宁夏/银川-2025-11-20 00:00:00
| 采购计划编号: | ************* | 项目名称: | 宁夏回族自治区价格认定中心(自治区价格监测中心)宁夏价格监测预警系统项目 |
|---|---|---|---|
| 分包名称: | 测试评估认证服务—数据安全风险评估 | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 预算金额 | ******.** |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: |
否 |
| 是否为执行国家统一定价标 和固定价格采购项目: |
否 | 是否适宜由中小企业提供: | 是 |
| 不适宜由中小企业提供的情形: | 不适宜面向中小企业证明材料 (专家论证或集体决策或政策依据): |
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
*.* 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
*.* 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
*.* 提供具有良好商业信誉和健全的财务会计制度的承诺函;
*.* 提供履行合同所必需的设备和专业技术能力的证明材料;
*.* 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
*.* 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| * | 无 |
三、商务要求
四、技术要求
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| * | **********测试评估认证服务 | 测试评估认证服务—数据安全风险评估 | 以宁夏价格监测预警系统重要数据为评估对象,以数据全生命周期所面临的风险为评估内容,对宁夏价格监测预警系统重要数据开展数据安全风险评估工作,识别存在风险,形成一套可落地可指导实践的数据安全风险评估方法,并对在数据安全风险评估中发现的数据安全风险点给出应对措施,出具有针对性的数据安全加固建议方案,协助建设单位开展风险整改及复测工作,出具评估报告。 | * | ******.** | 标的**测试评估认证服务:以数据资产为中心,以网络安全为基础,以宁夏价格监测预警系统重要数据为主要评估对象,从数据全生命周期及数据应用场景两个纬度进行数据安全风险评估,保障被评估业务的数据资产(包含不限于业务数据、系统数据及个人信息)的机密性、完整性、可用性及可控性。实施内容分为技术和管理两个层面,技术层面包括风险识别、风险分析、风险评价、风险处置,管理层面包括安全管理机构、安全管理人员、数据安全管理制度等。 *)风险识别 基于数据全生命周期,梳理数据资产,建立数据资产清单;根据国家数据分类分级相关要求,对数据进行分类分级,完善数据分类分级目录;确定不同安全级别的数据类型,进而形成业务场景下的重要数据范围,制作重要数据图谱,实现业务流识别、数据流识别、数据责任识别、数据重要程度识别。 *)风险分析 安全威胁分析:从数据生命周期与数据应用场景两个纬度去发现数据所面临的各种威胁,重点关注数据流转中的动态安全风险,从数据合规、数据泄露、数据篡改、数据不可用以及数据未授权访问等层面分析数据流转各要素的安全威胁。 ①数据访问账号和用户权限管理:通过账号专人专用、账号独立、账号授权审批、最小授权、账号及时回收、行为内部审计、定期账号稽核等方式控制。 ②数据使用过程的访问权限管理:批量操作审批、高敏感数据访问审批、批量操作和高敏感数据访问的过程内部审计记录、开发测试访问模糊化、访问行为定期稽核等方式控制。 ③数据共享(提取)权限管理:通过最小共享和泛化、共享(提取)审批、最小使用范围、责任传递、定期稽核等方式控制。 ④定期权限稽核:通过数据安全合规检查、操作监管或稽核、数据访问账号和权限的监管与稽核、业务单位和运维的数据访问过程的合法性监管与稽核、日志风险分析与数据安全性测试等方式控制。 ⑤数据存储管理:通过涉密数据存储的网络区隔、敏感数据存储加密、备份访问管理、存储设备的移动管理、存储设备的销毁管理等方式控制。 安全脆弱性分析:通过工具监测、人工核查、文档查阅等手段,分析基于业务场景的数据处理活动存在的风险,包括管理以及技术层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点,明确数据安全脆弱性分布,判断脆弱性可利用程度和脆弱性对数据资产影响的严重程度。 *)风险评价 将数据应用场景中的安全威胁和脆弱性与具体安全措施关联分析后,通过定性分析展现风险严重程度以及分析可能性,通过定量计算得出数据全生命周期不同阶段所面临威胁的风险值及风险等级,明确数据安全风险评估结果。 *)风险处置 根据数据安全风险评估结果,针对不同的风险容忍度采取不同的策略,制定不同的整改措施,协助建设单位完成风险整改,提升数据安全防护能力,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。 *)安全管理人员评估 根据现场安全评估记录,针对宁夏价格监测预警系统重要数据承载系统在人员安全管理方面的“人员配备”“人员离岗”“外包运行维护人员管理”“安全意识教育和培训”以及“外部人员访问管理”等评估指标,判断出与其相对应的各评估项的评估结果。 *)安全管理机构评估根据现场安全评估记录,针对宁夏价格监测预警系统重要数据承载系统在安全管理机构方面的“岗位设置”“授权和审批”等评估指标,判断出与其相对应的各评估项的评估结果。 *)安全管理制度评估 根据自治区数据安全监管单位的数据安全管理要求,分析制度方面的差距,协助完善相关数据安全管理制度。具体包括:完善数据安全管理办法、数据安全分类分级制度、数据安全应急预案、数据安全防范实施细则等。 | 合同签订后**天内完成。 | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
五、合同管理安排
合同类型:
服务类
(验收方案附件):
六、评审方法及评审细则
评标方法:
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| * | 投标报价 | **.** | 所有算术修正后的投标报价由低到高进行排序,除低于成本价又不能做出合理解释的投标报价被拒绝外。实际得分为:评标基准价/投标报价×**。评标基准价为有效报价的最低价。 |
| * | 企业业绩 | **.** | 投标人提供近*年(****年**月至今)数据安全风险评估项目业绩,每提供一项得*分,满分**分,未提供不得分。 注:提供采购合同和项目中标通知书扫描件并加盖公章。 |
| * | 综合实力 | *.** | *.投标人具有信息安全管理体系或隐私信息管理体系或业务连续性管理体系认证证书,每提供一项得 *分,满分*分,未提供不得分。 *.投投标人具有数据安全专业委员会颁发的数据安全服务能力评定资格证书得*分,未提供不得分; *.投标人具有国家信息安全漏洞库技术支撑单位证书得*分,未提供不得分; *.投标人具有中国网络安全审查认证和市场监管大数据中心颁发的网络安全审计服务资质证书得*分,未提供不得分; 注:提供上述证书扫描件并加盖公章。 |
| * | 项目经理 | *.** | 项目经理具备信息系统项目管理师证书或注册信息安全管理人员证书(*********)或信息安全保障人员认证证书(风险管理专业),每提供一项得*分,满分*分,未提供不得分。 注:提供相关证书扫描件和投标人为其缴纳的****年*月至今连续*个月社保缴费证明并加盖公章,未提供不得分。 |
| * | 测评团队 | *.** | 项目团队实施人员(除项目经理)具有信息化相关中级及以上职称的,每提供一项得*分,此项满分*分,未提供不得分; *.项目团队实施人员(除项目经理)具备数据安全工程师高级证书或重要信息系统保护人员证书(******)或注册信息安全渗透测试工程师证书(********)或注册信息安全工程师证书(*********)或系统分析师证书,每提供一项得*分,满分*分,未提供不得分。 注:一人多证不重复计分,提供相关证书扫描件和投标人为其缴纳的****年*月至今连续*个月社保缴费证明并加盖公章,未提供不得分。 |
| * | 技术方案 | **.** | *.投标人提供的数据安全评估技术方案完全涵盖评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,方案具体、可行的得**分; *.投标人提供的数据安全评估技术方案基本涵盖评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,方案较具体、基本可行的得*分; *.投标人提供的数据安全评估技术方案未能涵盖评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,方案较不够具体或可行一般的得*分; *.未提供不得分。 |
| * | 组织管理 | *.** | *.投标人组织机构完善,准备工作具体全面、贴合实际需求、可行性强的得*分; *.投标人组织机构基本完善,准备工作较全面、能满足实际需求得*分, *.投标人组织机构、准备工作不完善具体得*分; *.未提供不得分。 |
| * | 风险控制 | *.** | *.投标人能全面识别项目风险,风险应对措施详细,风险处置预案完整、有效、全面的*分; *.投标人能基本识别项目风险,风险应对措施较完整,有风险处置预案的得*分, *.投标人项目风险识别、风险应对措施、风险处置预案不完整,不能有效控制风险得*分; *.未提供不得分。 |
| * | 应急响应 | *.** | *.投标人提供的应急响应服务方案,服务体系完善,服务内容详细具体,问题解决方案具体、可行,响应及时得*分; *.投标人服务体系基本完善,服务内容较完善,问题解决方案基本可行,响应速度一般得*分; *.投标人服务体系、服务内容、问题解决方案不完善得*分; *.未提供不得分。 |
| ** | 安全保密 | *.** | *.投标人提供的保密管理体系内容全面详细、针对性强、可行性强、完全符合实际保密工作需求的得*分; *.投标人保密管理体系基本符合需求,针对性、可行性一般得*分; *.投标人保密管理体系不符合保密管理需求或不可行得*分; *.未提供不得分。 |
| ** | 售后服务 | *.** | 投标人提供完善的售后服务,包括服务方式、培训方案、响应时间、技术支持、人员安排等内容: *.售后服务内容完整、安排清晰具体的得*分; *.售后服务内容较完整、安排具体得*分; *.售后服务内容不完整得*分; *.未提供不得分。 |
| ** | 评估工具 | **.** | 投标人拟提供服务于本项目的数据安全风险评估工具设备应最少包含如下功能: *.流动数据资产梳理功能; *.***安全评估功能; *.数据行为异常评估功能; *.敏感数据传输检测功能; *.数据库漏洞扫描功能; *.流动数据安全检测功能; *.数据库资产梳理功能; *.传输通道加密检测功能; *.非法外联检测功能; **.数据出境检测功能; 具备以上功能的,有一项得*分,满分**分。 (注:以上功能需提供工具购买合同及发票扫描件,以及功能截图附于投标文件中并加盖投标人电子签章;若为自研工具需提供计算机软件登记著作权证书或专利证书扫描附于投标文件中并加盖投标人电子签章,未按要求提供的不予计分)。 |
| 合计: | ***.** | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
免责声明: 本页面提供的内容是按照政府采购有关法律法规要求由采购人或采购代理机构发布的,宁夏政府采购网对其内容概不负责,亦不承担任何法律责任。
