北京交通运输职业学院(以下简称采购人)根据学院年度网络安全等级保护备案及测评工作规划,需对已定级备案系统进行复测,对新系统进行定级备案和测评,需遴选有资质的服务企业提供技术服务。现遴选意向服务方,欢迎具有相应能力的合格服务商前来报名,具体事宜如下:
一、基本情况
1. 项目名称:2025年网络安全等保备案复测及新增备案服务项目
2. 采购人名称:北京交通运输职业学院
3. 采购人地址:北京市大兴区滨河街18号院
4. 采购预算控制价格:29.38万元
5. 资金来源:财政资金
6. 采购方式:比选
二、采购需求
依据《中华人民共和国网络安全法》等法律法规要求,学院现有“北京交通运输职业学院网站群”、“北京交通运输职业学院应用系统平台”两个等保二级备案,同时目前新增《宿舍能源缴费》,《统一身份认证系统》两个应用系统,需对上述的系统开展等级保护测评任务,同时对新增系统进行定级备案,全面提高北京交通运输职业学院信息安全防护能力,保障重要信息系统安全,满足其高效安全稳定运行的需求。
1
2
2.1测评范围
本次测评项目包括如下4个应用系统,中标人应分别对各应用系统开展等级保护测评。
序号 |
项目名称 |
应用系统名称 |
备注 |
1 |
2025年网络安全等保备案复测及新增备案服务项目 |
北京交通运输职业学院网站群系统 |
复测 |
2 |
北京交通运输职业学院应用系统平台系统 |
复测 |
3 |
北京交通运输职业学院身份认证系统 |
初测 |
4 |
北京交通运输职业学院能源管理系统 |
初测 |
2.2测评原则
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究测评公司的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准,确保测评结果的准确性和可比性。
规范性原则:测评工作中的过程和文档应具有规范性,便于项目的跟踪和控制。
可控性原则:测评服务的进度要符合投标时的时间安排,保证招标人对于测评工作的可控性。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内,确保测评工作不会对现有信息系统的正常运行、业务的正常开展产生任何影响。
客观性原则:测评结果应客观、公正地反映被测评系统的实际安全状况,不受任何主观因素或外部压力的影响,确保测评结果的准确性和可信度。
2.3遵循的主要标准
遵循的主要标准包括以下,如本项目需求引用的标准有更新的,则中标方应按最新的标准执行。
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019);
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019);
《信息安全技术 网络安全等级保护测试评估技术指南》(GB∕T 36627-2018)
《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019);
《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
《信息系统等级保护等级定级指南》(GB/T 22240-2020);
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018);
《信息安全等级保护管理办法》(公通字[2007]43号)。
2.4测评服务内容
(一)服务范围
测评主要为北京交通运输职业学院重要应用系统网络安全等级保护测评项目所涉及的物理环境、网络设备、安全设备、操作系统、数据库、中间件、应用系统、安全管理制度、操作管理流程等进行合规性检查,具体如下:
通过访谈、现场检查、漏洞扫描、渗透验证等方式,全面查找信息系统存在的安全隐患;
检查所涉及的网络设备、主机服务器、数据库、中间件、应用软件等设备安全基线配置是否达到国家标准要求;
审核信息系统业务管理流程、操作规程、管理制度是否存在管理缺陷。
对北京交通运输职业学院重要应用系统提供配套安全服务,周期性提供服务保障,协助对上级单位的检查提供现场支持服务。
(二)服务内容
1.系统定级
依据《信息系统安全保护等级定级指南》所提出的确定信息系统安全保护等级的步骤和方法,在信息系统业务安全性分析的基础上,提出等级建议,协助采购人进行新系统定级。
2.等级备案
根据公安部等级保护相关备案要求,协助采购人完成等级保护备案工作,直至获得信息系统安全等级保护备案证明。
3.现场测评
现场测评前需提交项目《实施方案》,方案内容包括但不限于:测评内容、测评步骤、测评方法、项目重点分析等。
4.协助整改
根据差距测评结果给出整改建议,协助测评信息系统整改。
5.安全测试
对上述信息系统进行弱密码检测、操作系统漏洞检测、数据库漏洞检测、中间件漏洞检测等,并提供输出“信息系统漏洞扫描报告”(含整改意见)。
对上述信息系统网络中的重要网络设备,包括服务器、网络设备、安全设备等进行非破坏性质的模拟黑客攻击,完成渗透测试工作,并输出“渗透测试报告”(含整改意见)。
6.配置核查服务
本项目自合同签署有效期一年内提供不少于4次基线配置核查工作,并出具基线配置核查报告。
7.安全自查协助服务
本项目自合同签署有效期一年内提供所有等保系统的等保自查工作,包括协助资料整理、自查报告编写、自查材料申报等。
8.现场支撑服务
本项目自合同签署有效期一年内提供针对监管单位(网安、网信、交通委等)现场临检服务,派遣工程师现场服务。
9.交付成果要求
每个应用系统单独测评,每个应用系统项目成果包括但不少于下列文档(纸板和电子版):
服务名称 |
交付物名称 |
数量 |
网络安全等保备案复测及新增备案服务 |
(1) 《信息系统网络安全等级保护备案证明》 (2) 《信息系统网络安全等级保护差距分析报告》 (3) 《信息系统漏洞扫描检测报告》 (4) 《数据安全网络扫描报告》 (5) 《web安全监测报告》 (6) 《信息系统渗透测试检测报告》 (7) 《信息系统配置核查报告》 (8) 《信息系统网络安全等级保护测评报告》 |
1套 |
注:测评工作及交付的成果必须符合2025年4月27日,公安部发布公网安〔2025〕1846号文件的要求。
三、合格服务商的资格要求
1. 在中华人民共和国境内注册的、具有独立承担民事责任的能力的服务商;
2. 有依法缴纳税收和社会保障资金的良好记录;
3. 近三年内,在经营活动中没有重大违法记录;
4. 通过“信用中国”网站(www.creditchina.gov.cn)查询信用记录(截止时点为公告截止时间),未被列入失信被执行人、重大税收违法案件当事人名单的服务商;
5. 符合《网络安全等级保护测评机构管理办法》要求;
6. 服务企业须为小微企业;
7. 本项目不接受联合体投标。
注:须对以上要求作出响应,加盖公章。若缺少一条,则按废标项处理。
四、报名资料内容及格式要求
1. 报价清单(见附件1);
2. 有效期内的营业执照等企业资质;
3. 依法缴纳税收和社会保障资金的证明;
4. 参加本次比选活动前三年内,在经营活动中没有重大违法记录的声明;
5. 通过“信用中国”网站查询信用记录(截止时点为公告截止时间)截图;
6. 提供公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》证书;
7. 提供是小微企业的声明函;
8. 提供不是联合体参与投标的声明函;
9. 服务商法人代表授权书及其被授权人的身份证复印件;
10. 资信证明复印件或审计报告;
11. 对本项目需求的理解、技术服务方案、服务团队情况、实施文档交付方案、保密方案及服务承诺、项目实施与组织管理、售后方案及服务响应承诺等;
12. 邀请文件要求的其它文件及服务商认为有必要提供的其它文件;
13. 阳光工程承诺书(见附件2,单独成册)。
上述材料复印件均须加盖单位公章。
封装要求:参加报价文件正本1份,副本2份,并标明“正本”“副本”字样;电子版1份,其中包含word版+盖章扫描后的PDF版本各一份,可单独密封包装也可与纸质版一起封装。
投标材料采用邮寄方式(邮寄封面上需注明“2025年等级保护备案及测评服务项目”,单位及其公章、日期)地址:北京市大兴区滨河街18号北京交通运输职业学院,邮编102618联系人:黄老师,电话13366276558
资料文件报送截止时间:2025年5月23日下午16:00前。
五、评价标准
序号 |
评分内容 |
分值 |
评分标准 |
1 |
价格 |
10 |
服务商报价得分的计算采用低价优先法,按如下公式进行计算: 报价得分=(评标基准价/投标报价)×10;评标基准价为报价最低价。 |
2 |
业绩 |
15 |
服务商具有的类似测评业绩,每有一个得3分,本项最高得15分。其中: 类似测评业绩指对于硬件设备以及软件设备建设项目进行等保测评。 上述业绩文件签署时间须为自2022年1月1日至投标截止日。 注:须同时提供合同复印件作为有效证明材料,合同复印件至少包括合同首页、内容页以及盖章页。未附有效证明材料或不满足上述要求的业绩将不予认可。 |
3 |
投标方资质证书 |
8 |
具有ISO14001 环境管理体系认证证书、ISO45001 职业健康安全管理体系认证证书、ISO27001 信息安全管理体系认证证书、ISO20000 信息技术服务管理体系认证证书,每具有一项证书得2 分,最多得8分。(覆盖范围须至少包含:信息系统测评服务、信息系统咨询服务、信息系统运行维护管理咨询服务); |
4 |
测评方案 |
测评技术服务方案 10 |
1、方案内容全面、合理,可行,符合采购人实际需求得7-10分; 2、方案内容较全面,可行性和合理性满足基本要求的得3-6分; 3、方案内容简略,描述有明显缺陷的得1-2分; 4、方案未提供不得分。 |
实施组织计划 10 |
1、计划时间安排合理,符合采购人实际需求,执行力强的得7-10分; 2、计划安排不够合理详细,执行能力一般的得3-6分; 3、计划安排简单,未能符合当前具体情况,执行力较差的得2分; 4、未提供不得分。 |
质量保证措施 10 |
1、措施内容全面,在此次测评报告有效期内(二级系统两年),可随时响应用户服务需求的且提供服务保证承诺书的得7-10分; 2、措施描述不够详实,但基本能满足服务需求的得3-6分; 3、措施过于简略,服务保证内容有明显缺失的得1-2分; 4、未提供不得分。 |
5 |
安全测试服务 |
4 |
提供网络安全漏洞扫描服务,能够提供主机和web扫描报告,为保证服务质量,需提供最新漏洞库授权信息截图,满足以上内容得 4分,未按要求提供不得分。 |
4 |
提供数据安全网络扫描服务,能够对服务器目录、FTP服务器、数据库、文件共享服务器等全部内容进行扫描的,提供全部4种以上扫描功能截图的得4分,未按要求提供不得分。 |
12 |
提供Web安全监测服务,服务内容至少包括智能POST控制、业务系统保持在线、实时监测和分析网络流量、外链监测,坏链监测,敏感信息监测功能。 注:提供服务内容中包含上述6种功能的证明材料,每项得2分,共计12分;未按要求提供不得分。 |
6 |
保密方案承诺 |
5 |
根据服务商提供的保密方案承诺进行评分。对本项目提供严格的保密措施,承诺对承担的工作内容、工作性质和工作要求等控制知情范围,不对外公开,保密措施严谨规范,内容全面且可行,全程和后续服务保障体系完善合理,承诺全面,具有可行性得,综合比较,得分范围0-5分。 |
7 |
团队组织人员 |
5 |
项目经理1人,具有网络安全等级测评师证书(高级)、工业和信息部教育与考试中心颁发的高级软件测试工程师证书、工业和信息部教育与考试中心颁发的高级数据库管理工程师证书、检验机构认可内审员证书、实验室认可内审员证书,全部具备得5分,未完全具备的得1分,不具备不得分。 注:须提供相关证书(复印件加盖公章)及近3个月内任1月在投标单位的社保证明影印件,未按要求提供不得分。 |
8 |
3 |
配备技术负责人1人,需具有网络安全等级测评师证书(高级)、注册信息安全专业人员(CISE)、软件测试工程师资质,技术负责人每具备一项得1分,本项最高3分。 注:须提供相关证书(复印件加盖公章)及近3个月内任1月在投标单位的社保证明影印件,未按要求提供不得分。 |
9 |
4 |
配备多名团队人员,需具有网络安全等级测评师证书,每有一人具备的得1分,本项最高得4分。 注:须提供相关证书(复印件加盖公章)及近3个月内任1月在投标单位的社保证明影印件,未按要求提供不得分。 |
总计 |
100 |
六、
本邀请函由北京交通运输职业学院信息中心负责解释
北京交通运输职业学院
2025年5月19日
附件1报价清单表
候选人名称:_______ ____
项目名称:________ ____ ___
报价单位:人民币元
序号 |
服务内容 |
数量 |
报价摘要 |
报价 |
1 |
2025年网络安全等保备案复测及新增备案服务 |
|
|
|
候选人授权代表签字 候选人(盖章):
注:1.如果按单价计算的结果与总价不一致,以单价为准修正总价。
2.如果不提供详细分项报价将视为没有实质性响应招标文件。
3.该分项报价为签订合同和结算时的重要依据,请仔细核对。
4.如果不考虑项目实际需求而恶意竞争报价,则取消其资格。
附件2 关于项目供应方参加北京交通运输职业学院“阳光项目工程”建设的承诺书
项目名称:
接受邀请单位名称:
法定代表人签名(或盖章):
法定代表人的委托人签名:
我公司郑重承诺:自 年 月 日接受邀请起,至该项目实施验收结束(未中标单位至接收到落选结果通知止),我公司将严格遵守《中华人民共和国政府采购法》和《中华人民共和国政府采购法实施条例》的规定,自觉参加北京交通运输职业学院“阳光项目工程”建设,不从事任何违法行为。特别是:
一、对采购方任何人员不提供任何回扣和服务;不组织宴请、旅游、健身、娱乐或进入私人会所等活动;不赠送任何礼品、现金、有价证券(卡)、贵重物品和好处费、感谢费等;不报销应当由其单位或个人承担的费用;不为其个人及其亲属装修住房、婚丧嫁娶、配偶、子女的工作安排以及出国(境)、旅游、消费、娱乐等提供方便和交通、资金等支持。
二、不接受采购方人员及其配偶、子女、亲属介绍或参与同该项目合同内外有关的设备、材料工程分包、劳务等经济活动。
三、如有违反上述内容的任何行为,我方依法接受任何处理;涉嫌犯罪的,主动接受司法机关的刑事责任追究;给采购方造成经济损失的予以赔偿。
签订人(盖单位公章):
签订时间: 年 月 日
