《附件(投标文件参考格式).doc》由会员分享,可在线阅读,更多相关《附件(投标文件参考格式).doc(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 深圳市住房保障署信息安全项目招标书深圳市住房保障署2017年8月“深圳市住房保障署信息安全”项目招 标 书一、 项目背景为了进一步加强深圳市住房保障署网络信息安全的管理工作,保障各个信息系统安全稳定运行,预防重大网络安全事件的发生,落实年度信息安全联合检查工作和信息系统信息安全等级保护测评工作,现决定引入专业机构协同开展信息安全项目。二、 服务需求本次招标项目:深圳市住房保障署信息安全项目2.1项目概况:为了规范深圳市住房保障署信息安全管理体系框架,落实各项网络安全工作,提高深圳市住房保障署单位人员信息安全意识,加强基础信息网络和重要信息系统的安全防护能力和水平,保障网络和信息系统安全、稳定
2、地运行,依据我国信息安全等级保护制度的相关规定,结合上级单位关于深圳市党政机关信息安全联合检查要求,组织开展安全制度落实、技术防护和安全保障的等各项工作,认真查找安全隐患和漏洞,完善各项防护措施,全面提高深圳市住房保障署信息安全风险管理水平。2.2项目目标和范围:依据我国信息安全等级保护标准、上级单位关于深圳市党政机关信息安全联合检查要求,对采购方开展信息安全风险评估、安全管理制度落实、各项安全防护措施落实情况检查、应急响应机制建设、安全隐患排查及整改、信息安全教育培训、网站实时安全监控、信息安全等级保护测评以及重要信息系统的漏洞扫描、安全核查、渗透测试和安全加固等工作,落实和完成采购方的的信
3、息安全指标,持续保障采购方信息系统和网络安全稳定运行,防止重大安全事件的发生。本次项目涉及基础网络架构、重要信息系统、存储设施、安全防护设施和终端设备等IT资产。2.3项目实施依据:1、2017年深圳市党政机关信息安全联合检查工作方案2、深圳市人民政府信息系统安全检查办法(深府办2009138号)3、信息安全等级保护管理办法(公通字200743号)4、信息系统安全等级保护基本要求(GB/T22239-2008)5、政府信息系统安全检查办法(国办发200928号)6、信息安全风险评估规范(GB/T20984-2007)7、深圳市信息安全风险评估实施指南8、深圳市关于开展信息安全风险评估工作的实施
4、意见(深科信2006268号)9、 关于党政机关内网安全管理有关问题的通知(深办200855号)10、深圳市政府网站建设和管理规范(SZDB/Z 502011)2.4项目服务内容:为了从各个方面加强信息安全保障,全面提高采购方整体信息安全水平,本次项目的内容主要包括信息安全检查和运维保障、网站系统实时安全监控和信息安全等级保护测评等服务工作。2.4.1信息安全检查和运维保障服务信息安全检查和运维保障服务根据国家信息安全相关法规、标准的要求,结合采购方的实际安全需求,主要包括信息安全风险评估、安全防护措施落实、安全加固与优化、信息安全管理制度梳理、应急响应机制建设、信息安全培训教育和信息安全咨询
5、服务等七大模块的服务,具体要求如下所述:序号分类描述服务项目服务内容服务次数1信息安全风险评估根据信息安全技术信息安全风险评估规范(GB/T20984-2007)、信息系统安全保护等级基本要求(GB/T 22239-2008)等相关标准,对采购方信息系统和IT基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。资产识别根据资产、业务流程的特性和重要程度对资产进行科学的分类(数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无
6、形资产),并参考CIA(保密性、完整性和可用性)进行价值分级和定量,以识别关键的信息资产。1次/年威胁识别通过安全策略检查、文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检测系统收集的信息和人工分析等手段对可能潜在的威胁进行分类、分析和定性。1次/年脆弱性识别以资产为核心,针对每一项需要保护的资产、识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估,分析出有可能被潜在威胁源利用的系统缺陷或脆弱性列表,并对其进行分级。1次/年现有控制措施有有效性结合资产、威胁和脆弱性分析结果,对现有的预防性安全措施和保护性安全措施进行有效性测试、评估。1次/年风险分析资产-威胁-脆弱性映射关系以及控制
7、措施效果,分析存在的安全风险发生的可能性和影响。1次/年风险计算以关键业务系统为关联要素,通过资产的价值、资产面临的威胁和存在的脆弱性三个方面的内容进行量化,统计分析风险值,评定业务系统所属的风险范围和等级。1次/年风险结果与总结通过层面汇总分析和综合分析等过程找出信息系统的安全风险,识别影响系统安全保护能力的安全隐患,形成评估结论报告。1次/年风险处置方案针对信息安全风险评估结果和存在的关键性问题,提出相应的不可接受风险处置建议和方案。1次/年2安全防护措施落实服务根据深圳市党政机关内网安全加固工作方案、互联网安全保护技术措施规定、信息系统安全保护等级基本要求(GB/T 22239-2008
8、)、信息系统和信息设备使用保密管理规定以及全国人民代表大会常务委员会关于加强网络信息保护的决定等相关标准规范的要求,对采购方设施的漏洞扫描、应用系统检查、内网防病毒、安全审计、网站安全、防泄密、防恶意信息、非法外联和移动存储管理安全防护措施情况的核查和落实。业务系统服务器漏洞扫描定期制定可行的漏洞扫描计划,并对所有业务系统使用的主机、网络设备、应用中间件系统和数据库系统进行漏洞扫描和分析研判,出具相关的安全检测结果报告。1次/季度外网站点应用层漏洞扫描定期对外网提供公众服务的站点进行应用层安全漏洞扫描,分析和研判误报,出具相关安全检测结果报告。1次/季度外网站点渗透测试模拟黑客攻击手段,对外网
9、站点进行可控的渗透测试,获取系统权限或找出系统的安全缺陷,以评估站点系统的安全性。2次/年外网应用系统信息传输与存储安全措施检查定期使用专业工具和方法对外网应用系统信息传输是否加密,加密强度是否符合标准要求,以及信息存储是否存在泄漏风险。1次/年社会公众服务应用系统公民个人信息保障措施检查定期评估涉及公民个人信息的公众服务应用系统在信息传输和存储方面的措施是否有效,是否足够防止信息的泄露、篡改和毁坏等情况的发生。1次/年外网应用系统审计功能检查定期对外网应用系统审计功能有效性,完整性以及对审计日志进行综合分析。1次/季度终端漏洞扫描定期对配置了IP地址的终端设备,包括网络打印机等进行漏洞扫描,
10、分析漏洞,并出具检测结果报告。1次/季度恶意代码防范每月对内网防病毒系统查杀记录、病毒特征码更新、病毒传播趋势进行安全巡检和跟踪分析,不断优化配置策略。1次/季度网络安全审计每月对网络安全审计设备运行状况、日志连续性进行巡检,并在需要的时候协助检查违规上网行为。1次/季度防篡改每月对网页防篡改系统运行状况、日志连续性进行巡检。1次/季度防泄密每月协助对内网计算机有无违规使用无线设备、安装的安全保密监控软件是否有效等。1次/季度计算机资产统计整理统计采购方在使用的计算机资产下列信息,包含: a)计算机主机名; b)计算机IP地址; c)计算机MAC地址; d)计算机使用人或责任人; e)计算机所
11、属部门; f)计算机的物理位置; g)服务器的内外网IP对应。1次/年非法外联每月协助检查内网终端是否存在违规连接互联网的情况。1次/季度移动存储管理每月检查移动存储管理措施的有效性。1次/季度3安全加固与优化服务通过信息安全风险评估、安全基线核查、漏洞扫描和渗透测试等技术手段全面的评估的结果,对发现的信息资产安全漏洞、隐患、威胁等进行整改和加固,提高采购方信息安全保障能力。上期联合检查问题整改对2012年度联合检查中存在的安全问题进行协助整改。1次/年上期不可接受风险整改对2012年度信息安全风险评估中发现的不可接受风险进行协助整改。1次/年网络加固通过调整网络边界、重要节点的访问控制策略、
12、网络架构优化、修复和升级网络设备IOS、消除安全漏洞、配置安全基线等方法加固网络层面的安全。1次/季度主机加固通过加强系统恶意代码防范、系统安全防护措施、补丁和安全设置、系统安全策略检查等手段,加固和优化主机系统的整体安全;1次/季度应用加固通过修补漏洞、增强安全配置、调整系统架构和提升安全策略等方式进行系统整体加固和安全优化,提高系统的安全性和抗攻击能力,将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性和可能造成的损失。1次/季度应用中间件加固对各类网络应用服务平台中间件进行安全策略完善、安全设置、权限划分、访问控制等安全加固和修复。1次/季度数据库加固通过加强用户授予库权限、
13、系统密码策略、系统审计等安全配置、升级和修复数据库系统安全漏洞。1次/季度安全管理优化通过优化信息安全管理流程、明确管理职责、加强安全管理体系落实以及信息安全意识推广等方法提高采购方信息安全管理水平。1次/季度终端安全优化对定期检测中发现终端设备安全漏洞和隐患提供整改和治理的咨询服务。1次/季度4应急响应机制建设服务根据信息系统安全保护等级基本要求(GB/T 22239-2008)中关于应急响应机制建设的要求,包括应急预案制定和修订、应急预案演练、应急处置支持、灾备措施检查、应急团队建设咨询等工作。应急预案制定和修订根据采购方信息系统的安全状况、完善和修订安全事件应急预案,使之更适合指导突发事
14、件的处置流程。1次/年应急演练服务根据应急预案和当年业界发生的重大安全事件,提供整套的安全事件应急演练服务,包括提供演练方案、计划、资源配置、人员协同、结果报告和整改方案等。1次/年应急响应支持对采购方IT基础设施和信息系统提供7X24小时的紧急响应服务,包括受到非法网络攻击、蠕虫病毒爆发、数据受到窃取和破坏的调查取证等方面的应急服务支持。7X24小时应急响应技能培训对采购方信息技术人员提供专业的网络安全应急响应技能、技术的培训。2次/年安全值守在敏感时期增派2名以上专业安全工程师现场值守,协助监测采购方网络设施和信息系统安全运行状况,保障业务系统安全稳定运行。根据我方需求5信息安全管理制度梳
15、理根据信息系统安全等级保护基本要求(GB/T22239-2008)中信息安全管理和深圳市信息化主管部门关于信息安全工作的要求,对我院整个信息安全管理的方针、策略、制度、规程等进行体系化的梳理和核查,结合信息化实际情况进完成对信息安全管理体系规范的落实。信息安全制度制定、优化及落实梳理和核查包括不限于以下各项信息安全管理制度及制度执行情况:a) 信息安全组织架构设置;b) 信息安全人员配备和岗位职责制定优化;c)信息系统的规划、建设、运维、废弃等环节的信息安全制度制定;d)信息安全制度执行情况记录。1次/年信息安全管理体系落地a)建立适合我方实际的信息安全管理体系框架;b)评估和识别关键的业务处
16、理流程、资产和岗位设置等;c) 实现安全体系文档化,管理流程化、绩效控制可量化和安全意识普及;1次/年外包服务管理a)对外包开发软件在投入使用前进行了全面的安全检测;不少于4次/年6安全培训教育服务针对不同岗位和职责的人员提供不同培训内容,包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。安全培训计划根据我方信息系统和人员的情况,设置合理的培训课程和培训计划。1次/年安全意识培训主要讲办公电脑、平板、智能设备、移动存储设备等终端设备在使用互联网、内网网络的安全、保密意识和安全常识。2次(每次培训时间不少于2个小时)安全技能培训主要讲解当前最新的安全技术、黑客攻击技术和手
17、段,以及如何做好日常的各项防范工作。2次(每次培训时间不少于2个小时)等级保护标准培训主要讲国家等级保护工作政策、行业标准、监管要求、最佳实践等方面的发展情况。1次(每次培训时间不少于2个小时)7信息安全咨询服务根据国家信息安全相关标准规范对采购方信息系统的规划、设计、建设、改造、验收、上线、运营以及废弃等阶段中涉及的安全问题提供顾问咨询服务。技术方案咨询对采购方信息系统的规划、设计、建设等技术方案的可行性、可靠性、安全性等提供专业咨询。不限次数安全风险控制咨询对采购方信息系统运行中各环节存在的安全风险控制方法、措施是否得当、有效提供专业咨询。信息系统安全管理咨询对采购方信息系统上线、运营中的
18、安全管理机制提供专业咨询。2.4.2网站系统安全实时监控服务根据上级单位信息安全联合检查标准要求和深圳市政府网站建设与管理规范的相关要求,对网站系统运行状况、网页规范化、内容非法篡改、挂马、黑链等提供一年7X24小时安全监控,及时发现并协助我方进行处置。序号描述服务项目服务内容服务模式1对站点可用性、合规性、安全性等进行7x24小时监控网站运行状况监控对网站的网络响应时间、主机响应时间、页面响应时间、数据库响应时间等相应指标对网站性能进行实时监控,以保障网站业务连续性和稳定性。7X24小时网站文字的不规范性/违规文字/页面内容恶意篡改监控对网站上不规范性文字库进行扫描监控,以达到不规范性文字的
19、及时发现,同时可通过平台内动态丰富的违规文字库,对网站内页面上的违规内容进行动态监控,及时发现各种反动、色情、低俗等内容。7X24小时网站内容的统一性监控通过业务内容录制工具,创建仿真模型,然后提交给仿真终端进行高频仿真。通过高频仿真对网站上来自其它服务器或其它数据通道的内容对比,查看两方的内容是否一致,以达到实现网站内容的统一性的目的。7X24小时挂马检测/网页木马检测/黑链检测通过在线服务平台的挂马特征库(云监控平台自学习系统动态增加挂马特征),对网页的挂马/木马和页面特征进行分析,识别出挂马、木马和挂黑链等安全问题。7X24小时2.4.3信息系统等级保护测评根据信息系统安全等级保护基本要
20、求(GB/T22239-2008)相关要求,对采购方重要信息系统进行等级保护测评,认真查找各个层面存在的安全问题,提出专业的整改建议和方案,并出具符合国家等级保护要求的测评结果报告。2.4.3.1测评内容信息系统的安全等级测评内容应包括技术和管理两大类,其中技术类应包括对物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等方面的测评,管理类测评应包括对机构安全管理机构、人员安全管理、安全管理制度、系统建设管理和系统运维管理等方面的测评。2.4.3.2测评范围与对象序号系统名称系统等级服务次数1安居型商品房销售管理系统二级2次2门户网站系统二级1次3房补管理系统二级2次2.5项目实施要求
21、:1、项目周期及计划要求项目应严格按照信息安全联合检查方案、国家信息安全等级保护相关要求以及满足我方信息安全保护需求按期、按质执行,确保在规定的时间内完成各项检查和完善工作。服务时间:自合同签订起2年2、项目交付要求项目中各项安全服务结果必须真实、可靠、全面,满足本年度党政机关信息安全联合检查相关要求、国家信息安全等级保护标准要求;项目实施过程产生的所有过程文档、检查记录、人员访谈纪要、检测原始数据、服务结果报告等必须进行电子和纸制双重归档,根据要求,整理成册,并及时交付我方。3、项目资源要求为确保信息安全服务项目的有效落实,合作方需具备全面的项目管理能力,对于项目各项服务内容要求、实施计划与
22、质量控制、风险评估与分析、专项问题分析与咨询等方面,提出完整的管控方案。3.1、应当按计划合理配置人员进行安全服务实施;3.2、应当由专人进行项目管理与跟踪。三、 项目服务价格上限本次项目服务的控制金额为人民币45万元以内,服务期限为两年,鉴于保障署门户网站将于2018年整合至市住建局官网,届时将减少对门户网站系统的等保测评备案工作,两年系统维护服务费也将有所不同。项目服务费用按年度分期支付,2017年控制金额为人民币24万元以内,2018年控制金额为人民币21万元以内,参加单位的报价不可高于控制金额,否则参加单位的投标文件视同无效。四、 对项目服务的要求(一)中标的单位原则上要求在合同签订后
23、30天内开始启动信息安全联合检查工作和信息系统信息安全等级保护测评工作。(二)中标单位派专人对有关人员进行相关信息安全联合检查和信息系统信息安全等级保护测评工作的安全培训。(三)本项目禁止进行分包、转包或拆分。(四)验收要求:本项目的验收要求是中标单位出具符合深圳市公安局信息安全等级保护领导协调小组办公室认可的信息安全等级保护测评报告,以及符合深圳市党政机关信息安全联合检查要求的各类文件。五、 投标人的资格要求1. 投标人不得有任何外资(包括港、澳、台资)背景,非深圳注册公司须在深圳设有分支机构、分公司或办事处;2投标人具有独立法人资格,提供营业执照扫描件;且投标人注册资金为500万(含500
24、万)以上。3、投标人单位须无违法违规行为,无被处罚、惩戒等不良执业记录及不良反映,业内拥有良好的声誉。4、投标人单位的授权代表应为该单位法定代表人或经法定代表人授权的该单位员工。5、投标人具有广东省信息安全等级保护测评机构推荐证书。6、投标人具有广东省计算机信息系统安全服务备案证书。六、 评标、定标流程和方法本项目定标采用一次票决法。七、 投标文件要求7.1投标文件的组成和格式(包括但不限于)1、投标报价(格式见附件1、附件2)。2、详细的工作方案,方案内容至少包括:信息安全项目开发的总体思路、方法和途径,以及成果说明,项目实施工作的计划和步骤、完成时限等必须明确的内容(格式见附件3)。3、业
25、绩证明材料:提供信息系统信息安全等级保护测评和信息系统安全运维服务项目的案例,提供相关证明文件(包括有:合同扫描件或中标通知书)。对于业绩重点要求如下:(1) 有与本项目同类型的合作案例,且在深圳市范围内的。提供相关证明文件。(2) 提供自2016年1月1日至今的成功案例,且数量不少于10个。4、投标承诺函(参考附件5)。5、其它招标文件要求的内容及投标人认为需要补充的内容(格式自定)。提交的资料应加盖公章。6、投标资格证明文件。(1)工商登记证、税务登记证、组织机构代码证或三证合一资质文件,并加盖公章。(2)法人代表书、法人授权委托书等,加盖公章。(3)广东省计算机信息系统安全服务备案证,加
26、盖公章。(4)信息安全等级保护测评机构推荐证书,加盖公章。(5)ISCCC信息安全服务资质认证证书(应急处理与风险评估),加盖公章。(6)实施团队项目经理需具有公安部信息安全等级保护评估中心所颁发信息安全等级高级测评师资质,加盖公章。(7)实施团队项目组成员需具有中、初级信息安全等级测评师资质、电子数据类司法鉴定人执业资格证书、信息系统审计师(CISA)或注册信息安全专家(CISP),加盖公章。7.2投标文件的份数及装订、密封要求1、投标人应准备投标文件正本一套和副本三套,所有封袋上都应写明投标人的名称、项目名称。文件封面须清楚地标明“正本”或“副本”,当正本与副本有一不致时,以正本为准。2、
27、投标文件正、副本均应使用A4纸统一装订,且均应使用不能擦去的墨水书写或打印,并由投标人加盖公章和法定代表人或法定代表人委托的代理人签字。3、投标文件的正本及所有副本必须密封,封面均须加盖投标人法人公章并在密封口骑缝加盖法人公章。7.3投标文件的递交1、投标人将投标文件按以上规定密封和标记后,按以下注明的地址在投标截止时间之前送至招标单位。2、递交资料截止时间: 2017年8月 16日下午15:30地点:深圳市福田区红荔路莲花大厦东座807室联系人:齐呈月,电话0755-83253736。7.4投标文件有效期投标文件从投标截止日起有效期为90天。附件(投标文件参考格式)1、投标书致: 深圳市住房
28、保障署 根据贵方为(信息安全项目)的投标邀请,签字代表(姓名、职务 )经正式授权并代表投标人(投标人名称、 地址 )提交:一、投标文件(正本壹份及副本叁份):包括以下文件:(1)投标书;(2)投标一览表;(3)服务工作方案;(4)其他业绩证明材料(5)投标人资格证明文件;(6)承诺函。二、文件有要求或投标人认为有必要提供的其他资料: 据此函,签字代表宣布同意如下:1、 所附报价表中规定的项目服务总价为:(用文字和数字表示的投标总价 )。2、 投标人将按招标文件的规定履行合同责任和义务。3、 投标人已详细审查全部招标文件,包括修改文件(如果有的话)。我们完全理解并同意放弃对这方面有不明及误解的权
29、力。4、 本投标有效期为自投标截止日起三十(30)个日历日。5、 投标方同意提供按照贵方可能要求的与其投标有关的一切数据或资料,理解贵方不一定要接受最低价的投标或收到的任何投标。6、 本投标有关的一切正式往来信函请寄:地址 投标人代表签字 电话 投标人名称 传真 公章 电子邮件 日期 2、投标一览表项目名称:深圳市住房保障署信息安全项目投标人名称 : 项目名称投标总价备注投标人代表签字: 单位盖章: 分项报价明细项目名称:深圳市住房保障署信息安全项目投标人名称 : 价格组成总价人民币:元备注一、信息安全风险评估二、安全防护措施落实服务三、安全加固与优化服务四、应急响应机制建设服务五、信息安全管
30、理制度梳理六、安全培训教育服务七、信息安全咨询服务八. 网站系统安全实时监控服务九、信息系统等级保护测评合计投标人代表签字: 单位盖章: 3、项目工作方案投标人应制订针对本项目实施的详细具体的工作方案,内容包括:深圳市住房保障署信息安全项目的总体思路、方法和途径,以及成果说明,项目实施工作的计划、步骤和完成时限等必须明确的内容。投标人代表签字: 单位盖章: 4、投标人资格证明文件1、工商登记证、税务登记证、组织机构代码证或三证合一。投标人代表签字: 单位盖章: 5、承诺函致: 我司参加贵单位“深圳市住房保障署信息安全项目”投标,在此郑重承诺:如我司中标,将严格遵守以下承诺:1、不对本项目进行分包、转包或拆分。2、按时完成本服务项目,提供项目所需的充足人力及其他资源保障,保证服务质量。3、贵司有权确认项目组成员。4、接受贵司质询,按照要求对项目实施方案进行现场讲解,并对提出的问题进行澄清和说明。5、有保守本项目秘密的义务,项目中收集的保障署所有资料均严格保密。如违背承诺,我司愿承担相关违约和赔偿责任,贵司可在对我方的合同付款中扣抵。承诺人: 企业法人营业执照号码: 号投标人代表签字: 单位盖章: 日期: 年 月 日22