項(xiàng)目需求2019年5月10日，《網(wǎng)絡(luò)安全等級保護(hù)制度》2.0國家標(biāo)準(zhǔn)發(fā)布，該標(biāo)準(zhǔn)的發(fā)布標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)工作正式進(jìn)入“2.0時(shí)代”。等級保護(hù)工作的落實(shí)有效提升了我國的網(wǎng)絡(luò)安全防護(hù)能力。等保2.0的發(fā)布，是對除傳統(tǒng)信息系統(tǒng)之外的新型網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力提升的有效補(bǔ)充，是貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》、實(shí)現(xiàn)國家網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的基礎(chǔ)。廣東以色列理工學(xué)院作為一所具有國際公認(rèn)高水平教育、科研和創(chuàng)新能力的研究型大學(xué)，全面引進(jìn)全球知名的以色列理工學(xué)院的優(yōu)質(zhì)教育資源。由于網(wǎng)絡(luò)安全威脅的范圍不斷擴(kuò)大和演化，廣東以色列理工學(xué)院校園一卡通系統(tǒng)自身對于安全防護(hù)的需求也顯得更加迫切。因此，根據(jù)網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)，為廣東以色列理工學(xué)院校園一卡通系統(tǒng)在2022年已開展相應(yīng)的網(wǎng)絡(luò)安全等級保護(hù)測評，通過了校園一卡通系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)，現(xiàn)需要繼續(xù)落實(shí)網(wǎng)絡(luò)安全等級保護(hù)測評，使其達(dá)到相應(yīng)的安全等級保護(hù)級別要求。提高信息系統(tǒng)的安全防護(hù)能力，保障業(yè)務(wù)的安全性和可用性。項(xiàng)目預(yù)算本項(xiàng)目預(yù)算費(fèi)用為：70,000元，包含廣東以色列理工學(xué)院門戶網(wǎng)站、校園一卡通系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)測評。序號測評項(xiàng)目信息系統(tǒng)名稱自定義信息安全等級項(xiàng)目總預(yù)算1校園一卡通系統(tǒng)三級或者二級70,000元項(xiàng)目要求與內(nèi)容：供應(yīng)商須由持有國家網(wǎng)絡(luò)安全等級保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)《信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書》的測評機(jī)構(gòu)出具的項(xiàng)目授權(quán)函。等級保護(hù)工作基本內(nèi)容包含等級保護(hù)定級工作、等級保護(hù)評估工作。等級保護(hù)定級工作等級保護(hù)定級是指對信息系統(tǒng)安全等級保護(hù)的確定，主要包括兩個(gè)方面內(nèi)容：從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級；從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。等級保護(hù)定級工作是等級保護(hù)評估及后續(xù)工作的前提。由于廣東以色列理工學(xué)院信息系統(tǒng)還未進(jìn)行定級備案，因此，需要協(xié)助學(xué)校對信息系統(tǒng)進(jìn)行定級和備案工作。等級保護(hù)評估工作協(xié)助廣東以色列理工學(xué)院對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行測試評估，包括兩個(gè)方面的內(nèi)容：一是安全控制評估，主要評估信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況；二是系統(tǒng)整體評估分析，主要評估分析信息系統(tǒng)的整體安全性。其中，安全控制評估分析是信息系統(tǒng)整體安全評估分析。對安全控制評估的描述，使用評估單元方式組織。評估單元分為安全技術(shù)測評和安全管理評估兩大類。安全技術(shù)評估包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五個(gè)層面上的安全控制評估；安全管理評估包括：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理五個(gè)方面的安全控制評估。具體見下圖：需依據(jù)國家以及相關(guān)規(guī)范標(biāo)準(zhǔn)，對我校信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)測評，并出具網(wǎng)絡(luò)安全等級保護(hù)等級測評報(bào)告，對系統(tǒng)存在技術(shù)、管理等方面安全問題進(jìn)行分析，提出整改建議。具體工作內(nèi)容如下：序號服務(wù)類型服務(wù)內(nèi)容1協(xié)助定級備案對本次項(xiàng)目中1個(gè)信息系統(tǒng)情況進(jìn)行調(diào)研，協(xié)助編寫定級報(bào)告、辦理等保備案，取得相應(yīng)得備案證明。2初次測評實(shí)施過程：依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》實(shí)施等級測評，對物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器、信息系統(tǒng)等進(jìn)行合規(guī)性檢查，發(fā)現(xiàn)信息系統(tǒng)與安全保護(hù)等級要求之間的差距。3漏洞掃描1、使用專業(yè)的WEB掃描工具，對本次項(xiàng)目中的信息系統(tǒng)針對WEB服務(wù)進(jìn)行強(qiáng)力攻擊檢測和緩沖區(qū)溢出檢測等漏洞掃描；2、根據(jù)漏洞掃描結(jié)果進(jìn)行人工驗(yàn)證，用以驗(yàn)證工具掃描的漏洞結(jié)果的準(zhǔn)確性，出具相應(yīng)的《漏洞掃描報(bào)告》，提供安全加固建議；4滲透測試1、采用專業(yè)工具與人工的方法，通過模擬黑客可能使用的攻擊方式和漏洞挖掘行為進(jìn)行滲透測試，對目標(biāo)信息系統(tǒng)的安全進(jìn)行深入安全檢測、評估。2、根據(jù)滲透測試結(jié)果進(jìn)行人工驗(yàn)證，用以驗(yàn)證結(jié)果的準(zhǔn)確性，出具相應(yīng)的《滲透測試報(bào)告》，提供安全加固建議；5協(xié)助安全整改差距測評結(jié)束后，提交問題清單及整改建議，協(xié)助用戶進(jìn)行整改。待被測信息系統(tǒng)完成整改工作后，方可進(jìn)行下一階段的驗(yàn)收測評工作。6驗(yàn)收測評及報(bào)告編制及提交驗(yàn)收測評完成后，測評項(xiàng)目組針對采購人定級信息系統(tǒng)整體測評情況，對符合、不符合、部分符合的測評項(xiàng)進(jìn)行整體分析和匯總，給出等級測評結(jié)論，完成《網(wǎng)絡(luò)安全等級保護(hù)等級測評報(bào)告》編制。將測評報(bào)告提交至國家網(wǎng)絡(luò)安全等級保護(hù)主管部門，并通過國家信息安全等級保護(hù)主管部門的最終測評驗(yàn)收。技術(shù)參數(shù)要求依據(jù)GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》以及《信息系統(tǒng)安全等級保護(hù)測評指南》的要求，在等級保護(hù)測評過程中，應(yīng)采用人工訪談、工具檢測、登錄系統(tǒng)檢測、文檔分析的方式分析信息系統(tǒng)在等級保護(hù)方面與標(biāo)準(zhǔn)要求的差距。商務(wù)要求項(xiàng)目預(yù)算：人民幣70,000元報(bào)價(jià)要求：超過預(yù)算的投標(biāo)無效。交付要求：合同簽訂之日起15天內(nèi)完成網(wǎng)絡(luò)安全等級保護(hù)差距測評并交付差距測評結(jié)果；采購人完成所有整改后30天內(nèi)出具測評驗(yàn)收報(bào)告。付款方式：合同簽訂之日起30日內(nèi)甲方向乙方支付合同款，乙方即可進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)差距測評工作并交付差距測評結(jié)果。甲方憑乙方提供的發(fā)票支付項(xiàng)目款。評分標(biāo)準(zhǔn)綜合評分法，總分100分，商務(wù)技術(shù)得分70分+價(jià)格得分30分序號評審項(xiàng)目分值評分細(xì)則1價(jià)格30以投標(biāo)總價(jià)作為評審的依據(jù)，若單價(jià)乘以數(shù)量得到的總價(jià)與投標(biāo)總價(jià)不一致，以單價(jià)為準(zhǔn)修改總價(jià)；金額的中文大寫與阿拉伯?dāng)?shù)字不一致時(shí)，以中文大寫為準(zhǔn)。投標(biāo)人價(jià)格得分評分方法如下：1)評標(biāo)基準(zhǔn)價(jià)＝實(shí)質(zhì)性響應(yīng)招標(biāo)文件要求的投標(biāo)中的最低投標(biāo)總價(jià)2)投標(biāo)人價(jià)格得分＝評標(biāo)基準(zhǔn)價(jià)/投標(biāo)總價(jià)×302綜合資質(zhì)20供應(yīng)商須由持有國家網(wǎng)絡(luò)安全等級保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)《信息安全等級保護(hù)測評機(jī)構(gòu)推薦證書》的測評機(jī)構(gòu)出具蓋章的項(xiàng)目授權(quán)函。提供授權(quán)函得5分，不提供不得分。供應(yīng)商具有由國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)設(shè)立的認(rèn)證機(jī)構(gòu)頒發(fā)并在有效期內(nèi)的以下認(rèn)證證書：（1）信息安全管理體系認(rèn)證（2）信息技術(shù)服務(wù)管理體系認(rèn)證（3）信息安全服務(wù)資質(zhì)認(rèn)證（4）質(zhì)量管理體系認(rèn)證（ISO9001）（5）服務(wù)質(zhì)量評價(jià)認(rèn)證提供每個(gè)證書3分，最高15分。注：體系認(rèn)證證書須在認(rèn)監(jiān)委網(wǎng)站（/）查詢有效，須提供查詢截圖，已失效或撤銷的不得分。3業(yè)績8每提供一個(gè)2021年1月1日以來含有安全等保測評服務(wù)業(yè)績得2分，最高得8分，不提供不得分。提供相關(guān)掃描件。4項(xiàng)目團(tuán)隊(duì)15投標(biāo)人擬派駐負(fù)責(zé)本項(xiàng)目的項(xiàng)目經(jīng)理為投標(biāo)人全職員工，可提供社保證明。(全程參與風(fēng)險(xiǎn)測評，分析，方案設(shè)計(jì)，匯報(bào)，為現(xiàn)場方案主匯報(bào)人)：

（1）具有高級工程師職稱證書，得1分；

（2）具有人力資源和社會保障部和工業(yè)和信息化部頒發(fā)的信息系統(tǒng)項(xiàng)目管理師資質(zhì)，得1分；

（3）具有中國信息安全測評中心頒發(fā)的注冊信息安全員（CISM）資質(zhì)，得2分；

2、投入本項(xiàng)目技術(shù)人員的資質(zhì)情況（投入本項(xiàng)目項(xiàng)目經(jīng)理除外）：

2.1.技術(shù)負(fù)責(zé)人（1人）：

（1）具備高級工程師職稱證書，得1分；

（2）具備工業(yè)和信息化部教育與考試中心頒發(fā)的高級網(wǎng)絡(luò)信息安全工程師資質(zhì)證書，得1分；

（3）具備中國信息安全測評中心頒發(fā)的注冊信息安全管理人員資格（CIS0）證書，得1分；

2.2.安全管理工程師（1人）：

（1）具備工業(yè)和信息化部教育與考試中心頒發(fā)的高級網(wǎng)絡(luò)信息安全工程師資質(zhì)證書，得1分；

（2）具備工業(yè)和信息化部教育與考試中心頒發(fā)的高級智能化系統(tǒng)工程師資質(zhì)證書，得1分；

（3）具備人力資源和社會保障部和工業(yè)和信息化部頒發(fā)的通信專業(yè)技術(shù)人員職業(yè)資格證書（互聯(lián)網(wǎng)技術(shù)），1分；

（4）具備中國信息安全測評中心頒發(fā)的注冊信息安全工程師資格（CISE）證書，得1分；3、投入本項(xiàng)目其他技術(shù)人員人數(shù)情況（投入本項(xiàng)目項(xiàng)目經(jīng)理除外）（1）投入本項(xiàng)目其他技術(shù)人員人數(shù)多于3人，得4分；（2）投入本項(xiàng)目其他技術(shù)人員人數(shù)1-3人，得2分；（3）投入本項(xiàng)目其他技術(shù)人員人數(shù)少于1人，得0分；注：同一人員不重復(fù)計(jì)分，提供以上人員相關(guān)資質(zhì)證書，以及2023年任意一個(gè)月在投標(biāo)人單位購買的社保繳納憑證復(fù)印件并加蓋響應(yīng)供應(yīng)商公章，無或未按要求提供證明材料的，不得分。5企業(yè)榮譽(yù)72021年1月1日以來供應(yīng)商在市級及以上政務(wù)系統(tǒng)的網(wǎng)絡(luò)安全攻防演練活動中，獲得一等獎得7分，二等獎4分，三等獎3分，沒有提供不得分。6服務(wù)方案15根據(jù)投標(biāo)服務(wù)方案對本項(xiàng)目等保測評進(jìn)行綜合比較打分：方案針對性強(qiáng)，項(xiàng)目管理到位，合理，人員分工明確，對測評過程的質(zhì)量、進(jìn)度及安全監(jiān)督到位，在項(xiàng)目的統(tǒng)籌、協(xié)調(diào)方面到位，符合采購人要求，服務(wù)方案完整科學(xué)、可行性強(qiáng)，完全滿足并優(yōu)于采購要求得15分；方案有較強(qiáng)針對性，項(xiàng)目管理到位，合理，人員分工明確，對測評過程的質(zhì)量、進(jìn)度及安全監(jiān)督到位，在項(xiàng)目的統(tǒng)籌、協(xié)調(diào)方面到位，符合采購人要