信息安全等级保护测评服务项目需求书V2.0(招标文件)

信息安全等级保护测评服务项目需求书

一、项目内容

XX银行股份有限公司成立于xxxx年,xxxx年末，资产规模达xxxx亿元。在北京、天津、沈阳、大连、哈尔滨等地区设立分行。目前，与70多个国家及地区500多个金融机构开展业务,代理行网络遍及世界各地。

作为重点金融机构,其信息系统承载了非常重要的患者数据。为保证本行信息系统安全、降低风险，提高管理能力,进一步加强内部网络的整体安全防护能力，全面提升我行信息系统整体安全防范能力。特对本行核心网络系统进行2015年度安全等级保护测评项目，本项目为预算为XX万。

服务范围：

系统名称 核心网络系统 级别 第三级 二、服务年限

投标人中标，签订合同之日起一年

三、要求条款

是否要求项目 需求条款 为实质性条款 资格要求 资格

原因说明（实质性条款需列明原因） 投标人必须是在天津工商行政管是 企业资格常规及本地

要求 理部门注册的企业，投标时应提交加盖投标人公章的营业执照副本复印件。（复印件加盖公章，现场携带原件备查） 化服务要求。 安全资质认证要求，有投标人必须具有公安部颁发的信息安全等级保护测评机构推荐证书。（复印件加盖公章,现场携带原件备查) 是 资格和能力对我单位进行等保评测响应和等保整改方案应对工作。 商务要求 投标人必须具有依法缴纳税收和社会保障款项的良好记录;（提供近一年的完税证明和社保缴存记企业 资信 投标人应提供税务登记证复印件，组织机构代码证复印件.(复印件加盖公章，原件携带备查) 投标人应证明其履行等级保护测评服务的能力,提供2014年至今金企业 业绩 融行业三级或三级以上信息系统测评成果案例一项。提供测评案例证明材料，包括合同复印件、验收报告复印件等(合同原件,验收报告原件，测评报告原件携带备查）。 人员

否 录复印件，加盖公章） 否 否 现场实施人员应包含Cisco CCIE、否

资格 华为、华三等认证的安全服务工程师.(复印件加盖公章，现场携带原件备查）。 应建立人员安排完备的安全服务小组,安全服务小组中应具备通过信息安全等级保护测评师认证的安全服务工程师组成。（证书复印件加盖公章，现场携带原件备查）. 安全服务小组内现场实施人员应包含ISO27001、ITIL等认证的安全服务工程师,该工程师必须为等保测评师(复印件加盖公章，现场携带测评师证和相关证书原件备查）. 项目实施过程中保证招标人系统否 否 验收 标准 正常运行，确保招标人信息系统经过安全建设后,顺利通过等级保护评测，并获得相关部门认可。 投标方必须在报价中根据招标人否 报价 实际情况列出总体方案价格和对应各项工作的详细报价. 否 售后 服务 交货 时间

项目验收后，投标人提供1年免费技术支持服务，对招标人安全加固提供咨询建议. 交货期：签订合同之日起12个月内. 否 否

交货 交货地点：招标人指定地点。 地点 付款 方式 合同签订5个工作日内，招标人向中标单位支付全部合同额. 未按约定的时间完成项目，招标人罚则 有权按照每延误一日扣除合同金额万分之五的处罚金,并向供应商索赔因此引起的全部损失. 否 否 否 四、技术要求

原因说采购项名称 需求条款 是否为实质性条款 明（实质性条款需列明原因） 投标人应对招标人提供信息系统差距分析服务，通过对信息系统安全差距分析，从信息系统现状出发，明确招标人重要信息系统中存在的风险和相关脆弱点,并出具《信息系统差距分析报告》 在项目实施前,应根据差距分析的结果及招标人实际情况,编制信息安全等级保护测评方案。 否 否 序号 等级1 保护差距分析 等保2 评测响应

投标人应对招标人重要信息系统提供正式测评,测评范围包括但不限于如下内容: 安全技术测评：物理安全、网络安全、主3 机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 投标人完成对招标人信息系统等级保护系统测评工作后，应出具符合国家要求的等4 级保护测评报告，并完成报告通过天津市网监备案工作，以保证信息系统可以顺利通过信息系统等级保护测评。 等保5 整改方案应对 测评6 质量控制 根据招标人临时或计划的要求,响应等保整改方案中的所有内容. 否 否 否 投标人应具备完善的项目质量管理能力，确保测评实施流程规范合理，测评结果准确有效. 投标人应具备在项目实施过程中的风险控制能力，保证招标人系统正常稳定运行，对于系统突发安全事件有应急处置方案. 否 否 应急7 处置方案

五、评分因素及评标标准

第一部分 商务因素(35分) 1、 本地化服务（3分） （1） （2）

投标人是在天津工商行政管理部门注册企业(3分） 投标人在天津设有分公司、全资子公司或与本项目服务相关的

投资公司（投资比例需超过50％，提供户卡或验资报告），并在天津依法纳税满一年的（提供纳税发票复印件）（2分) （3）

投标人在本市具有常驻机构，提供房屋租赁合同或产权证明（1

分）

2、 投标人具备GB/T19001系列或ISO9001系列质量管理体系认证，

提供证书复印件（1分） 具备1分,不具备0分

3、 投标人需建立安全服务小组， 投标人安全服务小组内实施人员

应具备信息安全等级保护师认证（项目实施人员应为投标人的本单位的正式员工，提供相关认证原件、劳动合同和社保证明）(3分) （1）

投标人安全服务小组内实施人员均为信息安全等级保护测评

师，项目中安排高级、中级、初级测评师完成测评工作，分工合理。（3分） （2）

投标人安全服务小组内实施人员部分具备信息安全等级保护

测评师认证（1分） （3）

投标人安全服务小组内实施人员无信息安全等级保护测评师

认证（0分）

4、 安全服务小组内实施人员应包含Cisco CCIE、华为、华三等认证

的安全服务工程师（项目实施人员应为投标人的本单位的正式员工，要求提供相关认证原件、劳动合同和社保证明）。（3分） （1）现场实施人员提供上述所有认证资质证明文件：3分 (2）现场实施人员提供上述1—2项证书资质证明文件：1分

（3）未提供或不符合要求的：0分.

5、 投标人安全服务小组内实施人员应包含ISO27001、ITIL等认证的

安全服务工程师（项目实施人员应为投标人的本单位的正式员工，提供相关认证原件、劳动合同和社保证明)。（2分） (1）现场实施人员提供上述所有认证资质证明文件：3分 (2）现场实施人员提供上述任意一项项证书资质证明文件:1分 （3）未提供或不符合要求的:0分。

6、 投标人实施能力，提供自2014年至今金融行业三级或三级以上信

息系统测评成果案例一项(3分） （1） 测评系统为四级系统:3分 （2） 测评系统为三级系统：1分 （3） 测评系统为二级及以下系统：0分 7、 价格（20分）

(1）投标报价超过采购预算的，投标无效，未超过采购预算的投标报价按以下公式进行计算

（2）投标报价得分=（评标基准价/投标报价）×20

注：满足招标文件要求且投标报价最低的投标报价为评标基准价 第二部分 技术因素(65分）

1、 信息安全等级保护差距分析（8分)

投标人应根据招标人信息系统现状情况，结合该信息系统级别要求，建立相关方案，分析招标人信息系统与等级保护要求的差距情况，并出具《信息安全等级保护差距分析报告》 （1）

投标人相关项目经验丰富，熟悉差距分析内容，建立详细的差

距分析方案，并在差距分析工作完成后出具符合要求的《信息安全等级保护差距分析报告》（8分) （2）

投标人相关项目经验较多,比较熟悉差距分析内容，所建立差

距分析方案内容比较详尽，可在差距分析工作后出具相关文件（4分）

（3） 投标人相关项目经验很少,不熟悉差距分析内容,所建立差距

分析方案内容不充分,无法在差距分析工作后出具相关文件（0分） 2、 信息安全等级保护方案(27分)

 投标人服务方案规范化及标准化程度（7分） （1）

投标人相关项目经验非常丰富,非常熟悉完成项目所有工作内

容，提供的服务方案规范性及标准化程度很高：7分； （2）

投标人相关项目经验较多，比较熟悉完成项目所有工作内容，

提供的服务方案规范性及标准化程度比较好：5分； （3）

投标人相关项目经验很少，基本能够完成项目所有工作内容，

提供的服务方案规范性及标准化程度一般:3分；  投标人服务方案的针对性、可行性、完整性（10分) （1）

服务方案完整，充分考虑用户需求，服务方案针对性及可行性

很高：10分 （2）

分 （3）

服务方案不够完整，且服务方案的针对性及可行性一般：4分 服务方案比较完整，服务方案具有一定的针对性及可行性：7

 投标人服务方案中对本服务项目任务、需求的理解程度（10分) （1）

全面分析了用户现状、性能要求、实施要求等内容，对于本项

目任务目标及需求理解深刻:10分； （2）

对于用户系统现状、性能要求、实施要求等内容阐述不够充分，

对于本项目任务目标及需求有基本了解：7分； （3）

对用户信息化现状、业务需求了解不够充分:4分

3、 信息安全等级保护响应（6分）

投标人应响应招标人信息系统等级评测需求,完成其重要信息系统等级安全测评，出具符合国家规定的等级测评报告,负责提交有关部门，并保证招标人信息系统可以顺利通过等保评测。 （1）

具有完善的等级测评计划,包含测评的各个环节、测评范围、

质量控制、风险控制、完成标准，实施测评方案充分体现了完整性、针对性、专业性的：（6分）

（2） 具有较完善的等级测评计划，基本包含测评的各个环节、测评

范围、质量控制、风险控制、完成标准，实施测评方案基本体现了完整性、针对性、专业性的:(3分） （3）

无完善的等级测评计划,缺少等级测评的重要环节、测评范围、

质量控制、风险控制、完成标准等,实施测评方案缺乏完整性、针对性、专业性的:（0分） 4、 测评内容应对（6分）

招标人应结合招标人信息系统现状进行信息安全等级保护测评，测评范围包括但不限于如下内容:

安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 （1）

测评内容详尽，具有测评方案,符合招标人要求,每项测评内容

均具有测评指导书，每项环节均留有相关测评材料（6分) （2）

测评内容不够详尽，无具体方案指导，不符合等保及招标人要

求，测评指导书不够充实（3分） （3）

对招标人需测评的内容把握不足，现在工作中不具备测评指导

书，无法保证每项环节均具有相关测评材料（0分） 5、 信息安全等级保护整改方案应对（6分）

投标人根据招标人临时或计划的要求，响应等保整改方案中的所有内容，出具符合国家标准的等级测评报告,并对报告中设计的安全问题协助指导招标人进行改正。 （1）

投标人出具符合国家标准的正式版测评报告，并报送相关部

门； （2）

投标人针对报告中提出的安全整改项协助投标人完成整改工

作的;

投标人满足全部要求得6分，投标人满足一项要求得3分，无满足得0分.

6、 项目质量控制（6分）

投标人应编制相关方案证明投标人具备完善的项目质量管理能力，确保测评实施流程规范合理，测评结果准确有效。 （1） （2） （3）

具有完善的质量控制方案(6分） 质量控制方案内容一般（3分） 质量控制方案内容较差（1分）

7、 应急处置方案(6分）

投标人应针对测评过程中各项环节可能出现的突发事件建立针对本项目的应急处置方案，以应对突发事件出现后可迅速解决，防止给招标人信息系统带来影响。 （1） （2） （3）

应急处置方案比较细致、全面，各种故障处理准备充分（6分） 应急处置方案比较细致,各种故障处理比较充分(3分） 应急处置方案不够资质，各种故障处理准备不够充分（1分)