蘇州市創(chuàng)杰招投標咨詢服務有限公司受蘇州市交通運輸局之委托�����,對其采購的等級保護測評服務項目進行詢價采購��,歡迎合格的供應商前來參加�。
一�、項目說明:
(一)項目名稱:等級保護測評服務項目
(二)采購預算:人民幣壹拾玖萬元整(¥190000.00)
(三)合格詢價響應供應商的條件:
1、具有獨立承擔民事責任的能力�;
2、具有良好的商業(yè)信譽和健全的財務會計制度����;
3、具有履行合同所必須的設備和專業(yè)技術能力��;
4��、有依法繳納稅收和社會保障資金的良好記錄��;
5�����、參加采購活動前三年內,在經(jīng)營活動中沒有重大違法記錄���;
6�、法律�����、行政法規(guī)規(guī)定的其他條件����;
7、響應單位具有公安部第三研究所(國家認證認可委員會批準的認證機構)認證發(fā)放的《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》����。
二���、采購要求:
(一)主要內容
|
序號
|
系統(tǒng)名稱
|
等保測評級別
|
|
1
|
蘇州市交通運輸指揮中心指揮平臺軟件系統(tǒng)
|
二級
|
|
2
|
蘇州市交通運輸行業(yè)數(shù)據(jù)綜合分析與發(fā)布系統(tǒng)
|
二級
|
|
3
|
蘇州市公路運行監(jiān)測與調度系統(tǒng)
|
二級
|
|
4
|
網(wǎng)絡預約出租車與巡游出租車綜合監(jiān)管系統(tǒng)
|
二級
|
|
5
|
蘇州市超限超載治理聯(lián)動監(jiān)管平臺
|
二級
|
|
6
|
蘇州城市貨運配送公共信息服務平臺
|
二級
|
|
7
|
蘇州市交通運輸局“互聯(lián)網(wǎng)+監(jiān)管”系統(tǒng)
|
三級
|
(二)項目依據(jù)
《中華人民共和國網(wǎng)絡安全法》
《信息安全等級保護管理辦法》(公通字[2007]43號)
《信息安全技術 網(wǎng)絡安全保護等級定級指南》(GB/T 22240-2020)
《信息安全技術 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)
《信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求》(GB/T 25070-2019)
《信息安全技術 網(wǎng)絡安全等級保護測評要求》(GB/T 28448-2019)
《信息安全技術 網(wǎng)絡安全等級保護測評過程指南》(GB/T 28449-2018)
《信息系統(tǒng)安全管理測評》(GA/T 713-2007)
《信息安全等級保護等級測評實施細則》
《信息安全風險評估規(guī)范》(GB/T 20984-2007)
《信息安全風險管理指南》(GB/Z 24364-2009)
《信息安全管理體系要求》(GB/T 22080-2008)
《信息安全管理實用規(guī)則》(GB/T 22081-2008)
《信息系統(tǒng)安全管理要求》(GB/T 20269-2006)
《信息安全事件分類分級指南》(GB/Z 20986-2007)
《信息安全事件管理指南》(GB/Z 20985-2007)
《信息系統(tǒng)災難恢復規(guī)范》(GB/T 20988-2007)
《信息安全應急響應計劃規(guī)范》(GB/T 24363-2009)
(三)項目工作內容
1�����、等級保護測評
根據(jù)等保2.0等級保護要求�����,對系統(tǒng)進行測評分析����,對評估對象的現(xiàn)狀作記錄,包括安全物理環(huán)境�、安全通信網(wǎng)絡、安全區(qū)域邊界�、安全計算環(huán)境、安全管理中心����;按照用戶系統(tǒng)現(xiàn)狀對應的管理要求進行測評分析,對評估對象的現(xiàn)狀作記錄�����,包括安全管理制度�����、安全管理機構�、安全管理人員、安全建設管理�、安全運維管理。
1)識別信息安全風險。通過對信息系統(tǒng)在安全技術和安全管理方面的分析�,發(fā)現(xiàn)信息系統(tǒng)在安全技術和安全管理方面與相應安全等級保護要求之間的差距,并進行風險分析�����,出具差距分析報告�����,明確信息系統(tǒng)面臨的風險�����。
2)增強安全防護能力����。依據(jù)差距分析報告的結果,并結合實際情況���,區(qū)分輕重緩急����,制定針對性的安全整改計劃�,通過安全整改不斷提高信息系統(tǒng)的整體安全保護水平。
3)測評結果分析
(1)單項測評結果判定
(2)單元測評結果判定
(3)整體測評分析
(4)形成測評分析報告
(5)針對測評分析報告的整改建議
2�、滲透測試
選取可能發(fā)起攻擊的測試點,使用滲透測試的方式查找可能存在的滲透點,發(fā)現(xiàn)信息系統(tǒng)防護體系的薄弱環(huán)節(jié)���,找出可能發(fā)生的惡意攻擊事件和違規(guī)行為���。
1)滲透測試的內容
Ø 工作內容包括滲透測試及提供漏洞修復方案。
Ø 本次滲透測試工作為黑盒測試�����。
2)需要包含如下階段
Ø 前期交互階段:與用戶組織進行討論���,確定滲透測試范圍和目標����。
Ø 信息搜集階段:采用各種方法搜集用戶方的所有相關信息�。
Ø 威脅建模階段:使用在信息搜集階段所獲取到的信息,標識出目標系統(tǒng)上可能存在的安全漏洞與弱點����。
Ø 漏洞分析階段:綜合前面幾個環(huán)節(jié)獲取到的信息,從中分析和理解���,找出攻擊途徑和攻擊方法��。
Ø 滲透攻擊階段:針對確定好的攻擊途徑和攻擊方法實施滲透攻擊����,獲取系統(tǒng)相關權限。
Ø 后滲透攻擊階段:以特定的業(yè)務系統(tǒng)作為目標����,識別出關鍵的基礎設施,找出用戶組織最具價值和嘗試進行安全保護的信息和資產����,找出能夠對用戶組織造成重要業(yè)務影響的攻擊途徑。
Ø 報告階段:將滲透測試結果編制成文檔提交給用戶�����,提供安全解決方案����。并將在滲透測試階段產生的垃圾數(shù)據(jù)進行清理。
3)滲透測試工作要求
本次滲透攻擊測試工作應當以不破壞用戶應用系統(tǒng)為前提條件����,不做危害用戶應用系統(tǒng)的工作行為,遵守職業(yè)道德�,遵守行業(yè)規(guī)則,嚴格遵守保密制度�,保密要求,不得擅自修改�����、拷貝用戶數(shù)據(jù)�,不得泄露、傳播用戶的敏感信息��,如有違反將負法律責任�。
(四)服務成果
本次安全服務應提交以下成果:
1)《信息系統(tǒng)等級測評報告》,包括單元測評分析結果����、整改測評分析結果、測評結論和安全整改建議等����。
2)《信息系統(tǒng)滲透測試報告》,包含但不限于如下方面的內容:滲透測試的方法���、目標����、范圍。測試的人員��、時間��、策略�。測試的工具、風險規(guī)避措施�����。測試的過程�����、漏洞利用截圖����,測試的結果等。
(五)服務人員要求
1���、項目實施過程中實行專人專職原則�,保證各安全層面的測評全面有效���,能夠發(fā)現(xiàn)實際存在安全風險�,現(xiàn)場實施人員均需持有等級保護測評師證書。
2��、項目組人員必須熟練掌握信息安全相關標準與規(guī)范����,具備豐富的信息安全測評工作經(jīng)驗����,具有成熟的信息安全技術和項目管理能力,能夠應對可能的突發(fā)性安全事件應急工作�。
(六)工具配備要求
1、響應單位必須單獨配備安全測評工具��,包含但不限于以下種類工具:網(wǎng)絡漏洞掃描系統(tǒng)�、web漏洞掃描系統(tǒng)。
2���、響應單位必須在技術方案內明確專項檢查所需要的所有技術檢測工具��,至少包含以下內容:名稱��、型號�、主要功能、數(shù)量等����。
三、服務期限:合同簽署4個月內完成�。
四、響應報價文件組成及其他說明:
(一)詢價響應文件的制作要求:
1���、詢價響應報價文件組成 :
(1)企業(yè)營業(yè)執(zhí)照副本��、稅務登記證副本復印件或三證合一營業(yè)執(zhí)照副本復印件
(2)響應單位法定代表人(或負責人)身份證復印件��、法定代表人(或負責人)授權委托書和委托代理人身份證復印件(如為授權)
(3)響應報價表格式(詳見附件)
(4)服務方案
(5)服務偏離表
(6)詢價響應函(見附件)
(7)響應單位資格承諾書及相關證明資料����;
1)具有獨立承擔民事責任的能力證明��。提供包括法人或者其他組織的營業(yè)執(zhí)照等證明文件����,自然人的身份證明;
2)具有良好的商業(yè)信譽和健全的財務會計制度證明�����。提供包括但不限于最近一期(2020年或2021年度)經(jīng)審計的財務報告或最近一期財務報表(包括資產負債表、利潤表)���,其他組織����、自然人及成立未滿一年的法人應提供銀行出具的資信證明�;
3)具有履行合同所必備的設備和專業(yè)技術能力�。提供證明材料或承諾;
4)有依法繳納稅收和社會保障資金的良好記錄�。提供稅務登記證(如有)和最近期的依法繳納稅收的憑據(jù),最近期的依法繳納社會保險的憑據(jù)(專用收據(jù)或社會保險繳納清單)����,依法免稅或不需要繳納社會保障資金的供應商,應提供對應證明文件��;
5)參加采購活動前三年內在經(jīng)營活動中沒有重大違法記錄���。提供書面聲明函��。
6)響應單位具有公安部第三研究所(國家認證認可委員會批準的認證機構)認證發(fā)放的《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》�。提供證明材料。
注:以上資料若不能如實提供或提供不完整的視為無效投標���。
2�、文件的簽署和密封要求:
(1)按上述要求制作詢價響應文件叁份(一正兩副)�����,并須裝訂成冊���;響應文件封面明確標明“正本”和“副本”��,正本和副本如有不一致之處����,以正本為準��;
(2)詢價響應文件均應采用打印或使用不能擦去的黑色或藍色墨水書寫�����,由響應單位法定代表人或其授權代表在詢價文件要求處親自簽署或蓋章����,并在詢價響應文件的每一頁上加蓋公章����,未加蓋公章的頁視為無效頁�。
(3)詢價響應文件須裝袋密封,封口處須加蓋單位公章�,密封袋及響應文件封面上應注明采購項目名稱、詢價采購編號��、詢價響應單位名稱����、地址、聯(lián)系人�����、聯(lián)系電話等�。
3�����、采購單位有權拒絕未按上述要求制作的詢價響應文件����。
(二)詢價響應文件錯誤的修正原則
1、響應文件的大寫金額與小寫金額不一致的,以大寫金額為準����。總價金額與按單價匯總金額不一致的����,以單價金額計算結果為準;單價金額小數(shù)點有明細錯位的���,應以總價為準��,并修改單價���;
2、對不同文字文本投標文件的解釋發(fā)生異議的����,以中文文本為準。
3�、供應商不同意以上修正的,其詢價響應文件將被拒絕��。
(三)詢價響應文件的補充���、修改和撤回
供應商在提交詢價響應文件截止時間前�����,可以對所提交的響應文件進行補充��、修改或者撤回����,并書面通知采購代理機構。補充�����、修改的內容作為響應文件的組成部分�����。補充��、修改的內容與響應文件不一致的����,以補充���、修改的內容為準�����。
(四)詢價響應文件的澄清���、說明和更正
詢價小組在對響應文件的有效性�����、完整性和響應程度進行審查時����,可以要求供應商對響應文件中含義不明確���、同類問題表述不一致或者有明顯文字和計算錯誤的內容等作出必要的澄清����、說明或者更正���。供應商的澄清��、說明或者更正不得超出響應文件的范圍或者改變響應文件的實質性內容�����。
詢價小組要求供應商澄清��、說明或者更正響應文件應當以書面形式作出���。供應商的澄清���、說明或者更正應當由法定代表人或其授權代表簽字或者加蓋公章。由授權代表簽字的�����,應當附法定代表人授權書�。供應商為自然人的,應當由本人簽字并附身份證明����。
為保證在評審小組要求供應商解釋或者澄清其響應文件時能夠及時得到回復,在評審開始前���,供應商法定代表人或授權代理人可到評審現(xiàn)場等候。供應商的澄清�、說明或者更正應在評審小組向其提出澄清����、說明或者更正要求后三十分鐘內提交給評審小組����。在評審期間、供應商應注意調整其行程安排�����,如響應供應商未到場���,則視為供應商放棄上述權利�,相關后果自負��。
(五)遞交響應詢價文件及確定成交供應商日期和地點:
1�、本次詢價通知書的響應截止時間為2022年7月29日17:00前。響應單位應在截止時間前將詢價響應文件密封�,并在文件封面注明投標編號,并在文件封口處加蓋單位公章后送達蘇州市干將西路399號銀海大廈303室創(chuàng)杰公司 聯(lián)系人:潘莉莉 聯(lián)系電話:0512-65238816���,未按詢價采購文件要求制作的詢價響應文件或過時送達的詢價響應文件���,一律為無效投標����。
2�����、2022年8月1日9:30在蘇州市干將西路399號銀海大廈302室創(chuàng)杰公司確定成交供應商���。成交供應商收到成交通知書后��,應在三日內簽訂合同�����。
五����、報價說明:
1����、響應單位需就本通知書第三項單獨制作《響應報價表》。本次報出的價格一次性報定不得更改����,響應單位對文件中的工作量和服務的報價包括等級評估費�����、資料費、調查費����、會議費、評審費���、人員費�����、培訓費���、交通費、辦公設備費�、食宿費、風險費����、保險費、稅金、利潤等政策性文件規(guī)定及合同包含的所有風險�、責任等各項應有費用。響應報價為最終報價�,且總價固定,除非因特殊原因并經(jīng)雙方協(xié)商同意���,成交單位不得再要求追加任何費用��。同時����,除非合同條款中另有規(guī)定�,否則,成交單位所報價格在合同實施期間不因市場變化因素而變動����。不論響應單位是否列出相關費用明細,招標人均可以認為響應單位人已在總價中包含了全部費用�����。
2���、響應單位應對所要采購的全部內容進行報價���,只報其中部分內容的����,為無效報價��。
六�����、綜合說明及其他:
1�����、響應單位所提供的服務能夠至少達到以上要求�����,同時明確詳細的服務方案���。
2、響應單位必須承諾采購文件中提出的全部要求���,如果其中某些條款不響應時��,應在文件中逐條列出�����,未列出的視同響應�����。
3���、若響應單位在服務期間發(fā)生下列行為之一的���,采購人可解除服務合同,并不再支付合同費用:
(1)將承包的服務轉包他人��;
(2)因管理不到位造成安全事故或重大損失�����;
(3)無法有效開展服務的其它行為��。
4����、服務履約期間采購方將按照考核標準對該采購項目服務進行檢查考核�。
5�、成交單位對服務缺陷不予更正,招標人有權另請其他單位更正����,所發(fā)生的費用在合同價款中扣除。
6�����、響應單位應對所投項目的全部服務內容進行報價���,只投其中部分內容者,其投標文件將被拒絕�����。響應單位對服務缺陷不予更正���,采購方有權另請其他單位更正�,所發(fā)生的費用由成交單位承擔��。
7�����、參照相關法規(guī)的規(guī)定,招標采購單位將對供應商進行信用查詢���,凡經(jīng)確認不符合相關法律法規(guī)規(guī)定的�����,將拒絕其參與采購活動����。
7.1查詢時間:響應文件遞交截止時間后���。
7.2查詢渠道:信用中國���。
7.3查詢證據(jù)留存方式:對存在失信信息的供應商,采購代理機構工作人員應根據(jù)確認的失信信息�����,登陸到來源網(wǎng)站頁面進行復核并打印�,作為證據(jù)留存。
7.4信用記錄使用規(guī)則:對供應商進行資格性審查時�,應根據(jù)查詢結果對供應商的不良信用記錄逐項甄別確認���。下列信用記錄屬于應依法拒絕供應商參加采購的失信信息:
(1)供應商被全國各級財政部門列入“政府采購嚴重違法失信行為記錄名單”,且在處罰有效期內的�。
(2)財政部門與法院、工商����、稅務等部門聯(lián)合懲戒的失信信息,包括:
1)被列入失信被執(zhí)行人名單�;
2)被列入重大稅收違法案件當事人名單;
3)企業(yè)經(jīng)營異常名錄中被責令停產停業(yè)��、暫扣或者吊銷許可證或者執(zhí)照���,或者對經(jīng)營活動中的較大數(shù)額罰款(“較大數(shù)額罰款”認定為200萬元以上的罰款,法律��、行政法規(guī)以及國務院有關部門明確規(guī)定相關領域“較大數(shù)額罰款”標準高于200萬元的���,從其規(guī)定)的信用記錄��。處罰生效日至遞交(響應)文件日未滿三年的��。
七�、付款步驟:
合同簽訂生效后,由甲方在收到乙方合規(guī)發(fā)票1個月內向乙方支付合同金額的30%�;等級保護測評服務驗收通過后,甲方在收到乙方合規(guī)發(fā)票和采購文件規(guī)定的項目成果驗收資料1個月內向乙方一次性支付剩余款項(不計息)���。
八��、評審辦法:
1���、采購人授權詢價小組根據(jù)質量和服務均能滿足采購文件實質性響應要求且報價最低的原則確定成交供應商。
2����、若滿足上述原則的最低報價響應供應商超過一家時,則由采購單位以抽簽的方式?jīng)Q定成交供應商��。
九�、項目的終止:
出現(xiàn)下列情形之一的,將終止詢價采購活動:
1�、因情況變化,不再符合規(guī)定的詢價采購方式適用情形的����;
2、出現(xiàn)影響采購公正的違法、違規(guī)行為的��;
3�����、在采購過程中符合競爭要求的供應商或者報價未超過采購預算的供應商不足3家的�。
十、合同生效:
1���、合同經(jīng)招標代理機構加蓋騎縫章����,甲乙雙方代表簽字�����、加蓋公章(或合同章)后生效����。
2����、合同簽訂生效后甲乙雙方即直接產生權利與義務的關系,合同執(zhí)行過程中出現(xiàn)的問題應按照《中華人民共和國民法典》的規(guī)定辦理���。在合同履行過程中���,雙方如有爭議����,任何一方均可要求招標代理機構進行調解�����,調解不成���,則任何一方均可向需方所在地人民法院提起訴訟�。
3�����、合同在執(zhí)行過程中出現(xiàn)的未盡事宜�����,雙方應在不違背本合同和甲方采購目的的原則下協(xié)商解決�����,協(xié)商結果以書面形式蓋章記錄在案,并提交招標代理機構一份備存��,作為本合同的附件���,與本合同具有同等的法律效力��。
4��、合同一式四份���,甲方兩份,乙方兩份�����。
十一�、其他
1、響應單位在詢價響應文件中必須對所有采購產品的技術����、服務做出應答,如果有其中某些條款不響應時����,須在響應文件中明確列出,未列出的視同響應(且如成交后發(fā)現(xiàn)不符合采購要求的����,則視為虛假響應,按虛假響應處理)
2�、響應單位在投標時提供的資料均應是真實的,若有虛假�,由其自行承擔一切后果。
3���、如響應單位對本通知書有疑義��,以書面形式向招標代理機構咨詢����,一切材料以招標代理機構的書面材料為準�����。
十二����、聯(lián)系方式:
招標代理機構:蘇州市創(chuàng)杰招投標咨詢服務有限公司
地址:蘇州市干將西路399號銀海大廈303室 郵編:215002
聯(lián)系人:潘莉莉 聯(lián)系電話:0512-65238816
采購單位聯(lián)系人:張立豐 聯(lián)系電話:0512-68125826
蘇州市創(chuàng)杰招投標咨詢服務有限公司
2022年7月26日
