西安市市级单位政府采购中心
竞争性磋商文件
项目名称:西安市灞桥区人民法院信息等级保
护测试项目
项目编号:XCZX-
2019年11月
中国招标行业门户网站
千里马招标网www.qianlima.com
目 录
第一章
第二章
第三章
第四章
第五章
---------------------------------------- 2 ---------------------------------------- 5 ------------------------- 18 ----------------------------------- 49 ------------------------- 51
磋商邀请函 服务商须知 磋商内容及技术要求 合同草案条款 响应文件构成及格式
中国招标行业门户网站
千里马招标网www.qianlima.com
第一章 磋商邀请函
西安市市级单位政府采购中心受西安市灞桥区人民法院的委托,经政府采购管理部门批准(市财采计〔〕号),按照政府采购程序,对西安市灞桥区人民法院信息等级保护测试项目进行竞争性磋商,欢迎符合资格条件的、有能力提供本项目所需服务的服务商参加磋商。
一、项目名称:西安市灞桥区人民法院信息等级保护测试项目 二、项目编号:XCZX-号
三、采购人:西安市灞桥区人民法院
地址:西安市灞桥区纺一路号 项目联系人:韩萌萌 联系方式:
四、集中采购机构:西安市市级单位政府采购中心
地址:西安市未央区文景北路号白桦林国际B座 总机:-//
项目联系人:郭彤、赵妮妮 分机:、 五、磋商内容和要求:西安市灞桥区人民法院信息等级保护测试项目。 (详见磋商文件第三章〈磋商内容及技术要求〉) 六、项目性质:财政拨款 七、采购预算:万元 八、服务商资格要求:
(一)在中华人民共和国境内注册,并有效存续的营业执照/事业单位法人证书/非企业专业服务机构执业许可证/民办非企业单位登记证书、税务登记证、组织机构代码证,或“三证合一”后的注册登记证。
(二)财务状况报告:提供年度财务会计报告(至少包括资产负债表和利润表,成立时间至提交首次响应文件截止时间不足一年的可提供成立后任意时段的资产负债表),或其基本存款账户开户银行出具的资信证明及基本存款账户开户许可证,或西安市政府采购信用担保机构出具的磋商担保函。
(三)社会保障资金缴纳证明:自年月日以来已缴存的至少一个月的社会保障资金缴存单据或社保机构开具的社会保险参保缴费情况证明,单据或证明上应有社保机构或代收机构的公章或业务专用章。依法不需要缴纳社会保障资金的服务商应提供相关文件证明。
中国招标行业门户网站
千里马招标网www.qianlima.com
(四)税收缴纳证明:自年月日以来已缴纳的至少一个月的纳税证明或完税证明,纳税证明或完税证明上应有代收机构或税务机关的公章或业务专用章。依法免税的服务商应提供相关文件证明。
(五)参加本次政府采购活动前年内在经营活动中没有重大违法记录的书面声明。
(六)法定代表人参加磋商的,须提供本人身份证复印件并出示身份证原件;法定代表人授权他人参加磋商的,须提供法定代表人委托授权书并出示被授权代表的身份证原件。磋商文件中凡是需要法定代表人签字或盖章之处,非法人单位的负责人均参照执行。
(七)入围全国等级保护测评机构推荐目录(www.djbh.net)的国家信息安全等级保护工作协调小组办公室推荐测评机构,具有《网络安全等级保护测评机构推荐证书》。
(八)服务商应提供参与项目的测评师年度两个月的在本单位缴纳的社保证明原件。
本项目不接受联合体投标。
注:()以上资格要求均为必备资格,缺少其中任何一项,其响应文件视为无效文件。书面声明和法定代表人委托授权书应按磋商文件第五章第三部分给定的格式填写。
()响应文件正本中的法定代表人委托授权书必须附原件,其他资格证明文件提供复印件并加盖服务商公章(原件自带,以备查验);响应文件副本中的全部资格证明文件仅需提供复印件。
()法人的分支机构不能以分支机构的身份参加政府采购,只能以法人身份参加。事业单位参与磋商可不提供财务状况报告和社会保障资金缴纳证明。
九、免费下载磋商文件:
、服务商登录【西安市人民政府网(www.xa.gov.cn)】进入〖首页·〉重点工作·〉政府采购〗栏目,查询并打开本项目采购公告,在采购公告页面底部免费下载磋商文件及相关资料。
、磋商文件公告期:自本公告发布之日起个工作日。 十、交纳磋商保证金及换票: 、磋商保证金交纳金额:元。
、保证金交纳账户及相关注意事项,详见磋商文件第二章“磋商保证金”有关内容。已办结磋商保证金换票手续的视为报名成功。
十一、提交首次响应文件截止时间及磋商开启时间和地点: 、提交首次响应文件份数:一正四副。
中国招标行业门户网站
千里马招标网www.qianlima.com
、提交首次响应文件截止时间:年月日: 、开启时间:年月日:
、开启地点:西安市未央区文景北路号白桦林国际B座五层室。
中国招标行业门户网站
千里马招标网www.qianlima.com
第二章 服务商须知
一、名词解释
(一)监管机构:西安市财政局
(二)服务商:凡参与本次磋商,具有相关资格的法人/其他组织。
二、服务商注意事项
(一)询问
服务商对政府采购活动事项有疑问的,可以向集中采购机构或采购人提出询问。集中采购机构或采购人将在个工作日内对服务商依法提出的询问作出答复。
询问内容超出采购人对集中采购机构委托授权范围的,服务商应当向采购人提出。
(二)质疑和投诉
、服务商认为采购文件、采购过程、成交结果使自己的权益受到损害的,可以在知道或应知其权益受到损害之日起个工作日内以书面形式向采购人提出。
联 系 人:韩萌萌 联系电话:
通信地址:西安市灞桥区纺一路号
、服务商对政府采购开评标程序提出质疑的,可以在知道或应知其权益受到损害之日起个工作日内以书面形式向集中采购机构提出:
受理窗口:西安市未央区文景北路号白桦林国际B座二层政府采购业务服务窗口。
联系电话:-/转 邮编:
、在法定质疑期内,针对同一采购程序环节的质疑应当一次性提出。采购人、集中采购机构将在收到书面质疑后个工作日内做出答复,并以书面形式通知质疑人和其他有关服务商。
服务商提出质疑应当提交质疑函和必要的证明材料,并按财政部《质疑函范本》给定的格式进行填写,范本下载详见【财政部国库司(gks.mof.gov.cn)】网站〖首页〉政府采购管理〗栏目中的《政府采购服务商质疑函范本》。
《政府采购服务商质疑函范本》链接地址:
中国招标行业门户网站
千里马招标网www.qianlima.com
http://gks.mof.gov.cn/zhengfucaigouguanli//t_.html
、服务商为自然人的,应当由本人签字;服务商为法人或者其他组织的,应当由法定代表人、主要负责人,或者其授权代表签字或者盖章,并加盖公章,公章不得以合同章或其他印章代替。服务商委托代理人提出质疑的,应当同时提交服务商签署的授权委托书。
、有下列情形之一的,属于无效质疑,集中采购机构和采购人可不予受理:
()对采购文件提出质疑的质疑人不是依法获取采购文件的潜在服务商;对采购过程、成交结果提出质疑的质疑人不是参与本次政府采购项目的服务商;
()超过法定期限或未以书面形式提出的;
()缺乏必要的证明材料,或捏造事实、提供虚假材料,或以非法手段取得证明材料的;
()质疑函没有合法有效的签字、盖章或授权的;
()针对同一采购程序环节又提出其他质疑事项的,或质疑答复后就同一事项再次提出质疑的;
()不符合法律、法规、规章和政府采购监管机构规定的其他条件的。 、质疑服务商对采购人、集中采购机构的答复不满意,或者采购人、集中采购机构未在规定的时间内做出答复的,可以在答复期满后个工作日内按照《政府采购质疑和投诉办法》(财政部号令)相关规定向政府采购监管机构提出投诉。服务商投诉的事项不得超出已质疑事项的范围。
、对捏造事实、提供虚假材料进行质疑、投诉的行为予以严肃处理: 依据《政府采购质疑和投诉办法》(财政部号令)有关规定,投诉人在全国范围内十二个月内三次以上投诉查无实据的,由财政部门列入不良行为记录名单。对于捏造事实、或提供虚假材料、或以非法手段取得证明材料(证据来源的合法性存在明显疑问,投诉人无法证明其取得方式合法的,视为以非法手段取得证明材料)进行投诉的,属于虚假、恶意投诉,由财政部门列入不良行为记录名单,并禁止其一至三年内参加政府采购活动。
、对捏造事实诬告陷害他人、诽谤他人的法律适用: 《中华人民共和国刑法》第条【诬告陷害罪】捏造事实诬告陷害他人,意图使他人受刑事追究,情节严重的,处三年以下有期徒刑、拘役或者管制;造成严重后果的,处三年以上十年以下有期徒刑。
中国招标行业门户网站
千里马招标网www.qianlima.com
《中华人民共和国刑法》第条【侮辱罪、诽谤罪】以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人,情节严重的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。
(三)服务商的磋商费用自理。
三、磋商文件
(一)磋商文件包括下列内容 第一章 磋商邀请函 第二章 服务商须知
第三章 磋商内容及技术要求 第四章 合同草案条款
第五章 响应文件构成及格式 (二)磋商文件的检查及阅读
服务商下载磋商文件后应仔细阅读检查磋商文件中的所有内容,按照磋商文件中所列事项、条款、规范要求及格式,在响应文件中对磋商文件做出实质性的响应,并按磋商文件的要求提交全部资料。
项目废标后重新组织磋商的,集中采购机构将重新编制、发布新版磋商文件,服务商应按新版磋商文件重新编制响应文件。原磋商文件及响应文件失效。
响应文件封面、响应函以及法定代表人委托授权书三处的项目名称、项目编号、标段(项目未分标段的除外)应当与最新发布的磋商文件保持一致,否则将被视为无效响应文件。
(三)磋商文件的修改、澄清
、提交首次响应文件截止之日前,集中采购机构可对已发出的磋商文件进行必要的澄清或者修改,澄清或者修改的内容作为磋商文件的组成部分。澄清或修改的内容可能影响响应文件编制的,集中采购机构将在提交首次响应文件截止之日个工作日前,在财政部门指定的政府采购信息发布媒体上发布变更公告,不足个工作日的,将顺延提交首次响应文件截止时间。
、服务商对磋商文件有质疑的,应在磋商文件公告期届满之日起七个工作日内(但最晚不得超过提交首次响应文件截止时间前个工作日)以书面形式提出,采购人或集中采购机构将以书面形式予以答复;在此之后提出的针对磋商文件的质疑为无效质疑。答复的内容可能影响响应文件编制的,将在财政部门指定的政府采购信息发布媒体上发布变更公告。
中国招标行业门户网站
千里马招标网www.qianlima.com
、集中采购机构可以视采购具体情况,暂停项目的执行或延长提交首次响应文件截止时间和磋商开启时间,但至少会在磋商文件要求的提交首次响应文件的截止时间个工作日前,在财政部门指定的政府采购信息发布媒体上发布变更公告。不足个工作日的,将视情另行通知。
、因集中采购机构采取不记名方式提供磋商文件的下载,因此请各服务商在提交首次响应文件截止时间之前,务必自行关注下列地址发布的变更公告,集中采购机构不再单独通知,因服务商未及时关注所造成的一切后果由服务商自行承担:
()【陕西省政府采购网(www.ccgp-shaanxi.gov.cn)】中的〖首页·〉市县采购信息公告〗;
()【西安市人民政府网(www.xa.gov.cn)】中的〖首页·〉重点工作·〉政府采购〗;
(四)磋商文件的解释权归集中采购机构。
四、磋商保证金
(一)交纳磋商保证金及换票
服务商最晚应在提交首次响应文件截止时间前一工作日(:前)办结磋商保证金交纳及换票手续。
、服务商可通过支票、电汇、网银、磋商担保函中的任何一种非现金形式,交纳磋商保证金。其中以支票、电汇、网银形式交纳的,应从其基本存款账户将磋商保证金足额交纳至以下账户:
户 名:西安市公共资源交易中心保证金户 账 号:9558853700001663559
开户行:中国工商银行股份有限公司西安曲江支行
、服务商在确认磋商保证金到账后,凭下述相关资料到集中采购机构办理保证金换票手续。如遇特殊情况无法及时换票,应于换票截止时间前联系保证金业务室进行登记,开标当天无特殊情况一律不予换票。外地服务商如需异地办理换票手续,可拨打保证金业务室联系电话进行咨询。
()交纳保证金的银行回单(进账单、电汇单、电子回单)原件,或加盖服务商单位公章的复印件;
()基本存款账户开户许可证原件及加盖公章的复印件(基本存款账户资料已在本集中采购机构备案且未发生变更的服务商可不提供);
()《西安市政府采购项目保证金缴存确认单》(服务商自行下载、填写,并加盖公章)。下载链接:http://xa.sxggzyjy.cn/fwzn///caeba-cba--af-ceaca.html
中国招标行业门户网站
千里马招标网www.qianlima.com
服务商未办理保证金换票手续,或经查实其交纳账户为非基本存款账户的,集中采购机构按该服务商未交纳保证金处理。
、业务受理时间、地点及联系方式: ()联系电话:-/转
()受理时间:周一至周五,:-:、:-:(节假日除外)。
()受理地点:西安市未央区文景北路号白桦林国际B座二层保证金室。
(二)西安市政府采购信用担保及信用融资政策
为发挥政府采购促进中小企业发展的政策功能,西安市财政局制定了《西安市政府采购信用担保及信用融资工作实施方案(试行)》(市财发〔〕,以下简称《实施方案》),为参与西安市市级政府采购项目的服务商提供政府采购信用担保和融资服务,并按照程序确定了合作的担保机构和商业银行,详见《实施方案》附件一。磋商服务商在缴纳磋商保证金及成交服务商缴纳履约保证金时可自愿选择通过担保机构保函的形式缴纳;成交服务商如果需要融资贷款服务的,可凭成交通知书、政府采购合同等相关资料,按照实施方案规定的程序申请办理。
以信用担保函形式交纳磋商保证金、履约保证金的,必须提供西安市财政局认定的担保机构(试点)开具的保函。服务商违约,开具保函单位承担连带责任,保函内容及格式分别见《实施方案》附件二、附件三。
、《实施方案》链接地址: http://xaczj.xa.gov.cn/info//.htm
、《信用担保及信用融资合作机构联系名单》链接地址: http://xaczj.xa.gov.cn/info//.htm (三)磋商保证金的退还 、未成交服务商的磋商保证金,于成交通知书发出后,个工作日内无...
息退还。以磋商保函形式缴纳磋商保证金的未成交服务商,其磋商保函于成交通知书发出后,个工作日内直接退还。
、成交服务商的磋商保证金,在合同签订后将自动(除下款情形外)..
转为履约保证金,在采购项目验收合格后,成交服务商持政府采购项目验收单,到集中采购机构办理保证金退还手续,个工作日内无息退还;
磋商文件特别注明“履约保证金由采购人收取和退还”的,成交服务商在交纳履约保证金后,凭履约保证金交纳凭据到集中采购机构办理磋商保证金退还手续,个工作日内无息退还。
、未换取保证金交纳票据、交纳账户为非基本存款账户、重复交纳等情况的,服务商可持退款申请到集中采购机构办理磋商保证金退还手续,
中国招标行业门户网站
千里马招标网www.qianlima.com
个工作日内无息退还(退款申请应写明项目编号、保证金交纳时间、金额、事由及回款账户信息,并加盖单位公章)。
、采购项目废标的,本次交纳的磋商保证金将默认转为本项目重新开展采购活动时的磋商保证金,服务商无需重复办理交纳及换票手续。若服务商无意参加本项目后续采购活动的,可书面提出退款申请。
、采购项目因故终止的,磋商保证金自终止公告发布之日起个工作日内无息退还。
(四)服务商有下列情形之一的,保证金不予退还: 、在提交响应文件截止时间后撤回响应文件的; 、在响应文件中提供虚假资料的;
、除因不可抗力或磋商文件认可的情形以外,成交服务商不与采购人签订合同的;
、与采购人、集中采购机构、其他服务商恶意串通的;
、向采购人、集中采购机构行贿或者提供其他不正当利益的; 、磋商文件规定的其他情形。
五、磋商报价
磋商报价是服务商响应磋商项目要求的全部工作内容的价格体现,包括完成采购内容所需的直接费、间接费、利润、税金及其它相关的一切费用。服务商在报价时应充分考虑所有可能发生的费用,磋商文件未列明,而服务商认为应当计取的费用均应列入报价中。报价时不论是否计取,采购人均按已计取对待。
(一)服务商应严格按照《响应文件构成及格式》第二部分“磋商报价表”中的相关要求填写分类报价和其他需要响应的内容。
(二)磋商报价一般情况下采取二次(最后)报价的办法。第一次报价进行公开唱标,在完成有关程序(资格审查)后,磋商小组在与各合格服务商进行单独磋商后,在规定的时间内,给各合格服务商一次最后报价的机会。最后报价经公开唱标后,作为计算价格分值的依据。
(三)磋商报价货币:人民币;单位:元,精确到小数点后两位。 (四)磋商报价金额的小写与大写不一致时,以大写为准。
(五)因服务商对磋商文件理解不透、误解、疏漏或对市场行情了解不清造成的后果和风险,均由服务商自己负责。
六、磋商文件的式样、签署及有效期
(一)磋商文件式样
中国招标行业门户网站
千里马招标网www.qianlima.com
、服务商依照磋商文件第五章《响应文件构成及格式》给定形式进行编制,并按第一章《磋商邀请函》中规定的响应文件份数要求进行印刷,正本及各副本分别装订成册。项目分标段的,应按所投标段分别准备响应文件。
响应文件正副本内容应当一致,若正本内容和副本内容不符,以正本为准。
、响应文件的正本和全部的副本均须打印或用兰(黑)色墨水书写,统一标码,在每页正下方标明“第几页 共几页”等字样。由于编排混乱导致响应文件被误读或查找不到,或因字迹潦草或表达不清所导致的不利后果,由磋商服务商自行承担。
、响应文件装订方式:胶订(图纸及特殊文件除外)。未按要求装订的,视为无效响应文件。
、磋商活动的所有文件、资料、函电文字均使用简体中文,确需提交用其他语言形成的资料,必须翻译成简体中文,如有差异,以简体中文为准。
、响应文件的计量单位应使用中华人民共和国法定计量单位,但磋商文件另有规定的除外。
(二)响应文件签署
、服务商应按照磋商文件第一章“服务商资格要求”及第五章“响应文件构成及格式”中指明的要求进行签署、盖章。
、除对错、漏处作必要修改外,响应文件不得行间插字、涂改和增删。所做修改处,必须有服务商的法定代表人或被授权人签字或盖章。
(三)响应文件有效期
响应文件有效期为自磋商之日起个日历日。如成交,延长至合同执行完毕时止。
七、响应文件的提交、修改和撤回
(一)响应文件的密封
服务商应将响应文件的正本单独密封,副本可以一起密封或分别密封。封口处应密封牢固,并按磋商文件第五章第七部分《响应文件封袋标识式样》在封袋正面或背面加贴标识,同时注明“正本”或“副本”字样。
(二)响应文件的提交
响应文件应当在开启当日,并于提交首次响应文件截止时间前送达开启地点。不接受电子邮件、传真及邮寄等方式递交的响应文件。
(三)响应文件的修改和撤回
中国招标行业门户网站
千里马招标网www.qianlima.com
、服务商在递交响应文件后,在提交响应文件截止时间前,可以对所提交的响应文件进行补充、修改或撤回,并以书面形式通知集中采购机构。补充、修改的内容为响应文件的组成部分。补充、修改的内容与响应文件不一致的,以补充、修改的内容为准。
、补充、修改或撤回的内容应按前述要求编制、签署、密封、标记,并在封套上加注“补充”、“修改”或“撤回”字样。
(四)服务商提交响应文件时,出现下列情况之一的,其响应文件将被拒绝接收:
、逾期送达的;
、未按磋商文件要求密封的;
、提交的响应文件与本项目不相符的; 、未换取磋商保证金交纳凭据或服务商名称与凭据上的名称不相符的; 、响应文件的封袋未按磋商文件第五章第七部分《响应文件封袋标识式样》标明的。
八、组织磋商
(一)集中采购机构组织磋商工作,整个过程受政府采购监管机构的监督、管理。
(二)为了确保磋商工作的公平、公正,依据政府采购法和政府采购相关法规、规章,成立磋商小组,磋商小组由采购人代表和评审专家共三人以上单数组成,其中评审专家人数不少于磋商小组成员总数的三分之二。评审专家将从政府采购评审专家库内相关专业的专家名单中随机抽取。
(三)集中采购机构在规定的时间和地点组织磋商,服务商必须派法定代表人或被授权人参加,并签名报到。
(四)磋商大会上,集中采购机构对经检查的有效响应文件,依据提交顺序,以公开唱标的形式,将第一次磋商报价表的内容公布。服务商的最后报价,在磋商、澄清等程序后进行。
(五)采购人与成交服务商正式签订政府采购合同前,凡与审查、磋商、澄清、评审过程中有关的所有资料和内容,磋商小组成员及集中采购机构工作人员均负有保密责任,不得向外透露。
九、磋商方法及程序
(一)磋商方法:综合评分法。
响应文件满足磋商文件全部实质性要求且按照评审因素的量化指标评审得分最高的服务商为成交候选人。
中国招标行业门户网站
千里马招标网www.qianlima.com
(二)磋商程序:服务商资格性审查通过后,磋商小组再对响应文件的有效性、完整性和响应程度等进行审查,全部评审合格的服务商进入最后的综合打分,按最后得分由高向低排序,推荐成交候选服务商。其程序如下:
、资格性审查
依据法律法规和磋商文件的规定,对响应文件中的资格证明进行审查,以确定磋商服务商是否具备磋商资格。
、响应文件的有效性、完整性审查
依据磋商文件的规定,对响应文件的有效性、完整性进行审查。响应文件应包含以下内容:
()响应函;
()第一次磋商报价表、分项报价表(《投标文件构成及格式》第二部分未设定该表的除外)、偏差表(《投标文件构成及格式》第二部分未设定该表的除外);
()资格证明文件;
法定代表人委托授权书(格式); ()服务商概况; ()响应方案;
()西安市政府采购服务商拒绝政府采购领域商业贿赂承诺书。
、技术/服务要求符合性审查 序号 一 二 审查内容 等级测评要求 商务要求 、合同草案条款符合性审查 序号 中国招标行业门户网站
响应情况 符合 (√) 不符合 (×) 审查内容 交付条件 合同价款 款项结算 质量保证 验收 响应情况 符合 (√) 不符合 ﹙×﹚ 千里马招标网www.qianlima.com
服务承诺 违约责任 合同生效及其他 、磋商澄清 ()磋商小组在对响应文件的有效性、完整性和响应程度进行审查时,可以要求服务商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等做出必要的澄清、说明或者更正。澄清时服务商只作说明和解释,不得借此对报价、优惠条件、售后服务等实质性内容作任何修改。
()磋商小组要求服务商澄清、说明或者更正响应文件将以书面形式作出。服务商应当在规定的澄清时限内以书面形式提交,服务商的澄清、说明或者更正应当由法定代表人或其授权代表签字或者加盖公章。
()磋商文件、响应文件及澄清内容将作为评审的依据。 、磋商文件的实质性变更
()在磋商过程中,磋商小组可以根据磋商文件和磋商情况实质性变动采购需求中的技术、服务要求以及合同草案条款,但不得变动磋商文件中的其他内容。实质性变动的内容,须经采购人代表确认。
()对磋商文件作出的实质性变动是磋商文件的有效组成部分,磋商小组将及时以书面形式同时通知所有参加磋商的服务商。
()服务商应当按照磋商文件的变动情况和磋商小组的要求重新提交响应文件,并由其法定代表人或授权代表签字或者加盖公章。
、最后报价
()在对所有服务商进行有效性、完整性、符合性审查时,通过必要的澄清,从质量和技术、服务均能满足磋商文件实质性响应要求的基础上,筛选出合格服务商。不合格服务商的响应文件按无效处理,磋商小组要告知有关服务商。
()磋商小组给予所有合格服务商一次最后报价的机会。服务商要以书面形式提交最后报价(各合格服务商的最后报价将作为综合评分法中价格分的计算依据),并由其法定代表人或被授权人签字。已提交响应文件的服务商,在提交最后报价之前,可以根据磋商情况以书面形式退出磋商,集中采购机构将退还其所交纳的磋商保证金。
、综合比较与评价
中国招标行业门户网站
千里马招标网www.qianlima.com
磋商小组按“评审要素及分值一览表”中规定的评审方法和标准,对有效性、完整性、符合性检查合格的响应文件进行商务和技术评估,综合比较与评价。
评审要素及分值一览表 项别 总分值 分项最 高分值 评审要素 满足磋商文件要求且最后报价最低的服务商的价格为磋商基准价得分,其他各服务商的最后报价得分按下列公式计算:(磋商基准价/最后磋商报价)×%×。 提供完整的等级测评技术方案,技术参数清晰明了,整体指标符合或优于磋商文件要求。 提供周密的等级测评实施方案,人员配置合理、分工明确,时间进度安排得当、满足磋商文件时限要求,配套质量管理、安全管理等各项措施完善。 提供针对本项目的合理化建议或改进方案,有理有据,论证详实,具有可操作性。 提供年月日以来类似项目的业绩证明文件(即合同及相应的验收文件,二者同时出具方为有效),评审时以业绩证明文件原件及响应文件正本中的复印件为计分依据,每出具一份业绩证明文件得分,满分分。 响应文件正本中的业绩证明文件复印件须加盖公章,未提供原件或原件与复印件不一致的业绩证明文件在计分时不予认可。 具有良好的本地化服务能力,在西安地区设有分支机构,或售后服务机构,或特约服务站点,提供相关证明材料。 满足合同草案条款,并附有条款详细说明的得分,满足合同草案条款,但无条款详细说明的得分。 磋商时向磋商小组提交原件进行验证 以响应文件正本中复印件为依据, 复印件须加盖服务商公章。 本项分值合计不得赋满分。 备注 价格 总体方案 业绩 售后服务 合同草案条款说明 说明 、磋商小组成员必须按照本评审要素据实打分。 、本一览表各种计算数字“四舍五入”保留小数点后两位。 、推荐成交候选服务商 磋商小组根据综合评分情况,按照评审得分(即汇总分)由高到低顺序推荐三名以上成交候选服务商(有效服务商不足三家时以实际数量推荐)。若出现总分并列时,按价格分得分高者优先;若价格分亦相同,则依次比较后续项别,得分高者优先。
、编写评审报告
中国招标行业门户网站
千里马招标网www.qianlima.com
磋商小组根据磋商情况编制评审报告,磋商小组成员对评审报告有异议的,应当在评审报告上签署不同意见,并说明理由,否则视为同意。对拒绝说明理由的,须报政府采购监管部门处理,并将其评审情况如实计入考核表。
(三)在评审过程中,出现下列情况之一的,响应文件视为无效: 、未按照磋商文件要求装订、签署、盖章的;
、响应文件的构成不完整或未全面响应磋商文件实质性要求的; 、响应文件中无投标有效期或有效期达不到磋商文件要求的;
、响应文件封面、响应函、法定代表人委托授权书三处的项目名称、项目编号、标段(项目未分标段的除外)与所投项目名称、项目编号以及标段不完全一致的;
、服务商不具备磋商文件中规定的资格条件的。如果磋商小组认为服务商的资格证明文件复印件存在疑点,可以要求其现场提供原件进行核查,两者出现不同或在规定的时间内未能及时提供原件的,响应文件视为无效;
、服务商单位负责人为同一人或者存在直接控股、管理关系的不同服务商,参加同一合同项下的政府采购活动的;
、政府采购法律法规及磋商文件规定的其他情形。
十、成交
(一)集中采购机构在评审工作结束后,对评审报告进行审核,在个工作日内,将评审报告送采购人确认。
(二)采购人在收到评审报告后个工作日内,从评审报告提出的成交候选服务商中,按照排序由高到低的原则确定成交服务商,也可以书面授权磋商小组直接确定成交服务商。采购人逾期未确定成交服务商且不提出异议的,视同按评审报告推荐的顺序确定排名第一的服务商为成交服务商。
(三)在确定成交服务商后,集中采购机构依此在【陕西省政府采购网(www.ccgp-shaanxi.gov.cn)】上发布成交公告,向确定的成交服务商发送“成交通知书”。
(四)集中采购机构按照相关规定将评审报告送监管机构备案。
十一、签订政府采购合同
(一)采购人与成交服务商应当在自成交通知书发出之日起日内,按照磋商文件确定的合同文本及成交服务商的响应情况签订政府采购合同。
中国招标行业门户网站
千里马招标网www.qianlima.com
(二)采购人不得向成交服务商提出超出磋商文件以外的任何要求作为签订合同的条件,不得与成交服务商订立背离磋商文件确定的合同文本以及采购标的、采购金额、技术和服务要求等实质性内容的协议。
(三)成交服务商拒绝与采购人签订合同的,采购人可以按照评审报告推荐的成交候选人名单排序,确定下一候选人为成交服务商,也可以重新开展政府采购活动。
(四)政府采购合同在执行过程中,确需修改、变更时,应当按照相应的审核批准程序办理。
(五)磋商文件、响应文件、澄清等为政府采购合同的组成部分,具有同等法律效力。
(六)采购人按有关规定将政府采购合同报送监管机构备案。
十二、其他
(一)根据《政府采购竞争性磋商采购方式管理暂行办法》(财库〔〕号)第三十四条、第三十五条和《财政部关于政府采购竞争性磋商采购方式管理暂行办法有关问题的补充通知》,第一次公告后,磋商过程中出现下列情况之一的,按磋商失败处理:
、因情况变化,不再符合规定的竞争性磋商采购方式适用情形的; 、出现影响采购公正的违法、违规行为的;
、政府购买服务项目(含政府和社会资本合作项目)、市场竞争不充分的科研项目以及需要扶持的科技成果转化项目符合要求的服务商或者报价未超过采购预算的服务商不足家的;其他项目符合要求的服务商或者报价未超过采购预算的服务商不足家的;
、因重大变故,采购任务取消的。
(二)磋商失败后,除采购任务取消外,将重新组织采购。
(三)第二次公告后,政府购买服务项目(含政府和社会资本合作项目)以及市场竞争不充分的科研项目以及需要扶持的科技成果转化项目符合要求的服务商或者报价未超过采购预算的服务商不足家的(其他类别项目符合要求的服务商或者报价未超过采购预算的服务商不足家的),本项目将依据西安市财政局《关于进一步规范市级预算单位变更政府采购方式审批管理的通知》(市财发〔〕号)的有关规定,按政府采购监管部门事前批准的采购方式继续进行。
(四)磋商文件未明确的其他事项,按《政府采购法》及其相关法律法规执行。
中国招标行业门户网站
千里马招标网www.qianlima.com
第三章 磋商内容及技术要求
一、项目概况
根据国家《信息安全等级保护管理办法》(公通字[]号)、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[]号)、《陕西省信息安全等级保护安全建设整改工作指导意见》(陕等保办 号)等相关文件要求。此次项目拟对以下信息系统开展定级备案及等级测评工作。信息系统名称及安全保护等级如下表: 序号 系统名称 业务专网 案件信息管理系统 行政办公系统 等级 第三级 第三级 第二级 备注
二、磋商内容
、完成等级测评现状测评 测评机构按照《信息安全技术 信息系统安全等级保护基本要求》GB/T -和公安部门审核确定的保护等级逐项进行合规性测评,检查被测系统的安全等级保护状况(在老机房)是否达到相应等级的基本要求。根据对现场测评结果分析、汇总后形成《信息系统安全等级保护测评现状报告》,说明信息系统存在的安全问题。
、协助完成安全建设整改工作 按照《关于印发<陕西省信息安全等级保护安全建设整改工作指导意见>的通知》(陕等保办[]号)的要求和等级测评结果,测评机构从技术与管理两个方面提出整改建议,形成建设整改建议,协助灞桥区人民法院建立健全相关安全管理制度,提出安全建设技术方案的建议方案。
、完成等级测评工作 测评机构按照《信息安全技术 信息系统安全等级保护基本要求》GB/T -对被测系统进行等级测评,出具《信息系统安全等级保护测评报告》。
、协助完成监督检查工作
公安机关、行业内部、单位内部以及第三方机构将定期不定期针对信息系统安全等级保护工作进行检查、抽查。测评机构应协助灞桥区人民法
中国招标行业门户网站
千里马招标网www.qianlima.com
院准备、完善各类资料文档,配合检查过程中的答疑及技术支持,配合做好其他现场检查的响应工作;协助灞桥区人民法院准备各方开展安全检查时所要求提供的相关资料,提供迎检支持。
、安全保障服务
提供一年的免费安全保障服务,以及信息安全技术支持、咨询服务。 、渗透测试服务
渗透测试属于黑盒测试,测试前需要明确渗透测试范围及周期,并签署授权协议,避免对正常业务造成影响。
测试情况分为两种,第一种外网系统有严重可被利用漏洞,将按照全网渗透测试流程进行纵深模拟攻击,第二种外网系统安全性较高,未能发现严重漏洞,将直接由内部办公网络对内网应用、服务器系统、数据库系统等进行渗透测试。
渗透测试工作主要分为外网信息收集、外网渗透测试、内网横向渗透测试、测试结论整理汇报、协助完成全网漏洞整改工作。
按照渗透测试结果,检测机构从技术角度对所发现漏洞问题出具整改建议,包括整改建议,整改原则,整改方式等内容。并协助灞桥区人民法院对提出的所有漏洞进行修复。
三、等级测评要求
(一) 总体要求
根据国家《信息安全等级保护管理办法》(公通字[]号)与《信息安全技术信息安全等级保护基本要求》GB/T-要求,等级测评工作须覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的内容,并根据现场实际情况完成风险分析工作,最终为灞桥区人民法院完善等级保护安全防护体系提供指导依据。 (二) 等级保护二级系统技术要求
层面 控制点 物理位置的选择(G) 物理安全 物理访问控制(G) 力的建筑内 机房出入口应安排专人值守,控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 中国招标行业门户网站
三级系统要求项 机房和办公场地应选择在具有防震、防风和防雨等能千里马招标网www.qianlima.com
层面 控制点 三级系统要求项 应将主要设备放置在机房内 应将设备或主要部件进行固定,并设置明显的不易除防盗窃和防破坏(G) 去的标记 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中 应对介质分类标识,存储在介质库或档案室中 主机房应安装必要的防盗报警设施 机房建筑应设置避雷装置 机房应设置交流电源地线 机房应设置灭火设备和火灾自动报警系统。 水管安装,不得穿过机房屋顶和活动地板下 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 防雷击(G) 防火(G) 防水和防潮(G) 防静电(G) 关键设备应采用必要的接地防静电措施 温湿度控制(G) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 电力供应(A) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求 电磁防护(S) 电源线和通信线缆应隔离铺设,避免互相干扰 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要 应保证接入网络和核心网络的带宽满足业务高峰期结构安全(G) 需要 应绘制与当前运行情况相符的网络拓扑结构图 应根据各部门的工作职能、重要性和所涉及信息的重网络安全 要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段 应在网络边界部署访问控制设备,启用访问控制功能 应能根据会话状态信息为数据流提供明确的允许/拒访问控制(G) 绝访问的能力,控制粒度为网段级 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 户 三级系统要求项 应限制具有拨号访问权限的用户数量 应对网络系统中的网络设备运行状况、网络流量、用安全审计(G) 户行为等进行日志记录 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 边界完整性检查(S) 应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查 应在网络边界处监视以下攻击行为:端口扫描、强力入侵防范(G) 攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 应对登录网络设备的用户进行身份鉴别 应对网络设备的管理员登录地址进行限制 网络设备用户的标识应唯一 网络设备防护(G) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换 身份鉴别(S) 主机安全 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性 应启用访问控制功能,依据安全策略控制用户对资源访问控制(S) 的访问 应实现操作系统和数据库系统特权用户的权限分离 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级系统要求项 应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令 应及时删除多余的、过期的帐户、避免共享帐户的存在 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事安全审计(G) 件 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 应保护审计记录,避免受到未预期的删除、修改或覆盖等 操作系统应遵循最小安装的原则,仅安装需要的组件入侵防范(G) 和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新 恶意代码防范(G) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 应支持防恶意代码软件的统一管理 应通过设定终端接入方式、网络地址范围等条件限制资源控制(A) 终端登录 应根据安全策略设置登录终端的操作超时锁定 应限制单个用户对系统资源的最大或最小使用限度 应提供专用的登录控制模块对登录用户进行身份标识和鉴别 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份应用安全 身份鉴别(S) 鉴别信息不易被冒用 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级系统要求项 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计 访问控制(S) 安全审计(G) 应保证无法删除、修改或覆盖审计记录 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等 通信完整性(S) 通信保密性(S) 应采用校验码技术保证通信过程中数据的完整性 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证 应对通信过程中的敏感信息字段进行加密 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设软件容错(A) 定要求 在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施 当应用系统的通信双方中的一方在一段时间内未作资源控制(A) 任何响应,另一方应能够自动结束会话 应能够对应用系统的最大并发会话连接数进行限制 应能够对单个帐户的多重并发会话进行限制 数据完整性数据安全及 备份恢复 (S) 数据保密性(S) 备份和恢复(A) 中国招标行业门户网站
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏 应采用加密或其他保护措施实现鉴别信息的存储保密性 应能够对重要信息进行备份和恢复 应提供关键网络设备、通信线路和数据处理系统的硬千里马招标网www.qianlima.com
层面 控制点 三级系统要求项 件冗余,保证系统的可用性 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等 应对安全管理活动中重要的管理内容建立安全管理制度 应对安全管理人员或操作人员执行的重要管理操作建立操作规程 应指定或授权专门的部门或人员负责安全管理制度的制定 应组织相关人员对制定的安全管理制度进行论证和审定 应将安全管理制度以某种方式发布到相关人员手中 应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订 应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责 应配备一定数量的系统管理员、网络管理员、安全管理员等 安全管理员不能兼任网络管理员、系统管理员、数据库管理员等 应根据各个部门和岗位的职责明确授权审批部门及管理制度(G) 安全管理制度 制定和发布(G) 评审和修订(G) 岗位设置(G) 人员配备(G) 安全管理机构 授权和审批(G) 批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批 应针对关键活动建立审批流程,并由批准人签字确认 应加强各类管理人员之间、组织内部机构之间以及信沟通和合作(G) 审核和检查(G) 人员安全息安全职能部门内部的合作与沟通 应加强与兄弟单位、xx单位机关、电信公司的合作与沟通 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况 人员录用(G) 应指定或授权专门的部门或人员负责人员录用 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 管理 控制点 三级系统要求项 应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核 应与从事关键岗位的人员签署保密协议 应规范人员离岗过程,及时终止离岗员工的所有访问权限 人员离岗(G) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 应办理严格的调离手续 人员考核(G) 应定期对各个岗位的人员进行安全技能及安全认知的考核 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训 安全意识教育应告知人员相关的安全责任和惩戒措施,并对违反违应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训 外部人员访问管理(G) 应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案 应明确信息系统的边界和安全保护等级 系统定级(G) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由 应确保信息系统的定级结果经过相关部门的批准 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施 系统建设管理 安全方案设计(G) 应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施 产品采购和使中国招标行业门户网站
和培训(G) 背安全策略和规定的人员进行惩戒 应确保安全产品采购和使用符合国家的有关规定 千里马招标网www.qianlima.com
层面 控制点 用(G) 的要求 三级系统要求项 应确保密码产品采购和使用符合国家密码主管部门应指定或授权专门的部门负责产品的采购 应确保开发环境与实际运行环境物理分开 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则 应确保提供软件设计的相关文档和使用指南,并由专人负责保管 应根据开发要求检测软件质量 应确保提供软件设计的相关文档和使用指南 自行软件开发(G) 外包软件开发(G) 应在软件安装之前检测软件包中可能存在的恶意代码 应要求开发单位提供软件源代码,并审查软件中可能存在的后门 应指定或授权专门的部门或人员负责工程实施过程工程实施(G) 的管理 应制定详细的工程实施方案,控制工程实施过程 应对系统进行安全性测试验收 在测试验收前应根据设计方案或合同要求等制订测测试验收(G) 试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认 应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点 系统交付(G) 应对负责系统运行维护的技术人员进行相应的技能培训 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档 应确保安全服务商的选择符合国家的有关规定 安全服务商选择(G) 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任 应确保选定的安全服务商提供技术支持和服务承诺,中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级系统要求项 必要的与其签订服务合同 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定 应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等 应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为 应确保介质存放在安全的环境中,对各类介质进行控环境管理(G) 资产管理(G) 系统运维管理 介质管理(G) 制和保护,并实行存储环境专人管理 应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点 应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏 应根据所承载数据和软件的重要程度对介质进行分类和标识管理 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理 应建立基于申报、审批和专人负责的设备安全管理制设备管理(G) 度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 办公地点 三级系统要求项 应确保信息处理设备必须经过审批才能带离机房或应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补 应对网络设备的配置文件进行定期备份 应保证所有与外部系统的连接均得到授权和批准 应根据业务需求和系统安全分析确定系统的访问控制策略 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补 应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份网络安全管理(G) 系统安全管理(G) 后,方可实施系统补丁程序的安装 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作 应定期对运行日志和审计数据进行分析,以便及时发现异常行为 应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收恶意代码防范管理(G) 文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查 应指定专人对网络和主机进行恶意代码检测并保存检测记录 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级系统要求项 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定 密码管理(G) 应使用符合国家密码管理规定的密码技术和产品 应确认系统中要发生的重要变更,并制定相应的变更变更管理(G) 方案 系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告 应识别需要定期备份的重要业务信息、系统数据及软件系统等 应规定备份信息的备份方式、备份频度、存储介质、备份与恢复管理(G) 保存期等 应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点 应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢安全事件处置(G) 复的管理职责 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分 应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生 应在统一的应急预案框架下制定不同事件的应急预应急预案管理(G) 案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次 (三) 等级保护三级系统技术要求
中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 物理位置的选择(G) 三级要求项 a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除物理访问控制(G) 防盗窃去的标记; 物理安全 和防破c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 坏(G) d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 防雷击(G) a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; 防火(G) b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 a) 水管安装,不得穿过机房屋顶和活动地板下; 防水和防潮(G) b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 检测和报警。 三级要求项 防静电a) 主要设备应采用必要的接地防静电措施; (G) b) 机房应采用防静电地板。 温湿度机房应设置温、湿度自动调节设施,使机房温、湿度的变控制(G) 化在设备运行所允许的范围之内。 a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电力供电情况下的正常运行要求; 应(A) c) 应设置冗余或并行的电力电缆线路为计算机系统供电; d) 应建立备用供电系统。 a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干电磁防扰; 护(S) b) 电源线和通信线缆应隔离铺设,避免互相干扰; c) 应对关键设备和磁介质实施电磁屏蔽。 a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; 网络安全 (一) d) 应绘制与当前运行情况相符的网络拓扑结构图; 结构安e) 应根据各部门的工作职能、重要性和所涉及信息的重全(G) 要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。 a) 应在网络边界部署访问控制设备,启用访问控制功能; 网络安访问控b) 应能根据会话状态信息为数据流提供明确的允许/拒c) 应对进出网络的信息内容进行过滤,实现对应用层中国招标行业门户网站
全(二) 制(G) 绝访问的能力,控制粒度为端口级; 千里马招标网www.qianlima.com
层面 控制点 三级要求项 HTTP、FTP、TELNET、SMTP、POP等协议命令级的控制; d) 应在会话处于非活跃一定时间或会话结束后终止网络连接; e) 应限制网络最大流量数及网络连接数; f) 重要网段应采取技术手段防止地址欺骗; g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c) 应能够根据记录数据进行分析,并生成审计报表; d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等; b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 安全审计(G) 边界完整性检查(S) 网络安全(三) 入侵防范(G) 恶意代码防范(G) a) 应在网络边界处对恶意代码进行检测和清除; b) 应维护恶意代码库的升级和检测系统的更新。 a) 应对登录网络设备的用户进行身份鉴别; 网络安全(四) 网络设备防护(G) b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一; d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; e) 身份鉴别信息应具有不易被冒用的特点,口令应有复中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 杂度要求并定期更换; f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; h) 应实现设备特权用户的权限分离。 a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; c) 应启用登录失败处理功能,可采取结束会话、限制非身份鉴法登录次数和自动退出等措施; 别(S) d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 主机安全(一) a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; c) 应实现操作系统和数据库系统特权用户的权限分离; 访问控d) 应严格限制默认帐户的访问权限,重命名系统默认帐制(S) 户,修改这些帐户的默认口令; e) 应及时删除多余的、过期的帐户,避免共享帐户的存在; f) 应对重要信息资源设置敏感标记; g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 安全审计(G) 中国招标行业门户网站
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; b) 审计内容应包括重要用户行为、系统资源的异常使用千里马招标网www.qianlima.com
层面 控制点 三级要求项 和重要系统命令的使用等系统内重要的安全相关事件; c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; d) 应能够根据记录数据进行分析,并生成审计报表; e) 应保护审计进程,避免受到未预期的中断; f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警; 剩余信息保护(S) 入侵防b) 应能够对重要程序的完整性进行检测,并在检测到完范(G) 整性受到破坏后具有恢复的措施; c) 操作系统应遵循最小安装的原则,仅安装需要的组件主机安全(二) 和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 a) 应安装防恶意代码软件,并及时更新防恶意代码软件恶意代版本和恶意代码库; 码防范b) 主机防恶意代码产品应具有与网络防恶意代码产品不(G) 同的恶意代码库; c) 应支持防恶意代码的统一管理。 a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; 资源控制(A) b) 应根据安全策略设置登录终端的操作超时锁定; c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; d) 应限制单个用户对系统资源的最大或最小使用限度; e) 应能够对系统的服务水平降低到预先规定的最小值进中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 行检测和报警。 三级要求项 a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; c) 应提供用户身份标识唯一和鉴别信息复杂度检查功身份鉴能,保证应用系统中不存在重复用户身份标识,身份鉴别别(S) 信息不易被冒用; d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; 应用安全(一) 访问控制(S) b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限; d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系; e) 应具有对重要信息资源设置敏感标记的功能; f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; b) 应保证无法单独中断审计进程,无法删除、修改或覆安全审盖审计记录; 计(G) c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 应用安剩余信a) 应保证用户鉴别信息所在的存储空间被释放或再分配中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 全(一) 息保护给其他用户前得到完全清除,无论这些信息是存放在硬盘(S) 上还是在内存中; b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 通信完整性(S) 通信保密性(S) 应采用密码技术保证通信过程中数据的完整性。 a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; b) 应对通信过程中的整个报文或会话过程进行加密。 a) 应具有在请求的情况下为数据原发者或接收者提供数抗抵赖据原发证据的功能; (G) b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 a) 应提供数据有效性检验功能,保证通过人机接口输入软件容错(A) 或通过通信接口输入的数据格式或长度符合系统设定要求; b) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。 a) 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话; b) 应能够对系统的最大并发会话连接数进行限制; c) 应能够对单个帐户的多重并发会话进行限制; d) 应能够对一个时间段内可能的并发会话连接数进行限资源控制(A) 制; e) 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额; f) 应能够对系统服务水平降低到预先规定的最小值进行检测和报警; g) 应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。 数据安数据完a) 应能够检测到系统管理数据、鉴别信息和重要业务数中国招标行业门户网站
千里马招标网www.qianlima.com
层面 全及备份恢复(一) 控制点 三级要求项 整性(S) 据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; b) 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。 a) 应采用加密或其他有效措施实现系统管理数据、鉴别数据保信息和重要业务数据传输保密性; 密性(S) b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; 数据安全及备份恢复(二) b) 应提供异地数据备份功能,利用通信网络将关键数据备份和定时批量传送至备用场地; 恢复(A) c) 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b) 应对安全管理活动中的各类管理内容建立安全管理制管理制度; 度(G) c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程; d) 应形成由安全策略、管理制度、操作规程等构成的全安全管理制度 面的信息安全管理制度体系。 a) 应指定或授权专门的部门或人员负责安全管理制度的制定; 制定和发布(G) b) 安全管理制度应具有统一的格式,并进行版本控制; c) 应组织相关人员对制定的安全管理制度进行论证和审定; d) 安全管理制度应通过正式、有效的方式发布; e) 安全管理制度应注明发布范围,并对收发文进行登记。 评审和a) 信息安全领导小组应负责定期组织相关部门和相关人中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 修订(G) 员对安全管理制度体系的合理性和适用性进行审定; b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。 a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; 岗位设置(G) b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责; c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权; d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。 安全管理机构a) 应配备一定数量的系统管理员、网络管理员、安全管人员配理员等; c) 关键事务岗位应配备多人共同管理。 a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; b) 应针对系统变更、重要操作、物理访问和系统接入等授权和事项建立审批程序,按照审批程序执行审批过程,对重要审批(G) 活动建立逐级审批制度; c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息; d) 应记录审批过程并保存审批文档。 a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题; 安全管理机构(二) 沟通和合作(G) b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通; c) 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通; d) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息; 中国招标行业门户网站
(一) 备(G) b) 应配备专职安全管理员,不可兼任; 千里马招标网www.qianlima.com
层面 控制点 三级要求项 e) 应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。 a) 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; b) 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报; d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。 a) 应指定或授权专门的部门或人员负责人员录用; b) 应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核; c) 应签署保密协议; d) 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。 a) 应严格规范人员离岗过程,及时终止离岗员工的所有访问权限; 审核和检查(G) 人员录用(G) 人员安全管理(一) 人员离b) 应取回各种身份证件、钥匙、徽章等以及机构提供的岗(G) 软硬件设备; c) 应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。 a) 应定期对各个岗位的人员进行安全技能及安全认知的人员考核(G) 考核; b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核; c) 应对考核结果进行记录并保存。 安全意a) 应对各类人员进行安全意识教育、岗位技能培训和相识教育关安全技术培训; 和培训b) 应对安全责任和惩戒措施进行书面规定并告知相关人(G) 员,对违反违背安全策略和规定的人员进行惩戒; 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训; d) 应对安全教育和培训的情况和结果进行记录并归档保存。 a) 应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案; b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。 a) 应明确信息系统的边界和安全保护等级; b) 应以书面的形式说明确定信息系统为某个安全保护等人员安全管理外部人员访问(二) 管理(G) 系统定级的方法和理由; 级(G) c) 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定; d) 应确保信息系统的定级结果经过相关部门的批准。 a) 应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施; b) 应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划; 系统建设管理(一) 安全方案设计(G) c) 应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件; d) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施; e) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 产品采购和使用(G) 中国招标行业门户网站
a) 应确保安全产品采购和使用符合国家的有关规定; b) 应确保密码产品采购和使用符合国家密码主管部门的要求; c) 应指定或授权专门的部门负责产品的采购; 千里马招标网www.qianlima.com
层面 控制点 三级要求项 d) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 a) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制; b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; c) 应制定代码编写安全规范,要求开发人员参照规范编写代码; d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管; e) 应确保对程序资源库的修改、更新、发布进行授权和批准。 a) 应根据开发需求检测软件质量; b) 应在软件安装之前检测软件包中可能存在的恶意代自行软件开发(G) 外包软码; 件开发c) 应要求开发单位提供软件设计的相关文档和使用指系统建设管理(二) (G) 南; d) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门。 a) 应指定或授权专门的部门或人员负责工程实施过程的管理; 工程实b) 应制定详细的工程实施方案控制实施过程,并要求工施(G) 程实施单位能正式地执行安全工程过程; c) 应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。 a) 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告; b) 在测试验收前应根据设计方案或合同要求等制订测试测试验验收方案,在测试验收过程中应详细记录测试验收结果,收(G) 并形成测试验收报告; c) 应对系统测试验收的控制方法和人员行为准则进行书面规定; d) 应指定或授权专门的部门负责系统测试验收的管理,中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 并按照管理规定的要求完成系统测试验收工作; e) 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。 a) 应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责系统运行维护的技术人员进行相应的技能培训; 系统交c) 应确保提供系统建设过程中的文档和指导用户进行系付(G) 统运行维护的文档; d) 应对系统交付的控制方法和人员行为准则进行书面规定; e) 应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作。 a) 应指定专门的部门或人员负责管理系统定级的相关材系统备案(G) 料,并控制这些材料的使用; b) 应将系统等级及相关材料报系统主管部门备案; c) 应将系统等级及其他要求的备案材料报相应公安机关备案。 a) 在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改; b) 应在系统发生变更时及时对系统进行等级测评,发现系统建设管理(三) 等级测评(G) 级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改; c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评; d) 应指定或授权专门的部门或人员负责等级测评的管理。 a) 应确保安全服务商的选择符合国家的有关规定; 安全服b) 应与选定的安全服务商签订与安全相关的协议,明确务商选约定相关责任; 择(G) c) 应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。 系统运环境管a) 应指定专门的部门或人员定期对机房供配电、空调、中国招标行业门户网站
千里马招标网www.qianlima.com
层面 维管理(一) 控制点 三级要求项 理(G) 温湿度控制等设施进行维护管理; b) 应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理; c) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定; d) 应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。 a) 应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; b) 应建立资产安全管理制度,规定信息系统资产管理的资产管责任人员或责任部门,并规范资产管理和使用的行为; 理(G) c) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; d) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定; b) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理; c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并介质管根据存档介质的目录清单定期盘点; 理(G) d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁; e) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同; 系统运维管理(二) 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 f) 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 a) 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理; c) 应建立配套设施、软硬件维护方面的管理制度,对其设备管维护进行有效的管理,包括明确维护人员的责任、涉外维理(G) 修和服务的审批、维修过程的监督控制等; d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。 a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并监控管妥善保存; 理和安b) 应组织相关人员定期对监测和报警记录进行分析、评全管理审,发现可疑行为,形成分析报告,并采取必要的应对措中心(G) 施; 系统运维管理(三) 网络安全管理(G) c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。 a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作; b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定; c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份; d) 应定期对网络系统进行漏洞扫描,对发现的网络系统中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 安全漏洞进行及时的修补; e) 应实现设备的最小服务配置,并对配置文件进行定期离线备份; f) 应保证所有与外部系统的连接均得到授权和批准; g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入; h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。 a) 应根据业务需求和系统安全分析确定系统的访问控制策略; b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装; 系统安d) 应建立系统安全管理制度,对系统安全策略、安全配全管理置、日志管理和日常操作流程等方面作出具体规定; (G) e) 应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则; f) 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作; g) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。 a) 应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件恶意代码防范管理(G) 或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查; b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录; c) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定; 中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 三级要求项 d) 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。 密码管应建立密码使用管理制度,使用符合国家密码管理规定的理(G) 密码技术和产品。 a) 应确认系统中要发生的变更,并制定变更方案; b) 应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告; 变更管c) 应建立变更控制的申报和审批文件化程序,对变更影理(G) 响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录; d) 应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演系统运维管理(四) 练。 a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; b) 应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范; 备份与c) 应根据数据的重要性和数据对系统运行的影响,制定恢复管数据的备份策略和恢复策略,备份策略须指明备份数据的理(G) 放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; d) 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存; e) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。 系统运维管理(五) 安全事件处置(G) a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点; b) 应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复中国招标行业门户网站
千里马招标网www.qianlima.com
层面 控制点 的管理职责; 三级要求项 c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; d) 应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等; e) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存; f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。 a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容; b) 应从人力、设备、技术和财务等方面确保应急预案的应急预执行有足够的资源保障; 案管理c) 应对系统相关的人员进行应急预案培训,应急预案的(G) 培训应至少每年举办一次; d) 应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期; e) 应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。
四、 商务要求
、服务商应严格遵守采购单位有关保密规定,不得泄漏被测系统的一切敏感信息。
、服务商要对项目进行深入细致调研,并结合实际对测评方案进行完善。在测评过程中,供应商需保证工具测试过程中不影响系统正常运行,并保证网络拓扑、IP地址等敏感信息不被泄露。
、在技术服务期间,服务商对接触到的有关采购单位商业活动、技术情报和技术资料等文件进行保密。
中国招标行业门户网站
千里马招标网www.qianlima.com
、交付期:自合同签订之日起个工作日内完成全部项目内容,并交付采购人验收合格。
、成果交付:
《信息系统安全等级保护测评现状报告》 《灞桥区人民法院业务专网等级测评报告》
《灞桥区人民法院案件信息管理系统等级测评报告》 《灞桥区人民法院行政办公系统等级测评报告》
中国招标行业门户网站
千里马招标网www.qianlima.com
第四章 合同草案条款
一、交付条件:
(一)交付地点:采购人指定地点。
(二)交付期:自合同签订之日起___个日历日内完成全部项目内容,并交付采购人验收合格。
二、合同价款
(一)合同总价包括:测评服务费和其他费用。
(二)合同总价一次性包死,不受市场价格变化因素的影响。 三、款项结算
(一)测评服务完成并验收合格后,个工作日内支付合同总价款的%。 (二)支付方式:银行转账。 (三)结算方式:验收合格后填写政府采购项目验收单(一式伍份),发票(按合同总价直开采购人),服务商持成交通知书、服务合同、发票、政府采购项目验收单,与采购人结算。
四、质量保证
(一)保证所供测评服务应按国内外通行的现行标准和相应的技术规范执行,这些标准和技术规范应为合同签订日为止最新公布发行的标准和技术规范。
(二)成交服务商所供测评服务因侵权而产生的一切后果由成交服务商负责,采购人保留索赔权力。
五、验收
(一)验收:测评服务完成后,由成交服务商向采购人递交验收通知书,经采购人确认后,组织成交服务商进行系统验收(必要时采购人可委托具有相关资质的第三方检测机构/技术专家对测评服务进行系统验收,需要国家法定检验部门进行检验或验收的由成交服务商负责联系)。验收合格后,填写政府采购项目验收单(一式伍份)作为对测评服务的最终认可。
(二)验收依据
、磋商文件、响应文件、澄清表(函); 、本合同及附件文本;
、合同签订时国家及行业现行的标准和技术规范。
中国招标行业门户网站
千里马招标网www.qianlima.com
(三)成交服务商应向采购人提交项目实施过程中的所有资料,以便采购人日后管理和维护。
六、服务承诺
以响应文件、澄清表(函)、合同和随测评服务的相关文件为准。 七、违约责任
(一)按《合同法》中的相关条款执行。
(二)服务商未按合同要求提供测评服务或服务质量不能满足合同要求的,采购人应当将服务商违约的情况以及拟采取的措施以书面形式报政府采购监管部门,根据政府采购监管部门的处理意见,采购人有权依据《合同法》有关条款及合同约定终止合同,并要求服务商承担违约责任。同时,政府采购监管部门有权依据《政府采购法》及相关法律法规对服务商的违法行为进行相应的处罚。
八、合同生效及其他
、本合同自签订之日起生效。
、合同一式份,采购人、成交服务商、集中采购机构各执份;政府采购监管机构备案份,成交服务商办理结算份。
、如本合同有未尽事宜,以磋商文件为准,磋商文件未做要求的,由双方依法订立补充合同。
中国招标行业门户网站
千里马招标网www.qianlima.com
第五章 响应文件构成及格式
西安市灞桥区人民法院信息等级保护测试项目
响应文件
(项目编号:XCZX-)
正本/副本
服务商:__________________ 时 间:__________________
中国招标行业门户网站
千里马招标网www.qianlima.com
目 录
第一部分第二部分第三部分 第四部分第五部分第六部分第七部分
响应函 ------------------------------------------- X第一次磋商报价表 --------------------------- X资格证明文件 --------------------------------- X法定代表人委托授权书(格式) ------- X服务商概况 ------------------------------------- X响应方案 ---------------------------------------- X西安市政府采购服务商
拒绝政府采购领域商业贿赂承诺书 ---- X响应文件封袋标识式样 -------------------- X
中国招标行业门户网站千里马招标网www.qianlima.com
第一部分 响应函
西安市市级单位政府采购中心:
我方收到贵中心发布的《西安市灞桥区人民法院信息等级保护测试项目》(项目编号:XCZX-)磋商文件,经详细研究,我方决定参加该项目磋商活动。为此,我方郑重声明以下诸点,并负法律责任。
一、我方已详细阅读了磋商文件,完全理解并同意磋商文件的所有事项及内容。
二、我方已悉知并关注了贵中心在政府采购信息发布媒体(详见第二章第三条中的“磋商文件的修改、澄清”)上发布的关于本项目的有关变更公告(包括但不限于对磋商文件做出的修改或澄清、答疑纪要,以及项目暂停、重启、延期、终止等)。
三、我方同意向贵中心提供与本次磋商有关的任何证明材料,并保证所提交的证明材料真实、合法、有效。我方理解最低价不是成交的唯一条件,并尊重磋商小组的评审结果。
四、我方愿意按照磋商文件中的一切要求,完成本项目的合同责任和义务。
五、我方提交的响应文件正本一套、副本___套。
六、我方的响应文件在开标之日起个日历日内有效,如成交,延长至合同执行完毕时止。
七、所有关于此次磋商活动的函电,请按下列地址联系:
服务商:(加盖公章)
法定代表人或被授权人:(签字或盖章) 地址:
开户银行: 账号: 电话: 传真: 邮编:
电子邮箱:
日期: 年 月 日
中国招标行业门户网站
千里马招标网www.qianlima.com
第二部分 第一次磋商报价表
单位:元(精确到小数点后两位)
报价内容 项目名称 西安市灞桥区人民法院信息等级保护测试项目 合计(大写) 注:、A、C栏须填写阿拉伯数字,D栏须填写交付期;
、“合计(大写)”栏须填写大写报价金额。
服务商:(加盖公章)
法定代表人或被授权人:(签字或盖章)
测评服务费 A 其他费用 B 合计 C 交付期 D 自合同签订之日起___个日历日内完成全部项目内容,并交付采购人验收合格。
中国招标行业门户网站
千里马招标网www.qianlima.com
第三部分 资格证明文件
按照磋商文件第一章第八项“服务商资格要求”提供全部资格证明文件。
其中,“参加本次政府采购活动年内在经营活动中没有重大违法记录的书面声明”中的重大违法记录,是指服务商因违法经营活动受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。服务商自行承诺并承担后果。声明函格式如下:
参加本次政府采购活动前三年内在经营活动中 没有重大违法记录的书面声明函(格式)
西安市市级单位政府采购中心:
我方_______________(服务商名称)郑重声明在参加本次政府采购活动前年内的经营活动没有重大违法记录。如有不实,我方将无条件地退出本项目的采购活动,并遵照《政府采购法》有关“提供虚假材料的规定”接受处罚。
特此声明。
服务商:(加盖公章)
法定代表人或被授权人:(签字或盖章) 日期: 年 月 日
中国招标行业门户网站
千里马招标网www.qianlima.com
法定代表人委托授权书(格式)
西安市市级单位政府采购中心:
现委派(被授权人姓名)_______________为本公司的全权代表人,参加贵中心组织的西安市灞桥区人民法院信息等级保护测试项目(项目编号:XCZX-)政府采购活动,就本项目的磋商及合同的执行和完成,以本公司的名义处理一切与之有关的事宜。本授权有效期与响应文件有效期一致。 被授权人姓名:_______________ 身份证号码:___________________ 邮政编码:__________
性别:_____
年龄:____
职务:__________________
电传:___________
通讯地址:_________________________________________________
电话:_________
附法定代表人身份证复印件 (正、反面) 附被授权人身份证复印件 (正、反面) 服务商:(加盖公章) 法定代表人:(签字或盖章)
年 月 日
中国招标行业门户网站
千里马招标网www.qianlima.com
第四部分 服务商概况
一、服务商概况
(一)服务商简介
如单位性质、隶属关系、经营范围、经营状况等。 (二)服务商人员情况表 服务商:(加盖公章) 服务商 总人数 .项目负责人 姓名 .技术人员 姓名 .辅助人员 姓名 加盖服务商公章。
中国招标行业门户网站
其中: 管理人员 专业人员 其他人员 获得各类专业技术职称人数 高级职称 中级职称 初级职称 项目组织实施人员 在本行业从业工作年限 在本行业从业工作年限 主要工作 业绩和经历 拟派 分工 年龄 职务 资格/职称 主要工作业绩和经历 年龄 职务 资格/职称 年龄 学历/职称 从事类似项目 工作年限 主要工作 业绩和经历 拟派 分工 备注:同时需提供项目负责人、技术人员、辅助人员的资格、学历/职称的复印件,并
千里马招标网www.qianlima.com
二、服务商签署承诺书
(一)未签署或者未如实承诺签署下列承诺书的,其责任由服务商自行承担。
(二)编制的响应文件正本须装订本原件,副本可装订复印件。
承诺书 致:西安市市级单位政府采购中心 作为参加贵中心组织的政府采购项目的服务商,本公司承诺:在参加本项目磋商之前不存在被依法禁止经营行为、财产被接管或冻结的情况,如有隐瞒实情,愿承担一切责任及后果。 服务商 (加盖公章) 法定代表人或被授权人 (签字或盖章) 日期 年 月 日 承诺书 致:西安市市级单位政府采购中心 作为参加贵中心组织的政府采购项目的服务商,本公司承诺:近三年受到有关行政主管部门的行政处理、不良行为记录为____次(没有填),如有隐瞒实情,愿承担一切责任及后果。 服务商 (加盖公章) 法定代表人或被授权人 (签字或盖章) 日期 年 月 日
承诺书 致:西安市市级单位政府采购中心 作为参加贵中心组织的政府采购项目的服务商,本公司承诺:近三年因项目(产品)质量及供货问题(产权纠纷等)的不法行为记录为____次(没有填),如有隐瞒实情,愿承担一切责任及后果。 服务商 (加盖公章) 法定代表人或被授权人 (签字或盖章) 日期 年 月 日
中国招标行业门户网站
千里马招标网www.qianlima.com
承诺书
质量安全责任承诺书
为保证本采购项目顺利进行,作为磋商服务商,现郑重承诺:
、我方所投产品的生产(包括设计、制造、安装、改造、维修等)、投入使用的材料等均完全符合国家现行质量安全标准。
、我方将严格按照国家现行相关储存、运输、安装调试技术标准及规范、服务标准及规范、施工标准及规范,在规定的时限内,保质、保量完成项目全部内容,并向采购人交付合格产品。
、对于因产品生产质量以及储存、运输、安装调试、服务、施工等过程中产生的任何安全事故,我方承担全部责任。
、我方提供的货物、工程、服务等符合现行的国家、行业、地区、企业标准及要求,标准不一致的,以更为严格的为准,我方对提供的货物、工程、服务等的质量、安全、环保等承担全部责任。
服务商:(加盖公章)
法定代表人:(签字或盖章) 日期: 年 月 日 三、其他辅助说明资料
(一)综合实力(设备、人员、服务能力等); (二)产品特点及技术优势; (三)主要业绩。
中国招标行业门户网站
千里马招标网www.qianlima.com
第五部分 响应方案
一、依照磋商文件第二章第九项《磋商方法及程序》各条款的要求,结合第三章《磋商内容及技术要求》编制响应方案。
二、合同草案条款说明。未响应合同草案条款的视为无效投标。 三、服务商认为有利于本次磋商的其他情况说明。
中国招标行业门户网站
千里马招标网www.qianlima.com
第六部分 西安市政府采购服务商 拒绝政府采购领域商业贿赂承诺书
为响应党中央、国务院关于治理政府采购领域商业贿赂行为的号召,我方承诺:
一、在参与政府采购活动中遵纪守法、诚信经营、公平竞标;
二、不向政府采购人、集中采购机构和政府采购评审专家进行任何形式的商业贿赂以谋取交易机会;
三、不向集中采购机构和采购人提供虚假资格证明文件或采用虚假应标方式参与政府采购市场竞争并谋取中标、成交;
四、不采取“围标、串标、陪标”等商业欺诈手段获取政府采购订单; 五、不采取不正当手段诋毁、排挤其他服务商;
六、不在提供商品和服务时“偷梁换柱、以次充好”损害采购人的合法权益;
七、不与采购人、集中采购机构、政府采购评审专家或其他服务商恶意串通,进行质疑和投诉,维护政府采购市场秩序;
八、尊重和接受政府采购监督管理部门的监督和集中采购机构的磋商要求,承担因违约行为给采购人造成的损失;
九、不发生其他有悖于政府采购公开、公平、公正和诚信原则的行为。
服务商:(加盖公章)
法定代表人或被授权人:(签字或盖章) 日期: 年 月 日
中国招标行业门户网站
千里马招标网www.qianlima.com
第七部分 响应文件封袋标识式样
致:西安市市级单位政府采购中心 项目编号:XCZX- 项目名称:西安市灞桥区人民法院信息等级保护测试项目 竞争性磋商响应文件(正本/副本) (在规定的开启时间前不得启封) 服务商:(加盖公章) 通讯地址: 邮编: 中国招标行业门户网站
因篇幅问题不能全部显示,请点此查看更多更全内容