云南计量测试技术研究院理化与.docx

云南计量测试技术研究院理化与.docx

《云南计量测试技术研究院理化与.docx》由会员分享，可在线阅读，更多相关《云南计量测试技术研究院理化与.docx（30页珍藏版）》请在冰豆网上搜索。

云南计量测试技术研究院理化与

诚泰财产保险股份有限公司

信息系统等保测评服务竞争性竟谈项目

竞

谈

文

件

诚泰财产保险股份有限公司

二〇一七年九月

报价一览表 

项目名称：

诚泰财产保险股份有限公司信息系统等保测评服务竞争性竟谈项目

项目编号:

竟谈申请单位全称（盖章）：

项目总价（元）

大写

小写

项目完成时间

法人或授权代理人（签字）：

注：

1、此报价为含税报价,竟谈申请人应将此页放在竟谈申请文件封面后第一页；

2、竟谈申请人在递交竟谈申请文件时必须携带下列资料、证件，供查验：

2.1法人营业执照副本（原件、复印件均可）及相关证明证件

2.2法定代表人证明书（法定代表人亲自参加投标）或法定代表人授权委托书（委托代理人参加投标）（原件）

2.3法人或委托代理人的身份证（原件）

3、此表可根据实际需要扩展分项细目。

   第一部分竞争性竟谈采购公告

项目概况如下：

1、项目编号：

2、项目名称：

诚泰财产保险有限公司信息系统等保测评服务竞争性竟谈项目

3、采购内容：

采购预算：

300,000.00元

序号

项目名称

具体参数要求

数量

计量单位

预算金额（元）

1

等保三级系统测评服务

详见竟谈文件

11

项

300,000.00

4、资质要求：

4.1符合《中华人民共和国政府采购法》第二十二条的规定。

4.1.1具有独立承担民事责任的能力；（具有企业法人营业执照、税务登记证、组织机构代码证（或三证合一的营业执照）；）

4.1.2具有良好的商业信誉和健全的财务会计制度；（内容为上年度（2016年）财务报表复印件（经营不满一年的出具相关财务状况证明文件）或银行出具的资信证明文件；）

4.1.3有依法缴纳税收和社会保障资金的良好记录；（时间范围：

缴税所属时间在2017年1月至今任意1个月的税务局税收通用缴款书复印件或银行电子缴税（费）凭证复印件或税务局出具纳税情况的相关证明复印件；提供缴费所属时间在2017年1月至今任意1个月的社会保险费缴款书复印件或银行电子缴税（费）凭证复印件或社保管理部门出具的有效的缴款证明复印件）

4.1.4参加政府采购活动前三年内，在经营活动中没有重大违法记录、责令停业、财产被接管、冻结破产状态。

（投标人自行承诺）；

4.2法定代表人为同一个人的两个及两个以上法人，母公司、全资子公司及其控股公司，都不得在本项目中同时投标。

4.3供应商须提供公安部门颁发的《信息安全等级保护测评机构推荐证书》复印件或相关证明材料；

4.4本项目成交商不允许转包、不接受联合体的申请。

5、竟谈申请文件递交

递交截止时间：

2017年XX月XX日下午17：

00

地点：

云南省昆明市民航路400号18楼；

8、竟谈会

开始时间：

2017年XX月XX日上午09：

30；

地点：

云南省昆明市民航路400号18楼；

9、其他

竟谈申请单位在决定参加竟谈前务必认真阅读本竞争性竟谈文件的全部内容，竞争性竟谈文件如有变更、补充等，将以书面形式发布。

联系人：

电话：

传真：

邮箱：

（此页以下空白无正文）

第二部分竟谈内容和要求

一、项目内容和要求

1、服务范围和内容

根据相关网络信息安全要求，对等保三级信息系统进行安全测评。

信息系统测评服务周期为两年，在测评服务期内，等保三级系统提供一次安全测评。

测评内容包括两个方面：

一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评信息系统的整体安全性。

安全控制测评分为安全技术测评和安全管理测评两大类。

安全技术测评包括：

物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的测评；安全管理测评包括：

安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的测评。

系统整体测评须在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

2、具体测评要求

2.1服务周期和地点

在本项目约定的服务条款基础上，中标单位可根据实际情况与用户方，在服务周期和服务地点等方面进行再约定。

2.2测评服务标准规范

按照GB/22239-2008:

《信息安全技术信息系统安全登记保护基本要求》、GB/T28448-2012：

《信息安全技术信息系统安全等级保护测评要求》和GB/T28449-2012:

《信息系统安全等级保护测评过程指南》文件要求，开展信息系统测评工作，投标方需要使用知名安全厂商专业的漏洞扫描、WEB应用扫描、安全配置核查工具，避免人工检查失误，核查工具详细要求如下：

（1）集成系统漏洞扫描、Web应用扫描、配置核查于一体的专业工具。

（2）漏洞特征库的漏洞特征不少于20000种。

（3）漏洞库与CVE、CNCVE、CNNVD和BUGTRAQ等国际、国内标准兼容。

（4）同时支持在IPv4和IPv6环境中部署和执行扫描任务，扫描环境中的设备、系统。

（5）支持云平台扫描，漏洞覆盖OpenStack、KVM、VMware、Xen、HyperV等平台。

（6）提供对各种Web应用系统的扫描，支持检测SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等；

（7）安全基线检查脚本库与安全检查功能和配置规范要求兼容；

（8）提供对网络设备、中间件和网站开源架构类的安全配置核查；

（9）提供漏洞验证功能，在扫描结束后，能够对结果中的重要漏洞进行现场验证，展示漏洞利用过程和风险，检查结果报告中的漏洞应具备统一的CVSS国际标准评分，以准确衡量漏洞的危险级别，为漏洞修补工作的优先级提供指导，同时报告中包含如下检查信息：

问题编号、测评对象、测评项、安全类别、判定依据、标准值、实际值、结果描述、风险评估、问题分析、加固方案、整改建议。

（10）对于不希望提供管理员账号和密码的个人主机系统，支持提供代理检查的方式，代理检查结果自动上传到检查服务器，并支持代理设备中的中间件及数据库核查。

（11）对扫描失败的设备和检查项有非常准确的失败信息反馈。

（12）提供核查脚本的自定义功能，并能按顺序清晰展示脚本使用的命令集合。

（13）服务中使用的工具、设备、软件须是原厂授权的国产产品；

2.3安全技术测评

主要包括：

物理安全技术测评、网络安全技术测评、主机安全技术测评、应用安全技术测评、数据安全与备份恢复技术测评等五个层面上的测评。

（1）物理安全

物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等），设备和介质的防盗窃防破坏等方面。

须测评以下十个控制点：

1.物理位置的选择；

2.物理访问控制；

3.防盗窃和防破坏；

4.防雷击；

5.防火；

6.防水和防潮；

7.防静电；

8.温湿度控制；

9.电力供应；

10.电磁防护；

（2）网络安全

网络安全主要涉及网络结构、网络边界以及网络设备自身安全等。

须测评以下七个控制点：

●结构安全；

●访问控制；

●安全审计；

●边界完整性检查；

●入侵防范；

●恶意代码防范；

●网络设备防护；

（3）主机（数据库）安全

主机系统安全须测评以下九个控制点：

1.身份鉴别；

2.安全标记；

3.访问控制；

4.可信路径；

5.安全审计；

6.入侵防范；

7.恶意代码防范；

8.资源控制；

（4）应用安全

应用安全须测评以下十一个控制点：

1.身份鉴别；

2.安全标记；

3.访问控制；

4.可信路径；

5.安全审计；

6.剩余信息保护；

7.通信完整性；

8.通信保密性；

9.抗抵赖；

10.软件容错；

11.资源控制；

（5）数据安全及备份恢复

保证数据安全和备份恢复测评以下三个控制点：

1.数据完整性；

2.数据保密性；

3.备份和恢复；

2.4安全管理测评

主要包括：

安全管理制度测评、安全管理机构测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等五个层面上的测评；

1.安全管理制度

安全管理制度测评以下三个控制点：

（1）管理制度；

（2）制定和发布；

（3）评审和修订；

2.安全管理机构

安全管理机构测评以下五个控制点：

（1）岗位设置；

（2）人员配备；

（3）授权和审批；

（4）沟通和合作；

（5）审核和检查；

3.人员安全管理

对人员安全的管理，主要涉及两方面：

对内部人员的安全管理和对外部员的安全管理。

测评以下五个控制点：

（1）人员录用；

（2）人员离岗；

（3）人员考核；

（4）安全意识教育和培训；

（5）外部人员访问管理；

4.系统建设管理

系统建设管理测评以下十一个控制点：

（1）系统定级；

（2）安全方案设计；

（3）产品采购；

（4）自行软件开发；

（5）外包软件开发；

（6）工程实施；

（7）测试验收；

（8）系统交付；

（9）系统备案；

（10）等级测评；

（11）安全服务商选择；

5.系统运维管理

系统运维管理测评以下十三个控制点：

（1）环境管理；

（2）资产管理；

（3）介质管理；

（4）设备管理；

（5）监控管理和安全管理中心；

（6）网络安全管理；

（7）系统安全管理；

（8）恶意代码防范管理；

（9）密码管理；

变更管理；

备份与恢复管理；

安全事件处置；

应急预案管理；

2.5系统整体测评

主要包括：

（1）安全控制间安全测评；

（2）层面间安全测评；

（3）区域间安全测评；

（4）系统结构安全测评；

实施人员应根据特定信息系统的具体情况，结合相关国家标准和要求，确定系统整体检查的具体内容，在安全控制符合性检查的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，检查安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

检查完毕，必须向用户方提交测评报告及整改方案。

2.6测评流程要求

（1）安全技术差距测评

针对诚泰财产保险股份有限公司信息系统的物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复5个技术层面进行现场测评和差距分析，记录相关的测评结果。

（2）安全管理差距测评

针对诚泰财产保险股份有限公司信息系统的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理这5个管理层面进行现场测评和差距分析，记录相关的测评结果。

（3）差距测评记录撰写、评审、定稿

依照《等级保护现场测评记录》中所记录的针对诚泰财产保险股份有限公司信息系统的技术和管理测评结果，结合系统整体差距测评结果，按照公安部标准测评报告模板撰写测评记录，完成初稿后交由诚泰财产保险股份有限公司专家顾问小组进行评审，并最终定稿为下阶段开展整改加固工作提供依据。

（4）等级保护测评

针对诚泰财产保险股份有限公司定级系统配合公安网安在《等级保护差距测评记录》及《整改方案》的基础上进行全面的网络安全等级保护测评。

等级保护测评包括，安全技术及安全管理测评两个方面。

根据现场访谈、配置核查的基础上通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查。

（5）形成等级测评结论及测评报告备案提交

针对诚泰财产保险股份有限公司定级系统测评在数据汇总分析的基础上，分析系统存在的问题，给出系统等级测评结论，编制《等级保护测评报告》提交公安机关网安部门备案。

2.7测评服务提交成果要求

投标方完成等保测评工作应按要求提供相应系统的测评报告、整改建议书及测评实施计划书等

（1）《信息系统等级保护测评方案》（纸版和电子版）

（2）《等级保护测评实施计划》（纸版和电子版）

（3）《信息系统等级保护测评报告》（纸版和电子版）

（4）《安全整改建议书》（纸版和电子版）

（5）其它应交付的文档（纸版和电子版）

3、安全整改要求

（1）整改方案

依照《等级保护差距测评记录》中的测评结论和整改建议，结合针对诚泰财产保险股份有限公司信息定级系统的实际情况，配合用户方设计系统整改方案，并由测评公司与用户方就方案内容进行沟通和协商，提交《整改方案》。

（2）测评公司支持开展整改工作，直至用户方完成测评信息系统的安全整改工作，具体工作如下：

1）完成相关制度的制定和完善，如：

信息安全保障制度、安全管理制度、人员安全管理办法等，通过用户审验；

2）协助用户方完成测评信息系统的操作系统、数据库、中间件、网络设备及其他相关设备补丁的安装更新，用户账号与口令复杂度设置，日志与审核策略的配置，服务优化以及安全防护加固工作；

3）为测评信息系统存在的漏洞在加固环节提供技术指导；

4、测评人员要求

（1）投标方参与诚泰财产保险股份有限公司信息系统等保测评项目组的成员至少3人，参与项目的人员必须具备网络安全等级保护测评师资质（提供资质证书复印件），并提供现场服务。

（2）投标方必须为诚泰保险股份有限公司信息系统测评项目成立等级保护测评项目组，由项目经理统一负责，项目经理须具有一定的技术管理知识和经验，能够容易地与客户沟通，能够很好地执行并完成测评服务工作，并能根据一些特殊的情况可以适当增加服务人员，接受招标方的统一管理。

（3）投标方派驻的测评项目经理和测评服务人员必须固定，如有变更，必须经用户方同意并签字确认。

投标方必须提供人员管理及配备方案，并确保其人员的稳定性。

5、其他要求

（1）投标方应按等级保护测评要求制定测评服务过程中产生的文档，做科学、规范、详尽、统一等方面的要求。

（2）保密要求:

中标单位不得在任何场合向任何无关单位或个人透露被测评信息系统和被测评单位的内部信息，并与用户方签订保密协议。

（3）中标单位须在规定时间内配合诚泰财产保险股份有限公司顺利通过测评；在服务期内有责任提供技术支持，协助诚泰财产保险股份有限公司对照《安全整改建议书》开展整改工作。

二、竟谈申请文件要求

2.1、竟谈申请文件的内容要求

竟谈申请文件要求包括如下内容：

2.1.1企业营业执照、税务登记证、组织机构代码证及其它有关资质证明的复印件（盖鲜章）。

2.1.2竟谈申请书，见附件一

2.1.3法定代表人身份证明书，见附件二。

若非法定代表人参加竟谈需提供法定代表人授权书（格式见附件三），并在其后附上接受委托的代表人（以下简称授权代表人）的身份证复印件

2.1.4服务质量保证书，见附件四

2.1.5无违约承诺书,见附件五

2.1.6项目组织计划（时间计划、人员配备计划），见附件六

2.1.7服务质量承诺及保证措施，见附件七

2.1.8服务要求响应和偏离说明,见附表十四

2.1.9社会信誉和用户评价（包括相关业绩证明材料）、财务状况（无固定格式，自行制作）等。

说明：

请按照以上顺序装订成册，竟谈申请文件一正三副，竟谈申请文件的正本应打印或用不褪色的墨水填写，并由竟谈申请单位法定代表人或其授权代表人签字或盖公章。

副本可以是正本的复印件。

如果正本与副本不符，以正本为准。

2.2、竟谈申请文件的签署

2.2.1竟谈文件中凡要求填写竟谈申请人名称和盖章或要求签名的栏、格、处，竟谈申请人应填写全称并加盖法人单位章和签全名。

2.2.2竟谈申请文件不得随意行间插字、涂改和增删，如必须修改错漏处，必须由同一签署人在修改错漏处签字或盖章。

三、竟谈申请文件的递交

3.1竟谈申请文件的密封标记

3.1.1竟谈申请单位应在竟谈申请文件的封面和外层包装封面上注明以下内容：

项目名称、项目编号、采购人名称、竟谈申请单位名称并盖公章、日期以及“正本”或“副本”字样（外层包装无“正本”或“副本”字样）。

外封上还需标明项目名称、编号并注明“竟谈会开始时间以前不得开封”字样。

3.1.2竟谈申请文件密封口处应加盖竟谈申请单位公章，未按规定密封和标记的竟谈申请文件将被拒绝。

3.1.3竟谈申请文件应按指定的时间和地点由法定代表人或其授权的委托代理人送交。

3.2竟谈申请文件递交截止日期

3.2.1竟谈申请文件必须按竞争性竟谈文件规定的竟谈申请文件递交截止时间前送达竟谈地点，超过截止时间的竟谈申请文件将被拒绝。

3.2.2推迟竟谈申请文件递交截止时间将以公告形式通知所有竟谈申请单位。

3.2.3竟谈申请文件递交截止时间后送交的竟谈报价单或其他实质性内容修正的函件和增加的任何承诺不作为评审的依据（竟谈小组要求提交的澄清函或承诺书除外）。

3.3竟谈申请文件的修改和撤回

3.3.1竟谈申请文件递交截止时间前，竟谈申请单位可以提供竟谈申请补充文件，并可对已提交的竟谈申请文件进行修改、补充或更正，也可以书面申请撤回竟谈申请文件，但必须由采购人认可后才能生效。

3.3.2竟谈申请单位的竟谈申请补充文件必须按规定进行密封和标记。

3.3.3竟谈申请文件有效期内，竟谈申请单位不得撤回其竟谈申请文件。

四、竟谈费用

4.1无论竟谈过程和结果如何，竟谈申请人自行承担竞争性竟谈过程的全部费用，采购人和招标代理机构不承担任何费用。

4.2竟谈代理机构向成交供应商按标准收取采购代理服务费。

五、竟谈报价

5.1报价应为人民币价（所报价格为结算价）。

竟谈申请人应考虑各项风险因素和各项费用，折扣及免费部分应明确加以说明。

当分项价格之和与总价不一致时，以分项价格为准。

5.2各供应商应在其竟谈申请文件中的报价一览表中标明拟提供服务的总价，并由法定代表人或其授权委托代理人签名。

5.3竟谈报价包括：

项目的所有费用（售后服务、税金、利润、风险、运输等全部费用）。

5.4在竟谈申请文件中，采购人不接受任何选择报价，只允许有一个报价。

在一对一竟谈后，各竟谈申请人有一次二次报价的机会。

六、质量保证

6.1提供服务时，要求应按不低于国家、省、市有关部门规定的标准执行。

6.2必须严格按谈判时所承诺的内容进行服务。

七、付款方式

项目完成通过验收后，支付合同全款。

第三部分竟谈小组、竟谈程序、评标办法和合同授予

一、竟谈小组

1.1本次竟谈采购项目依法组建竟谈小组；

1.2竟谈原则：

依照“公平、公正、科学、合法、保密”原则；

1.3竟谈小组在竟谈中，不得透露竟谈的相关信息。

竟谈文件有实质性变动的，竟谈小组将告知所有参加竟谈的供应商。

1.4为有助于对竟谈申请文件的审查、评价和比较，竟谈小组可对供应商进行技术质疑、询问，供应商在要求的时限内给予澄清或答疑。

二、竟谈程序

2.1竟谈会将于竞争性竟谈文件规定的时间进行，竟谈小组成员和采购人的代表出席，竟谈的顺序按提交竟谈申请文件的顺序进行。

2.2竟谈会开始时，由采购人的相关人员对竟谈文件的密封标记情况及竟谈申请人的资格、资质进行检查，确认无误后提交竟谈小组。

参加竟谈会的竟谈申请人代表应签名报到以证明其出席，并在“竟谈报价一览表”中签字确认。

2.3质疑与澄清：

竟谈小组认为有必要，可请竟谈申请人对其竟谈申请文件中的某些内容予以澄清明确或作出承诺。

澄清明确或作出的承诺都应以书面形式进行，并由竟谈申请单位法定代表人或委托代理人签字和盖章，作为竟谈申请文件的组成部分。

2.4如果所有竟谈申请文件不符合竞争性竟谈文件要求时，竟谈小组可否决所有竟谈申请文件并不做任何解释。

三、评审办法

采购人根据采购项目的特点依法组建竟谈小组，对全部竞争性竟谈申请文件进行评审，对实质性响应竞争性竟谈文件要求的竞争性竟谈申请文件进行综合评议和比较。

竟谈小组负责评审活动，向采购人推荐成交候选人或者根据采购人的授权直接确定成交供应商。

竟谈小组成员由业主以及有关方面的专家组成，专家成员不得少于2/3。

竟谈小组成员名单在成交结果确定前应当保密。

竟谈申请人符合采购需求、售后服务承诺和服务质量最优、且综合报价低的竟谈申请人作为成交候选人。

（一）评标程序：

符合性评审→竟谈→竟谈申请人二次报价→详细评审→评审报告。

（二）、符合性评审

1、有以下情形之一者，将作为无效竟谈申请文件处理：

（1）、竟谈申请书逾期送达的；

（2）、没有在“报价一览表”中明确初次报价的；

（3）、竟谈申请文件未按竞争性竟谈文件要求密封、加盖印章和签名的；

（4）、竟谈申请文件书写潦草、字迹模糊不清难以辨认的；

（5）、法定代表人委托代理人参加竟谈会，但无法定代表人签署的授权委托书或者格式不符的；

（6）、竟谈申请单位递交两个或多个内容不同的报价，且未声明哪一个有效；

（7）、竞争性竟谈申请文件中有采购人不能接受的条件。

对上述偏差和情况作出通过或不通过的评审意见。

符合性审查不合格的竟谈申请人，不得进入详细评审。

对不合格的内容应在评审报告中说明。

2、竟谈小组在对响应文件的有效性、完整性和响应程度进行审查时，可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。

供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。

竟谈小组要求供应商澄清、说明或者更正响应文件应当以书面形式作出。

供应商的澄清、说明或者更正应当由法定代表人或其授权代表签字或者加盖公章。

由授权代表签字的，应当附法定代表人授权书。

供应商为自然人的，应当由本人签字并附身份证明。

3、如果响应文件实质上不响应竞争性竟谈文件的要求，采购人将予以拒绝，并且不允许通过修正或撤销其不符合要求的差异或保留，使之成为具有响应性的竟谈文件。

4、只有通过符合性审查的响应文件才能进入竟谈（未通过符合性审查的响应文件应作废标处理）。

（三）竟谈

（1）竟谈小组所有成员应当集中与单一供应商分别进行竟谈，并给予所有参加竟谈的供应商平等的竟谈机会。

（2）在竟谈过程中，竟谈小组可以根据竟谈文件和竟谈情况实质性变动采购需求中的技术、服务要求以及合同草案条款，但不得变动竟谈文件中的其他内容。

实质性变动的内容，须经采购人代表确认。

对竟谈文件作出的实质性变动是竟谈文件的有效组成部分，竟谈小组应当及时以书面形式同时通知所有参加竟谈的供应商。

供应商应当按照竟谈文件的变动情况和竟谈小组的要求重新提交响应文件，并由其法定代表人或授权代表签字或者加盖公章。

由授权代表签字的，应当附法定代表人授权书。

供应商为自然人的，应当由本人签字并附身份证明。

（3）竟谈结束后，所有实质性响应的供应商在规定时间内提交最后报价，提交最后报价的供应商不得少于3家。

最后报价是供应商响应文件的有效组成部分。

符合《政府采购竞争性竟谈采购方式管理暂行办法》第三条第四项情形的，提交最后报价的供应商可以为2家。

根据财库【2015】124号规定：

采用竞争性竟谈采购方式采购的政府购买服务项目的，在采购活动中符合要求的供应商只有两家的，竞争性竟谈活动可以继续进行。

已提交响应文件的供应商，在提交最后报价之前，可以根据竟谈情况退出竟谈。

（4）经竟谈确定最终采购需求和提交最后报价的供应商后，由竟谈小组采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分。

（四）、详细评审

1、详细评审采用综合评分法：

综合评分法，是指响应文件满足竟谈文件全部实质性要求且按评审因素的量化指标评审得分最高的供应商为成交候选供应商