宁夏/银川-2026-03-24 00:00:00
| 采购计划编号: | ************* | 项目名称: | 宁夏回族自治区住房和城乡建设厅机关****年重要信息系统数据安全风险评估服务项目 |
|---|---|---|---|
| 分包名称: | 宁夏回族自治区住房和城乡建设厅****年重要信息系统数据安全风险评估服务项目 | 分包类型: | 服务类 |
| 采购方式: | 竞争性磋商 | 预算金额 | ******.** |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: |
否 |
| 是否为执行国家统一定价标 和固定价格采购项目: |
否 | 是否适宜由中小企业提供: | 是 |
| 不适宜由中小企业提供的情形: | 不适宜面向中小企业证明材料: |
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
*.* 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
*.* 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
*.* 提供具有良好商业信誉和健全的财务会计制度的承诺函;
*.* 提供履行合同所必需的设备和专业技术能力的证明材料;
*.* 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
*.* 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| * | 本项目为专门面向中小企业采购项目,供应商须提供《中小企业声明函》。 |
三、商务要求
四、技术要求
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| * | **********测试评估认证服务 | 宁夏回族自治区住房和城乡建设厅****年重要信息系统数据安全风险评估服务项目 | 宁夏回族****年重要信息系统数据安全风险评估服务 | * | ******.** | 标的**测试评估认证服务:一、项目概述 落实《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律法规,按照《信息安全技术 网络数据处理安全要求》(**/* **********)、《数据安全技术 数据安全风险评估方法》(**/* **********)、《网络安全标准实践指南—网络数据安全风险评估实施指引》等行业标准要求,以宁夏回族自治区住房和城乡建设厅关键系统为评估对象,通过数据安全管理、数据处理活动、数据安全技术、个人信息处理四个层面发现系统存在的安全问题和风险隐患,督促数据处理者健全安全管理制度、改进安全管理措施、堵塞安全漏洞,进一步提高数据安全和个人信息保护能力。摸清数据种类、规模、分布情况,摸清数据处理活动的情况,发现可能影响国家安全、公共利益或个人、组织合法权益的数据安全问题和风险,发现共享、交易、委托处理、向境外提供重要数据处理活动的数据安全问题和风险,促进完善数据安全保护措施提升数据安全保护能力,出具评估报告并给出整改建议。 二、项目范围 本项目主要对*个信息系统开展数据安全评估服务并出具数据安全风险评估报告。详情见下表: 序号系统名称系统级别 *工程建设项目全生命周期数字化管理系统三级 *宁夏住房公积金综合服务平台三级 *宁夏互联网+智慧房产服务平台三级 *智慧住建综合监管系统三级 *全区瓶装液化石油气全链条安全监管信息系统三级 (一)信息调研 信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,基于数据全生命周期,全面调研分析宁夏回族自治区住房和城乡建设厅信息系统的数据资产;确定不同安全级别的数据类型,进而形成业务场景下的重要数据,实现业务流识别、数据流识别、数据责任识别、数据重要程度识别。 (二)风险识别 安全威胁分析:从数据生命周期与数据应用场景两个纬度去发现数据所面临的各种威胁,重点关注数据流转中的动态安全风险,包括但不限于数据泄露、数据篡改、数据破坏、数据丢失等安全威胁。 安全脆弱性分析:通过工具监测、人工核查、文档查阅等手段,分析基于业务场景的数据处理活动存在的风险,包括各个层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点,明确数据安全脆弱性分布,判断脆弱性可利用程度和脆弱性对数据资产影响的严重程度。 具体评估内容包括: *)数据安全管理:根据现场安全评估记录,针对宁夏回族自治区住房和城乡建设厅数据安全管理方面的“安全管理制度”、“安全组织机构”、“分类分级管理”、“人员安全管理”、“合作外包管理”、“安全威胁和应急管理”、“开发运维管理”、“云数据安全”等方面评估指标,识别出与其相对应的各评估项脆弱性。 *)数据处理活动:根据现场安全评估记录,针对宁夏回族自治区住房和城乡建设厅数据处理活动方面的“数据收集”、“数据存储”、“数据传输”、“数据使用和加工”、“数据提供”、“数据公开”、“数据删除”等方面评估指标,识别出与其相对应的各评估项脆弱性。 *)数据安全技术:根据现场安全评估记录,针对宁夏回族自治区住房和城乡建设厅数据安全技术方面的“网络安全防护”、“身份鉴别与访问控制”、“监测预警”、“数据脱敏”、“数据防泄漏”、“数据接口安全”、“数据备份恢复”、“安全审计”等方面评估指标,识别出与其相对应的各评估项脆弱性。 *)个人信息保护:根据现场安全评估记录,针对宁夏回族自治区住房和城乡建设厅个人信息保护方面的“个人信息处理原则”、“个人信息告知”、“个人信息同意”、“个人信息处理”、“敏感个人信息处理”、“个人信息主体权力”、“个人信息安全义务”、“个人信息投诉举报” “大型网络平台个人信息保护”等方面评估指标,识别出与其相对应的各评估项脆弱性。 (三)风险分析与评价 将数据应用场景中的安全威胁和脆弱性与具体安全措施关联分析后,通过定性分析展现风险严重程度以及分析可能性,通过定量计算得出数据全生命周期不同阶段所面临威胁的风险值及风险等级,梳理得出的数据安全问题清单,分析可能存在的数据安全风险,明确数据安全风险评估结果。 (四)评估总结风险处置 根据评估情况,评估队伍编制数据安全风险评估报告,并根据数据安全风险评估结果,针对不同的风险容忍度采取不同的策略,制定不同的整改措施,协助建设单位完成风险整改,提升数据安全防护能力,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。 (五)交付成果: 序号成果内容数量 **个系统的数据安全风险评估方案*份 **个系统的数据安全风险评估报告*份 **个系统的数据安全风险整改建议报告*份 (六)人员配备: 项目实施人员至少由*人组成,实施人员中至少配备*名项目经理,*名技术负责人,中标人须与采购人签订项目合同、保密协议和现场评估授权书、风险预判告知书,核实评估人员资质与投标时承诺为本项目配备的评估人员是否一致。确因工作调配需要更换评估人员,更换人员需与投标人员具备相同资质,需提前**个工作日向甲方书面报备,并提供更换评估人员资质证明。 (七)实施要求: *)中标人须提供完善的评估实施方案,经甲方审核通过后实施。完成对安全管理制度的补充完善和整理工作,配合对数据风险进行整改咨询服务。 *)中标人在评估过程中,须严格遵守国家和地方相关法律、法规、规范、标准等相关要求,确保评估数据、过程记录的完整性和真实性; *)中标人需根据宁夏回族自治区住房和城乡建设厅实际情况,协助甲方制定和完善重要数据安全事件应急响应预案,提升应急处置能力。 三、服务要求 *)一旦收到甲方的服务请求,乙方项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,乙方工程师在**小时内到达用户现场,提供服务; *)提供技术服务热线,并安排专业人员为宁夏回族自治区住房和城乡建设厅解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即作出响应; 四、验收要求 *)严格按照国家标准实施,评估结果及过程文档须符合数据安全风险评估相关要求; *)文档资料要严格按照合同要求提交,各类报告编写要符合相关规范要求; *)项目完成后按照甲方验收程序完成项目验收。 | 签订中标合同后*个月 | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
五、合同管理安排
合同类型:
服务类
(验收方案附件):
六、评审方法及评审细则
评标方法:
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| * | 投标报价 | **.** | 价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×***%×权重分值。(四舍五入后保留小数点后两位)对于高于项目采购预算金额的投标报价不予接受,视为无效投标。 |
| * | 类似业绩 | *.** | 自****年*月*日以来,独立承担类似项目案例,每提供*份得*.*分,最多得*分。 (须提供合同复印件或中标通知书复印件并加盖公章) |
| * | 服务人员能力配备 | *.** | *.项目负责人:需具备信息系统项目管理师证书或数据安全评估师证书(********)或数据存储与灾难恢复技术证书(****),提供*个证书得*分,本项满分*分; *.技术负责人:信息系统项目管理师证书或高级网络信息安全工程师证书或网络工程师证书或高级数据库工程师证书,提供一个证书得*分,本项满分*分; *.项目团队实施人员具备数据安全评估师证书或信息安全保障人员认证证书(*****风险管理)或注册数据安全治理专业人员证书(********)或注册信息安全渗透测试工程师证书(********),每提供*项证书得*分,本项满分*分,以上人员不得重复,一人一证; (提供相关人员资质证书和近三个月社保证明复印件加盖公章,提供不全或未提供的不得分) |
| * | 数据安全合规性评估方案 | **.** | 供应商提供数据安全合规性评估方案,方案应包括但不限于数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面。 方案内容完整详实、描述清晰明了、并结合被评估系统特点对各项评估内容分析合理准确,得**分;方案内容完整,但对个别评估内容分析不全面,得**分;方案基本覆盖评估内容,但对评估内容较为通用,分析缺乏针对性,得*分;方案未完全涵盖评估内容,对部分内容描述不够详细准确,得*分;方案中缺失内容较多,对测评内容描述偏差较大的得*分,未提供的不得分。 |
| * | 评估流程方案 | **.** | 供应商需制定评估流程方案,方案内容包括评估准备活动、信息调研活动、风险识别活动、综合分析活动、评估总结活动等。 方案中评估流程活动阶段制定详细、科学、条理性强、人员角色分工安排合理,完全满足项目实际需求,清晰描述评估流程,得**分;方案涵盖所有评估流程各活动阶段,但个别活动阶段描述粗略,分析不清晰或条理性不强,得*分;方案基本覆盖评估流程活动阶段,对各活动阶段描述不详细,缺乏针对性,得*分;方案未完全涵盖评估流程各活动阶段,对部分活动阶段安排不合适,描述不够详细准确,得*分;方案中缺失内容较多,对各评估活动阶段安排不合理的不得分。 |
| * | 项目质量控制方案 | **.** | 供应商需制定项目质量控制方案,方案包含对流程控制、变更控制、项目沟通、实施进度控制、过程文档管理等。 方案中各项质量控制内容完整,控制措施描述详细合理,可操作性强,满足项目实际需求,得**分;方案涵盖所有质量控制内容,但个别质量控制内容描述不详细,分析不够深入,得*分;方案中基本覆盖各项质量控制内容,结合本项目控制措施分析针对性不足,得*分;方案中对部分质量控制措施描述不够详细准确,得*分;方案中缺失内容较多,对质量控制措施设置不合理不得分。 |
| * | 风险管理和应急处置方案 | **.** | 供应商需制定风险管理和应急处置方案,内容包含识别项目可能出现的风险、针对风险应对措施、应急响应流程等。 方案内容完整全面,识别风险准确、应对措施有效、合理、实操性强,应急响应流程合理完善,得**分;方案中基本识别常见风险、但对风险应对措施较为通用,应急响应流程逻辑性不强,得*分;方案中基本覆盖各项风险控制内容,结合本项目应急措施分析针对性不足,得*分;方案中风险管理和应急处置内容不详细,没有充分考虑涉及本项目可能出现的风险因素,应对措施不具体,得*分;方案中缺失内容较多,对应对措施制定不合理不得分。 |
| * | 售后服务方案 | **.** | 供应商需制定售后服务方案,包含售后服务承诺、售后服务保障体系、售后服务保障措施、售后服务响应能力等方面。 方案的售后服务内容,售后服务体系健全、售后服务保障措施详细完善,技术支持方案可行性强,响应能力满足项目实际需求,得**分;方案涵盖所有售后服务内容,但个别售后内容描述不详细,分析不够深入,得*分;售后服务体系和措施内容完整,但服务内容描述粗略,得*分;售后服务方案涵盖上述内容有个别缺失,内容针对性不强,得*分;方案缺失内容较多,本项目无明显关联或内容浅薄、无任何针对性的不得分。 |
| * | 保密方案 | **.** | 供应商需制定保密方案(包括但不限于保密措施、保密管理制度、保密承诺和保密岗位责任)等内容。 保密措施详尽、方案完整、保密制度健全、承诺及岗位责任规范且细致,完全满足采购需求得**分;保密措施详尽、方案基本完整、保密制度基本健全、承诺及岗位责任规范,满足采购需求得*分;保密措施内容完整,但保密制度描述粗略,得*分;保密措施较差、方案不完整、保密制度不健全、承诺及岗位责任不规范,无法满足采购需求得*分;未提供的不得分。 |
| ** | 检测工具 | **.** | 供应商应具有满足项目实施要求的检测设备,需涵盖数据安全分类分级与风险管控、数据安全检测与评估、数据安全应急处理、网络安全漏洞扫描、网络安全基线核查等工具,配备工具中每满足*项功能得*分,满分得**分。(以上功能需提供设备功能截图、工具购买发票或合同复印件加盖公章;自主研发工具需提供著作权证书或专利证书复印件加盖公章,否则不得分) |
| 合计: | ***.** | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
免责声明: 本页面提供的内容是按照政府采购有关法律法规要求由采购人或采购代理机构发布的,宁夏政府采购网对其内容概不负责,亦不承担任何法律责任。
