招标文件
采购内容
一、项目概况(采购标的)
(一)项目背景
中国(厦门)国际贸易“单一窗口”(以下简称厦门“单一窗口”)平台是由厦门市政府主导建设,厦门自贸委组织实施,市口岸办、海关、边检、海事共建,发改、商务、工信、财政、交通、港口、税务、外管、金融等11个政府部门参与,银行、货站、堆场、码头、机场等20多个服务企业协同,为企业提供口岸通关、跨境贸易、物流、政务、金融等一站式公共服务,业务覆盖厦门口岸,并复制推广到泉州、漳州、龙岩等周边地区,口岸业务办理实现“一个窗口、一次申报、一次办结”。平台整体涵盖以下九大功能模块:“通关服务”、“物流服务”、“贸易政务”、“金融服务”、“互联协作”、“特殊区域”、“跨境电商”、“数据服务”、“第三方应用”。
(二)项目规模
厦门“单一窗口”平台网络安全包括物理安全、基础网络安全和应用系统安全三部分。物理环境包含:环境监控、设备安全、人员出入管理、防火、防水、防盗等方面,完善物理安全保障措施,保障系统免受因上述物理环境破坏造成的服务停止或数据损失。基础网络包含承载“单一窗口”平台所需的所有网络设备、安全设备和服务器(硬件服务器、存储、云平台及虚拟化服务器系统),其中32台网络设备、26台安全设备,以及由38台服务器、15台存储设备构建云平台及其240台虚拟机。应用系统包含九大功能模块、40个子业务及应用系统。
(三)项目目标
本项目旨在通过等级保护咨询与评估服务,按等级保护第三级标准完成厦门“单一窗口”平台防护提升,同时通过等级保护测评服务取得专业的等级保护第三级的测评报告和厦门市公安局颁发的厦门“单一窗口”平台等保三级备案证明;在等保咨询与评估服务期间,通过持续运营来保证信息系统的安全水平始终保持在“三级等保”安全防护水平之上。
(四)采购标的清单(投标人按此清单的内容出具《中小企业声明函》)
|
采购包 |
采购标的名称 |
采购标的对应的中小企业划分标准所属行业 |
|
1 |
厦门“单一窗口”网络安全等级 保护(三级)安全评估与测评服务 项目 |
软件和信息技术服务业 |
|
(1)本采购项目属性为:【】货物类;【√】服务类;【】工程类。 (2)本采购项目以下列方式落实中小企业扶持政策: 【】资格条件(具体规定详见第四章-1.3(2)-②其他资格证明文件) 【√】价格评审优惠(具体规定详见第四章/评标标准/价格扣除的规则) |
||
说明:
1.采购标的清单中所列的采购标的为本项目的主要标的,投标人应根据招标文件的规定提供《中小企业声明函》(加盖投标人公章)及其他证明材料(如有),否则,资格审查不合格(作为资格条件时)或不享受价格评审优惠(作为价格评审优惠时)。
2.除“采购标的清单”所列的采购标的外,其他均为采购项目的配件、辅材、伴随服务、伴随工程。
3.本招标文件所称的中小企业是指在中华人民共和国境内依法设立,依据国务院批准的中小企业划分标准确定的中型企业、小型企业和微型企业(但与大企业的负责人为同一人,或者与大企业存在直接控股、管理关系的除外),也包括视同中小企业的个体工商户。
4.投标人提供的采购标的其制造商(承建商、承接商)为中小企业(含个体工商户)的,根据财库〔2020〕46号文的规定,对照《中小企业划型标准规定》(工信部联企业〔2011〕300号)、《国家统计局关于印发〈统计上大中小微型企业划分办法(2017)〉的通知》(国统字〔2017〕213号)准确划分企业的类型。
5.投标人应当按照招标文件中明确的采购标的对应行业出具中小企业声明函,而不是按照投标人的经营范围或者货物制造商(工程承建商、服务承接商)的经营范围出具中小企业声明函。
6.在项目属性为货物类采购项目中,货物应当由中小企业制造,不对其中涉及的服务的承接商作出要求;在项目属性为工程类采购项目中,工程应当由中小企业承建,不对其中涉及的货物的制造商和服务的承接商作出要求;在项目属性为服务采购项目中,服务的承接商应当为中小企业,不对其中涉及的货物的制造商作出要求。
7.对于集成产品的货物采购项目,仅将主要货物作为标的物,配件、辅材等材料不作为标的物,不对其生产厂商作要求。
8.在以资格条件落实扶持中小企业政策且允许联合体或合同分包的采购活动中,“中小企业”应当满足财库〔2020〕46号文第四条的相关规定,“中小企业的合同份额”应当为中小企业制造的货物、承建的工程和承接的服务的合同份额;
在以价格评审优惠落实扶持中小企业政策且允许联合体或合同分包的采购活动中,“小微企业”应当满足财库〔2020〕46号文第四条的相关规定,“小微企业的合同份额”应当为小微企业制造的货物、承建的工程和承接的服务的合同份额。
9.投标人应当对其出具的《中小企业声明函》真实性负责,投标人出具的《中小企业声明函》内容不实的,属于提供虚假材料谋取中标。在实际操作中,项目属性为货物且投标人希望获得中小企业政策支持的,应从制造商处获得充分、准确的信息。对相关制造商信息了解不充分,或者不能确定相关信息真实、准确的,不建议出具《中小企业声明函》。
10.中标人享受中小企业扶持政策的,采购代理机构将随中标结果公开中标人的《中小企业声明函》(含残疾人福利性单位声明函)。
二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)
(一)服务内容
本项目服务内容主要包括:1、第三级等级保护咨询与评估服务;2、第三级等级保护测评服务。具体内容如下:
|
服务类型 |
服务分项 |
服务内容 |
交付成果 |
|
第三级等级保护咨询与评估服务 |
1-1定级备案 |
系统梳理:通过对厦门“单一窗口”平台的网络拓扑、资产信息、服务信息、系统边界等信息进行调查,梳理清楚需要备案的系统现状。 定级对象分析:结合当前需要备案的系统现状,对需要定级对象的业务类型、管理机构进行分析,确定定级对象现状。 定级要素分析:通过系统梳理及定级对象分析结果,根据系统被破坏或者中断服务后对受侵害客体及对客体的侵害程度初步确认定级对象安全保护等级。 撰写定级报告:根据前期调查情况,协助撰写系统定级报告。 协助等级备案:协助填写备案表,组织相关部门和有关安全技术专家对定级的合理性和正确性进行论证和审定。完成整个定级审批过程。 ▲为了方便投标人对客户现场资产梳理,投标人需提供资产管理系统,资产管理系统需具备以下功能:①具备资产管理功能,能够新增资产、编辑资产、查看资产,能够新增资产组、编辑资产组、删除资产组,能够新增标签、删除标签、编辑标签能够批量导入资产;②具备拓扑管理功能,能够新增、修改、查看、查询、绘制拓扑;③具备漏洞管理功能,能够对漏洞进行查看、过滤、搜索、导出、变更状态等操作。(须提供国家认可的质量检测机构出具的测试报告,测试报告须至少带有CNAS或CMA资质标识并盖有检测专用章。不满足不得分。) |
《信息系统安全等级保护定级报告》、《信息系统定级备案表》 |
|
1-2漏洞扫描与评估 |
开展漏洞扫描与评估工作,检查系统在技术层面存在的脆弱性漏洞。采用技术手段、人工方法、借助工具进行评估,包括技术评估、管理评估、漏洞评估及安全检测,形成相关记录。现场评估必须至少包含如下内容: a、技术评估:包括物理安全、网络安全评估、主机系统安全评估、应用安全评估、数据安全评估等。评估应当覆盖等级保护技术要求。在方案和作业指导书中应对此加以说明,并重点就如下2个方面内容作出详细说明。 ①设备评估:根据等级保护的相关标准和要求,分析主机、网络及安全设备系统面临的威胁,评估现有系统的存在的弱点,明确现有网络面临的安全风险和隐患。 ②网络安全评估:根据当然网拓扑结构和网络设备配置情况,分析厦门“单一窗口”平台网络拓扑结构的合理性和可靠性;分析业务系统和网络结构部署关系,指出系统存在的安全风险和隐患。主要包含结构安全与网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。 |
《漏洞扫描与评估报告》 |
|
|
1-3安全配置核查与加固 |
针对厦门“单一窗口”平台所在的操作系统进行安全配置核查,根据核查的结果进行加固。 |
《安全配置核查报告》、 《安全配置加固方案》 |
|
|
1-4 安全策略评估与优化 |
针对厦门“单一窗口”平台安全设备、网络设备等进行安全策略检查及评估,针对评估结果出具优化方案。 安全策略评估:对厦门“单一窗口”平台现有的设备安全策略进行分析,发现存在的安全隐患。 安全策略优化:结合厦门“单一窗口”平台业务情况,优化现有设备访问策略及审计策略。 |
《安全策略评估报告》、《安全策略优化方案》 |
|
|
1-5 渗透测试与评估 |
在确保安全的前提下通过黑客或白客方式对厦门“单一窗口”平台进行安全检测,发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议; ▲为保障渗透测试与评估服务的全面性和深入性,投标人需提供自有众测平台进行渗透测试服务,众测平台注册白帽专家需大于2万人的得3分,白帽专家1万到2万人的得2分,白帽专家5000-1万人的得1分,提供投标人自有众测平台链接及白帽注册人员数量截图证明。 |
《渗透测试与评估报告》 |
|
|
1-6 安全管理体系建设与优化 |
以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;从结合信息系统实际业务流程的原则出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求。 |
《信息系统安全管理制度检查记录表》、《信息系统安全管理制度修改记录表》 |
|
|
1-7 等级化安全评估 |
为确保厦门“单一窗口”平台的安全保护措施符合相应安全等级的基本安全要求,需要实施安全等级现状测评,以提出合理、有效的安全整改建议,为信息系统制定信息安全规划和决策提供依据。简要了解系统现有安全保障措施与等级保护第三级标准要求之间的差距,制定信息安全规划方案;同时检查系统在技术层面存在的脆弱性漏洞,为后续安全加固工作奠定基础。 ▲为保障等级化安全评估服务有序进行,投标人需提供自动化渗透测试,测试工具需完成自动化渗透测试认定:“支持探测SQL注入、XXE、XSS、任意文件长传、任意文件下载、任意文件操作、信息泄露、弱口令、本地文件包含、目录遍历、命令执行、错误配置等漏洞;支持部分远程执行、文件上传类漏洞自动化利用,可以自动获取反弹shell或者上传webshell”。(投标人所用工具须提供国家认可的质量检测机构出具的测试报告,测试报告须至少带有CNAS或CMA资质标识并盖有检测专用章。不满足不得分。) ▲投标人等级化安全评估服务需满足云计算扩展要求,针对云平台上的主机进行可信计算环境进行病毒文件检测和告警,为降低对业务影响,检测系统对误报样本库的误报率不能超过0.1%。(提供证明材料并加盖投标人公章。满足得3分,不满足不得分。) ▲投标人等级化安全评估服务需满足云计算扩展要求,为了不影响应用的正常运行,针对云平台上的东西向流量提供引流分析,引流设备需具备网元管理、网元服务链配置、网元引流功能。(须提供国家认可的质量检测机构出具的测试报告,测试报告须至少带有CNAS或CMA资质标识并盖有检测专用章。不满足不得分。) |
《等级化安全评估报告》 |
|
|
1-8 等级保护安全整改与加固 |
根据前期脆弱性评估、渗透测试结果,结合厦门“单一窗口”平台的业务需求,对厦门“单一窗口”平台相关设备进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平。 |
《等级保护安全整改与优化建议》 |
|
|
1-9 安全咨询与安全规划 |
将根据上述风险评估结果,结合等级保护要求,在充分考虑厦门“单一窗口”平台状况下进行安全域设计,分析业主单位安全需求得出安全控制措施,并对安全控制的相关性、紧迫性、可实施性、难易程度和预期效果等进行分析,对业主单位未来2年内信息安全等级保护工作进行规划建议。提出可行的安全解决方案和安全规划建议,对于风险评估过程中发现的安全漏洞和安全脆弱性情况,提出可行的安全加固方案,如果由于业主单位原因限制不能执行的,提供过渡方案以降低安全风险。 |
《第三级等级保护建设加固建议》 |
|
|
1-10等级保护安全测评现场技术支持 |
安排人员(不少于2人)现场协助第三方测评机构完成厦门“单一窗口”平台第三级安全测评。 |
《测评高危项及扣分项记录表》 |
|
|
1-11持续运营 |
完成等级保护测评备案后每月按照等保第三级标准进行台账检查规整、设备巡检(含:设备性能情况、策略检查优化、规则库及软件版本更新情况、链路健康情况等)、物理环境检查、规章制度定时更新、新扩展功能评估等,针对不满足等保第三级要求的事项进行持续性整改方案输出,并协助完成整改保持厦门“单一窗口”平台符合等保第三级要求。 包括但不限于如下所列文档: 信息系统资产清单(包括但不限于服务器、网络设备、信息系统的详细情况);详细网络拓扑图、数据流图、安全域图;等级化安全评估报告;安全检测结果报告;主机、网络设备系统及应用系统风险分析报告;加固建议报告;等级安全体系框架建议;等级保护体系安全规划建议;等级保护整改建议方案;信息系统运维管理系统建议方案。 根据业主单位实际情况结合等级保护相关要求协助制定和优化各类等级保护安全管理制度包括但不限于:《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《机安全管理员岗位职责》、《信息系统安全培训管理》、《信息系统第三方人员访问管理》、《机房建设和运行规范》、《病毒事件处理流程》、《机房监控与管理流程》、《信息安全事件处理流程》、《信息系统安全应急处理体系》、《信息系统通讯和运行安全管理》等。 |
《月度台账》、《月度巡检记录单》、《信息系统安全管理制度月度检查记录表》、《信息系统安全管理制度新增/优化记录表、扩展功能评估报告》、《季度新增资产记录表》 |
|
|
第三级等级保护测评服务 |
2-1 物理环境测评 |
物理环境:完成“单一窗口”平台的物理环境安全包含机房位置、机房环境、机房设备运行情况、设备标识、机房维护管理、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等需求测评。 |
《等级保护第三级测评报告》 |
|
2-2 基础环境测评 |
基础环境:完成“单一窗口”平台的基础环境包含网络安全域划分设计、安全通信设计、安全区域边界设计、安全计算环境设计和安全扩展要求设计等基础要求测评。 |
||
|
2-3 业务系统测评 |
业务系统:完成“单一窗口”平台业务系统包含操作系统、中间件、数据库和云计算应用场景等业务组件测评。 |
||
|
项目管理 |
3-1 服务方案 |
提供完整的项目服务方案,方案内容包含以上服务内容及具体措施与安排。 |
|
|
3-2 项目团队 |
本次项目需成立专门的项目组,项目组成员包含以下人员: 1、项目经理:本项目配备1名具备丰富等保项目经验人员作为项目经理,须有5年以上网络安全行业经验并取得CISP或PMP或信息系统项目管理师证书。 2、安全检测工程师:本项目至少配备3名专业的安全检测人员,安全检测工程师须有3年以上安全检测经验,并具备相关资质认证(如:CISP、CISP-PTE、CISP-PTS)。 3、安全服务工程师:本项目至少配置3名专业的安全服务工程师,须有3年以上安全行业从业经验,并具备相关资质认证(如:CISO、CISA、CISP、DJJS等)。 |
|
★4、项目实施人员需与投标材料人员相一致,变更项目实施人员需提前与业主申请并提供同等资质人员做为变更候选人,业主审批通过方可进行人员变更,同时人员变更需无缝对接,出现缺席情况需按实际缺席天数进行扣款。(投标人须提供承诺函并加盖投标人公章)。
三、商务要求(以“★”标示的内容为不允许负偏离的实质性要求)
采购包1:
|
序号 |
参数性质 |
类型 |
要求 |
|
1 |
|
交货时间 |
自合同签订之日起120日 |
|
2 |
|
交货地点 |
采购人指定地点 |
|
3 |
|
交货条件 |
顺利完成厦门“单一窗口”平台第三级等保定级、备案、测评并取得厦门“单一窗口”平台第三级等保备案纸质证明。 |
|
4 |
|
是否邀请投标人验收 |
不邀请投标人验收 |
|
5 |
|
履约验收方式 |
1、期次1,说明:完成厦门“单一窗口”平台第三级等保定级、备案、测评并取得厦门“单一窗口”平台第三级等保备案纸质证明。 |
|
6 |
|
合同支付方式 |
1、合同签订生效后,采购人在收到中标人提交的付款申请及相应合同金额的发票后,达到付款条件起7日,支付合同总金额的40.00% 2、专家出具定级评审意见后,采购人在收到中标人提交的付款申请及相应合同金额的发票后,达到付款条件起7日,支付合同总金额的30.00% 3、通过采购人组织的验收评审后,采购人在收到中标人提交的付款申请及相应合同金额的发票后,达到付款条件起7日,支付合同总金额的30.00% |
|
7 |
|
其他 |
交货时间(补充):自合同签订之日起1日到岗,120日内完成厦门“单一窗口”平台第三级等保定级、备案、测评并取得厦门“单一窗口”平台第三级等保备案纸质证明。合同支付方式(补充):7日为,7个工作日。 |
履约保证金
采购包1:不缴纳
其他商务要求
8.报价要求
★8.1本项目采购预算为贰佰壹拾万元整(¥2100000.00),投标人的投标总报价超过相应采购预算价的,视为无效投标。。
8.2本次招标为交钥匙项目,投标总报价为经采购人验收合格并交付使用所有可能发生的费用,包括但不限于:人工费、劳务费用、交通费、设备使用费、设备进出场费、安全费用、人员及车辆保险、水电费、定级评审专家的评审费用、验收、税费、采购代理服务费等其他一切伴随服务的费用,投标人一旦中标,采购人将不会对其投标报价做出其他补偿。
8.3投标人对本招标项目只能提供唯一方案,唯一报价,采购人不接受任何有选择的报价。
9.保密服务
中标人必须对合作过程中涉及的数据资料、工作秘密、业务需求、协议、技术成果等内容和相关事务保密。
10.知识产权
中标人应当保证其所提供的产品及服务符合国家知识产权法律法规要求,中标人须保障采购人在使用其所提供的与本项目相关的软件、硬件或其任何一部分时不受到第三方关于侵犯知识产权的指控。如果任何第三方提出侵权指控与采购人无关,中标人须与第三方交涉并承担可能发生的责任与一切费用。如采购人因此而遭致损失的,中标人应赔偿该损失。
11.验收标准
11.1完成第三级等级保护咨询与评估服务,提供服务期间所产生的所有文档需提供纸质报告和电子文档,项目验收时需提供项目相关文档的纸质合订本。
★11.2完成厦门“单一窗口”平台第三级等保定级、备案、测评并取得厦门“单一窗口”平台第三级等保备案纸质证明。(投标人须提供承诺函并加盖投标人公章)。
四、其他事项
1、除招标文件另有规定外,若出现有关法律、法规和规章有强制性规定但招标文件未列明的情形,则投标人应按照有关法律、法规和规章强制性规定执行。
2、其他:
2.1系统无法编辑详细的投标报价明细表,投标人应另行编制一份投标报价明细表,并在报价部分目录中体现该格式标题。2.2为避免遗漏,请投标人在投标文件技术商务部分提供【带“★”号条款逐条响应情况表】,并在目录中体现该格式标题。2.3本项目招标文件要求的投标材料,若属于可以通过互联网或者相关信息系统查询的信息,投标人可在投标文件中提供相应的互联网或者相关信息系统的查询网址或查询方式后,可不需要提供此类投标材料。投标人对所提供的查询网址或查询方式的有效性和真实性负责。2.4若本项目需要投标人提交投标保证金的,若投标人为中小企业的,且出具《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)规定的《中小企业声明函》,则可按采购文件要求的投标保证金数额的50%提交投标保证金(允许供应商通过保函等非现金方式提供)。2.5若本项目需要投标人缴交履约保证金的,若投标人为中小企业的,且出具《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)规定的《中小企业声明函》,则可按采购文件要求的履约保证金数额的50%提交履约保证金(缴交方式不限)。采购人将在合同履约完毕且无合同纠纷后7个工作日内向供应商退清履约保证金。2.6项目中涉及商品包装和快递包装的,供应商要参考《关于印发<商品包装政府采购需求标准(试行)>、<快递包装政府采购需求标准(试行)>的通知》(财办库〔2020〕123号)规定的需求标准执行。2.7本项目采用“远程开标”:(1)投标人可到开标现场,也可不到开标现场,由投标人自行决定。投标人到开标现场的,应在投标截止时间前将投标人的CA证书(建议在投标人投标人CA证书上粘贴企业名称,避免混乱误领)送达开标地点。(2)投标人不到开标现场的,请在福建省政府采购网厦门分网“服务专区/下载专区/资料下载”中,下载《远程开标操作手册》,在开标时自行登录采购系统,线上观看开标过程,并按要求在开标时段对投标文件进行远程解密、远程签章。(3)投标人应确保自身设施、设备、网络状况良好,提请了解熟悉远程开标流程,因投标人自身原因造成无法正常观看开标过程、远程解密或签章的,后果由投标人自行承担。(4)在规定的时间内正确提交电子投标文件的投标人在开标时将由系统判断签到情况,具体信息以福建省政府采购网上公开信息系统所示为准。(5)投标人应在远程解密开启后在规定时间(30分钟)内使用CA数字证书(应与投标文件加密时所用CA证书一致)进行投标文件的解密操作,逾期未解密的视为放弃投标。(6)唱标结束后,投标人可对开标结果进行签章,并在远程签章开放后5分钟内完成,逾期未签章的视同认可开标结果。(7)开、评标期间,投标人代表应保证采购系统中预留的联系方式畅通,以便随时接收并答复评标委员会发起的澄清等事项。(8)在操作过程中如有疑问请咨询技术人员(400-1612-666、0592-2858142)或采购代理机构工作人员。2.8供应商办理政府采购合同融资(即政采贷)的渠道:福建省政府采购合同融资信息服务平台:http://120.35.30.176/zcdproject/home。2.9关于明确串标情节及后果的预警提示,供应商应明确知晓相应行为及后果,具体详见附件。
收藏