溯源管理平台与生产管理系统升级改造建设项目安全等级保.docx

1、溯源管理平台与生产管理系统升级改造建设项目安全等级保广州市农产品质量安全溯源管理平台与生产管理系统升级改造建设项目安全等级保护测评服务需求一、资格要求（一）符合政府采购法第二十二条所规定的条件；分公司投标的，必须由具有法人资格的总公司授权。（二）本项目不接受联合体投标。二、工期要求本项目安全等级保护测评服务期自双方合同签订后直至用户系统通过等保测评为止。 三、项目背景广州市蔬菜产地质量安全追溯系统推广应用项目于2012年10月立项，2015年11月底完成了软件项目的初验，2016年完成了信息安全测评、第三方测评，于2016年10月28日通过终验。项目建立了广州市基础空间数据库、产地环境数据库、

2、专题空间数据库、标识标签数据库、蔬菜生产档案数据库、产地与专业合作村数据库、检测数据数据库等7个数据库。本期项目通过对广州市农产品质量安全溯源管理平台和广州市农产品质量安全生产管理系统进行升级改造，基本实现植物性农产品在生产源头的精细化管理，使农产品质量具备较强的可追溯性。实现“生产有记录、流向可追踪、信息可查询、质量可追溯”的农产品质量追溯管理新模式。广州市农产品质量安全溯源管理平台与生产管理系统升级改造建设项目将于2019年启动建设，对原系统进行升级改造,并将迁移到市电子政务云平台进行部署,为使升级改造后的系统符合等保要求,需要相关有资质的单位开展等级保护测评工作。四、项目要求（一）等级保

3、护工作目标按照网络安全法、信息安全等级保护测评的要求，对广州市农产品质量安全溯源管理平台与生产管理系统作安全状况测试，找出差距并进行安全整改与验收，使系统信息安全在技术和管理上达到二级等级保护的要求，达成以下目标：1、完成广州市农产品质量安全溯源管理平台与生产管理系统安全等级保护定级备案工作，编制安全等级保护定级报告及备案资料，并协助取得信息安全等级保护主管部门出具的信息系统等级保护备案证；2、完成广州市农产品质量安全溯源管理平台与生产管理系统安全等级保护差距测评服务，根据测评结果出具差距测评报告，提交安全整改方案；3、根据安全整改结果，完成验收测评并提交符合信息安全等级保护主管部门要求的验收

4、测评报告，通过信息安全等级保护主管部门的最终测评验收。（二）等级保护测评要求2.1项目测评内容要求为了保证受测方的信息系统能够成功通过公安机关的备案与检查，差距测评应与验收测评采用完全一致的信息安全等级保护测评相关标准。具体测评内容要求如下：信息系统安全等级保护测评应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统安全、

5、应用安全和数据安全五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关。在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。综合测评总结需在安全控制测评和系统整体测评两个方面的内容基础上进行，由此获得信息系统对应安全等级保护级别的符

6、合性结论。2.2测评方法1、工具测试利用技术工具（包括但不限于漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试、性能测试等。2、配置检查利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。3、人员访谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息

7、系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。4、文档审查检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。5、实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。2.3 项目成果要求项目的实施提交成果包括： 信息系统安全等级保护

8、定级备案资料 信息系统安全等级保护差距测评报告 信息系统安全等级保护验收测评报告 （二）评测风险及项目风险3.1风险规避必须充分考虑各种可能的影响及其危害并准备好相应的应对措施，减小对目标系统正常运行的干扰，从而减小损失风险。具备对测评过程中可能存在的风险与控制措施。内容可能存在的风险等级控制措施信息资产调研资产信息泄漏高合同、协议、规章、制度、法律、法规安全管理测评安全管理信息泄漏高合同、协议、规章、制度、法律、法规网络设备测评/安全设备测评误操作引起设备崩溃或数据丢失、损坏高规范审计流程；严格选择测评师；受测进行全程监控；制定可能的恢复计划网络/安全设备资源占用低避开业务高峰；控制扫描策略

9、（线程数量、强度）漏洞扫描网络流量低避开业务高峰；控制扫描策略（线程数量、强度）主机资源占用低避开业务高峰；控制扫描策略（线程数量、强度）控制台审计误操作引起系统崩溃或数据丢失、损坏高规范审计流程；严格选择测评师；受测方进行全程监控；制定可能的恢复计划；网络流量和主机资源占用低避开业务高峰应用测评产生非法数据，致使系统不能正常工作中做好系统备份和恢复措施异常输入（畸形数据、极限测试）导致系统崩溃高做好系统备份和恢复措施3.2保密管理为了保障受测方的信息安全，通过如下控制措施，加强安全保密工作。3.2.1保密责任书检测方需与受测方签订保密责任书，同时检测方需确保所有参与项目的人员均与检测方签订保

10、密责任书。3.2.2现场安全保密管理测评过程中，如有安全保密确有需要，项目中检测方使用的笔记本可由受测方提供，并且仅限于在受测方的工作环境内使用和保管，未经受测方允许严禁私自带出。在受测方办公环境中，除受测方提供或允许的U盘外，严禁出现其他存储介质。3.2.3文档安全保密管理对需要受测方提供的文档资料，检测方提交文档调用单给受测方，文档调用单上的“借出部分”须明确文档类别、文档内容、文档申请人员、文档使用人员、调用时间。文档资料未经甲方允许严禁带出现场，统一保管在受测方指定的文件柜里，使用完后检测方返还给受测方，并填写文档调用单上“交回部分”的交回人员、交回时间。对于电子文档，所有传递须通过受

11、测方提供或允许的U盘，保存在文档申请人员、文档使用人员的笔记本电脑上，笔记本电脑须设高安全级别口令或其他加密措施。所有输出文档的非正式稿打印件和相关材料，均须现场粉碎处理。3.2.4离场安全保密管理现场测评离场时，如果笔记本电脑为受测方提供，则笔记本电脑须交回受测方。同时检查所有存储介质是否存储非测评需要的电子文档。3.2.5其他情况说明遇到未列明的涉及保密方面的其他情况，检测机构及被检单位需要就个案单独洽谈，由双方项目负责人签字确认。四、评标方案（一）本项目采用综合评分法（二）中标依据：在不高于最高限价的前提下，综合评估分最高的为中标候选人。（三）技术部分响应性评定1.由评标委员会对所有投标

12、文件的技术部分的响应进行审核和分析；2.评委独立进行评分，填写“技术部分响应评分表”。3.将每一个评委的评分汇集，得出该投标人的技术得分。（四）商务部分响应性评估1.由评标委员会对所有投标文件的商务部分的响应进行审核和分析；2.评委独立进行评分，填写“商务部分响应评分表”；3.将每一个评委的评分汇集，得出该投标人的商务得分。（五）价格响应性评估1.由评标委员会对所有投标文件的价格部分的响应进行审核和分析。2.基准价格分：以有效投标人报价中价格最低的投标报价为基准价，定其基准价格分为20分。3.投标人的价格得分=（评标基准价 / 投标人报价）20（精确到小数点后两位）分。由此算出每个投标人的“价

13、格得分”。4.评委检查每个投标人的价格评分计算情况，确认“价格得分”。（六）综合评估综合评估分的计算和排序综合评估分中各评估因素所占权重（见下表）评估因素技术商务价格评估权重4040201.综合评估分（精确到小数点后两位）=技术得分+商务得分+价格得分；2.将综合评估分从高到低排序，得分相同的，按投标报价由低到高顺序排列。得分且投标报价相同的，按技术得分高低顺序排列；3.评标委员会按排名顺序推荐前两名为中标候选人。若排名第一的中标候选人放弃中标或被取消中标资格，采购人可顺选排名第二的为中标候选人。若排名第二中标候选人的报价高于排名第一的中标候选人报价20（含）以上的，评标委员会只推荐排名第一的

14、投标人为中标候选人。技术部分响应评分表投标人: 评分合计: 评委签字： 序号评审项目评分细则分值1对项目背景、现状及总体需求的理解情况评分等次及文字评价（按评估等级计算得分；优：6-5分；良：4-3分；合格：2-1分；不合格0分）6分2测评工具、功能响应情况评分等次及文字评价（按评估等级计算得分；优：4-3分；良：2分；合格：1分；不合格0分）4分3定级备案响应情况评分等次及文字评价（按评估等级计算得分；优：4-3分；良：2分；合格：1分；不合格0分）4分4等保测评响应情况评分等次及文字评价（按评估等级计算得分；优：6-5分；良：4-3分；合格：2-1分；不合格0分）6分5风险防范提供措施提供

15、情况评分等次及文字评价（按评估等级计算得分；优：6-5分；良：4-3分；合格：2-1分；不合格0分）6分6项目实施方案评分等次及文字评价（按评估等级计算得分；优：4-3分；良：2分；合格：1分；不合格0分）4分7等保安全应急方案评分等次及文字评价（按评估等级计算得分；优：6-5分；良：4-3分；合格：2-1分；不合格0分）6分8安全服务方案（考察投标人安全服务方案的完整性、合理性、可操作性）评分等次及文字评价（按评估等级计算得分；优：4-3分；良：2分；合格：1分；不合格0分）4分商务部分响应评分表投标人: 评分合计: 评委签字： 序号评审项目评审细则分值1整体响应情况各投标人投标文件对磋商文

16、件各条款的响应程度横向对比：优：5分；良：3分；中：1分；差：0分。52综合实力根据投标人所投入本项目的员工，需具有公安部颁发的信息安全等级保护测评师资质，最高得10分：1、具有信息安全等级保护初级测评师资质的，每个0.5分，最高2分；2、具有信息安全等级保护中级测评师资质的，每个0.5分，最高3分；3、具有信息安全等级保护高级测评师资质的，每个1分，最高5分。提供上述资料要求提供员工的信息安全等级保护测评资质证书复印件，以及员工为投标人服务的证明材料（以中国信息安全等级保护网（）公布的信息安全等级保护测评师目录截图为准），加盖投标人公章，不提供的本项不得分。10投标人除上述资质外，还具备信息

17、安全管理体系认证证书ISO27001的，得2分；具备高新技术企业证书，得2分；同时具备的，得5分。53信用报告供应商获得中国企业信用等级（按国家标准分三等九级制）评定AAA等级得5分，AA等级得3分,A等级得1分，其它不得分。（注：以提供由人民银行或合法的第三方信用服务机构出具的信用记录或信用报告为准；信用报告必须由合法第三方信用服务机构出具（投标文件中提供复印件加盖公章，投标截止时间前提交原件核查），供应商须附上该信用机构在法律法规规定的监管部门或行业主管部门（中国人民银行等部门）进行备案的相关证明资料，投标文件中提供相关复印件加盖公章）54投标人拟派项目负责人的经验及资质能力水平情况项目负

18、责人具备信息安全等级保护高级测评师证书的，得2分；具备CISP（国家注册信息安全专业人员）证书的，得2分；具备PMP（项目管理专业人士）资格证书的，得2分；同时具备的，得7分。注：1）必须提供有效证书复印件并加盖公章75业绩投标人2015年以来参与过同类安全技术服务项目，每个项目得0.5分，满分5分。注：提供合同关键页复印件并加盖公章，以签订合同时间为准；投标时提供原件核查，不提供原件不得分。56荣誉获得国家级等级保护测评先进单位表彰，得3分；省级先进单位表彰，得2分，其余情况不得分。3合计40价格部分响应评分表投标人: 评分合计: 评委签字： 评分项目评分标准投标总价投标报价得分=(评标基准价/投标报价) 20价格分计算方法：满足招标文件要求（通过资格性审查及符合性审查）且投标价格最低的投标报价（小型，微型企业按折后价格为准）为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分=(评标基准价投标报价)价格分值。