1、信息安全等级保护测评服务项目需求书一、项目内容XX 银行股份有限公司成立于 xxxx 年,xxxx 年末,资产规模达 xxxx 亿元。在北京、天津、沈阳、大连、哈尔滨等地区设立分行。目前,与 70 多个国家及地区 500 多个金融机构开展业务,代理行网络遍及世界各地。作为重点金融机构,其信息系统承载了非常重要的患者数据。为保证本行信息系统安全、降低风险,提高管理能力,进一步加强内部网络的整体安全防护能力,全面提升我行信息系统整体安全防范能力。特对本行核心网络系统进行 2015 年度安全等级保护测评项目,本项目为预算为 XX 万。服务范围:系统名称 级别核心网络系统 第三级二、服务年限投标人中标
2、,签订合同之日起一年三、要求条款要求项目需求条款是否为实质性条款原因说明(实质性条款需列明原因)资格要求投标人必须是在天津工商行政管理部门注册的企业,投标时应提交加盖投标人公章的营业执照副本复印件。(复印件加盖公章,现场携带原件备查)是企业资格常规及本地化服务要求。资格要求投标人必须具有公安部颁发的信息安全等级保护测评机构推荐证书。(复印件加盖公章,现场携带原件备查)是安全资质认证要求,有资格和能力对我单位进行等保评测响应和等保整改方案应对工作。商务要求投标人必须具有依法缴纳税收和社会保障款项的良好记录;(提供近一年的完税证明和社保缴存记录复印件,加盖公章)否企业资信投标人应提供税务登记证复印
3、件,组织机构代码证复印件。(复印件加盖公章,原件携带备查)否企业业绩投标人应证明其履行等级保护测评服务的能力,提供 2014 年至今金融行业三级或三级以上信息系统测评成果案例一项。提供测评案例证明材料,包括合同复印件、验收报告复印件等(合同原件,验收报告原件,测评报告原件携带备否查)。现场实施人员应包含 Cisco CCIE、华为、华三等认证的安全服务工程师。(复印件加盖公章,现场携带原件备查)。否应建立人员安排完备的安全服务小组,安全服务小组中应具备通过信息安全等级保护测评师认证的安全服务工程师组成。(证书复印件加盖公章,现场携带原件备查)。否人员资格安全服务小组内现场实施人员应包含 ISO
4、27001、ITIL 等认证的安全服务工程师,该工程师必须为等保测评师(复印件加盖公章,现场携带测评师证和相关证书原件备查)。否验收标准项目实施过程中保证招标人系统正常运行,确保招标人信息系统经过安全建设后,顺利通过等级保护评测,并获得相关部门认可。否报价投标方必须在报价中根据招标人实际情况列出总体方案价格和对应各项工作的详细报价。否售后 项目验收后,投标人提供 1 年免 否服务 费技术支持服务,对招标人安全加固提供咨询建议。交货时间交货期:签订合同之日起 12 个月内。否交货地点交货地点:招标人指定地点。 否付款方式合同签订 5 个工作日内,招标人向中标单位支付全部合同额。否罚则未按约定的时
5、间完成项目,招标人有权按照每延误一日扣除合同金额万分之五的处罚金,并向供应商索赔因此引起的全部损失。否四、技术要求序号采购项名称需求条款是否为实质性条款原因说明(实质性条款需列明原因)1等级保护差距分析投标人应对招标人提供信息系统差距分析服务,通过对信息系统安全差距分析,从信息系统现状出发,明确招标人重要信息系统中存在的风险和相关脆弱点,并出具信息系统差距分析报告否2在项目实施前,应根据差距分析的结果及招标人实际情况,编制信息安全等级保护测评方案。否3等保评测响应投标人应对招标人重要信息系统提供正式测评,测评范围包括但不限于如下内容:安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数
6、据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。否4投标人完成对招标人信息系统等级保护系统测评工作后,应出具符合国家要求的等级保护测评报告,并完成报告通过天津市网监备案工作,以保证信息系统可以顺利通过信息系统等级保护测评。否5等保整改方案应对根据招标人临时或计划的要求,响应等保整改方案中的所有内容。否6测评质量控制投标人应具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效。否7应急处置方案投标人应具备在项目实施过程中的风险控制能力,保证招标人系统正常稳定运行,对于系统突发安全事件有应急处置方
7、案。否五、评分因素及评标标准第一部分 商务因素(35 分)1、 本地化服务(3 分)(1) 投标人是在天津工商行政管理部门注册企业(3 分)(2) 投标人在天津设有分公司、全资子公司或与本项目服务相关的投资公司(投资比例需超过 50%,提供户卡或验资报告),并在天津依法纳税满一年的(提供纳税发票复印件)(2 分)(3) 投标人在本市具有常驻机构,提供房屋租赁合同或产权证明(1 分)2、 投标人具备 GB/T19001 系列或 ISO9001 系列质量管理体系认证,提供证书复印件(1 分)具备 1 分,不具备 0 分3、 投标人需建立安全服务小组, 投标人安全服务小组内实施人员应具备信息安全等级
8、保护师认证(项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明)(3 分)(1) 投标人安全服务小组内实施人员均为信息安全等级保护测评师,项目中安排高级、中级、初级测评师完成测评工作,分工合理。(3 分)(2) 投标人安全服务小组内实施人员部分具备信息安全等级保护测评师认证(1 分)(3) 投标人安全服务小组内实施人员无信息安全等级保护测评师认证(0 分)4、 安全服务小组内实施人员应包含 Cisco CCIE、华为、华三等认证的安全服务工程师(项目实施人员应为投标人的本单位的正式员工,要求提供相关认证原件、劳动合同和社保证明)。(3 分)(1)现场实施人员提供上述
9、所有认证资质证明文件:3 分(2)现场实施人员提供上述 1-2 项证书资质证明文件:1 分(3)未提供或不符合要求的:0 分。5、 投标人安全服务小组内实施人员应包含 ISO27001、ITIL 等认证的安全服务工程师(项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明)。(2 分)(1)现场实施人员提供上述所有认证资质证明文件:3 分(2)现场实施人员提供上述任意一项项证书资质证明文件:1 分(3)未提供或不符合要求的:0 分。6、 投标人实施能力,提供自 2014 年至今金融行业三级或三级以上信息系统测评成果案例一项(3 分)(1) 测评系统为四级系统:3 分(
10、2) 测评系统为三级系统:1 分(3) 测评系统为二级及以下系统:0 分7、 价格(20 分)(1)投标报价超过采购预算的,投标无效,未超过采购预算的投标报价按以下公式进行计算(2)投标报价得分=(评标基准价/投标报价)20注:满足招标文件要求且投标报价最低的投标报价为评标基准价第二部分 技术因素(65 分)1、 信息安全等级保护差距分析(8 分)投标人应根据招标人信息系统现状情况,结合该信息系统级别要求,建立相关方案,分析招标人信息系统与等级保护要求的差距情况,并出具信息安全等级保护差距分析报告(1) 投标人相关项目经验丰富,熟悉差距分析内容,建立详细的差距分析方案,并在差距分析工作完成后出
11、具符合要求的信息安全等级保护差距分析报告(8 分)(2) 投标人相关项目经验较多,比较熟悉差距分析内容,所建立差距分析方案内容比较详尽,可在差距分析工作后出具相关文件(4 分)(3) 投标人相关项目经验很少,不熟悉差距分析内容,所建立差距分析方案内容不充分,无法在差距分析工作后出具相关文件(0分)2、 信息安全等级保护方案(27 分) 投标人服务方案规范化及标准化程度(7 分)(1) 投标人相关项目经验非常丰富,非常熟悉完成项目所有工作内容,提供的服务方案规范性及标准化程度很高:7 分;(2) 投标人相关项目经验较多,比较熟悉完成项目所有工作内容,提供的服务方案规范性及标准化程度比较好:5 分
12、;(3) 投标人相关项目经验很少,基本能够完成项目所有工作内容,提供的服务方案规范性及标准化程度一般:3 分; 投标人服务方案的针对性、可行性、完整性(10 分)(1) 服务方案完整,充分考虑用户需求,服务方案针对性及可行性很高:10 分(2) 服务方案比较完整,服务方案具有一定的针对性及可行性:7 分(3) 服务方案不够完整,且服务方案的针对性及可行性一般:4分 投标人服务方案中对本服务项目任务、需求的理解程度(10 分)(1) 全面分析了用户现状、性能要求、实施要求等内容,对于本项目任务目标及需求理解深刻:10 分;(2) 对于用户系统现状、性能要求、实施要求等内容阐述不够充分,对于本项目
13、任务目标及需求有基本了解:7 分;(3) 对用户信息化现状、业务需求了解不够充分:4 分3、 信息安全等级保护响应(6 分)投标人应响应招标人信息系统等级评测需求,完成其重要信息系统等级安全测评,出具符合国家规定的等级测评报告,负责提交有关部门,并保证招标人信息系统可以顺利通过等保评测。(1) 具有完善的等级测评计划,包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案充分体现了完整性、针对性、专业性的:(6 分)(2) 具有较完善的等级测评计划,基本包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案基本体现了完整性、针对性、专业性的:(3 分)(3) 无完善的等级测评计划,缺少等级测评的重要环节、测评范围、质量控制、风险控制、完成标准等,实施测评方案缺乏完整性、针对性、专业性的:(0 分)4、 测评内容应对(6 分)招标人应结合招标人信息系统现状进行信息安全等级保护测评,测评范围包括但不限于如下内容:安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。(1) 测评内容详尽,具有测评方案,符合招标人要求,每项测评内容均具有测评指导书,每项环节均留有相关测评材料(6 分)
