1、招 标 文 件项目名称: 信息系统安全等级测评 项目编号: 2017035 南京师范大学特别提示:1.请投标人认真阅读招标文件,严格按照招标文件要求制作投标文件,如对招标文件内容和要求有疑问,请电话咨询或书面质疑,以避免投标无效;2.招标公告与招标文件不一致的条款以招标文件为准;3.如发现招标文件存在影响公正评标的条款、项目,请即向招标联系人质疑指出;4.只接受在指定系统中注册审核过并通过报名的投标人投标;5.重要资料请自行保存。对未中标人,不作任何解释,投标文件不退回;6.食品类投标样品开标后本办公室只负责保存一周(其中生鲜食品不负责保存);其他类只保存两周,过期本办将自行处理;7.招标文件
2、或投标文件格式中要求提供扫描件的,至少在投标文件正本中提供彩色扫描件。一、投标人资质要求:参加本次采购活动应当符合中华人民共和国政府采购法第二十二条的规定,并具备下列条件: (一)在中华人民共和国境内注册、具有独立法人资格、有能力提供相应的技术及服务;(二)投标人须列入 2017 年“南京市等保办”备案测评机构名单; (三)本次采购不接受联合体投标,不允许转包。二、标书要求:(一)标书一式陆份,正本壹份、副本伍份;必须胶装成册并逐页按自然数顺序加注页码;不得使用塑料封面封装,不得使用订书钉;(二)标书内容:根据投标文件格式制作;(三)投标文件须密封并在封口加盖公章,否则投标文件将被拒收。三、评
3、标方式:评审委员会在对投标人对服务要求的响应情况、技术能力、报价与服务承诺以及公司业绩、信用等因素进行综合评分,得分最高者中标。对未中标人,将不作任何解释,标书不退回。评分标准序号 项目 说明 分值1 投标报价价格分采用低价优先法计算,即满足采购文件要求且报价最低的供应商报价为评标基准价,其价格分为满分 30 分,其它投标人的价格分统一按照以下公式计算:投标报价得分=(评标基准价投标报价)30 分,小数点保留 1 位。302 项目方案能够按照以下内容提供项目方案的,按照项目方案的优劣程度,酌情给分。项目方案须包括:1.技术方案:好得 4-5 分,较好得 2-3, 一般0-1 分;2.实施方案:
4、好得 4-5 分,较好得 2-3, 一般0-1 分;3.风险与控制方案:好得 7-10 分,较好得 4-6, 一般 0-3 分; 4.验收方案:好得 4-5 分,较好得 2-3, 一般0-1 分; 253 人员专业水平注:所有人员均需提供近一年的社保缴纳证明,否则该项不得分。1项目经理同时具有高级项目经理和 CIIPT 证书的得 5 分,仅有其中一个得 2 分。 (提供相关证书扫描件,加盖公章,原件备查)2项目组所有成员均需具有中级及以上等级测评师证书(提供相关证书扫描件,加盖公章,原件备查) ,评委根据投标人提供的证明材料对项目组成员的整体情况进行评分,最高得 7 分。124 对投标人的综合
5、 评价评委根据投标文件提供的材料(投标人资质、专业技术能力、获奖、荣誉表彰情况、业绩的相关性等)进行评分,好得 14-20 分,良得 7-13,一般得 1-6。205 业绩情况自 2014 年 1 月 1 日以来的同类业绩,合同金额24 万及以上项目,每一项得 2 分,最高得 8 分(提供合同复印件,合同应能反映相关情况,原件备查)86 财务状况评价 评委根据投标人提供的财务状况报告评审,酌情评分,最高 3 分。 37 投标文件质量评 价 评委根据投标文件的制作质量进行评审,酌情评分,最高 2 分 2四、其他要求:(一)请投标人务必认真阅读本招标文件,严格遵照招标文件内容应标;(二)项目预算总
6、额 24 万元。超过预算报价的视为无效投标;(三)付款方式:合同签订后 7 个工作日内支付合同总额的 30%,测评结束,提交各系统等级测评报告并报送南京市信息安全等级保护工作协调小组办公室完成年度备案后支付剩余款项;(四)项目期限:自签订合同之日起 60 个工作日完成;(五)同类业绩,须提供合同书复印件,合同必须含有标的物、合同价以及盖章签字部分所在页,并清晰可见;(六)中标单位按中标总金额的千分之五交纳中标服务费;(七)合同格式从南京师范大学资产处网站上资料下载中下载;(八)提供增值税发票。五、有下列情况者视为无效投标:(一)投标文件格式“资格审查响应对照表”中任意一项不响应;(二)开标一览
7、表、法人授权委托书提供信息不全或未盖公章或未按要求手写签名;(三)投标文件未按标书要求制作;(四)投标文件附有招标人不能接受的条件;(五)不符合招标文件中规定的实质性要求(报价、服务内容及要求、投标人资质要求等) ;(六)有三项及以上服务内容及要求负偏离的;(七)不响应招标文件规定的付款方式;(八)有中华人民共和国招标投标法实施条例第五十一条规定之情形的;(九)有法律法规规定的其他违法行为。六、报名方法:有意投标的投标人请在 2017 年 06 月 06 日 24:00 之前,在南京师范大学资产管理处采购与招标系统(http:/)中按要求报名。注意:凡未按要求报名者,学校不接受其递交的投标文件
8、。七、时间、地点安排:(一)标书送达时间:2017 年 06 月 16 日上午 9:00-9:30;(二)标书送达截止时间:2017 年 06 月 16 日上午 9:30;(三)送达地点:南师大仙林校区(南京市文苑路 1 号)厚生楼五楼 536 室;(四)开标时间:2017 年 06 月 16 日上午 9:30。八、联系方式:电话:(025)85891935,83598970;联系人:袁宏 ;传真:(025) 85891935。九、服务要求:(一)项目概述为落实国家网络安全等级保护制度,切实提升南京师范大学重要信息系统的安全防护能力,保障系统安全稳定运行,我校拟委托专业的等级测评机构对目前安全
9、保护等级定为三级的重要信息系统开展信息安全等级保护测评工作。(二)项目需求随着我校信息化的不断发展,信息安全工作已经成为我校信息化工作中的一个重要组成部分。网络安全等级保护制度是我国关于信息安全的基本政策, 国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号)明确要求我国信息安全保障工作实行等级保护制度。2007 年 6 月发布的关于印发信息安全等级保护管理办法的通知(公通字200743 号)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。27 号文件和
10、43 号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。根据教育部办公厅关于印发教育行业信息系统安全等级保护定级工作指南(试行)的通知(教技厅201474 号) 、教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知(教技20152 号)文件要求,结合我校信息化建设实际情况,确定对以下 3 个重要信息系统进行等级保护测评:序号 系统名称 安全保护等级 系统备案编号 备注1 南京师范大学门户 网站系统 三级 32011143006-17003包含:中英文主页、信息门户(portal) 、本科招生网、研究生招生网2
11、 南京师范大学校园 一卡通系统 三级 32011143006-17001 无3 南京师范大学科研 管理系统 三级 32011143006-17002 无本次待测评信息系统的资产情况包括信息系统所关联的物理环境及网络安全设施,如机房环境、交换机、路由器、防火墙系统等。信息系统运行支撑方面,本次测评的信息系统其工作范围包括系统关联的后台数据来源、管理、发布、存储以及备份所涉及到的应用软件、数据库管理软件、服务器及存储设备等。(三)标准与依据1.信息安全等级保护管理办法公通字200743 号;2.信息系统安全等级保护实施指南 (GB/T 25058) ;3.信息系统安全保护等级定级指南 (GB/T
12、22240) ;4.信息系统安全等级保护基本要求 (GB/T 22239) ;5.信息系统安全等级保护测评要求 (GB/T 28448) ;6.信息系统安全等级保护测评过程指南 (GB/T 28449) 。(四)项目内容1、等级测评工作测评机构依据国家信息安全等级保护相关标准与要求,通过检查、测试、访谈等方式,对待测评信息系统进行第三方等级保护测评。具体测评内容包括:(1)物理安全;(2)网络安全;(3)主机安全;(4)应用安全;(5)数据安全及备份恢复;(6)安全管理制度;(7)安全管理机构;(8)人员安全管理;(9)系统建设管理;(10)系统运维管理。项目正式启动后将向测评机构提供详细资产
13、清单与网络拓扑图。2、协助整改工作(1)测评机构对在上述信息系统等级保护测评中发现的各种问题提出安全整改建议,详细描述安全技术整改需求,依据国家等级保护标准设计安全系统整改方案,协助我校通过安全整改使目标信息系统达到三级系统应有安全保护能力。(2)测评机构对在上述信息系统等级保护测评中发现的各种安全管理问题提出安全整改建议,需详细描述安全管理整改需求,并协助我校依据国家等级保护相关标准进行安全管理层面的整改,具体包括提供关于建立符合国家等级保护标准要求的安全管理文件体系参考,包括但不仅限于信息安全战略方针文件框架,程序文件框架(管理制度文件) 、操作指南文件框架(作业指导书)以及合理的过程记录
14、文件框架(留痕文件) 。(五)项目实施要求本次项目中等级保护测评实施过程主要分为准备阶段、方案编制阶段、现场测评阶段、分析与报告编制四个主要项目阶段,投标人须在方案中明确各阶段双方的主要工作,各阶段双方须相互配合协调的内容。 测评机构须以访谈、现场勘查、上机查看等方式开展本次等级测评工作,所有获取测评证据的过程尽可能不影响信息系统的正常运行,对于可能产生的负面影响(如有),投标人须考虑控制测评风险的相关措施,如何在风险最小化原则下获得客观准确的测评结果。投标人需详细阐述测评工作所使用的工具、平台,保证测评工作准确、全面、高效、有针对性。(1)为了保证本次测评项目的实施质量,本项目采用项目经理负
15、责制、投标人须安排具备一定安全技术专业能力、项目管理能力与信息安全等级保护工作经验丰富的人员担任项目经理。项目组人员须全部具备信息安全等级测评师资格,持证上岗。(2)本次项目启动前测评机构必须与我方签订保密协议,本次项目中过程中所有形成的过程文档必须全部提交给我校。测评机构须确保等级测评工作的安全、规范,确保被测系统的安全。所使用的工具、方法和过程要在双方认可的情况下使用。等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成负面影响。测评机构在测评过程中及测评结束后,对涉及的各类数据严格保密,不可将工作中的数据用于任何有损我校利益的用途,工作结束后不驻留任何程序及数据并销毁不需要的文档
16、和资料;在对学校的信息系统进行测评中发现的漏洞及安全问题等情况严格执行相关保密制度;对测评设备、介质进行严格的保密管理项目实施过程中。测评人员必须遵守南京师范大学的相关管理规定。(3)本项目中可能需要的软硬件平台(如笔记本电脑、评估软件等)均由测评机构提供,我校将按照相关要求对设备进行必要的处理。测评机构在服务期间未经我校许可不得将设备带离我校指定场所,也不得使用任何未经我校确认的存储设备对评估数据进行复制。(4)测评机构必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由测评机构负完全责任。(5)测评机构根据我校就首次测评结果进行整改
17、后,应配合我校根据国家信息安全等级保护相关标准进行验收,最终取得验收报告。(6)测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。(六)项目交付物项目实施完成后必须提交以下项目成果:(1)信息系统等级测评报告(包括安全整改建议方案) ;南京师范大学门户网站系统信息安全等级测评报告(三级) ;南京师范大学校园一卡通系统信息安全等级测评报告(三级) ;南京师范大学科研管理系统信息安全等级测评报告(三级) ;(2)所有项目过程文档包括但不仅限于:系统调研记录;现场访谈记录;上机检查现场记录;勘察现场记录;工具测试记录。
