長(zhǎng)沙商貿(mào)旅游職業(yè)技術(shù)學(xué)院

智慧校園信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目招標(biāo)公告

 

根據(jù)長(zhǎng)沙商貿(mào)旅游職業(yè)技術(shù)學(xué)院的信息系統(tǒng)運(yùn)行狀況、對(duì)當(dāng)前新機(jī)房網(wǎng)絡(luò)建設(shè)的實(shí)際需求提出學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)安全等級(jí)保護(hù)備案測(cè)評(píng)服務(wù)工作，按照國(guó)家政策要求完成核心系統(tǒng)的信息安全等級(jí)保護(hù)備案測(cè)評(píng)和整改建議，并對(duì)信息系統(tǒng)開(kāi)展信息安全保障服務(wù)工作。

一、項(xiàng)目名稱(chēng)：智慧校園信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)

二、工作地點(diǎn)：圭白路校區(qū)

三、等保備案測(cè)評(píng)對(duì)象、服務(wù)內(nèi)容及要求：（見(jiàn)附件）

四、施工和完工時(shí)間：合同簽訂之日起60天內(nèi)完成

五、招標(biāo)方式：競(jìng)爭(zhēng)性談判（合理低價(jià)中標(biāo)）

六、對(duì)投標(biāo)單位要求與結(jié)算付款方式：

（一）招標(biāo)控制價(jià)    

人民幣171000.00元

（二）投標(biāo)要求

1、投標(biāo)人必須未被列入“信用中國(guó)”網(wǎng)站(www.creditchina.gov.cn)失信被執(zhí)行人、重大稅收違法案件當(dāng)事人、政府采購(gòu)嚴(yán)重違法失信行為記錄名單和“中國(guó)政府采購(gòu)”網(wǎng)站（www.ccgp.gov.cn）政府采購(gòu)嚴(yán)重違法失信行為記錄名單。

2、投標(biāo)人需提供①法定代表人身份證明原件和法定代表人身份證原件，若為授權(quán)人則提供法定代表人授權(quán)委托書(shū)原件、被授權(quán)代表人身份證復(fù)印件及被授權(quán)代表人在該企業(yè)近三個(gè)月（2019年1月-2019年6月內(nèi)任意連續(xù)三個(gè)月）的社保證明材料，②企業(yè)法人營(yíng)業(yè)執(zhí)照副本(或者法人登記證書(shū))復(fù)印件。所有提供資料均需加蓋公章，投標(biāo)文件一正兩副，密封遞交。

3、投標(biāo)人須具備國(guó)家信息安全等級(jí)保護(hù)測(cè)評(píng)授權(quán)。

（三）結(jié)算與付款方式：

1.本項(xiàng)目采用按實(shí)結(jié)算的方式。投標(biāo)人應(yīng)根據(jù)項(xiàng)目要求和現(xiàn)場(chǎng)情況，詳細(xì)計(jì)算項(xiàng)目所需的所有人工、管理、制作、稅費(fèi)等所有費(fèi)用，如一旦中標(biāo)，在項(xiàng)目實(shí)施中出現(xiàn)任何遺漏，均由中標(biāo)人免費(fèi)提供，采購(gòu)人不再支付任何費(fèi)用。投標(biāo)人在投標(biāo)前，需踏勘現(xiàn)場(chǎng)，有關(guān)費(fèi)用自理，踏勘期間發(fā)生的意外自負(fù)。

2、由甲方和乙方共同驗(yàn)收合格后，按長(zhǎng)沙市政府集中支付有關(guān)規(guī)定辦理付款

七、報(bào)名時(shí)間、地點(diǎn)、資料：

（一）現(xiàn)場(chǎng)報(bào)名時(shí)間：2019年7月9日至2019年7月11日（8:30-11:30，14:30-17:00）

（二）現(xiàn)場(chǎng)報(bào)名地點(diǎn)：敬業(yè)樓318室

（三）報(bào)名資料：①提供法定代表人身份證明原件和法定代表人身份證原件，若為授權(quán)人則提供法定代表人授權(quán)委托書(shū)原件、被授權(quán)代表人身份證復(fù)印件及被授權(quán)代表人在該企業(yè)近三個(gè)月（2019年1月-6月內(nèi)任意連續(xù)三個(gè)月）的社保證明材料，②企業(yè)法人營(yíng)業(yè)執(zhí)照副本(或者法人登記證書(shū))復(fù)印件。以上資料均需加蓋單位公章。

八、開(kāi)標(biāo)時(shí)間、地點(diǎn)：

2019年7月12日上午11：00，敬業(yè)樓501會(huì)議室

九、聯(lián)系人及聯(lián)系電話：

聯(lián)系人：羅老師

聯(lián)系電話：（0731）89768421

地址：長(zhǎng)沙市雨花區(qū)圭白路16號(hào)學(xué)校敬業(yè)樓318辦公室

 

   長(zhǎng)沙商貿(mào)旅游職業(yè)技術(shù)學(xué)院計(jì)劃財(cái)務(wù)處（政府采購(gòu)辦）

        2019年7月9日

 

 

 

 

 

附件：等保備案測(cè)評(píng)對(duì)象、服務(wù)內(nèi)容及要求

一、等保備案測(cè)評(píng)對(duì)象

長(zhǎng)沙商貿(mào)旅游職業(yè)技術(shù)學(xué)院3個(gè)信息系統(tǒng)按照二級(jí)安全等級(jí)保護(hù)級(jí)別的要求進(jìn)行安全等級(jí)保護(hù)備案測(cè)評(píng)工作。

二、目標(biāo)

通過(guò)對(duì)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作，找出目前信息系統(tǒng)的安全防護(hù)能力與國(guó)家標(biāo)準(zhǔn)與行業(yè)要求之間的差距，出具國(guó)家認(rèn)可的《信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》。以達(dá)到加大信息安全建設(shè)宣傳力度，提高整體安全意識(shí)、發(fā)現(xiàn)目前安全管理制度缺陷、發(fā)掘深層次技術(shù)漏洞等目的。

三、服務(wù)詳細(xì)內(nèi)容

長(zhǎng)沙商貿(mào)旅游職業(yè)技術(shù)學(xué)院3個(gè)重要信息系統(tǒng)進(jìn)行等保備案測(cè)評(píng)，找出系統(tǒng)安全防護(hù)能力與國(guó)家標(biāo)準(zhǔn)的差距，檢查內(nèi)容包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、工具測(cè)評(píng)以及安全管理。

物理安全

對(duì)物理層面已有的安全措施進(jìn)行梳理，針對(duì)安全措施缺省或安全措施不到位的情況提出整改建議。結(jié)合管理制度中環(huán)境管理評(píng)估，從制度上規(guī)范對(duì)機(jī)房供電系統(tǒng)、布線情況、防火設(shè)施、防雷設(shè)備等的檢測(cè)、維護(hù)過(guò)程，能定期嚴(yán)格按照制度開(kāi)展工作，保證在部署安全設(shè)施后安全設(shè)施本身的正常運(yùn)作。

網(wǎng)絡(luò)安全

對(duì)網(wǎng)絡(luò)設(shè)備常規(guī)配置項(xiàng)進(jìn)行檢查，同時(shí)結(jié)合對(duì)信息系統(tǒng)現(xiàn)狀、技術(shù)特點(diǎn)和安全防護(hù)進(jìn)行綜合分析，找出漏洞并提出建議。

主機(jī)安全

針對(duì)主機(jī)操作系統(tǒng)或數(shù)據(jù)庫(kù)系統(tǒng)常規(guī)配置進(jìn)行檢查，結(jié)合業(yè)務(wù)實(shí)際情況，評(píng)估策略配置的合理性，并提出整改建議。

應(yīng)用安全

對(duì)應(yīng)用系統(tǒng)相關(guān)安全配置或模塊進(jìn)行檢查，并通過(guò)一系列簡(jiǎn)單的操作進(jìn)行驗(yàn)證測(cè)試，驗(yàn)證配置策略的有效性并針對(duì)發(fā)現(xiàn)的漏洞提出建議。

數(shù)據(jù)安全

對(duì)應(yīng)用層面、網(wǎng)絡(luò)層面數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)保護(hù)措施的總結(jié)，同時(shí)專(zhuān)門(mén)針對(duì)數(shù)據(jù)存儲(chǔ)系統(tǒng)進(jìn)行檢查，找出數(shù)據(jù)在集中存儲(chǔ)過(guò)程中存在的漏洞并提出建議。

工具測(cè)試

通過(guò)工具掃描，對(duì)網(wǎng)絡(luò)層面與系統(tǒng)層面手工檢查到的漏洞進(jìn)行驗(yàn)證，同時(shí)發(fā)現(xiàn)一些人工難以查到的漏洞，如系統(tǒng)本身漏洞等。針對(duì)發(fā)現(xiàn)的漏洞提供整改建議。

安全管理

對(duì)已存在各類(lèi)制度、規(guī)范、操作規(guī)程等進(jìn)行全面梳理，利于用戶方更清晰的了解當(dāng)前管理工作情況與存在的不足，對(duì)提出更明確的總體安全策略、目標(biāo)及安全框架提供依據(jù)，從而制定出一套全面、規(guī)范的管理體系。

項(xiàng)目主要包括以下工作：

1．記錄網(wǎng)絡(luò)運(yùn)行現(xiàn)狀及安全狀況

記錄被測(cè)網(wǎng)絡(luò)的基本情況包括但不限于：網(wǎng)絡(luò)的運(yùn)營(yíng)使用單位、投入運(yùn)行時(shí)間、承載的業(yè)務(wù)情況、系統(tǒng)服務(wù)情況以及定級(jí)情況。

2. 應(yīng)用系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)與報(bào)告

基于國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和文件的要求，針對(duì)測(cè)評(píng)應(yīng)用系統(tǒng)，結(jié)合長(zhǎng)沙商貿(mào)旅游職業(yè)技術(shù)學(xué)院的組織架構(gòu)、業(yè)務(wù)要求、系統(tǒng)實(shí)際情況，通過(guò)一套規(guī)范的等保整改評(píng)估過(guò)程，幫助用戶方進(jìn)行等級(jí)保護(hù)符合性檢查，明確等級(jí)保護(hù)差距，對(duì)等級(jí)測(cè)評(píng)結(jié)果進(jìn)行匯總統(tǒng)計(jì)（測(cè)評(píng)項(xiàng)符合情況及比例、單元測(cè)評(píng)結(jié)果符合情況比例以及整體測(cè)評(píng)結(jié)果）；通過(guò)對(duì)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)基本安全保護(hù)狀態(tài)的分析給出等級(jí)測(cè)評(píng)結(jié)論（結(jié)論為達(dá)標(biāo)、基本達(dá)標(biāo)、不達(dá)標(biāo)）。逐一對(duì)上述信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，出具《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告》。 具體要求如下：

等級(jí)測(cè)評(píng)工作是本項(xiàng)目的重點(diǎn)，主要包括單元測(cè)評(píng)和整體測(cè)評(píng)，其中單元測(cè)評(píng)是對(duì)信息系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等的逐項(xiàng)測(cè)評(píng)，并進(jìn)行漏洞掃描和滲透測(cè)試；整體測(cè)評(píng)是在單元測(cè)評(píng)的基礎(chǔ)上，通過(guò)進(jìn)一步分析信息系統(tǒng)安全保護(hù)功能的整體相關(guān)性，對(duì)信息系統(tǒng)實(shí)施的綜合安全測(cè)評(píng)。出具各系統(tǒng)的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》。測(cè)評(píng)內(nèi)容應(yīng)包括但不限于以下內(nèi)容：

（1）安全技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；

（2）安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)；

（3）系統(tǒng)整體測(cè)評(píng)：控制間測(cè)評(píng)、層面間測(cè)評(píng)、區(qū)域間測(cè)評(píng)、系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)。

四、服務(wù)交付

1、中標(biāo)人對(duì)等保備案測(cè)評(píng)的信息系統(tǒng)出具國(guó)家認(rèn)可的《信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》

2、中標(biāo)人協(xié)助學(xué)校向公安部門(mén)提交定級(jí)備案材料，取得信息系統(tǒng)安全等級(jí)保護(hù)備案證書(shū)。

五、人員要求

1、投標(biāo)人應(yīng)提供相關(guān)項(xiàng)目的經(jīng)驗(yàn)，并詳細(xì)描述支撐案例。中標(biāo)人應(yīng)詳細(xì)描述項(xiàng)目過(guò)程中人員的組成及職責(zé)。中標(biāo)人應(yīng)配置有信息安全項(xiàng)目管理經(jīng)驗(yàn)的管理人員進(jìn)行本項(xiàng)目的管理；

2、中標(biāo)人服務(wù)團(tuán)隊(duì)人員要求不少于4人，項(xiàng)目經(jīng)理應(yīng)有CISP或同等資質(zhì)；項(xiàng)目實(shí)施小組人員職稱(chēng)要求不低于中級(jí)職稱(chēng)；且均具備不少于2年的安全咨詢(xún)服務(wù)項(xiàng)目經(jīng)驗(yàn)，現(xiàn)場(chǎng)實(shí)施小組每個(gè)成員至少具備CISP或等保測(cè)評(píng)師等以上認(rèn)證證書(shū)之一；

3、中標(biāo)人在實(shí)施過(guò)程中對(duì)采購(gòu)人參與人員進(jìn)行相應(yīng)的培訓(xùn)和實(shí)踐指導(dǎo)。

六、服務(wù)要求

1、中標(biāo)人對(duì)進(jìn)行系統(tǒng)安全評(píng)估操作時(shí)，經(jīng)過(guò)采購(gòu)人安全管理員和安全系統(tǒng)操作員及安全系統(tǒng)審計(jì)員共同確定后方可執(zhí)行，若有變更需提前提出申請(qǐng)報(bào)批，必要時(shí)還要上報(bào)采購(gòu)人有關(guān)領(lǐng)導(dǎo)審批，執(zhí)行過(guò)程按照既定方案進(jìn)行。

2、按服務(wù)標(biāo)準(zhǔn)和要求為學(xué)校提供等保備案測(cè)評(píng)服務(wù)。

3、在等保測(cè)評(píng)服務(wù)過(guò)程中，保證不因服務(wù)實(shí)施而導(dǎo)致被測(cè)系統(tǒng)及其關(guān)聯(lián)系統(tǒng)出現(xiàn)故障，影響學(xué)校的正常工作。

4、保密要求：中標(biāo)人須對(duì)服務(wù)項(xiàng)目的所有有關(guān)信息和資料保密，未經(jīng)學(xué)校同意，不得用作其他用途。

七、服務(wù)期限、實(shí)施地點(diǎn)及結(jié)算方法

1．服務(wù)期限：60天，自雙方合同簽訂之日起開(kāi)始計(jì)算。

2．實(shí)施地點(diǎn)：學(xué)校指定地點(diǎn)。

3．結(jié)算方法

（1）付款人：長(zhǎng)沙商貿(mào)旅游職業(yè)技術(shù)學(xué)院（國(guó)庫(kù)集中支付）

（2）付款方式：雙方合同簽訂后，學(xué)校首次支付項(xiàng)目費(fèi)用的40%；等保備案測(cè)評(píng)在備案通過(guò)后，學(xué)校付清項(xiàng)目尾款60%。

（3）如項(xiàng)目未按期交付，或?qū)嵤┻^(guò)程因中標(biāo)方過(guò)錯(cuò)給學(xué)校帶來(lái)?yè)p失（包含數(shù)據(jù)損失、設(shè)備損失、精神損失（處分、處罰）），學(xué)?？删芙^支付項(xiàng)目60%的余款項(xiàng)，并有權(quán)與中標(biāo)方終止合同并向中標(biāo)方索賠。

4．本項(xiàng)目采用費(fèi)用包干方式建設(shè)，供應(yīng)商應(yīng)根據(jù)項(xiàng)目要求和現(xiàn)場(chǎng)情況，詳細(xì)列明項(xiàng)目所需的所有費(fèi)用，如一旦中標(biāo)，在項(xiàng)目實(shí)施中出現(xiàn)任何遺漏，均由中標(biāo)方免費(fèi)提供，學(xué)校不再支付任何費(fèi)用。

5．其他未盡事宜，由采購(gòu)人與中標(biāo)人雙方協(xié)商在合同中約定。

八、項(xiàng)目驗(yàn)收

  中標(biāo)人應(yīng)在服務(wù)期內(nèi)完成所有的安全服務(wù)，根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)工作完成情況，進(jìn)行驗(yàn)收。