时现场应急服务支撑,现场响应时间<1小时。
三级系统每年开展一次测评,二级系统根据采购人安排,两年内完成一次测评;
5、如在合同服务期内系统停用、增加、替换、在双方协商后,服务商应尽量满足长沙市人社局对系统数量变更的要求。
6、服务时间为签订合同后两年内;
八、考核标准
按照下列考核表要求每年度考核必须≥90分,低于90分成交供应商应当在30个工作日内补充完成待改进的服务内容,如30个工作日内仍然不能达到90分,每年度扣除合同金额15%。
|
序号 |
服务名称 |
考核内容 |
评分 |
备注 |
|
1 |
等保三级业务系统等级测评 |
完成六大业务系统等级保护三级测评、提交各个系统信息安全等级保护测评报告、协助填写定级报告和备案表,并协助到公安机关完成备案。 |
20 |
测评报告不能通过等级备案扣全分 |
|
2 |
等保二级业务系统等级测评 |
完成十三个系统等级保护二级测评、提交各个系统信息安全等级保护测评报告、协助填写定级报告和备案表,并协助到公安机关完成备案。 |
20 |
测评报告不能通过等级备案扣全分 |
|
3 |
信息安全现场建议服务 |
针对前期测评情况,每年对我局的网络安全、系统安全、数据安全、硬件安全、物理环境安全提出总体规划和优化方案报告一份。以安全值守长期和定期同时进行的值守服务的方式对网络、系统、数据、硬件、物理环境存在的安全隐患提出切实可行的解决建议并协助我局对这些安全隐患进行处理,解决问题,保障数据中心所有信息系统安全运行。 |
20 |
未完成长期和定期值守、未给出规划和优化方案其中一项扣10分 |
|
4 |
等保测评人员现场服务 |
派驻现场的测评工程师具备等级测评师资质证书;常驻现场的工程师具备CISP资质证书.日常出勤必须按数据中心日常人员出勤管理进行。测评工作必须按照数据中心工作管理规范开展测评及相关业务工作。 |
20 |
工程师不具备资质的每人次扣5分、违反数据中心日常出勤和管理工作要求的每次扣1分,最多扣15分。 |
|
5 |
信息安全培训服务 |
每年度组织数据与信息安全部工作人员进行一次信息安全培训,组织数据与信息安全部工作人员参加国家颁发的信息安全认证方面的专业培训(含培训费用) |
10 |
未组织培训或培训不达预期效果扣10分。 |
|
6 |
信息安全应急支持服务 |
为我局制定等保2.0安全建设方案提供咨询建议,针对重大信息安全突发事件提供应急处理服务,保障1小时内安全应急人员到场,迅速确定事件原因,缩小事件影响,遏制事态发展,快速恢复系统运维,并提交应急响应报告。 |
10 |
未按要求完成日常顾问服务的扣5分,未实现1小时内安全人员到场的每次扣1分,最多扣5分。 |
九、服务要求
1、投标人应当履行下列义务:
(1)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证评估测评的质量和效果;
(2)保守在评估测评活动中知悉的国家秘密、商业秘密和个人隐私,防范评估测评风险;(3)对评估测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
2、测评人员要求:
本项目的评估测评人员、驻场整改服务人员需具有2 年或以上的评估测评工作经验。须提供人员管理及配备方案,以确保人员的稳定。测评机构驻场服务人员相对固定,如更换测评人员,须由采购单位同意并签字确认。如未经采购方同意,更换测评人员,则每更换一人,成交单位须向采购方交纳合同金额的5%作为赔偿金。
3、人员配备:
测评机构应安排至少4名以上具备等级测评资质的工程师组成项目组开展现场等级保护测评,测评工程师须为测评机构正式员工,招标方将在项目实施现场对测评工程师资质证书及单位近半年为其缴纳社保的证明材料进行检查。
测评机构委派一名具有CISP信息安全资质的网络安全员现场长期值守服务,该人员必须为投标人正式员工,入驻前需通过招标方安全技能考核和面试,并现场检查该人员资质证书及单位近半年为其缴纳社保的证明材料。
4、投标人具有应急响应支撑服务能力,具备国家计算机网络应急技术处理协调中心颁发的“网络安全应急服务支撑单位证书”,提供证书复印件。
5、投标人须提供近三年内具备3个以上等级保护测评、服务项目案例的合同复印件。
6、投标人须提供7*24小时服务等级应急响应服务,1小时内赶到现场服务。
7、本项目执行期间,服务团队成员应遵守甲方工作作息时间要求和工作规定。
8、投标人应按评估和等级保护测评要求制定测评过程中产生的文档,做科学、规范、详尽、统一等方面的要求。
十、 验收标准和方法
1、项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一,成交公司出具的评估、整改报告及获得当地公安部门的备案登记为验收依据,否则不予验收。
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为成交供应商原因造成的,由成交供应商承担检测费用;否则,由采购方承担。
3、项目验收不合格,由成交人返工直至合格,有关返工、再行验收,以及给采购方造成的损失等费用由成交供应商承担。连续两次项目验收不合格的,采购方可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交供应商承担。
十一、其他要求及说明
1、实施时间及地点
(1)实施时间:合同签订后两年内。
(2)实施地点:采购方指定地点。
2、结算方法
(1)付款人:长沙市人力资源和社会保障局信息中心信息中心(通过国库集中支付)。
(2)付款方式:合同二年一签。合同签订十五个工作日内支付合同金额的30%,满一年服务周期且甲方考核(考核分值≥90分)通过后再支付合同金额的40%,满二年服务周期且甲方验收合格考核(考核分值≥90分)通过后支付合同金额的30%。
3、采购方所有费用为无息支付、成交供应商需按采购方要求开具相应发票。
4、本项目采用费用包干方式建设,投标人应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及服务项目相关运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所用费用,一旦中标,如在项目是始终出现任何遗漏,均由成交供应商免费提供,采购方不再支付任何费用。
5、投标人在投标前,如须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
6、对于上述项目要求,投标人应在投标文件中进行回应,做出承诺及说明。
收藏