镇江市广播电视台（文广集团）一起镇江网站集群系统网络安全等级保护测评招标书

一、投标人应具备的条件：

依据《中华人民共和国网络安全法》、《信息安全等级保护测评机构管理办法》、《江苏省信息安全等级保护测评机构管理办法》，并参考镇江市广播电视台（文广集团）实际情况，此次测评投标人暨网络安全等级测评机构（以下简称测评机构）应当具备以下基本条件：
1、在中华人民共和国境内注册成立（港澳台地区除外）；
2、由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；
3、产权关系明晰，注册资金 100 万元以上；
4、从事信息系统检测评估相关工作两年以上，无违法记录；
5、工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；
6、具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于 10 人；
7、具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；
8、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；
9、对国家安全、社会秩序、公共利益不构成威胁；
10、不涉及信息安全产品开发、销售或信息系统安全集成等业务；
11、应具备有效的网络安全等级保护测评机构推荐证书，并在镇江市等保办发布的2021年测评机构推荐名单内，具有在镇江市开展信息安全等级保护测评活动的合法资质；在本测评项目实施期间上述资质必须持续有效，并在江苏信息安全等级保护网（www.jsdjbh.gov.cn）公布的推荐目录内可查。

二、测评要求：

1、测评系统：

一起镇江网站集群信息系统（等保备案号：32111212001-21003）于2017年10月23日由镇江市广播电视台立项，由北京红云融通技术有限公司负责开发。目前该系统部署在阿里云华东机房，由北京红云融通技术有限公司负责运行维护。镇江市广播电视台是该信息系统业务的主管部门，镇江市广播电视台是信息系统定级的责任单位。
一起镇江网站集群信息系统是由计算机及其相关的和配套的设备、设施构成，按照一定的应用目标和规则为镇江市广播电视台提供集政务、民生服务、新闻报道、自媒体互动直播、商业服务于一体的综合云平台。对现有移动客户端（一起镇江APP）系统和后台统一分发系统。以“云频道”为中心，采用内容生产与内容分发相分离、内容运营与平台经营相分离、内容运营与用户运营相分离的形式，让每一个“云频道” 能够方便地对外提供资讯、视频(直播/点播)、电商、互动、活动等各种服务，每一个“云频道”就是一个独立的内容生产组织者和生产单元。 通过活动直播、手机直播、虚拟频道等手段，实现全媒体内容统一生产、信息汇聚、内容发布，并通过大数据平台，对用户行为数据进行收集和分析，打通微信、微博和社区论坛等社群分享反馈通道，达到“节目制作+互动+传播+反馈”一站式服务。
系统网络拓扑结构如下图所示：



一起镇江网站集群系统采用云主机（服务器）服务支撑。已采购Windows系统服务云主机配置为CPU8核带宽4Mbps内存32GB，Linux系统服务云主机配置为CPU8核带宽4Mbps内存32GB，共计12台。各服务实际部署情况是门户和360探针，一主一备；H5（资讯）、支付、用户中心一主一备；接口、redis、solr一主一备；用户行为一主一备；仿真服务器A和仿真服务器B。1台数据库独立主机。
 

2、服务要求：

（1）本次参与安全等级保护测评的系统为:一起镇江网站集群系统，测评等级为三级。

（2）投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

信息安全等级保护管理办法（43号文件）
GB17859-1999   计算机信息系统安全管理等级划分准则
《网络安全等级保护基本要求》（GB/T22239-2019）
《网络安全等级保护设计技术要求》(GB/T25070-2019)
《网络安全等级保护测评要求》(GB/T28448-2019)
《网络安全等级保护测评过程指南》（GB/T28449-2018）

（3）信息安全等级保护测评内容包括并不限于以下内容：

A、安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；
    B、安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；
    C、安全测试与分析：根据实际测评要求，开发与测试相关的工作指导书，借助专用测评设备和工具，实现主流协议分析、漏洞发现与验证；
    D、整体测评实施：根据测评报告的单元测评的结果记录部分、结果汇总部分和问题分析部分，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果的能力。
    E、风险分析:依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响；
    F、整改实施：对测评结果中存在的安全问题加以整改，并协助招标人通过公安信息安全等级备案。

（4）测评应满足的原则，如违反下列规定，招标人有权依法追究投标人的责任：

A、保密原则：对被测评单位提供的资料、等级测评活动生成的数据和记录、依据上述信息做出的分析与专业判断等信息严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为。
B、标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。
C、规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。
D、可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。
E、整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。
F、最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务正常开展产生任何影响。

（6）投标人应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需要使用的测试设备清单、时间安排、阶段性文档提交和验收标准等。

（7）投标人应详细描述测评人员的组成、资质及各自职责的划分，投标人应配置有经验的测评人员进行本次等级保护测评工作。

（8）投标人投标书中需要对投标人等级保护测评的过往实施情况做相应说明。并附详细资料。

投标人应提供机构背景材料、等级保护测评专业资质及其他认为可以体现技术能力的资质。投标人应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。

（9）投标人应配备满足等级测评工作需要的测评设备和工具，如漏洞扫描器、协议分析仪、渗透测试工具等，本次等级保护测评实施过程中所使用的各种硬件平台、操作系统软件、工具软件由投标人推荐，经招标人确认后由投标人提供并在测试中使用。

测评设备和工具应通过权威机构的检测并可提供检测报告；应具备符合相关要求的机房以及必要的软、硬件设备，用于满足信息系统仿真、技术培训和模拟测试的需要。应确保测评设备和工具运行状态良好，并通过校准或比对等手段保证其提供准确的测评数据。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

（10）安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

（11）投标人应满足招标人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。

保密性要求：投标人必须和招标人签订保密协议和非侵害性协议，投标人必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签订时一并提供给招标人。投标人具体测评工作和等级保护测评报告的编写，必须在招标人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，投标人不得带离该地点。投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等富有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任长期存在。
等级保护测评的品质保证：投标人应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对客户资料严格保密。

（12）投标人应对招标人招标的信息系统进行等级保护测评，形成相应的报告。投标人协助招标人办理信息系统安全等级保护备案手续。

现场测评阶段，严格执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测评设备和工具，规范、准确、完整的填写测评结果记录，获取足够证据，客观、真实、科学地反映出系统的安全保护状况，测评过程应予以监督并记录；
报告编制阶段，找出整个信息系统安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，给出等级测评结论，形成测评报告，测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版（试行）》的格式和内容要求编写，测评报告应通过评审并有相关记录。

（13）投标人应提供信息安全等级保护相关知识培训服务。

（14）测评结束后期服务承诺：应标人在招标人现有信息系统等级不变的情况下，2年内对招标人现有信息系统扩建的网络，提供安全性分析，并对发现的相关问题提出合理化建议。

（15）投标人保证不给被测系统带来包括并不限于如下风险，如违反，招标人有权依法追究投标人责任：

A、因自身能力或资源不足造成风险；
B、在测试验证活动对被测系统正常运行造成影响的风险；
C、因测试设备和工具接入对被测系统正常运行造成影响的风险；
D、测评过程中泄漏被测系统重要信息（如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等）。
（16）测评机构不得从事下列活动，如违反，招标人有权依法追究投标人责任：
A、影响被测评信息系统正常运行，危害被测评信息系统安全；
B、故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；
C、未按规定格式出具等级测评报告；
D、非授权占有、使用等级测评相关资料及数据文件；
E、分包或转包等级测评项目；
F、信息安全产品（专用测评设备和工具以外）开发、销售和信息系统安全集成；
G、限定被测评单位购买、使用其指定的信息安全产品；
H、其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
 

3、服务报价及计算：

    本项目结算方式为签订合同后，招标人支付中标人合同签订金额的30%作为项目启动资金；整个项目完成，并由招标人验收通过后，招标人支付中标人合同签订金额的60%；验收合格一年后，结清剩余尾款。

4、服务考核办法：

本项目的目标是输出等级保护测评报告，并配合信息系统安全保护等级备案 。
投标人应对所有正式交付文件的综合质量审查负责。
投标人应提交验收方案，供招标人参考。
招标人将依据本项目的要求，组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。
投标人完成技术培训。

三、评分办法：

(1)评标采用综合评分法。投标单位需要具有信息安全等级测评机构保护推荐证书，且公司注册地址为江苏省内，投标文件中提供复印件。
(2)受到过公安机关警告、通报批评、限期整改以及其他各种形式的负面通报的测评机构的投标文件，不会被接收。
(3)得分最高者中标。

评分项目	评分标准
投标报价 （20分）	以满足招标文件要求的最低报价为基准价，得满分30分，其它报价得分＝（基准价/其他报价）×30×100％
项目技术方案 （20分）	1、方案全面详细，服务内容明确，能完全满足招标文件项目需求，可行性高；得15-20分。 2、方案较为全面，服务内容明确，能基本满足招标文件项目需求，具有可行性；得11-14分。 3、方案不够全面，服务内容不明确，不能完全满足招标文件项目需求，可行性较差。得1-10分。 4、方案完全不满足投标文件项目要求、没有可行性或者无方案；得0分。
项目组织方案 （20分）	1、组织架构科学合理，具体负责技术、管理（保密）、实施等职责分工清晰明确，项目进度安排合理，具有良好的切实可行的风险规避措施；得15-20分。 2、组织架构基本合理具体负责技术、管理（保密）、实施等职责分工基本清晰明确，项目进度安排基本合理，具有基本的切实可行的风险规避措施；得5-14分。 3、组织架构不够合理，具体负责技术、管理（保密）、实施等职责分工不够清晰明确，项目进度安排不够合理，无风险规避措施；得0-4分。
投标人评价 （30分）	获得ITSS证书的得2分，国家级信息安全类创新基金的得4分，获得省级创新中心得3分，研究生工作站得3分，博士后工作站得2分，获得高新企业证书得2分，获得软件企业证书，且提供全国计算机信息高新技术考试合格证书一份的得2分，获得信息安全管理系统认证证书27001（等级保护测评相关）得1分，获得信息安全管理系统认证证书20000（等级保护测评相关）得1分，获得CNAS证书得2分。
	中、高级等级测评师人数：根据公司已经获证的高级、中级等级测评师人数评分。高级一人得2分，中级一人得1分，最高得3分
	拟派项目组成员资质：项目组成员有CISP证书的，每1人满足条件的得1分，有PMP证书一个得1分，最高得5分。
售后服务（5分）	承诺提供每季度的漏扫服务得5分。
客户案例（5分）	提供2019年以来三级系统合同复印件，每一份得1分，合计5分。

投标文件报送地址：镇江市长江路33号文广集团
联系人：张一颖      联系电话：13775368150
报送截止时间：2021年6月4日下午14:00
所有资料装袋密封，正本一份，副本四份，在封口处加盖单位公章，报价函（报价表及相关承诺）须盖单位公章（复印件无效），提供的证明材料（如营业执照、授权证书等）复印件需加盖单位公章
开标时间：2021年6月4日下午14:30
评标地点：镇江市长江路33号文广集团10楼会议室
 
 
 
镇江文化广电产业集团有限公司
2021年5月28日

最新推荐