招标文件
采购需求
一、项目概况:
项目相关说明:
1、标有“★”的条款为必须完全满足的实质性要求,投标人如有一项带“★”的条款未响应或负偏离,将按无效投标处理。标有“▲”的条款为重要性要求,投标人如有“▲”的条款未响应或负偏离的将被严重扣分。
2、投标人应对采购需求中的服务指标在响应详细内容中列出明确承诺。如果投标人只注明“正偏离”或“无偏离”,将可能被视为“负偏离”,从而可能导致严重影响评标结果。
3、投标人没有在投标文件中注明偏离(文字说明或在响应表注明)的参数、配置、条款视为被投标人完全接受。
4、投标人应保证,采购人在中华人民共和国使用该货物或服务的任何一部分时,免受第三方提出的侵犯其专利权、商标权、著作权或其他知识产权的起诉。
5、不允许中标供应商转包项目内容。
6、本项目采购标的对应的中小企业划分标准所属行业为:软件和信息技术服务业。
7、请各投标人在编制投标文件时注意,涉及到签字或签章的地方,请按要求签字或签章后再上传系统。投标文件加密前请注意所有需要签字、签章、盖章的地方是否齐全无缺漏。请保管好CA证书的密码,如遗忘,请及时重置,以免影响投标文件的解密。
(一)基本信息
1.项目名称
广东省智慧自然资源--时空数据治理与一体化管理服务(2022-2024年)项目-网络安全等级保护测评及商用密码应用评估服务,以下简称“本项目”。
2.采购人
广东省国土资源技术中心
3.项目总体目标
通过委托专业第三方测评服务机构,根据《信息系统安全等级保护实施指南》《商用密码管理条例》《商用密码应用安全性评估管理办法》(试行)等相关文件及标准要求,针对本项目信息系统开展符合性测评,衡量信息系统的安全保护管理措施和技术防护措施、密码应用是否符合等级保护基本要求,是否具备了相应的安全保护能力,找出问题,针对性的制定整改措施,推进信息安全防护体系不断完善。
4.服务地点
广东省广州市越秀区环市东路468号大院2栋
(二)项目背景
为落实《中华人民共和国网络安全法》《中华人民共和国密码法》《信息安全等级保护管理办法》《商用密码管理条例》等法律法规要求,委托第三方开展网络安全等级保护测评和商用密码应用安全性评估工作,确保信息系统具备其相应等级的防护能力,满足信息系统的合规性要求。
二、项目预算
本项目总预算为人民币壹佰壹拾捌万元整(¥1,180,000.00)。
三、项目实施期限
合同生效之日起至2025年3月31日止。
四、服务内容
针对本项目信息系统,具体信息系统清单详见表1(信息系统名称及个数根据项目实际以采购人提供为准,信息系统定级以专家论证为准),开展等级保护测评和商用密码应用安全性评估工作,如服务期内采购人新增系统或系统重大变更需要开展等级保护测评和商用密码应用安全性评估工作的,包含在本项目范围内。
表1信息系统清单
|
序号 |
信息系统名称 |
拟定级 |
工作内容 |
|
1 |
自然资源三维时空数据库管理与服务系统 |
2级 |
等级保护测评1次; 商用密码应用安全性评估1次。
|
|
2 |
用途管制与决策参阅综合应用 |
2级 |
|
|
3 |
自然资源与不动产登记信息管理基础平台 |
3级 |
|
|
4 |
“互联网+不动产登记”平台 |
3级 |
|
|
5 |
“区块链+不动产登记”平台 |
3级 |
|
|
6 |
测绘地理信息管理综合应用 |
3级 |
|
|
7 |
自然资源一体化管理与服务平台 |
3级 |
|
|
8 |
自然资源市场与资产监管综合应用(广东省自然资源市场与开发利用监测监管子系统) |
2级 |
|
|
9 |
自然资源市场与资产监管综合应用(广东省全民所有自然资源资产管理与监管子系统) |
2级 |
|
|
10 |
自然资源市场与资产监管综合应用(广东省耕地占补平衡管理子系统) |
2级 |
|
|
11 |
调查监测综合应用 |
2级 |
五、服务要求
(一)技术要求
1.等级保护测评服务
(1)测评方法和使用工具
测评方法分为安全管理测评和安全技术测评,安全管理测评包括但不限于:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。安全技术测评包括:物理和环境安全、网络和通信安全、设备和计算安全、数据和应用安全等。同时需要将区块链节点、共识、算法、智能合约等方面的安全性纳入测评内容。
工具:由符合资质要求的单位采用符合《信息安全等级保护管理办法》(公通字〔2007〕43号)、《网络安全等级保护管理条例》(征求意见稿)(参照)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)、(即等保2.0测评标准)等规定的成熟的、具有授权的工具。
测评工具需满足如下要求:
1)测评工作所需的测评工具需由供应商提供,测评工具需自行开发或取得使用授权(非免费、开源或社区授权)。
2)测评工具严格遵循可控性原则。测评过程中所使用的测评工具需具有正版证明(以采购合同或软件著作权为准),供应商需要使用2种以上脆弱性扫描工具,脆弱性扫描工具需要符合上述要求。
3)测评所使用的渗透测试工具应支持智能渗透测试和手工渗透测试,漏洞利用模块超过1300个,总模块数量超过1900个,能够支持渗透测试报告自动生成、自动网络发现、能够进行漏洞自动验证、脚本重放等功能。
4)测评所使用的漏洞扫描工具的漏洞库数量大于4万,检查项至少为12万个,漏洞分为至少超过160个,同时扫描引擎数量无限制,能够支持操作系统、数据库、中间件、浏览器、路由器、交换机等,同时能够兼容渗透测试工具。(以采购合同为准)
5)采购人按照项目实施的内容,提供部分测评工作场所、网络、电力等方面的便利。
(2)测评内容
1)安全物理环境
根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”“物理访问控制”“防盗窃和防破坏”“防雷击”“防火”“防水和防潮”“防静电”“温湿度控制”“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。(本项以广东省政务云平台等级保护测评报告为测评依据)
2)安全通信网络
根据信息系统安全通信网络测评记录,针对通信网络方面在“网络架构”“通信传输”“可信验证”等方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
3)安全区域边界
安全区域边界现场测评包括“边界防护”“访问控制”“入侵防范”“恶意代码和垃圾邮件防范”“安全审计”“可信验证”等边界区域防范措施进行检查。(本项以广东省政务云平台等级保护测评报告为测评依据)
4)安全计算环境
安全计算环境现场测评包括“身份鉴别”“访问控制”“安全审计”“入侵防范”“恶意代码防范”“可信验证”“数据完整性”“数据保密性”“数据备份恢复”“剩余信息保护”“个人信息保护”等几个方面的测评。
5)安全管理中心
安全管理中心现场测评包括“系统管理”“审计管理”“安全管理”“集中控制”等方面。
6)安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的“安全策略”“管理制度”“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
7)安全管理机构
根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”“人员配备”“授权和审批”“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
8)安全管理人员
根据现场安全测评记录,针对信息系统在安全管理人员方面的“人员录用”“人员离岗”“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
9)安全建设管理
根据现场安全测评记录,针对信息系统在安全建设管理方面的“定级和备案”“安全方案设计”“产品采购和使用”“自行软件开发”“外包软件开发”“工程实施”“测试验收”“系统交付”“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
10)安全运维管理
根据现场安全测评记录,针对信息系统在安全运维管理方面的“环境管理”“资产管理”“介质管理”“设备维护管理”“漏洞和风险管理”“网络和系统安全管理”“恶意代码防范管理”“配置管理”“密码管理”“变更管理”“备份与恢复管理”“安全事件处置”“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。对运维管理方面与ITIL体系的融合适应性进行评估。
通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析整体分析,给出差距分析报告,并给出整改建议方案。
待整改完毕后,进行结果确认,完成网络安全等级保护测评,出具测评报告,并协助采购人将测评报告报当地公安机关备案。
2.商用密码应用安全性测评
供应商提供商用密码专用测评软件,测评工具需自行开发或取得使用授权(非免费、开源或社区授权)。
商用密码应用安全性测评分为技术测评和管理测评。
技术测评具体包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。
(1)物理和环境安全测评
针对“身份鉴别”“电子门禁记录数据存储完整性”“视频监控记录数据存储完整性”“密码模块实现”等物理和环境安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(2)网络和通信安全测评
针对“身份鉴别”“通信数据完整性”“敏感信息或通信报文机密性”“网络边界访问控制信息完整性”“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。
(3)设备和计算安全测评
针对“身份鉴别”“安全信息传输通道”“系统资源访问控制信息完整性”“重要信息资源安全标记完整性”“日志记录完整性”“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(4)应用和数据安全测评
针对“身份鉴别”“访问控制信息完整性”“重要信息资源安全标记完整性”“重要数据传输机密性”“重要数据存储机密性”“重要数据传输完整性”“重要数据存储完整性”“数据原发行为不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(5)安全管理测评从制度、人员、实施和应急四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能够确保密码技术被合规、正确、有效地实施。
制度测评:针对“制定密码应用安全管理制度”“制定密钥管理规则”“建立操作规程”“定期修订安全管理制度”“明确管理制度发布流程”等制度方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
人员测评:针对“了解并遵守密码相关法律法规和密码管理制度”“建立密码应用岗位责任制度”“建立岗位责任制度”“建立上岗人员培训制度”“定期进行安全岗位人员考核”“建立关键岗位人员保密制度和调离制度”等人员方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购人确认。
实施测评:针对“制定密码应用方案”“制定密钥安全管理策略”“制定实施方案”“投入运行前进行密码应用安全性评估”“定期开展密码应用安全性评估及攻防对抗演习”等开展实施测评工作。
3.投标人能力要求
供应商应具备开展网络安全等级保护测评和商用密码应用安全性评估工作的能力,确保信息系统具备其相应等级的防护能力,满足信息系统的合规性要求,具备以下综合实力:
(1)供应商具有中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS);
(2)供应商具有省级或以上质量技术监督局或市场监督管理部门颁发的检验检测机构资质认定证书(CMA);
(3)供应商具有中国网络安全审查认证和市场监管大数据中心(中国网络安全审查技术与认证中心)颁发的信息安全服务资质认证证书;
(4)供应商具有中国信息安全测评中心颁发的国家信息安全漏洞库技术支撑单位等级证书;
(5)供应商向国家信息安全漏洞库(CNNVD)提交原创漏洞;
(6)供应商具有等级保护测评类业绩;
(7)供应商具有商用密码应用安全性评估项目业绩。
(二)进度要求
1.实施进度
(1)合同生效之日起,15个工作日内,提交项目服务方案,包括服务进度计划、人员安排、项目质量保障等相关内容,经采购人评审确认后备案。
(2)2024年11月15日前,完成自然资源三维时空数据库管理与服务系统、用途管制与决策参阅综合应用、测绘地理信息管理综合应用、自然资源市场与资产监管综合应用(广东省自然资源市场与开发利用监测监管子系统)、自然资源市场与资产监管综合应用(广东省全民所有自然资源资产管理与监管子系统)等5个信息系统的等级保护测评和商用密码应用安全性评估工作,输出报告。
(3)2025年2月15日前完成本项目所有服务内容,提交所有服务成果经采购人确认。
2.验收期限
本项目在2025年3月15日前完成验收,供应商应在验收前10个工作日,按采购人要求提交本项目验收前置审核有关成果资料,经采购人确认后组织项目验收。
3.成果交付期限
本项目通过验收之日起10个工作日内。
(三)管理要求
1.服务人员
★(1)供应商须指派固定的团队为本项目提供专业服务,服务团队成员不得少于10人。供应商投标文件承诺的拟投入人员视为项目实施实际投入人员(提供承诺函(详见附件)),供应商须列出拟投入人员名单及资历情况。
(2)团队成员数量、资历要求见下表。
|
序号 |
成员角色 |
职责 |
资历要求 |
数量 |
|
1 |
项目负责人 |
项目总体管控、项目质量保障、沟通协调等 |
计算机类专业本科学历; 通过商用密码应用安全性评估能力考试(成绩≥60分); 具有信息安全等级测评师证书(高级)或网络安全等级测评师证书(高级); 具有信息系统项目管理师证书; 具有注册信息安全专业人员(CISP)证书。 |
1 |
|
2 |
等级保护测评师 |
等级保护测评工作、编制测评报告 |
具有信息安全等级测评师证书或网络安全等级测评师证书。 |
4 |
|
3 |
商用密码测评师 |
密码应用评估、编制评估报告 |
通过商用密码应用安全性评估能力考试(成绩≥60分)。 |
5 |
|
总计 |
10 |
|||
如需调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
2.组织实施要求
实施方式:按需到现场开展服务。
3.成果要求
供应商须保证项目成果、文档的完整性,在项目实施各阶段按时完成相关技术文档的编写(重要文档须经采购人审核确认),在项目完成时协助采购人完成项目归档相关工作。
本项目须提交文档成果,包括纸质文档装订成册2套,电子文档1套(供应商盖章后的pdf电子版与纸质版内容须一致),以及投标文件(供应商盖章后的pdf电子版)。
(1)成果清单(报告名称及数量根据项目实际以采购人要求为准)
《XX等级保护测评报告》(每个系统一份)
《自然资源三维时空数据库管理与服务系统商用密码应用安全性评估报告》(含整改报告)
《用途管制与决策参阅综合应用商用密码应用安全性评估报告》(含整改报告)
《自然资源与不动产登记信息管理基础平台商用密码应用安全性评估报告》(含整改报告)
《“互联网+不动产登记”平台商用密码应用安全性评估报告》(含整改报告)
《“区块链+不动产登记”平台商用密码应用安全性评估报告》(含整改报告)
《测绘地理信息管理综合应用商用密码应用安全性评估报告》(含整改报告)
《自然资源一体化管理与服务平台商用密码应用安全性评估报告》(含整改报告)
《自然资源市场与资产监管综合应用(广东省自然资源市场与开发利用监测监管子系统)商用密码应用安全性评估报告》(含整改报告)
《自然资源市场与资产监管综合应用(广东省全民所有自然资源资产管理与监管子系统)商用密码应用安全性评估报告》(含整改报告)
《自然资源市场与资产监管综合应用(广东省耕地占补平衡管理子系统)商用密码应用安全性评估报告》(含整改报告)
《调查监测综合应用商用密码应用安全性评估报告》(含整改报告)
(2)项目管理过程文档
除上述服务成果文档成果外的项目实施过程重要文档,包括但不限于项目服务方案、项目实施计划、等级保护测评方案、商用密码应用安全性评估方案、项目工作总结等。
(3)交付地点
采购人指定地点。
(四)其他要求
1.服务响应要求
在服务期内,供应商应根据项目需要处理问题或交流情况能在4小时内响应,出现紧急情况时能在30分钟内响应。
2.保密要求
(1)供应商须签订保密协议,对其因身份、职务、职业或技术关系而知悉的采购人工作秘密和党政机关保密信息应严格保守,保证不被披露或使用,包括意外或过失。
(2)供应商不得以竞争为目的或出于私利或为第三人谋利而擅自保存、披露、使用采购人工作秘密和党政机关保密信息;不得直接或间接地向无关人员泄露采购人的工作秘密和党政机关保密信息;不得向不承担保密义务的任何第三人披露采购人的工作秘密和党政机关保密信息。供应商在从事政府项目时,不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息,严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或供应商内部与该项目无关的任何人员。
(3)供应商对于工作期间知悉采购人的工作秘密和党政机关保密信息(包括业务信息在内)或工作过程中接触到的政府机关文件(包括内部发文、各类通知及会议记录等)的内容,同样承担保密责任,严禁将政府机关内部会议、谈话内容泄露给无关人员;不得翻阅与工作无关的文件和资料。
(4)严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。
3.廉政要求
供应商与采购人签订廉政责任书。
附件:
服务要求承诺函
广东省国土资源技术中心:
我方充分了解并清楚知晓贵单位 项目采购需求中相关服务要求,我方承诺:投标文件中承诺的服务要求,包括技术指标要求、服务人员要求等相关内容,均作为中标后合同签订中相关服务要求的标准和依据,否则视为违约行为,贵方有权终止本次采购。
拟投入人员(详见附件)为项目实施实际投入人员。如需调整服务团队成员,须书面提出申请,说明申请理由,经贵方书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,贵方有权终止服务合同。
附件:拟投入人员资历情况表
(盖章)
年月日
采购包1(广东省智慧自然资源--时空数据治理与一体化管理服务(2022-2024年)项目-网络安全等级保护测评及商用密码应用评估服务)1.主要商务要求
|
标的提供的时间 |
合同生效之日起至2025年3月31日止。 |
|
标的提供的地点 |
采购人指定地点(广东省广州市越秀区环市东路468号大院2栋) |
|
付款方式 |
1期:支付比例60%,本项目签订合同生效后,采购人在收到供应商提供的税务部门认可的有效发票之日起10个工作日内,向供应商支付合同总额的60%; 2期:支付比例30%,2024年11月15日前完成自然资源三维时空数据库管理与服务系统、用途管制与决策参阅综合应用、测绘地理信息管理综合应用、自然资源市场与资产监管综合应用(广东省自然资源市场与开发利用监测监管子系统)、自然资源市场与资产监管综合应用(广东省全民所有自然资源资产管理与监管子系统)等5个信息系统的等级保护测评和商用密码应用安全性评估工作,提交相关的测评报告并经采购人确认后,采购人在收到供应商提供的税务部门认可的有效发票之日起10个工作日内,向供应商支付中标价款总额30%; 3期:支付比例10%,本项目通过验收和提交所有成果,采购人在收到供应商提供的税务部门认可的有效发票之日起10个工作日内向供应商支付中标价款总额10%。 如项目发生合同融资,采购人应当将合同款项支付到合同约定收款账户。 |
|
验收要求 |
1期:1.验收标准和条件 (1)符合《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)等国家行业相关标准。 (2)符合本项目采购文件要求和供应商投标文件承诺的相应标准。 (3)双方在本项目实施过程中约定的其他相关技术要求。 (4)供应商向采购人提供项目《等级保护测评报告》(每个信息系统一份)、《商用密码应用安全性评估报告》(每个信息系统一份)以及合同约定须提供的其他材料,采购人对材料内容进行审核确认。 (5)供应商向采购人提供的《等级保护测评报告》须通过公安机关备案,并取得备案回执。 (6)供应商向采购人提供的《商用密码应用安全性评估报告》须通过密码管理部门备案,并取得备案回执。 2.验收方式 由采购人组织专家进行验收,必要时,可邀请第三方机构进行验收。 |
|
履约保证金 |
不收取 |
|
其他 |
其他,(一)报价要求 1.投标总报价为完成本项目全部内容的包干价,其费用包括但不限于采购代理费、税金、定级评审、服务费用、项目验收等可以预见的费用和一切不可预见的费用,供应商不得以任何理由要求采购人追加经费。 2.投标人须在开标一览表中报出投标总报价,在分项报价表中报出各分项报价,投标总报价超过预算金额或各分项报价超过对应分项的分项预算的均为无效报价。 (二)其他约定 1.因本项目资金来源为财政资金,供应商出具的发票须满足采购人资金来源管理要求。 2.供应商交付的服务、成果未能按期完成或验收不合格,致使本项目财政年度资金回收而无法支付本项目款项时,所造成的直接经济损失和预期损失由供应商承担。 |
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
测试评估认证服务 |
广东省智慧自然资源--时空数据治理与一体化管理服务(2022-2024年)项目-网络安全等级保护测评服务 |
项 |
1.00 |
680,000.00 |
680,000.00 |
软件和信息技术服务业 |
详见附表一 |
|
2 |
测试评估认证服务 |
广东省智慧自然资源--时空数据治理与一体化管理服务(2022-2024年)项目-商用密码应用评估服务 |
项 |
1.00 |
500,000.00 |
500,000.00 |
软件和信息技术服务业 |
详见附表二 |
附表一:广东省智慧自然资源--时空数据治理与一体化管理服务(2022-2024年)项目-网络安全等级保护测评服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
|
1 |
详见第二章采购需求。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
附表二:广东省智慧自然资源--时空数据治理与一体化管理服务(2022-2024年)项目-商用密码应用评估服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
|
1 |
详见第二章采购需求。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
收藏