******公安局35个三级信息系统开展等级保护定级备案测评工作,需出具符合主管单位要求的定级测评报告。
二、相关标准:供应商应依据国家等级保护相关标准开展工作,测评过程中主要依据的标准如下:
(1)《信息安全技术网络安全等级保护基本要求》;
(2)《信息安全技术网络安全等级保护测评要求》。
测评过程中还需参考的文件和标准:
(3)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
(4)《信息安全等级保护管理办法》(公通字[2007]43号) ;
(5)《关于信息安全等级保护工作的实施意见》(公通【2004】66号);
(6)关于印发《信息系统安全等级测评报告模版(试行)》的通知(公信安[2009]1487号);
(7)《信息安全技术网络安全等级保护定级指南》(简称《定级指南》)(GB/T 22240-2020);
(8)《信息安全技术网络安全等级保护实施指南》(简称《实施指南》)(GB/T25058-2019);
(9)《信息安全技术网络安全等级保护测评过程指南》(简称《测评过程指南》)(GB/T28449-2018);
(10)《信息安全技术信息安全风险评估方法》(简称《风险评估规范》)(GB/T20984-2022);
(11)《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019);
(12)《计算机信息系统 安全保护等级划分准则》(GB 17859—1999)。
如遇法律法规、标准等对同一问题的处理出现歧义或不一致时,一律就高不就低。遇国家修改标准,自新标准施行之日起采用新标准。
三、技术规格:服务内容
******公安局35个信息系统进行定级测评(等级保护三级)。
1.根据《GB-T_22240-2020 信息安全技术_信息系统安全等级保护定级指南》开展信息系统的定级申报工作。针对被测系统所需要定级的信息系统,分析所属类型、服务范围以及业务对系统的依赖程度,制定细化定级规则,确定系统安全保护等级,完成自定级报告材料;
2.整理信息安全等级保护备案材料,提交主管部门进行等级备案;
3.从信息化建设实践出发,基于《信息系统安全等级保护基本要求》(GB/T22239-2019)的等级保护测评服务,测评内容应包括但不限于以下内容:
(******管理中心等五个方面的安全测评;
(2)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
4.根据信息系统安全等级保护相关要求,对被测系统提出整改意见,在甲方完成整改后,对被测系统进行复测;
5.测评后出具信息系统网络安全保护等级测评报告,并完成测评服务过程中其他的相关工作。
6.测评系统数量为35个,2.5万元/个,总预算为87.5万元,最终结算按实际测评系统数量进行结算。
四、交付时间和地点:(一)服务期限:供应商应在2024年10月20日之前完成对检测范围内的相关系统定级备案和初次测评工作,采购人组织完成整改后,应在3个工作日内对相应系统进行复测,2024年10月31日之前出具符合相关等级保护要求标准和甲方认可的检测报告。
(二)服务地点:采购人指定地点。?
五、服务标准:一、服务原则
1.标准性原则:服务方案的设计与实施应依据国家等级保护的相关标准进行。
2.规范性原则:服务工作过程中的文档规范,便于项目的跟踪和控制。
3.可控性原则:服务工作的进度要严格根据进度表的安排。
4.整体性原则:服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
5.最小影响原则:服务工作对系统和网络的影响必须在可控范围内,不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
二、保密要求
1.对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标方的责任;
2.对涉及采购人的检查项目、资料、检查过程和结果以及采购人的知识产权、所有权等其它信息采取保密措施;
3.在接收采购人的检查项目时,应对检查项目加强监管,防止泄密。信息安全等级保护评测之前必须签订保密协议。所有检查项目,不经采购人同意,不得向与检查无关人员展示;
4.所有检查过程均对外保密,与检查无关人员未经采购人批准,不得擅自进入检查现场;
5.在未经许可的情况下与检查无关的人员不得接触被检查项目及相关资料,不得参与检查和编制检查报告;
6.出具的检查报告应为采购人保密,未经采购人授权,不得将检查报告转交他人,不得擅自公布检查结果;
7.当采购人要求用电话、图文传真或其它方式传送检查结果时,应有采购人正式的书面委托并证实相关通讯方式可靠后方可执行;
8.不得向无关人员泄露任何有关采购人资料和检查结果,检查结果只能通过相关程序及约定的告知方式通知采购人;
9.对接触采购人检查项目、资料及其它相关信息的人员应履行为采购人保护所有权的义务,不得利用采购人的有关知识产权牟利。
三、人员配置要求
供应商须按照采购文件要求配置管理人员、专业技术人员,其中:项目负责人1人:具有等保高级测评师证书;专业技术人员(除项目负责人外)等保高级测评师至少2人(包含2人)。现场实施阶段,以上参与项目测评人员按照监管机构管理规范要求每日进行现场打卡至项目结束。
以上人员须提供相关证书扫描件以及供应商为其缴纳的近3个月的社保证明并加盖供应商公章。
六、验收标准:1、验收时间:项目完成后5日内组织验收。
******财政局《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购〔2024〕5 号)的规定执行。
3.项目验收国家有强制性规定的,按国家规定执行,验收费用由成交(中标)人承担,验收报告作为申请付款的凭证之一。
4.项目验收不合格,由成交人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由成交人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交人承担。
七、其他要求:一、结算方法:
1.付款人:******公安局(国库集中支付)。
2.付款方式:本项目经采购方验收合格后,据实结算。根据审计结论一次性支付结算金额。
注:包括但不限于付款方式、付款条件等所有涉及财务的内容,如最终支付的金额应当以审计的结果为准。
二、其他要求
根据******公安局信息化项目供应商背景审查工作规定的通知》的规定,采购人将在评标结束后对中标候选人前三名进行背景审查******公安局信息化建设项目。中标候选人前三名委派的项目负责人、核心技术人员审查不合格的,应更换成合格的人员。关联审查不合格的,不得开展相关交易。
2、根据长公警发【2022】10号文相关规定,供应商在提交响应文件前,应同时提交背景审查资料,相关要求详见附件。提交的背景审查资料应装袋密封单独交与招标代理机构,委托代理人签字的需提供相应的授权书。未提供背景审查资料视为无效投标。
三、其它需要说明的事项
1.服务响应要求:成交供应商需具备及时响应能力,签订后根据采购人安排的日期时间进场测评,出具整改报告协助完成系统建设整改。同时如发生故障,在得到采购人通知后,能及时响应并协助处理。
2.本项目采用项目包干服务,成交供应商应根据项目要求和现场情况,详细列明项目所需的设备、材料以及所有人工、管理、财务等所有费用。如成交后,在项目实施中出现任何遗漏,均由成交供应商负责提供,采购人不再支付任何费用。
3.因成交供应商服务人员在合同期内出现安全事故、工伤或职业病事故、违法犯罪、各类纠纷等情形给采购人造成损失的,成交供应商还应承担违约和赔偿责任。关于违约金的支付或者赔偿责任的承担,采购人有权从合同款中扣除相关金额,应付款不足以扣除的成交供应商应当予以补足。
4.成交供应商应负责其工作人员的社会保险和意外伤害险的购买及手续办理,如在服务过程中出现包括但不限于人员伤亡、财产损失、安全事故、意外事故等事件均由成交供应商承担相关责任和费用,不得以任何理由向采购人提出索赔要求。
5.成交供应商在履行本合同过程中触及和知晓包括但不限于有关采购人的人员信息、设备、网络情况、业务程序及方式、管理的方法制度和专有技术等,无论此种信息的形式和目的为何,均为采购人的保密信息,成交供应商负有保密义务。
6.未经采购人书面同意,成交供应商不得复制、记录或以其他方式泄露上述信息。成交供应商承诺在合同期内及合同期满后,不向任何个人、组织和公司透露。
7.成交供应商应当与所有参与服务人员签订保密协议,严格约束其履行保密协议,保证不发生失密、泄密事件。因成交供应商原因违反国家法律和相关规定,发生失密、泄密行为时,成交供应商应当承担全部法律责任,给采购人造成损失的,成交供应商应当承担赔偿责任并按保密协议要求赔偿违约金等。成交供应商在服务过程中接触到的涉及国家机密、警务秘密、案件信息、公民个人信息等资料,均应当履行保密任务。因成交供应商原因发生失密、泄密情形时,成交供应商应当承担全部责任。
8.争议的解决
************法院。
9.为了确保供应商在过往的业务活动中没有出现严重的违规或不符合相关要求的情况,供应商须提供《参加采购活动前三年内在经营活动中没有重大违法记录的书面声明》并加盖供应商公章(格式自拟)。
采购需求仅供参考,相关内容以采购文件为准。