深圳市龙岗区人民法院网络信息安全服务项目报名公告
为进一步加强法院网络信息安全管理工作,拟采购信息安全服务,要求具备信息安全相关资质,能定期开展全面的信息安全检查工作,及时掌握信息安全状况,认真查找隐患,整改安全漏洞,完善安全措施,提高应急处置能力,提升法院信息安全管理水平。现将有关报名事项公告如下:
一、项目概述
定期开展全面的网络信息安全及检查工作,及时掌握法院信息系统安全状况,认真查找安全隐患,整改安全漏洞,完善相关措施,提高应急处置能力,提升法院网络信息安全管理水平。
1.项目名称:深圳市龙岗区人民法院2024年网络信息安全服务项目。
2.项目预算:36.5万。
3.服务时间:合同签订一年,服务期满考核合格可续签合同,最长不超过三年。
4.服务地址:龙岗区人民法院院本部及其他办公场所。
二、商务要求
(一)投标人必须具有独立法人资格或是具有独立承担民事责任的能力的其它组织,或者是经总公司(分支机构所属的独立法人)出具愿为其参与投标以及履约等行为承担民事责任承诺书(或授权书)的分支机构(提供营业执照扫描件或事业单位法人证等法人证明扫描件,原件备查);总公司或者分公司只允许一家投标,不允许同时参与本项目投标,分公司参与投标的,须提供总公司或具有独立法人的上一级公司出具的愿为其参与投标以及履约等行为承担民事责任的加盖总公司公章的承诺书(或授权书),以及提供总、分公司的营业执照扫描件,原件备查。本项目不接受联合体参与报价,不接受分包与转包。
(二)参与本项目前三年内,在经营活动中必须没有重大违法违规记录,具有良好的商业信誉和服务(报名人在《采购报名及履约承诺函》作出说明)。
(三)参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况(报名人在《采购报名及履约承诺函》中作出说明)。
(四)未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(报名人在《采购报名及履约承诺函》中作出说明)。注:“信用中国”“中国政府采购网”以及“深圳市政府采购监管网”为供应商信用信息的查询渠道。
(五)在服务期内,若服务商未能及时发现安全隐患,以致采购方信息系统被上级信息安全主管部门监测发现中、高危漏洞,或监测发现被挂马、病毒感染等情况,按每个系统扣除合同金额0.5万元计算,从服务款中扣除,如造成损失,还需额外赔偿损失。上述情形出现五次(含)以上,采购方可以要求解除合同,并退回已支付款项。
(六)服务商应严格遵守采购方的保密制度,未经允许不得透露在履行本合同过程中所获得或接触到的任何采购方内部数据资料,同时应当采取有效的保护措施防止秘密未经授权而被使用、传播或公开。保密的时效不受本合同有效时间的限制。
(七)因采购人未来可能对院内信息化相关服务项目进行统筹整合,院方提前一个月提出终止要求后,本服务可终止;要求供应商根据下面形式进行分项报价,如提前终止,按完成等保评测的系统个数和实际服务期限进行折算。
1.三个信息系统的等保费用;
2.其余服务相关费用(含技术人员驻点)。
三、网络信息安全服务技术要求
(一)门户网站及应用系统安全检测服务要求
1.对法院的应用系统及网站现状进行全面梳理,根据法院运维现状,对门户网站及应用系统进行安全检测工作,编写《法院业务系统扫描报告》,提出漏洞修复建议,协助确保系统安全稳定运行。
2.检测频次:每月1次。
3.检测范围:门户网站及应用系统。
4.文档输出包括但不限于《业务系统扫描报告》。
(二)主机设备漏洞扫描服务要求
1.包括对法院覆盖范围内的服务器、终端进行全面梳理,每季度完成一轮对服务器、终端的漏洞安全扫描工作。
2.对扫描结果进行技术分析,编写《漏洞扫描服务报告》,提出漏洞修复建议,协助完成漏洞整改。
3.扫描频次:每季度1次。
4.扫描范围:服务器、网络设备、安全设备、以及办公终端。
5.文档输出包括但不限于《主机设备漏洞扫描报告》。
(三)渗透测试服务要求
1.对法院信息系统进行渗透测试,并编制渗透测试报告,如发现问题及时通知并协助整改。
2.渗透频次:每半年1次。
3.渗透范围:法院授权渗透的信息系统。
4.文档输出包括但不限于《渗透测试报告》。
(四)信息系统等级保护测评服务要求
1.根据法院等保工作要求,需完成制定的三个系统的等级保护测评等服务工作,配合取得二级等级保护测评报告及测评结果通知书。
2.实施频次:每年1次。
3.文档输出包括但不限于《网络等级保护测评报告》《深圳市龙岗区人民法院测评结果通知书》。
(五)门户网站监测服务要求
1.提供门户网站可用性监测,如实时监测法院门户网站HTTP/HTTPS域名可访问情况,发现问题实时预警,所监测的异常类型包含但不限于DNS解析异常、协议错误、URL不合法、无路由器跳转到主机、socket连接请求被拒绝等类型。预警方式:能够通过短信、邮件、电话等方式预警。
2.门户网站安全性监测,如网页挂马监测:利用丰富的特征库对网页中存在的木马、病毒、恶意脚本等恶意代码进行定性分析和预警。违规文字审查要求:门户网站通过比对非法文字特征库,对满足特征的文字(反动、分裂、暴力、色情等)进行定性分析预警。不超过60分钟间隔。预警方式:能够通过短信、邮件、电话等方式预警。
3.具有独立的网站安全监测室及大屏监测展示平台,提供7×24值守服务,接受法院对网站进行现场核查。
4.网站安全监测范围:指定网站及应用系统。
5.服务频次:全年。
6.文档输出包括但不限于《深圳市龙岗区人民法院在线站点监控服务报告》。
(六)信息安全检查支持服务要求
1.根据法院上级主管部门(包括上级法院和上级政数局)关于信息安全检查的要求,逐项对法院的信息安全现状开展信息安全相关自查工作,收集工作文档,及时汇总自查结果。
2.协助龙岗法院根据自查情况开展整改,对完成整改工作提供技术指导,并监督发现问题的整改进展,协助完成信息安全检查各项指标达标工作,编制迎检材料并协助进行现场检查。
3.实施频次:按需开展。
4.文档输出包括但不限于《信息安全迎检工作方案》《信息安全检查迎检工作计划》《信息安全检查迎检工作总结》。
(七)提供攻防演练期间保障工作要求
1.编制重大活动网络安全保障方案,提供攻防演练期间的前期准备工作、中期监测值守工作、后期攻防总结工作,并提供7×24应急保障、网络安全监测、预警、分析、应急服务。
2.对服务期内发生的信息安全事件开展应急处置技术支持工作。
3.实施频次:按需开展。
4.文档输出包括但不限于《深圳市龙岗区人民法院网络攻防演习防守方案》《深圳市龙岗区人民法院网络攻防演习总结报告》。
(八)信息安全培训服务要求
1.提供信息安全培训服务,包括根据上级主管部门信息安全绩效考核要求,完成法院全员信息安全意识培训及服务团队的专业技能培训工作。
2.培训频次:每年1次
3.文档输出包括但不限于《深圳市龙岗区人民法院信息安全意识培训计划》《培训签到表》。
(九)应急预案编制及应急演练服务要求
1.提供应急预案编制及应急演练(含全年应急处置服务),包括修订法院网络与信息安全突发事件应急预案,按季度对法院信息系统开展网络与信息安全突发事件应急演练工作,并将所有的应急演练形成应急演练材料,包括应急演练脚本、参与演练人员、相关视频、相关图片、总结报告及改进措施等内容。同时,当龙岗法院发生信息安全事件时,或要举办重要活动时,协助龙岗法院进行信息安全应急处置,并出具总结报告。
2.实施频次:每年1次。
3.文档输出包括但不限于《信息安全事件应急预案》《网络与信息安全应急演练工作方案》《网络与信息安全事件应急演练脚本》《网络与信息安全事件应急演练工作总结和改进措施》。
(十)提供安全漏洞预警服务要求
1.业内发生信息安全事件时,投标人需要第一时间为龙岗法院发送紧急通告。每月需要向龙岗法院发送一份信息安全行业资讯、一份信息安全行业漏洞月报及防护方法,并完成预警通知加固等工作。
2.实施频次:按需开展。
3.文档输出包括但不限于《安全预警处置反馈表》《深圳市龙岗区人民法院信息安全事件应急处理服务报告》。
(十一)提供设备巡检工作要求
1.每月对龙岗法院所有安全支撑系统和设备进行梳理,整理输出完整准确台账信息,并每月收集状态报告,包括安全系统和设备授权信息、设备和平台使用性能及故障告警的处理等。
2.实施频次:每月1次。
3.文档输出包括但不限于《深圳市龙岗区人民法院网络安全平台和设备台账》《XX安全管理系统综合分析报告》《XX设备月度安全报告》。
(十二)提供系统上线前安全检测及配合工作要求
1.根据龙岗法院现状,协助、配合院内网络和信息安全相关需求,配合完成软件项目前期调研、实施、上线测试、验收及售后和安全检测工作,整理项目中产生的手册和技术文档,并参与和组织相关人员维护交接和技术培训,以及配合后续厂商巡检。
2.实施频次:按需开展
3.文档输出包括但不限于《XX设备/系统试运行报告》《XX设备/系统安全测试报告》《XX培训计划/签到表》《XX项目安全设备/系统巡检报告》
(十三)提供安全设备运维工作
1.提供安全设备运维工作,每周针对安全设备(含防火墙、上网行为管理、态势感知、堡垒机、网络安全准入、日志审计等)和系统(含Windows/xc终端安全管理平台、BM检查系统、数存灾备平台等)日常维护,包括更新授权、系统版本固件、规则库、威胁情报库和漏洞库等工作。
2.实施频次:每周1次。
3.文档输出包括但不限于《XX设备/系统更新日志》《XX设备/系统安全维护报告》。
(十四)提供安全设备的策略梳理
1.根据龙岗法院业务和实际情况调整安全设备和系统策略,确保防护策略的有效性、可用性;分析系统记录的威胁事件,提供相应的处置建议并协助整改,跟进和及时反馈安全加固进度。
2.实施频次:按需开展。
3.文档输出包括但不限于《安全设备访问控制策略清单》《网络安全设备巡检报告》《网络安全设备加固报告》。
(十五)信息安全评估服务要求
1.提供信息安全评估服务,包括制定工作计划,通过技术、访谈等手段进行重要性赋值、脆弱性识别、威胁识别并制定风险评估工作报告。
2.协助解决或者控制龙岗法院的不可接受安全风险。
3.实施频次:每年1次。
4.文档输出包括但不限于《信息安全风险评估计划》《信息安全风险评估方案》《信息安全风险评估工作报告》《信息安全风险评估工作总结》。
(十六)网络与信息安全制度编制和修订服务要求
1.根据上级主管部门信息安全考核要求,结合法院信息安全现状,完成信息安全制度的编制及修订工作。
2.实施频次:每年1次。
3.文档输出包括但不限于《信息安全管理制度汇编》。
(十七)应用系统资产台账管理要求
1.对法院应用系统资产台账进行细化,包括应用系统基本信息及所使用的中间件、框架、组件名、版本等信息,并实时更新。
2.实施频次:全年。
3.文档输出包括但不限于《应用系统资产台账表》
(十八)提供互联网资产及僵尸资产排查
1.通过人工搜索,对资产清单外的系统进行全面排查,发现僵尸资产,及未经过审批流程私自上线的系统,及时排除潜在安全风险。
2.实施频次:每季度1次。
3.检测范围:可在互联网访问的龙岗法院网站及系统。
4.文档输出包括但不限于《深圳市龙岗区人民法院资产排查报告》
(十九)信息安全工程师驻场服务要求
1.提供1名具有网络安全相关证书的信息安全工程师,开展驻场服务,负责安全设备管理、分析、巡检,处理日常安全事件、突发事件,要求严格遵守采购方工作时间,工作期间不得从事其他活动,采购方因工作需求加班或要求提供二线技术团队支持的,应满足需求,且不再另外支付加班或二线技术支持费用。
2.院方负责人对运维团队人员进行考核和评价,不符合条件人员,院方有权要求及时更换,如拒绝更换人员的,院方有权中止合同且一切责任由供应商负责。
综上,对以上十九项服务的服务输出物进行总结如下:
|
序号 |
服务内容 |
服务频率 |
输出交付物 |
|
1 |
网站及应用系统安全检测服务 |
每月1次 |
《深圳市龙岗区人民法院XX系统扫描安全报告》 《深圳市龙岗区人民法院XX系统修复日志》 |
|
2 |
主机设备漏洞扫描服务 |
每季度1次 |
《深圳市龙岗区人民法院主机设备漏洞扫描报告》 《深圳市龙岗区人民法院主机漏洞修复报告》 |
|
3 |
渗透测试服务 |
每半年1次 |
《深圳市龙岗区人民法院渗透测试报告》 |
|
4 |
信息系统等级保护测评服务 |
每年1次 |
《网络等级保护测评报告》 《深圳市龙岗区人民法院测评结果通知书》 |
|
5 |
门户网站实时监控服务 |
全年 |
《深圳市龙岗区人民法院在线站点监控服务报告》 |
|
6 |
信息安全检查支持服务 |
按实际所需 |
《深圳市龙岗区人民法院信息安全迎检工作方案》 《深圳市龙岗区人民法院信息安全检查迎检工作计划》 《深圳市龙岗区人民法院信息安全检查迎检工作总结》 |
|
7 |
攻防演练应急值守服务 |
按实际所需 |
《深圳市龙岗区人民法院网络攻防演习防守方案》 《深圳市龙岗区人民法院网络攻防演习总结报告》 |
|
8 |
信息安全培训服务 |
每年1次 |
《深圳市龙岗区人民法院信息安全意识培训计划》 《深圳市龙岗区人民法院信息安全意识培训签到表》 |
|
9 |
应急预案编制及应急演练(含全年应急处置服务) |
每年1次 |
《深圳市龙岗区人民法院信息安全事件应急预案》 《深圳市龙岗区人民法院网络与信息安全应急演练工作方案》 《深圳市龙岗区人民法院网络与信息安全事件应急演练脚本》 《深圳市龙岗区人民法院网络与信息安全事件应急演练工作总结和改进措施》 |
|
10 |
安全预警及漏洞处理 |
按实际所需 |
《深圳市安全预警处置反馈表》 《深圳市龙岗区人民法院信息安全事件应急处理服务报告》 |
|
11 |
网络安全系统及设备运营服务 |
每月1次 |
《深圳市龙岗区人民法院网络安全平台和设备台账》 《XX安全管理系统综合分析报告》 《XX设备月度安全报告》 |
|
12 |
按实际所需 |
《XX设备/系统试运行报告》 《XX设备/系统安全测试报告》 《XX培训计划/签到表》 《XX项目安全设备/系统巡检报告》 |
|
|
13 |
每周1次 |
《XX设备/系统更新日志》 《XX设备/系统安全维护报告》 |
|
|
14 |
按实际所需 |
《安全设备访问控制策略清单》 《网络安全设备巡检报告》 《网络安全设备加固报告》 |
|
|
15 |
安全评估服务 |
每年1次 |
《深圳市龙岗区人民法院信息安全风险评估计划》 《深圳市龙岗区人民法院信息安全风险评估方案》 《深圳市龙岗区人民法院信息安全风险评估工作报告》 |
|
16 |
信息安全管理制度修编服务 |
每年1次 |
《信息安全管理制度汇编》 |
|
17 |
应用系统资产台账管理 及僵尸系统排查 |
全年 |
《应用系统资产台账表》 |
|
18 |
每季度1次 |
《深圳市龙岗区人民法院资产排查报告》 |
|
|
19 |
网络安全工程师驻场服务 |
全年 |
派驻人员应严格遵守采购方工作时间,工作期间不得从事其他活动,采购方因工作需求加班或要求提供二线支持的,应满足需求,并不另外支付加班或二线技术支持费用。 |
四、评分标准
评标方法:综合评分法
|
序号 |
评分项 |
权重 |
||
|
1 |
价格部分 |
16 |
||
|
2 |
技术部分 |
41 |
||
|
|
序号 |
内容 |
权重 |
评分准则 |
|
1 |
实施方案 |
10 |
(一)评审内容: 根据招标文件的需求,制定符合项目特点的实施方案,内容包括但不限于: (1)项目内容分析; (2)技术服务方案; (二)评分标准: 内容包含以上两项要求的,得6分,每缺少一项内容扣3分;在此基础上,对投标人响应情况进行分档评分,最高累计得10分: (1)优评分标准:项目实施方案内容全面,完全涵盖招标文件中的项目服务内容要求,内容针对性强,科学合理,可操作性强,得4分; (2)良评分标准:项目实施方案内容较为全面,涵盖招标文件中的项目服务内容要求,具有针对性,较为科学合理,具有可操作性,得3分; (3)中评分标准:项目实施方案内容较为全面,涵盖招标文件中的项目服务内容要求,得1分; (4)差评分标准:项目实施方案内容不全面,不能涵盖服务内容要求,不得分。如果评审为差,必须要求专家书面说明理由,并记录在档。 |
|
|
2 |
拟安排的项目负责人情况(仅限一人) |
12 |
(一) 评分内容: 考察投标人拟安排的项目负责人要求具备如下条件: (1)具有本科或以上学历毕业证书。 (2)具有信息系统项目管理师(高级)。 (3)具有CISP(Certified Information Security Professional)注册信息安全专业人员资质认证证书。 同时具有上述3个证书得12分;具有上述任意2个证书得8分,具有上述任意1个证书得4分,其它情况不得分。 (二) 评分标准: (1)提供通过投标人缴纳的近三个月(从开标日当月算起)中任意一个月的社保证明作为本单位员工的证明依据【若投标人成立不足1个月的,需提供成立情况说明函(格式自拟),无需提供相关人员社保,亦可算作有效证明;若为退休返聘人员,需提供说明函(格式自拟),无需提供相关人员社保,亦可算作有效证明。】 (2)需提供学历证书及学信网查询记录;学信网无法查询的需提供毕业院校、人社部门等颁发机构或监管机构等单位出具的证明;海外留学人员学历无法通过学信网站查询的,需提供教育部留学服务中心出具的学历学位认证书及教育部留学服务中心官网查询截图。证明材料均提供扫描件,原件备查。 (3)以上证明文件均提供复印件或扫描件(或官方网站截图),原件备查。未按要求提供有效证明材料或提供不清晰导致评委无法识别的不计得分。 |
|
|
|
3 |
信息安全服务技术要求 |
19 |
(一)评审内容: 具体要求详见本公告第二点“信息安全服务技术要求”,一共19项,投标人分项进行响应,并承诺保质保量完成各项技术要求。 (二)评分标准: 分项响应,每满足一项得19分,不能满足则不得分。 并要求对响应情况的真实性提供承诺书,未提供不得分。 |
|
4 |
商务部分 |
38 |
||
|
|
序号 |
内容 |
权重 |
评分准则 |
|
1 |
供应商认证情况 |
16 |
(一)评审内容: (1)投标人具有服务质量达标测评认证证书; (2)投标人具有数据存储安全管理体系认证证书; (3)投标人具有网络空间安全管理体系认证证书; (4)投标人具有CCRC(中国网络安全审查技术与认证中心)信息安全服务资质认证证书(软件安全开发)二级及以上; 上述证书每满足一项得4分,满分16分。 (二)评分标准: (1)提供有效认证证书,如认证证书注明年审要求的,必须按规定年审且证书在有效期内的方为有效;如未注明年审要求的,证书必须在有效期内的方为有效。 (2)以上证明文件均提供复印件或扫描件(或官方网站截图),原件备查。对于未提供证明文件,未提供查询记录且无其他证明材料的,或者提供不清晰导致评委无法判断的,均作不得分处理。 |
|
|
2 |
供应商同类项目业绩情况 |
12 |
(一) 评审内容: 考察投标人自2021年1月1日起至本项目投标截止日(以合同签订时间为准)具有信息化类或网络安全类项目业绩经验。 (二) 评分标准: (1)每提供一个有效合同案例得3分,最高得12分,同一项目续签合同的不可重复得分。 (2)要求提供合同关键信息,包括不限于项目名称、服务内容、合同金额及签订时间等。 (3)通过合同关键信息无法判断是否得分的,还须同时提供能证明得分的其它证明资料,如项目报告或合同甲方出具的证明文件等。 (4)以上证明文件均提供复印件或扫描件,原件备查。未按要求提供有效证明材料或提供不清晰导致评委无法识别的不得分。 |
|
|
3 |
供应商自主知识产权产品(创新、设计)情况 |
10 |
(一) 评审内容: (1)投标人具有数据安全管理系统相关专利或计算机软件著作权登记证书; (2)投标人具有网络安全相关专利或计算机软件著作权登记证书; (二) 评分标准: (1)每提供1个专利或软件著作权登记证书得5分,本项最高得10分,未提供不得分; (2)提供有效的专利或计算机软件著作权登记证书证明材料作为得分依据; (3)以上资料均要求提供扫描件(或官方网站截图),原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况,一律作不得分处理。 |
|
|
5 |
诚信情况 |
5 |
||
|
|
序号 |
内容 |
权重 |
评分准则 |
|
1 |
诚信情况 |
5 |
(一) 评审内容: 投标人提供履约承诺函。承诺内容如下: (1)参与本项目前三年内,在经营活动中必须没有重大违法违规记录,具有良好的商业信誉和服务; (2)参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况; (3)未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。 评分标准: (二) 评分标准: 提供的履约承诺函包含以上全部内容,得5分;缺少任何一项的不得分。 |
|
五、相关事宜
(一)本文件所涉及时间一律为北京时间;
(二)采购人享有最终解释权;
(三)满足三家以上报价,采购人将组织内部评审,评审结果经院长办公会议审议通过后确定成交供应商,并将该结果予以公示(为期三个工作日);
(四)本公告公布之日起至合同签订之日前,采购人可根据实际工作需求或相关财政政策调整或取消本项目采购,由此造成的不便或风险由供应商自行承担。(响应方式:提供承诺书);
(五)违约责任:经采购结果公示后,若供应商未经采购人书面同意,无故放弃中选供应资格或存在其他违反采购诚信行为的,将列入采购人采购黑名单,今后不予接受任何自行采购供应,同时视情况报送相关财政部门,由财政部门根据实际情况记入供应商诚信档案。
六、报名文件的编制
(一)报名文件的构成
1.供应商公司简介、概况及资质证明材料(提供营业执照等相关资质材料复印件,原件备查);
2.供应商法定代表人证明书或授权委托函原件;
3.报价文件;
4.采购报名及履约承诺函;
5.关于近三年内在经营活动中无犯罪记录的书面承诺(如发现承诺不实,将按违反诚信原则处理);
6.其他响应采购需求的材料;
7.供应商认为需要补充说明的内容。
上述文件须按顺序装订成册,并编制报名文件目录,装在封密袋中,并在封口处加盖单位公章。封面上务必注明报名单位全称、联系人、联系电话。
(二)式样和签署
1.正本一份,副本两份。
2.报名文件的正本需由法定代表人或经其正式授权的代表签字并每页加盖单位印章。授权代表须持有书面的《法定代表人授权书》,并将其附在报名文件中。报名文件的副本可采用正本的复印件。
3.任何行间插字、涂改和增删,必须由报名文件签字人用姓或者首字母在旁签字或由报名单位加盖公章才有效。
七、提交报名文件截止日期和地点
(一)报名截止时间:2024年9月6日18时00分
(二)联系人:陈先生,联系电话:0755-28285327
(三)资料提交地址:深圳市龙岗区中心城德政路8号龙岗区人民法院A319室。
深圳市龙岗区人民法院
2024年9月3日
-
上一篇
-
下一篇
