淮北市交通运输局
交通运输行业管理协同云平台网络安全等级保护测评及网络
安全服务项目招标公告

序号

系统名称

系统级别

备注

1

交通运输行业管理协同云平台

二级

/

1

等级保护测评

1) 等保测评：完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作；

2) 工具测试：针对此信息系统进行漏洞扫描、渗透测试等安全服务工作；

3) 整改建议：投标人应根据现场测评中发现的问题，分析与GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301、ITIL和ITSS等行业最佳实践之间的差距，按照网络安全等级保护标准要求提出安全整改建议；

4) 编制测评报告：完成上述测评工作和建议整改措施后，投标人最后出具符合标准要求的网络安全等级保护测评报告。

2

工作要求

（1）实施原则

规范性原则：成交供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

（2）测评依据

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术网络安全等级保护测评过程指南》（GB∕T 28449-2018）

（3）等级保护测评内容

根据国家等级保护相关标准，本次项目的网络安全等级保护测评包括以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

1） 安全物理环境

安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评，包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。

1） 安全通信网络

安全通信网络测评是对网络系统安全防护情况进行测评，包括网络架构、通信传输、可信验证等方面的安全状况。

1） 安全区域边界

安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。

1） 安全计算环境

安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。

1） 安全管理中心

安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测评。

1） 安全管理制度

安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。

1） 安全管理机构

安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。

1） 安全管理人员

安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。

1） 安全建设管理

安全建设管理测评是对建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、 工程实施、测试验收、系统交付、 等级测评、服务供应商选择等情况进行测评。

1） 安全运维管理

安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、 应急预案管理、外包运维管理等情况进行测评。

3

网络安全意识培训

网络安全意识培训服务要求

供应商需要为淮北市交通运输局提供1次信息安全技术培训，确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度，信息安全管理制度和相关流程等。信息安全培训方式分为以下几种：

线下培训：线下培训，即为集中授课培训。由中标方安排资深信息安全人员，对采购方人员讲解信息安全相关规范、流程、技术等方面的知识。

线上培训：通过在腾讯视频会议等即时通讯工具，对使用人员进行培训。可以采用远程方式，演示系统操作步骤。

即时通讯方式培训：对于一些情况较为紧急的使用问题，使用电话方式、微信或其他即时通讯，对使用人员进行系统讲解。

培训资料：提供培训课件相关资料。

4

报价要求

本项目报总价，报价包含完成本项目服务期间所产生的一切费用（含验收费用），采购人后期不再另行追加费用。

5

验收标准

本项目服务的验收将以成交供应商提交《测评报告》并在公安部登记管理系统填报结果为准。

6

人员配备

供应商拟派的安全服务团队不得少于4人（至少包括1名高级测评师、1名中级测评师）。成交供应商需保证在实施阶段主要技术人员必须是全职。

技术分（35分）

服务方案

1、服务方案工作范围清晰，具有完整的测评服务方案、项目实施计划、测评方法、风险说明及风险规避处置措施，测评内容可行性合理。评委对各家服务方案进行横向比较：

方案全面、合理、准确，完全符合竞争性磋商文件要求，得11-15分；较合理、准确，基本符合竞争性磋商文件要求，得6-10分；基本合理、准确，部分符合竞争性磋商文件要求，得1-5分；差或未提供不得分。

2、项目管理方案：工作范围清晰，具有完整的项目管理方法论和内容。评委对各家项目管理方案进行横向比较：

方案全面、合理、准确，完全符合竞争性磋商文件要求，得4-5分；较合理、准确，基本符合竞争性磋商文件要求，得2-3分；基本合理、准确，部分符合竞争性磋商文件要求，得0-1分；差或未提供不得分。

0-20分

项目人员

投标人针对本项目需求拟配备的项目团队应设置质量经理、项目经理等，具体评审指标如下：

1、质量经理（1人，本小项满分5分）：

(1) 具有中级（含）以上等级测评师证书，得1分；

(2) 具有注册信息安全专业人员（CISP）证书，得2分；

(3) 具有重要信息系统保护人员（证书类别：CIIP-T）证书，得2分；满分5分。

2、项目经理（1人，本小项满分5分）：

(1) 具有高级测评师证书，得1分；

(2) 具有注册信息安全认证讲师（CISI）证书，得2分；

(3) 具有信息安全保障人员认证（CISAW）证书，且认证方向为风险管理和安全运维方向的，得2分。

3、团队成员（最少2人，本小项满分5分）：

项目组其他成员（不包括质量经理、项目经理）全部具有初级（含）以上等级测评师证书，满足得3分，否则本小项不得分；在满足上述条件基础上，每提供1名具有CISP证书或CCSC证书或CISAW证书，得1分。

注：以上证书须提供证书扫描件或复印件，且提供持证人员近三个月在投标单位的社保证明。

0-15分

资信分（55分）

投标人业绩

投标人提供自2019年01月01日以来等保测评服务业绩合同（以合同签订日期为准）：每提供一个得3分；最高得15分。

注：投标文件中须提供业绩合同的扫描件/复印件,合同扫描件至少提供封面、服务内容和签字盖章页。

0-15分

投标人实力

1、投标人具有ISO9001质量管理体系认证证书、ISO/IEC 27001信息安全管理体系认证证书、ISO/IEC20000信息技术服务管理体系认证证书、ISO14001环境管理体系认证证书和ISO45001职业健康安全管理体系认证证书的，每提供一个证书得1分，本小项最多得5分。

2、投标人具有ISO 22301业务连续性管理体系认证证书且认证覆盖的业务范围包括网络安全等级保护测评的，得5分，否则不得分。

3、投标人具有检验检测机构资质认定证书（CMA）证书且检验检测的能力范围包括网络安全等级保护测评、信息安全风险评估的，得5分，否则不得分。

4、投标人具有信息技术服务标准符合性证书（ITSS）的，得5分，否则不得分。

5、自2019年1月1日以来，投标人获得过国家网络安全等级保护协调小组办公室颁发的“全国网络安全等级保护测评机构先进单位”荣誉证书的，得5分，否则不得分。

6、投标人具有自主研发的网络安全等级保护助手软件、智能测评服务软件、网络流量分析工具、网络安全漏洞扫描工具和关键信息基础设施安全检查工具的，得5分，否则不得分。

注：

（1）第1、2两项须提供证书扫描件或复印件及全国认证认可信息公共服务平台（http://cx.cnca.cn/）查询结果截图。

（2）第3项须提供证书扫描件或复印件及市场监督管理部门证书公示查询系统查询结果截图。

（3）第4项须提供证书扫描件或复印件及中国电子工业标准化技术协会信息技术服务分会工作网站（www.itss.cn）查询结果。

（4）第5项须提供荣誉证书扫描件或复印件及省级（含）以上等保办出具的证明文件。

（5）第6项须提供自主研发工具的软著登记证书扫描件或复印件。

0-30分

售后服务能力

1、投标人在完成测评工作后应为甲方提供常态化的安全技术支撑，提供售后服务承诺书，评委对各家售后服务内容进行横向比较：详实得5分、良好得3分、一般得1分、较差得0分。

注：投标文件中须提供售后服务承诺书。

2、投标人具有国家互联网应急中心颁发的“网络安全能力认证”培训机构（CCSC）证书的，得5分。

注：投标文件中须提供证书扫描件/复印件。

0-10分

价格分（10分）

投标报价

价格采用有效报价最低价为评审基准价，报价等于评审基准价时得满分，在此基础上每高于评审基准价1个百分点扣0.2分，扣完为止，不得负分。

0-10分

投标人得分计算方法

各投标人的技术标得分为各评委所评技术标合计分值的算术平均值（取小数点后两位，第三位的数字四舍五入）。

投标人总得分=技术分得分+资信分得分+价格分得分