Contract
xx酒店集团等保安全服务招标需求
一、 投标人资格条件
1. 投标人需具有独立法人资格、具备独立承担民事责任能力的专业企业。在中国大陆设有稳定的办公室,具有履行合同所必需的服务能力、执行能力和专业团队。
2. 投标人必须具备有效的质量管理体系认证合格证书和CCRC 信息安全风险评估服务资质,如有国家信息安全测评信息安全服务资质证书(风险评估)或信息安全服务资质认证证书-信息系统安全集成证书也可提供,以上证书必须在有效期内且提供加盖公章的证书复印件。
3. 咨询工程师需要有人力资源和社会保障部职业技能鉴定中心颁发的“计算机信息xx技术信息安全防护高级”证书,或持有中关村信息安全测评联盟颁发的国家重要信息系统保护人员资质,有效的CISAW《信息安全保障人员认证证书》或 CISP《注册信息安全专业人员证书》或CISSP《信息系统安全专业认证》以上其中的两种以上证书。
4. 投标人须具备在中大型连锁酒店企业实施过 2 个以上(含 2 个)相关等保安全服务项目,并提供相关证明(合同复印件或客户证明)。
5. 投标人中选后,签订合同前须提供合作的测评机构开具的有效授权文件,合作的测评机构应具有良好的资信条件,近三年无被监管单位处罚记录。提供合作的测评机构授权及无被监管单位处罚的承诺函。
6. 测评机构具有网络安全等级保护测评机构证书,并可正常开展等级测评业务。
7. 投标人在近三年中无行贿犯罪记录。【注:请在报价文件中提供《中国裁判文书网》的查询结果截屏(按“行贿”+“单位名称查询”)。评审时以评标小组在上述网页的复核查询结果为准】
8. 自2017 年1 月1 日至报价截止日,投标人未被“信用中国”网站(xxx.xxxxxxxxxxx.xxx.xx)列入失信惩戒对象、重点关注名单、失信被执行人、重大税收违法案件当事人名单或政府 采购严重违法失信名单。【注:请在报价文件中提供全部的查询截屏,评审时以评标小组 在上述网页的复核查询结果为准】
9. 近年来有较好业绩且无不良商业行为;
10. 具有良好的商业信誉和健全的财务会计制度;
11. 有依法缴纳税收和社会保障资金的良好记录;
12. 具有履行合同所必需的设备和专业技术能力;
13. 能够提前与我方签署保密协议,并且不违犯竞业协议;
14. 业内口碑良好,无业绩污点(如经常发生法务纠纷等)。
二、 项目范围
服务内容范围:
2023 年度xx酒店集团计算机等级保护咨询和测评服务
1.本项目服务内容请见以下:咨询服务内容:
⮚ 基于各信息系统问题汇总和差距分析,综合考虑现有的网络结构、设备部署、业务系统、服务范围、用户群体、管理机构等,提出整改指导意见,提供驻场辅导服务协助完成等保测评工作。
⮚ 现场调研:通过现场调研的方式来全面了解系统的基本情况,如数量、类别、名称、承载业务、服务范围、用户数量、部署方式等。确定定级对象、确定受侵害的客体、客体被侵害程度、信息系统定级、定级报告编制。
⮚ 定级备案:按照等级保护相关标准为信息系统提供系统定级指导,将协助我司填写《信息系统安全等级保护备案表》,帮助我司在公安部门进行备案。
⮚ 安全管理整改:从安全管理制度、安全组织、人员管理、系统建设管理和系统运维管理五个方面协助信息系统对不合规的管理流程进行整改,对缺少的文档进行完善补充。
⮚ 正式测评及辅助测评:需协助准备测评文档,测评申请书,讲解材料,辅助我司通过等保测评。协同服务接收方向网安部门报备测评结果。
⮚ 每周提供一次行业信息安全周报:关注安全技术的发展和新的漏洞出现,根据公司信息系统的信息资产情况在第一时间提供相应的安全信息通告,提醒公司及时做好安全防范,提高公司的安全防范意识。一般定期安全周报每周一次,比如勒索病毒、微软漏洞等重大安全事件或相关漏洞信息发布时,直接通过电话、短信或邮件为管理人员提供相关的信息通告。
⮚ 网络安全咨询:为企业提供为期一年的网络安全咨询服务,包括但不限于,网络安全政策法律法规解读,网络安全事件分析,应急响应咨询及重大保障期间咨询服务,企业整体网络安全咨询和网络安全设备部署指导等。
⮚ 咨询服务内容:由具备建设资质的建设机构提供等级保护咨询服务,包括:1.定级备案咨询。2.系统梳理调研。3.安全风险评估(含渗透测试、漏洞扫描等)。4.提供安全加固咨询与差距性分析、整改建设方案等内容。
⮚ 咨询服务提交的验收交付物包括以下主要内容:(对应系统数量)
✓ 信息系统定级备案材料(提交公安机关)
✓ 信息系统基础环境调查表
✓ 预测评材料及《差距性分析》
✓ 《风险评估(包含渗透测试、漏洞扫描)》
✓ 《安全建设整改方案》
✓ 整改全过程材料和记录
✓ 安全管理制度文档补充
测评服务内容:
⮚ 本次项目招标测评服务内容基于网络安全等级保护制度 2.0 已正式实施,根据《网络安全等级保护条例》要求,网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全。
⮚ 通过开展等保项目,将落实等保 2.0 要求,并将相关要求作为系统安全建设和整改工作的依据,发现差距、建立基线、完善网络系统安全管理体系和技术防护体系。
⮚ 完成企业各系统定级备案,协助我司对新建系统和已建但未定级系统的安全保护等级进行初步确认,给出定级建议。对系统定级报告和备案表进行审核,协助完成第二级(含)以上系统的等级保护备案工作。并协助未定级的系统,提出相关网络安全建议。
⮚ 完成企业各系统等级保护测评,测评过程应按照国家等级保护的相关政策和标准进行,主要依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)和《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019),对我司系统开展等级保护测评工作。测评内容包括:
技术方面:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;管理方面:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理;
扩展要求:云计算安全扩展要求、移动互联安全扩展要求、物联网扩展要求、工业控制扩展要求。
⮚ 在实施现场测评时,应对于测评人员、测评工具和测评过程严格要求,有效规避等级保护
测评工作中的风险。
⮚ 测评工作结束后,出具网络安全等级测评报告,并对测评中发现的问题提出可行的改进建议与措施,协助我司对相关系统问题进行整改,整改完成后开展复测,获取备案证明。
⮚ 测评服务内容:由具备测评资质的测评机构进行正式的等级测评,为所属单位完成三级信息系统的测评工作。
⮚ 测评服务提交的验收交付物包括以下主要内容:(对应系统数量)
✓ 《网络安全等级测评报告》
✓ 《信息系统等级保护备案证明》
测评应满足的原则
⮚ 标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
序号 | 执行标准 |
1 | 《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令) |
2 | 《信息安全等级保护管理办法》(公通字[2007]43 号) |
3 | 《计算机信息系统安全保护等级划分准则》(GB17859—1999) |
4 | 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239--2008) |
5 | 《信息安全技术信息系统安全等级保护测评要求》(国标报批稿) |
6 | 《信息安全技术信息系统安全等级保护测评过程指南》(国标报批稿) |
7 | 《信息安全技术信息系统安全等级保护实施指南》(国标报批稿) |
8 | 《信息系统安全等级测评报告模板(试行)》(公信安[2009]1487 号) |
9 | 《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006) |
10 | 《信息安全技术网络基础安全技术要求》(GB/T20270-2006) |
11 | 《信息安全技术操作系统安全技术要求》(GB/T20272-2006) |
12 | 《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006) |
13 | 《信息安全技术服务器技术要求》(GB/T21028-2007) |
14 | 《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006) |
⮚ 规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
⮚ 可控性原则:测评服务的进度要跟上进度表的安排,保证投标人对于测评工作的可控性。
⮚ 整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
⮚ 最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
⚫ 项目要求
⮚ 本次项目计划于发出中选通知书之日起,30 个工作日内完成等级保护定级备案和初测工作,与招标人签订咨询合同,并协助测评招标人出具整改实施方案。60 个工作日内与测评单位一同完成等级保护建设复测和终测工作,80 个工作日内获取等级保护备案证明。
⮚ 投标人需按照项目计划按期保质完成项目进度,如有困难出现延后情况应及时告知招标人并说明原因及解决办法,通过投标人批准。投标人为招标人制定的制度、培训、隐患排查方案等需符合投标人要求。遇上级公司最新网络安全要求需要对本单位网络安全工作进行相应整改的,投标人需第一时间响应招标人需求,公司及辖管单位受上级管理单位整改通知的,需第一时间协助处理整改。验收方式以所罗列验收材料为准。
⮚ 投标人应详细描述本项目的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中的工作安排、时间安排、阶段性文档提交和验收标准等信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
⮚ 等保测评项目所有驻场测评师必须持证上岗,响应文件中应提供项目组驻场人员名单,以及社保主管部门出具的社保证明及驻场人员信息安全等级测评师证书复印件及原件,未经招标人同意,项目组成员不得更改。
⮚ 在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害招标人利益。
⮚ 在整个测评过程中,强调招标人的互动参与,每个阶段都能够及时根据招标人的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行风险评估工作。在整个测评过
程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
三、项目需实现的功能及目标
招标人在 2023 年第一季度获得计算机等级保护复测通过证明
项目的最终目标是建成一体化的、规范的,体现xx集团特色的信息安全管理和运营机制,帮助xx集团提高安全运行和可持续运营的能力。经过项目的推进和落实,形成高效且可执行、标准化的信息安全管理方法和实操手册。xx集团信息安全的管理和科学决策水平将显著提高。信息安全将不仅不再是生产运营的阻碍,而将成为xx集团加强内部控制和优化内部管理,降低运营风险,建立高效、统一、运转协调的安全管理体制的重要因素。
四、技术课题
1、 投标公司基本实力展示:
1.1 投标公司简介、组织架构、管理层及人员总体情况;
1.2 投标公司成功案例介绍(展示与项目相似或相关的成功案例)
1.3 拟服务网络等级保护服务项目的团队介绍
2、投标公司专业能力展示:(PPT 格式)
【网络等级保护服务项目】
服务需包含但不限于第五章《技术标准与服务》中要求的服务
技术标评分项响应内容展示
特别说明:投标人需确保方案可执行落地
五、技术规格、数量
具体详见 附件 1.1:【商务标文件】商务报价明细表
六、服务标准、服务期限、效率等要求
详见 附件 1.1:【商务标文件】商务报价明细表项目周期要求:
等保项目周期要求:2023 年第一季度获得计算机等级保护复测通过证明。
应标书中请写明项目不同阶段事项(备案号、测评完成、备案证明)完成的时间节点,后
期会作为评分依据。
七、验收标准
详见 附件 1.1:【商务标文件】商务报价明细表
八、团队要求
1、为网络安全等级保护服务项目提供的服务团队人数不少于 5 人,从业经验 1 年以上,并且要求有成功的酒店行业知名品牌的服务案例;
2、服务团队成员必须是投标公司在职员工,核心人员需具备 3 年以上相关工作经验;
3、为网络安全等级保护服务项目组建的项目团队,其组织管理架构、人员构成(特别是项目负责人)需与实际服务人员一致;
4、如项目负责人在服务期内中途离职,所更换人员必须书面报经招标人同意。(团队成员需提供社会保险证明和案例证明)。
xx项目联系人:xx,电话:00000000000
附件一、商务标文件(商务报价及明细,须参照模板填写)
目 录
1.1、商务报价明细表
项目名称 | 测评内容 | 验收内容 | 价格(元) |
等级保护咨询服务 | 差距分析 | 依据等级保护基 | |
本要求,从技术 | |||
和管理两个方面 | |||
对系统现状进行 | |||
评估,找出于等 | |||
级保护基本要求 | |||
之间的差距 | |||
安全整改及加固 | 对差距分析过程 | ||
咨询 | 中发现的技术和 |
管理方面问题进 | |||
行安全分析,行 | |||
成安全整改和加 | |||
固咨询方案,指 | |||
导用户进行安全 | |||
加固 | |||
信息系统调研与 | 对被测系统进行 | ||
梳理 | 调研,划分系统 | ||
边界,确定测试 | |||
对象及内容 | |||
信息系统定级与 | 协助用户整理等 | ||
备案 | 级备案资料,取 | ||
得备案证明 | |||
管理安全测评 | 对安全管理制 | ||
度、安全管理机 | |||
构、人员安全管 | |||
理、系统建设管 | |||
理和系统运维管 | |||
理等安全管理内 | |||
容进行评估 | |||
物理安全测评 | 针对系统的机 | ||
xx酒店集团业务系统 | 房、环境设备设 施等对象进行核 | ||
查、评估 | |||
网络安全测评 | 针对系统的网络 | ||
结构、网络设备、 | |||
安全防范设备等 | |||
对象和内容进行 | |||
核查和技术测试 | |||
主机安全测评 | 针对系统的主要 | ||
服务器、重要客 |
户端的操作系统和数据库等对象进行核查和技术 测试 | |||
应用安全测评 | 对核心网络服务平台及运维管理系统的应用业务程序实施身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗依赖、软件容错、资源控制等方面 的安全评估 | ||
数据安全测评 | 对数据完整性、数据保密性、备份和恢复进行安 全评估 | ||
总价(税点: ) | 大写: 小写: |
1.2、投标报价函
(招标人名称):
1.我方己仔细研究了 (项目名称) 招标文件的全部内容,愿意以人民币
(大写) 元(¥ )的投标总报价,项目周期 日历天,按合同约定实施和完成本项目执行,修补项目中的任何缺陷,项目质量达到贵司验收标准。
2.我方承诺在投标有效期内不修改、撤销投标文件。
3.如我方中标:
(l)我方承诺在收到中标通知书后,在中标通知书规定的期限内与你方签订合同。 (2)随同本投标报价函递交的投标文件补充承诺书属于合同文件的组成部分。 (3)我方承诺在合同约定的期限内完成并移交全部合同项目。
4.我方在此声明,所递交的投标文件及有关资料内容完整、真实和准确。
5. (其他补充说明)。
投标人: (盖单位章)
法定代表人或其委托代理人: (签字)日 期: 年 月 日
1.3、投标文件补充承诺书(格式)
致: :
我公司于 年 月 日已收到贵公司 项目招标文件,认真审阅贵司的招标文件和技术任务书,充分理解贵司的项目要求和周期紧迫事实,为了体现我司参加投标的诚意,认真履行投标人的职责,认真研读了招标文件后,编制了针对本项目的投标文件(含资质证明文件、技术投标文件、商务投标文件),除偏离表部分外全部接受招标文件内容前提下,我方愿意作出以下承诺和保证:
1、我司承诺中标后,将在 2 个工作日内完成项目团队的组建,若不能完成,无条件承担招标文 件专用条款的相关违约责任;
2、我司参加的投标范围和内容: ,投标最终总价以投标报价函为准,本总价已包含全部费用和合理利润(详见报价明细表单价及总价报价),若出现清单漏项或未列出其它项目费用的可视为已分摊在与此项目有关的其它项目的单价或总价中,保证不再主张增加合同总价。
3、我司最终总价已充分考虑各项目环节成本、人工工资和材料波动等因素,总价若低于正常市场报价,纯属于我司材料采购环节和管理成本控制等竞争优势体现,再次郑重保证不发生低于成本价参加竞争的行为;
4、如果我司中标,若出现我司以人工工资和材料上涨或原报价不慎产生亏损等为理由,不按贵司中标通知书中规定时间内和双方约定条件签订合同,我司完全同意贵司按中标人顺序与其他投标人签订合同,并愿意无条件承担招标人重新招标的损失,合同若已签订却发生怠工或停工的,我司无条件同意贵司单方解除合同或清场处理,无条件承担合同中全部相关违约责任。以上原因不签订合同、发生怠工或停工导致项目延误等,无条件由我公司承担赔偿损失,并完全理解和接受贵司付诸相关主管部门和媒体等投诉和曝光;
5、投标文件、资质证明等文本保证真实有效,若发现不实、出现挂靠、出现违规私下转包、出现与贵司人员进行幕后交易或采取其他违法行为中标的、未经与贵司沟通确认,出现更换项目经理和项目团队主要成员等,愿意接受贵司无效中标的认定,并向贵司赔偿重新招标的损失,若合同已履行,我司无条件承担合同中全部违约责任的条款;
6、如果我司中标,本承诺书有效期自递交之日起至项目合同全部履行结束。
本补充承诺书属于我司主动向贵司单方作出的xxxx,若与投标文件和其他文体有抵触的以本补充承诺书为准,我司保证无条件按本补充承诺书执行。
投标人(xx): 法定代表人(或授权委托人)签字: 日期:
1.4、商务偏离表(附件X)
投标人名称: 招标编号:
序号 | 内容名称 | 招标文件要求 | 投标文件偏离内容 | 备 注 |
注:1、如有偏离,不论偏离大小,则必须填写此表,并逐项列明;
2、若无偏离,则必须在此表填写“无偏离,完全响应招标文件要求”;
3、未曾填写的,招标人有权视为投标人完全响应招标文件要求。
投标人(xx): 法定代表人(或授权委托人)签字: 日 期: