招标文件
采购需求
一、项目概况:
“★”号条款
《用户需求书》中标注有“★”号的条款必须实质性响应,负偏离(不满足要求)将导致投标无效。
1. 项目概况
1.1. 基本信息
1.1.1. 项目名称
省数据资源“一网共享”平台数据安全第三方评估与常态化检查服务(2024年)项目
1.1.2. 采购人
广东省政务服务和数据管理局。
1.1.3. 用户单位
广东省政务服务和数据管理局。
1.1.4. 项目总体目标
参照《数据安全法》、《广东省公共数据安全管理办法》,协助采购人对当前省数据资源“一网共享”平台面临的数据安全风险现状进行梳理,协助对省数据资源“一网共享”平台数据安全体系的研究,梳理安全管理、安全运营、安全技术、合规评测各体系的建设情况,针对数据全生命周期的各个阶段,按照人防、物防、技防三防并举的防护措施,在数据活动的事前、事中、事后,对构建省数据资源“一网共享”平台“6+3+3”数据安全体系规划提供技术支撑、咨询建议。协助采购人对数据安全体系形成制度规范、技术防护和运行管理三位一体的政务大数据安全保障体系。
1.1.5. 服务地点
采购人指定的服务地点。
2. 项目背景
参照《数据安全法》、《广东省公共数据安全管理办法》,协助采购人对当前省数据资源“一网共享”平台面临的数据安全风险现状进行梳理,协助对省数据资源“一网共享”平台数据安全体系的研究,梳理安全管理、安全运营、安全技术、合规评测各体系的建设情况,针对数据全生命周期的各个阶段,按照人防、物防、技防三防并举的防护措施,在数据活动的事前、事中、事后,对构建省数据资源“一网共享”平台“6+3+3”数据安全体系规划提供技术支撑、咨询建议。协助采购人对数据安全体系形成制度规范、技术防护和运行管理三位一体的政务大数据安全保障体系。。
2.1. 项目预算
本项目总预算308.50万元。
|
序号 |
服务名称 |
服务内容 |
金额 (万元) |
|
1 |
数据安全第三方评估与常态化检查服务 |
1.数据安全体系咨询建议服务 2.数据安全运行监管 3.数据清理检查 4.接入系统数据安全评估服务 5.接入设备数据安全评估服务 6.核心服务器常态化安全检查服务 7.网络安全重点设施常态化安全专家检查服务 8.前置机常态化安全专家检查服务 9.数据接口常态化安全检查服务 10.应用系统常态化安全检查服务 11.迭代版本测试服务 12.风险评估服务 13.代码安全审计服务 14.数据安全管理制度编制咨询服务 |
308.50 |
3. 服务期限
本项目系统业务运营服务委托服务期限采用以下第 (3) 种方式:
(1)以合同签订之日为服务起始时间,服务期为个月。
(2)服务期自年月日至年月日止。
(3)以采购人确认的服务启动报审备案时间为服务起始时间,服务期为12个月。
4. 服务内容
本项目包括数据安全体系咨询建议服务、数据安全运行监管、数据清理检查、接入系统数据安全评估服务、接入设备数据安全评估服务、核心服务器常态化安全检查服务、网络安全重点设施常态化安全专家检查服务、前置机常态化安全专家检查服务、数据接口常态化安全检查服务、应用系统常态化安全检查服务、迭代版本测试服务、风险评估服务、代码安全审计服务以及数据安全管理制度编制咨询服务。
4.1. 数据安全第三方评估
4.1.1. 数据安全体系咨询建议服务
4.1.1.1. 服务内容
参照《数据安全法》、《广东省公共数据安全管理办法》,协助采购人对当前省数据资源“一网共享”平台面临的数据安全风险现状进行梳理,协助对省数据资源“一网共享”平台数据安全体系的研究,梳理安全管理、安全运营、安全技术、合规评测各体系的建设情况,针对数据全生命周期的各个阶段,按照人防、物防、技防三防并举的防护措施,在数据活动的事前、事中、事后,对构建省数据资源“一网共享”平台“6+3+3”数据安全体系规划提供技术支撑、咨询建议。协助采购人对数据安全体系形成制度规范、技术防护和运行管理三位一体的政务大数据安全保障体系。
4.1.1.2. 交付物
省数据资源“一网共享”平台数据安全建议书(1份)
4.1.2. 数据安全运行监管
4.1.2.1. 服务内容
“按照国务院《关于加强数字政府建设的指导意见》和《广东省数字政府改革建设“十四五”规划》要求,遵守“以法律标准为纲领、以制度规范为标尺、以审计评价为抓手、以体系建设为目标”的原则,监督和协助研究省数据资源“一网共享”平台构建安全管理、安全技术以及安全运营等方面的全市网络和数据安全保障体系,为数据安全同步规划、同步建设、同步运营“三同步”提供技术支撑。协助省政数局对各数据安全需求进行审核研判,通过定期不定期兼顾、在线非在线结合的方式,对于省数据资源“一网共享”平台开展数据安全运行监督管理,及时发现安全短板,准确识别安全风险,有针对性地加强防护措施,提前预防安全事件,保障省数据资源“一网共享”平台安全运行,进行常态化监督考核,对安全管理制度的要求进行跟踪和推动,跟踪管理制度的执行效果和整改情况,确保能得到有效落实,促进安全管理资源和信息流通的有序性,提升相关资源在实现安全管理目标上的效率和作用。
具体监管内容包括:一是安全制度管理监督。根据需要定期评估数据全生命周期类基础制度、人员类制度、产品类制度、个人信息类制度等文件适用性及执行效果,检查制度流程的实施情况,确保相关方及时获取且现行有效。及时发现各种不合规的异常操作行为,确保管理和技术措施、建设运营活动、安全管理、数据管理活动符合法律法规和管理制度的要求。检查制度流程落实情况,跟踪执行过程中存在的问题,分析问题原因,给出整改建议,给出整改建议并对问题整改跟踪闭环。
二是数据合规管理监督。按照其他跟踪完善数据安全合规管理规范,根据需要定期评估规范适用性及执行效果,确保相关方及时获取且现行有效。跟踪是否实施数据全生命周期监督管理,各业务团队资产管理责任人应按照相关要求及时登记、更新和定期维护本级数据资源。建立资产变更管理审批流程,实时监控资产的上线、变更、转移、销毁等信息,并配置相适应的安全管控措施。促进安全管理资源和信息流通的有序性,提升相关资源在实现安全管理目标上的效率和作用。
三是应急策略管理监督。评估是否有处置信息系统安全突发事件的能力,能够及时将损失降至最小程度,跟踪数据安全事件应急组织体系和工作机制的执行情况,是否能及时有效地控制、减轻和消除数据安全突发事件造成的社会危害和损失,保证省数据资源“一网共享”平台持续稳定运行和数据安全。对安全事件进行等级划分,设计政务信息系统数据备份与恢复管理规范,规范重要数据备份与恢复,保障应急工作的有效性。
4.1.2.2. 交付物
《省数据资源“一网共享”平台月度数据安全运行监管报告》(12份)
4.1.3. 数据清理检查
4.1.3.1. 服务内容
按照《国务院关于加强数字政府建设的指导意见》的要求,落实“一数一源一标准”工作,省数据资源“一网共享”平台根据《广东省公共数据管理办法》的相关规定进行数据清理,需定期对数据清理工作进行检查,采用现场访谈调研和技术验证等多种手段进行数据清理的检查工作,检查内容包括检查数据清理规则制定评估合理性、检查数据清理前后对应库表变更情况是否按照清理规则进行操作、检查对应被清理数据的作业停止情况、检查数据备份与恢复演练等情况。
4.1.3.2. 交付物
《数据清理检查报告》(4份)
4.1.4. 接入系统数据安全评估服务
4.1.4.1. 服务内容
接入系统数据安全评估服务:对接入省数据资源“一网共享”平台的系统进行数据安全评估,发现安全风险,提出整改建议,及时发现并整改安全隐患,避免发生存在安全隐患的政务信息系统接入影响到省数据资源“一网共享”平台,预防和减少数据安全事件,保障省数据资源“一网共享”平台的安全稳定运行。根据安全测评相关技术标准要求,对接入省数据资源“一网共享”平台的系统进行数据安全评估,提出安全整改建议,验证安全整改结果,出具安全评估报告。
接入系统数据安全评估过程将参照相关技术标准要求,采用数据安全相关的配置核查、渗透测试、漏洞扫描、人员访谈等方法,对政务信息系统相关的服务器操作系统、数据库系统、中间件系统、自身政务信息系统、数据安全及备份恢复策略等层面进行分析,评估政务信息系统是否具备足够的信息安全防护能力,是否满足行业及主管部门的安全管控要求,是否能够持续提供安全的业务支撑,是否能够保障敏感信息及重要数据安全等要求。对于每个服务对象,交付整改建议,总数量不少于400个系统。
4.1.4.2. 交付物
《接入系统数据安全评估报告》1份
4.1.5. 接入设备数据安全评估服务
4.1.5.1. 服务内容
对新增接入省数据资源“一网共享”平台的设备进行接入前数据安全评估,发现安全风险,提出整改建议,在接入前发现并整改安全隐患,避免发生存在安全隐患的设备接入影响到省数据资源“一网共享”平台,预防和减少数据安全事件,保障省数据资源“一网共享”平台的安全稳定运行。对照安全基线,对接入省数据资源“一网共享”平台的设备数据库系统进行配置核查,排查可能存在的安全隐患,根据发现的安全隐患和问题,编写整改意见,指导相关方进行整改修复工作。总数量不少于200台次设备。
4.1.5.2. 交付物
《接入设备数据安全评估报告》1份
4.1.6. 核心服务器常态化安全检查服务
4.1.6.1. 服务内容
每季度执行一次,服务期内执行四次,每次检查服务范围中省数据资源“一网共享”平台核心服务器,总数量约700台,以实际为准。使用漏洞扫描工具对省数据资源“一网共享”平台核心服务器进行安全漏洞扫描,人工分析、验证扫描结果,最大限度发现操作系统、数据库系统、管理组件、中间件及其它已开启的服务组件的版本缺陷、补丁缺陷、错误配置等脆弱性,编写漏洞扫描分析报告,指导相关方进行漏洞整改修复工作。
4.1.6.2. 交付物
核心服务器常态化安全检查季度报告(4份)
4.1.7. 网络安全重点设施常态化安全专家检查服务
4.1.7.1. 服务内容
服务期内执行两次,检查服务范围省数据资源“一网共享”平台日常运维涉及的各类网络安全重点设施,包括但不限于VPN、安全管理系统、堡垒机、防火墙、加密系统、审计系统、授权管理系统、溯源系统、跳板机、脱敏脱密系统、资产管理系统等,总数量约100台,以实际为准。由安全专家对省数据资源“一网共享”平台日常运维涉及的各类VPN、堡垒机、跳板机、运维终端、审计系统、监控系统、防火墙、资产管理系统、加密系统等网络安全重点设施进行配置核查和漏洞扫描,并检查相关日志记录情况,排查可能存在的不合规账号、不合规权限、配置缺陷及安全漏洞,防止安全控制措施失效的情况发生。根据发现的安全隐患和问题,编写分析报告,指导相关方进行整改修复工作。
4.1.7.2. 交付物
网络安全重点设施常态化安全专家检查报告(2份)
4.1.8. 前置机常态化安全专家检查服务
4.1.8.1. 服务内容
每季度执行一次,服务期内执行四次,服务范围省数据资源“一网共享”平台的前置机,服务期内执行约600台次,以实际为准。对已有前置机数据库系统进行配置核查,排查可能存在的安全隐患,检查与前置机相关的运维管理制度及日志记录,发现可能存在的管理缺失;根据发现的安全隐患和问题,编写分析报告,指导相关方进行整改修复工作。
4.1.8.2. 交付物
前置机常态化安全检查季度报告(4份)
4.1.9. 数据接口常态化安全检查服务
4.1.9.1. 服务内容
服务期内执行两次,服务范围省数据资源“一网共享”平台的各类数据调用接口,测试数量约为9000个次,以实际为准。使用漏洞扫描工具对省数据资源“一网共享”平台的各类数据调用接口进行漏洞检测,重点关注危害程度高、影响范围广及最新公布的各类漏洞,并在不影响接口正常功能的条件下人工验证检测结果;充分收集漏洞信息,根据暴露位置、利用方式、危险等级、流行程度、已有控制措施等因素综合分析,形成漏洞修复紧急度指示,编写漏洞扫描分析报告,指导相关方进行漏洞整改修复工作。
4.1.9.2. 交付物
数据接口常态化安全检查报告(2份)
4.1.10. 应用系统常态化安全检查服务
4.1.10.1. 服务内容
服务期内执行一次,检查服务范围中省数据资源“一网共享”平台的各类业务系统、Web应用,总数量约18个,以实际为准。使用漏洞扫描工具对省数据资源“一网共享”平台的各类业务应用系统、WEB应用进行非入侵式的漏洞检测,重点关注危害程度高、影响范围广及最新公布的各类漏洞,并在不影响系统正常运行的条件下验证检测结果;充分收集漏洞信息,根据暴露位置、利用方式、危险等级、流行程度、已有控制措施等因素综合分析,形成漏洞修复紧急度指示,编写漏洞扫描分析报告,指导相关方进行漏洞整改修复工作。
4.1.10.2. 交付物
应用系统常态化安全检查报告(1份)
4.1.11. 迭代版本测试服务
4.1.11.1. 服务内容
服务期内,安排人员对省数据资源“一网共享”平台相关开发的业务系统、功能模块、Web应用每逢关键版本更新(由经办人指定)执行一次,总次数按不限。
4.1.11.2. 交付物
迭代版本测试简报(按需)
4.1.12. 风险评估服务
4.1.12.1. 服务内容
对于每个指定的省数据资源“一网共享”平台18个子系统及若干用证、用数等相关业务系统、Web应用执行一次。综合运用配置核查、漏洞扫描、人员访谈等方法,对应用系统运行环境(服务器操作系统、数据库系统、中间件系统等方面)及应用系统自身(应用系统安全相关功能、业务逻辑)情况进行评估,发现安全风险,提出整改建议,指导相关方进行整改修复工作。(按需进行,不少于20次)
评估方法与内容
|
评估内容 |
评估方法 |
|||
|
配置核查 |
漏洞扫描 |
人员访谈 |
||
|
应用系统运行环境 |
操作系统 |
√ |
√ |
√ |
|
数据库系统 |
√ |
√ |
√ |
|
|
中间件系统 |
√ |
√ |
√ |
|
|
应用系统自身 |
安全相关功能 |
√ |
√ |
√ |
|
业务逻辑 |
√ |
|
√ |
|
√表示对于该测评内容,使用相应测评方法开展测评工作。
4.1.12.2. 交付物
风险评估报告(按需,不少于20份)
4.1.13. 代码安全审计服务
4.1.13.1. 服务内容
每个指定的省数据资源“一网共享”平台子系统及若干用证、用数等相关业务系统或功能模块执行一次。通过源代码审计,发现软件源代码中的缺陷和错误,并提供整改加固建议方案,指导相关方进行整改修复,提高系统代码安全性,降低后期系统上线运营过程中的安全风险和安全运维资源投入。(按需进行,不少于20次)
4.1.13.2. 交付物
代码安全审计报告(按需,不少于20份)
4.1.14. 数据安全管理制度编制咨询服务
4.1.14.1. 服务内容
数据类基础制度编制咨询服务,数据安全是以数据为核心,围绕数据安全生命周期进行建设以提高数据安全保障能力,数据安全管理制度是安全管理和数据应用各项工作有序开展的基础,是安全管理沟通和实施的依据。安全管理制度保障安全管理和数据应用各项功能的规范化运行,应建立政数局对应的制度体系,数据制度体系分层次设计,遵循严格的发布流程并定期检查和更新。提供数据安全管理制度编制咨询服务,为建立安全管理制度框架,并制定安全管理流程;整理安全管理制度内容、安全管理政策、安全管理办法、安全管理细则共同构成组织安全管理制度体系提供技术支撑。通过参照ISO27001、网络安全等级保护等国际国内标准的内容制度。制度编制工作包括内容调研、分层次设计、内容编制、专家评审,遵循严格的发布流程并定期检查和更新。内容分为数据全生命周期类基础制度、人员类制度、产品类制度。
其中数据全生命周期安全是一个长期持续的过程,需要在省数据资源“一网共享”平台内持续性的落实数据安全的相关制度和流程,提供数据全生命周期类基础制度编制咨询建议服务,不少于6个制度:
1.数据全生命安全管理制度:内容包括数据采集、数据传输、数据存储、数据使用、数据开放、数据共享交换、数据销毁相关的全生命周期安全管理要求;
2.重要数据安全保护指引:内容包括重要数据识别和保护要求;
3.前置机安全操作流程:内容包括前置机上线前、运行期间、下线的安全措施管控要求;
4.数据清理安全操作指引:内容包括清理安全规则、清理检查要求等;
5.数据安全管理运行监管制度:内容包括数据活动运行期间的监管要求;
6.数据安全应急机制:内容包括设置数据安全风险应急相应机制,联动数据安全组织、业务部门等开展风险评估和及时处理。
(具体以实际需求为准)
提供人员类制度编制咨询建议,省数据资源“一网共享”平台的数据安全策略、制度流程和技术工具等推进落地终究离不开人的执行,组织内不同部门、层级及不同来源的人员,在不同场景下直接和间接地接触数据资产,所以风险始终存在于人身上,需要在人员的招聘/引进、入职、转岗/调岗、离职等各个环节设置相应的风险控制措施,以降低人本身问题导致的数据安全风险。提供人员类制度编制咨询建议,不少于2个制度:
1.供应商数据安全管理制度:内容包括厘清各方权力责任边界,对各方数据交互行为进行合规管理,防范上下游的数据供应过程中的安全风险;
2.数据授权和审批操作指引:内容包括数据库、应用系统、服务器等数据角色和授权审批流程
(具体以实际需求为准)
提供产品类制度编制咨询建议服务,在产品的设计、开发和运维阶段都需要相应的安全技术控制手段,来实现对产品全生命周期的风险管理。提供产品类制度咨询建议,不少于4个制度:
1.应用产品开发数据安全要求:内容包括产品开发过程中需要遵守的安全规范;
2.数据接口开发安全要求:内容包括接口开发中数据接口设计要求;
3.数据库安全操作要求:内容包括数据库监控、数据库备份、日志审计等安全防护措施;
4.服务器安全操作指引:内容包括服务器使用过程中的安全操作要求。
(具体以实际需求为准)
4.1.14.2. 交付物
《数据全生命周期数据安全管理制度建议书》1套、《人员类数据安全管理制度建议书》1套、《产品类数据安全管理制度建议书》1套
5. 服务要求
5.1. 技术要求
5.1.1. 评估依据
本项目实施过程中参照以下标准规范:
(1) 《中华人民共和国网络安全法》
(2) 《信息安全等级保护管理办法》(公通字〔2007〕43 号)
(3) GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
(4) GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
(5) GB/T 35273-2020 《信息安全技术 个人信息安全规范》
(6) GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》
(7) T/ISEAA 002-2021 《信息安全技术 网络安全等级保护大数据基本要求》
(8) GB/T 39477-2020 《信息安全技术 政务信息共享 数据安全技术要求》
5.1.2. 评估对象
本项目的评估对象是省数据资源“一网共享”平台服务器、网络安全设备设施、前置机、数据接口、各类业务系统、Web应用,政务外网核心网络设备、网络安全重点设施、运营平台服务器和应用系统。具体服务对象由采购人指定。
5.1.3. 服务范围和服务频率
具体各项服务的服务对象范围和服务频次要求见下表:
|
序号 |
服务类型 |
服务名称 |
对象范围 |
频率 |
|
1 |
数据安全第三方评估与常态化检查 |
数据安全体系咨询建议服务 |
省数据资源“一网共享”平台 |
服务期内持续提供咨询服务,提供1份省数据资源“一网共享”平台数据安全建议书(1份) |
|
2 |
数据安全运行监管 |
省数据资源“一网共享”平台 |
服务期内每月1次,累计12次 |
|
|
3 |
数据清理检查 |
省数据资源“一网共享”平台相关数据库 |
服务期内每季度1次,累计4次 |
|
|
4 |
接入系统数据安全评估服务 |
省数据资源“一网共享”平台接入系统 |
服务期内按需提供,不少于400个系统 |
|
|
5 |
接入设备数据安全评估服务 |
省数据资源“一网共享”平台接入设备 |
服务期内按需提供,不少于200个设备 |
|
|
6 |
核心服务器常态化安全检查服务 |
省数据资源“一网共享”平台核心服务器 |
服务期内每季度1次,累计4次 |
|
|
7 |
网络安全重点设施常态化安全专家检查服务 |
省数据资源“一网共享”平台网络安全重点设施 |
服务期内执行2次 |
|
|
8 |
前置机常态化安全专家检查服务 |
省数据资源“一网共享”平台已对接前置机 |
服务期内每季度1次,累计4次 |
|
|
9 |
数据接口常态化安全检查服务 |
省数据资源“一网共享”平台数据接口 |
服务期内执行2次 |
|
|
10 |
应用系统常态化安全检查服务 |
省数据资源“一网共享”平台应用系统 |
服务期内执行1次 |
|
|
11 |
迭代版本测试服务 |
省数据资源“一网共享”平台应用系统 |
服务期内按需提供 |
|
|
12 |
风险评估服务 |
省数据资源“一网共享”平台应用系统 |
服务期内按需提供,不少于20个次 |
|
|
13 |
代码安全审计服务 |
省数据资源“一网共享”平台应用系统 |
服务期内按需提供,不少于20个次 |
|
|
14 |
其他业务运营服务
|
数据安全管理制度编制咨询服务 |
省数据资源“一网共享”平台 |
服务期内持续提供制度编制咨询服务,提供《数据全生命周期数据安全管理制度建议书》《人员类数据安全管理制度建议书》《产品类数据安全管理制度建议书》各1套。 |
5.1.4. 评估方法
数据安全第三方评估与常态化检查过程将参照国家标准相关技术标准要求,针对各类硬件设施、应用系统、子系统、功能模块等服务对象的特点及其重要程度,设置不同的测试测评周期(每周、每月或每季度),采用配置核查、渗透测试、漏洞扫描、代码审计、流量分析、人员访谈、综合评估等不同的测试方法开展测试评估工作,深入分析安全风险和隐患。评估各服务对象是否具备足够的安全防护、保障能力,是否满足行业及主管部门的安全管控要求,是否能够持续提供安全的业务支撑,是否能够保障敏感信息、重要数据及重要业务安全等。
主要评估方式如下:
配置检查。利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。
人员访谈。与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
文档审查。检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。
实地查看。通过实地观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
工具测试:根据被测单位信息系统的实际情况,测评人员使用端口扫描、数据捕获、协议分析和代码走查等适合的技术或工具对信息系统进行测试。
5.1.5. 评估工具
投标人应自带网络安全测试评估所需使用到的评估工具。为保证测试评估效果与质量,投标人应具备多种不同的综合漏洞扫描专业工具、WEB应用漏洞扫描专业工具、渗透测试专业工具、模糊测试专业工具、网络流量仿真工具。
★投标人需承诺所使用的评估工具应具备合法授权或为自主知识产权(非免费、开源或社区授权),否则所产生的法律纠纷由投标人全部承担责任,采购人不承担任何连带责任(投标时提供承诺函,格式自拟)。
5.1.6. 其他要求
★投标人必须承诺,合同签订后无条件接受采购人方采购人委托的第三方专业机构针对本项目服务内容执行情况的审查,一经发现存在转包、违规分包等问题,采购人有权按相关规定执行单方面解除合同、罚款、扣除未支付款项、上报政府采购监管部门等反制手段(投标时提供承诺函,格式自拟)。
★本项目不允许转包、分包。投标人必须承诺中标后不得进行转包、分包,一经发现,采购人有权按合同规定执行单方面解除合同、罚款、扣除未支付款项、上报政府采购监管部门等反制手段(投标时提供承诺函,格式自拟)。
★投标人承诺如中标(成交),投标(响应)文件所提供的材料,如果有效期(包括需要年审、继续教育等完成后才能执业的行政许可、人员证书等情形)未能覆盖项目(包组)合同履行期的,将提前按规定办理延期手续,确保合同顺利履行(投标时提供承诺函,可参照“投标文件格式”中《承诺函》格式)。
5.2. 管理要求
5.2.1. 服务人员
投标人须书面承诺,如在项目实际执行过程中发生项目经理不能按采购文件要求胜任相关工作的,采购人有权要求更换项目经理,中标人必须在两周内调整为符合采购文件要求且能胜任相关工作的项目经理并到位开展工作,否则采购人有权终止合同并报相关管理部门进行处理。
投标人承诺的项目经理和开发实施的主要人员未经用户同意不得调整;中标人如中途更换项目经理和主要开发技术人员,应征得用户同意,否则采购人有权终止合同。
投标人应指派固定的团队需要14名测试人员,其中4名全职初级工程师,10名高级工程师,其中:项目经理需具有信息化类相关硕士研究生或以上学历;具有中华人民共和国人力资源和社会保障部批准颁发信息系统项目管理师证书(高级)资质;具有信息安全保障人员认证证书(CISAW)或CISP或信息安全工程师证书;具有人社部门颁发的计算机技术与软件专业技术资格系统规划与管理(高级)资质。
团队人员建议具有中国信息安全测评中心颁发的注册渗透测试专家(CISP-PTS)证书或个人具备CNVD原创高危漏洞证书;中国信息安全测评中心颁发的注册信息安全管理人员(CISO)资质。
投标人所提供的项目经理和项目团队成员宜分别满足上述人员要求。如果投标人不能满足要求,根据《商务评分表》《技术评分表》的评分细则可能会影响技术商务评分。
投标人需每周完成省数据资源“一网共享”平台门户、个人数字空间、电子证照、物联感知、数据资产登记管理平台、开放广东6个系统的迭代测试,每周报告不止1份。
5.2.2. 进度要求
本项目运营服务及运维服务期限为12个月,起始时间以采购人确认的项目服务启动报审备案时间为准。投标人需明确本项目工作的方式、方法、过程步骤、按阶段分解的详细计划、对应计划应提交的工作成果、需要采购人协调与配合的事项,并经采购人审核、批准。
采购人有权监督和管理投标项目的测试、安装、调试、故障诊断、系统开发和验收等各项工作,中标人必须接受并服从采购人的监督、管理要求,按要求提供中间过程工作成果。
投标人在完全理解标书的要求后,提供实施计划,其中需要包括进度计划、里程碑、交付成果、人员安排等。
5.2.3. 组织实施要求
为使项目按质、按量、按时及有序实施,中标人应建立完善、稳定的项目团队、内部组织管理方式及管理机构、协调机制、技术基础,支撑保障要求及其他相关要求。在机制保障方面,成立实施小组组织模式。在项目日常管理和条件保障方面,从行政组织、后勤保障和支撑条件各方面创造良好的服务环境,确保项目的顺利实施。
5.2.4. 文档管理要求
投标人应在项目完成时,将本项目所有文档、资料汇集成册交付给采购人,所有文件要求用中文书写或有完整的中文注释。验收后,中标人按国家、省以及采购人档案管理要求,向采购人提供装订成册的纸质文档至少 1 套,电子文档 1 套。
5.2.5. 质量保证要求
为保证本项目能按时高质的顺利完成,规避项目风险或将风险降至最低程度,中标人应建立项目质量管理体系,包括但不限于质量目标、质量指标、岗位责任、问题处理计划、质量评价、整改完善等内容,并建立奖惩制度。
5.3. 验收标准
根据本项目工作内容与特点,本项目验收直接进行终验。项目终验在投标人完成本项目规定的所有服务内容且提出终验申请,并经采购人同意后开展。
服务验收应达到如下标准:
(1)完成各项服务内容,并提供相应成果物;
(2)对项目工作进行总结,交付服务总结报告。
具体各项服务成果物要求见下表:
|
序号 |
交付物 |
|
1 |
省数据资源“一网共享”平台数据安全建议书(1份) |
|
2 |
《省数据资源“一网共享”平台月度数据安全运行监管报告》(12份) |
|
3 |
《数据清理检查报告》(4次) |
|
4 |
《接入系统数据安全评估报告》(1份) |
|
5 |
《接入设备数据安全评估报告》(1份) |
|
6 |
核心服务器常态化安全检查季度报告(4份) |
|
7 |
网络安全重点设施常态化安全专家检查报告(2份) |
|
8 |
前置机常态化安全检查季度报告(4份) |
|
9 |
数据接口常态化安全检查报告(2份) |
|
10 |
应用系统常态化安全检查报告(1份) |
|
11 |
迭代版本测试简报(按需) |
|
12 |
风险评估报告(按需,不少于20份) |
|
13 |
代码安全审计报告(按需,不少于20份) |
|
14 |
《数据全生命周期数据安全管理制度建议书》《人员类数据安全管理制度建议书》《产品类数据安全管理制度建议书》各1套 |
5.4. 其他要求
5.4.1. 标准规范要求
数据安全第三方评估与常态化检查服务实施过程中参照以下安全标准规范:
(1)GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
(2)GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
(3)GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》
(4)GB/T 35273-2020 《信息安全技术 个人信息安全规范》
(5)GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》
(6)T/ISEAA 002-2021 《信息安全技术 网络安全等级保护大数据基本要求》
(7)GB/T 39477-2020 《信息安全技术 政务信息共享 数据安全技术要求》
5.4.2. 服务响应要求
投标人需承诺合同签订后1个月内提交项目实施方案。(投标时提交承诺函,格式自拟)。
5.4.3. 资产权属
1.本项目不会引起任何已申请、登记的知识产权所有权的转移。
2.投标人为履行本合同义务所形成的所有服务成果的知识产权归采购人单独所有。投标人不得在未征求采购人书面同意的情况下使用或者授权他人使用本项目下的成果及相关信息,否则相关收益归采购人所有,投标人应另向采购人承担相应责任,并赔偿采购人全部损失。
3.本合同所涉及的数据所有权归政府所有。投标人只能用于履行本项目之义务。
4.投标人提供的相关软件应是自行开发的产品或具备合法、合规授权,满足知识产权、安全等保三级等方面的有关规定和要求。
5.投标人保证向采购人提供的服务成果是其独立实施完成,不存在任何侵犯第三方专利权、商标权、著作权等合法权益的情形。如因投标人提供的服务成果侵犯任何第三方的合法权益,导致该第三方追究采购人责任的,投标人应负责解决并赔偿因此给采购人造成的全部损失。
5.4.4. 保密要求
1.投标人应签订保密协议,对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守,保证不被披露或使用,包括意外或过失。
2.投标人不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息;不得直接或间接地向无关人员泄露采购人的商业秘密和党政机关保密信息;不得向不承担保密义务的任何第三人披露采购人的商业秘密和党政机关保密信息。投标人在从事政府项目时,不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息,严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或投标人内部与该项目无关的任何人员。
3.投标人对于工作期间知悉采购人的商业秘密和党政机关保密信息(包括业务信息在内)或工作过程中接触到的政府机关文件(包括内部发文、各类通知及会议记录等)的内容,同样承担保密责任,严禁将政府机关内部会议、谈话内容泄露给无关人员;不得翻阅与工作无关的文件和资料。
4.严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。
5.4.5. 监理要求
投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。
5.4.6. 考核要求
投标人需承诺在服务的过程中无条件接受采购人的考核,并按照采购人考核标准的要求开展工作。
5.4.7. 评价结算要求
采购人对中标人服务期内进行考核评分,评价分数范围与支付结算标准如下表:
评价结算标准表
|
序号 |
评价分数范围 |
评价等级 |
支付比例 |
|
1 |
90分≤评价分数≤100分 |
优秀 |
100% |
|
2 |
75分≤评价分数<90分 |
良好 |
90% |
|
3 |
60分≤评价分数<75分 |
中等 |
70% |
|
4 |
评价分数<60分 |
不合格 |
评价分数/100 * 100% |
尾款=合同金额*支付比例-首付款。
6. 付款方式(以合同约定为准)
本项目分 3 期支付,具体支付方式和时间如下:
1. 首期款:合同签订后15个工作日内,中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动首期款支付流程,首期款约占合同金额的20%。(如财政部门另有规定的,从其规定)
2. 尾款:本项目服务期满且最终验收通过后15个工作日内,采购人根据评价结算标准计算,计算项目尾款支付金额。如尾款支付金额 > 0,中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动尾款支付流程,支付已通过验收的合同内容对应的尾款;如尾款支付金额=0元,采购人无需支付尾款;如尾款支付金额<0元,中标人需依规定退回该部分金额。(以最后成交价计算,但不超于本项目当年预算)。
项目实际支付总金额按采购成交总金额计算,项目支付计划按合同约定执行,对于满足合同约定支付条件的,采购人应当自收到发票后10个工作日内将资金支付到合同约定的中标人账户,不得以机构变动、人员更替、政策调整等为由延迟付款,不得将采购文件和合同中未规定的义务作为向中标人付款的条件。
采购包1(省数据资源“一网共享”平台数据安全第三方评估与常态化检查服务(2024年)项目)1.主要商务要求
|
标的提供的时间 |
本项目系统业务运营服务委托服务期限采用以下第 (3) 种方式: (1)以合同签订之日为服务起始时间,服务期为个月。 (2)服务期自年月日至年月日止。 (3)以采购人确认的服务启动报审备案时间为服务起始时间,服务期为12个月。 |
|
标的提供的地点 |
采购人指定的服务地点。 |
|
付款方式 |
1期:支付比例20%,首期款:合同签订后15个工作日内,中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动首期款支付流程,首期款约占合同金额的20%。(如财政部门另有规定的,从其规定) 2期:支付比例80%,2. 尾款:本项目服务期满且最终验收通过后15个工作日内,采购人根据评价结算标准计算,计算项目尾款支付金额。如尾款支付金额 > 0,中标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动尾款支付流程,支付已通过验收的合同内容对应的尾款;如尾款支付金额=0元,采购人无需支付尾款;如尾款支付金额<0元,中标人需依规定退回该部分金额。(以最后成交价计算,但不超于本项目当年预算)。 如项目发生合同融资,采购人应当将合同款项支付到合同约定收款账户。 |
|
验收要求 |
1期:根据本项目工作内容与特点,本项目验收直接进行终验。项目终验在投标人完成本项目规定的所有服务内容且提出终验申请,并经采购人同意后开展。 服务验收应达到如下标准: (1)完成各项服务内容,并提供相应成果物; (2)对项目工作进行总结,交付服务总结报告 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
其他运营服务 |
数据安全第三方评估与常态化检查服务 |
项 |
1.00 |
3,085,000.00 |
3,085,000.00 |
软件和信息技术服务业 |
详见附表一 |
附表一:数据安全第三方评估与常态化检查服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
投标人需承诺所使用的评估工具应具备合法授权或为自主知识产权(非免费、开源或社区授权),否则所产生的法律纠纷由投标人全部承担责任,采购人不承担任何连带责任(投标时提供承诺函,格式自拟)。 |
|
★ |
2 |
投标人必须承诺,合同签订后无条件接受采购人方采购人委托的第三方专业机构针对本项目服务内容执行情况的审查,一经发现存在转包、违规分包等问题,采购人有权按相关规定执行单方面解除合同、罚款、扣除未支付款项、上报政府采购监管部门等反制手段(投标时提供承诺函,格式自拟)。 |
|
★ |
3 |
本项目不允许转包、分包。投标人必须承诺中标后不得进行转包、分包,一经发现,采购人有权按合同规定执行单方面解除合同、罚款、扣除未支付款项、上报政府采购监管部门等反制手段(投标时提供承诺函,格式自拟)。 |
|
★ |
4 |
投标人承诺如中标(成交),投标(响应)文件所提供的材料,如果有效期(包括需要年审、继续教育等完成后才能执业的行政许可、人员证书等情形)未能覆盖项目(包组)合同履行期的,将提前按规定办理延期手续,确保合同顺利履行(投标时提供承诺函,可参照“投标文件格式”中《承诺函》格式)。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
收藏