深圳市地方金融监督管理局2021年度网络及信息安全服务项目招标公告

　　一、采购项目名称

　　（一）项目名称： 2021年度网络及信息安全服务项目

　　（二）项目预算金额：本次采购项目为部门自行采购项目，总报价超过45万(人民币)以上为无效投标。

　　二、项目服务内容和服务要求

　　1、工作目标

　　深圳市地方金融监督管理局信息安全服务项目建设目标是以等级保护标准为基础，参考ISO27001标准以及相关安全规范和标准，建立符合深圳市地方金融监督管理局信息化系统实际安全需求的安全管理体系，提高安全管控水平。

　　具体来说，信息安全建设要达到以下目标：

　　1.1形成体系化的安全管理与技术机制

　　制定整体安全视图和建设路线图，有计划地把安全能力视图建成一个可扩展的、相互协同和制约的完整、有机体系，减少单效独建的补救方法，逐步形成完整安全体系。

　　1.2满足当前及未来信息安全合规性要求

　　以《网络安全法》为纲，以等级保护标准为基础，建设全面的信息安全合规能力，充分满足信息安全联合检查等合规性检查的要求。

　　1.3技管结合，安全管理在日常工作中落地

　　构建完善的安全管理体系和安全基线，管理为主、技术为辅，使安全管理工作的落实成为日常工作的一部分。

　　2、工作依据

　　信息安全工作主要依据、政策文件和技术标准：

　　1、《中华人民共和国网络安全法》

　　2、《政府信息安全检查办法》（国办发[2009]28号）

　　3、《深圳市人民政府信息系统安全检查办法》（深府办[2009]138号）

　　4、国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）

　　5、深圳市关于开展信息安全风险评估工作的实施意见（深科信[2006]268号）

　　6、《深圳市信息安全风险评估实施指南》

　　7、《信息安全技术--信息安全风险评估规范》（GB/T20984-2007）

　　8、《信息安全技术 信息系统安全保护等级保护定级指南》（GB/T 22240-2008）

　　9、《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2019）

　　10、《信息安全服务评估准则》中国国家信息安全测评认证中心

　　11、《信息安全工程质量管理要求》中国国家信息安全测评认证中心

　　12、《信息技术安全技术信息技术安全性评估准则》（GB/T18336-2001）

　　13、《电子计算机场地通用规范》（GB/T2887-2000）

　　14、《计算机场地安全要求》（GB9361-1989）

　　15、《信息技术—信息安全管理实施细则》（ISO/IEC17799:2000）

　　16、《信息技术—信息安全管理实施规范》（ISO/IEC27001:2005）

　　17、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）

　　18、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）

　　19、《信息安全技术网络基础安全技术要求》（GB/T202702006）

　　20、《信息安全技术网络交换机安全技术要求》（GB/T21050-2007）

　　3、信息化资产

　　深圳市地方金融监督管理局信息化资产数量：

　　4、工作内容

　　4.1信息安全制度修订与落实

　　根据《信息系统安全等级保护基本要求》（GB/T22239-2008）、深圳市信息化主管部门关于信息安全工作的要求，安全服务商为我局提供以下工作：

　　4.2信息安全风险评估

　　按照《信息安全技术信息安全风险评估规范》（GB/T20984-2007）、《信息系统安全保护等级基本要求》（GB/T 22239-2008）等相关标准，安全服务商对我局信息系统和IT基础设施开展信息安全风险评估，工作内容如下：

　　4.3信息安全等级保护

　　根据《网络安全法》、《信息系统安全保护等级基本要求》（GB/T 22239-2019）、以及市信息安全主管单位的相关要求，安全服务商为我局提供信息系统等级保护服务，工作内容如下：

　　4.4应急体系建设

　　根据国家、市网络与信息安全突发事件应急预案的要求，安全服务商为我局提供应急体系建设服务，工作内容如下：

　　4.5安全隐患排查和整改

　　每季度对我局的信息系统、服务器、终端等开展安全隐患排查和整改工作。工作内容如下：

　　4.6安全监测管理服务

　　4.7渗透测试服务

　　4.8终端安全保密自查

　　根据深圳市信息安全主管单位工作要求，对我局全网终端开展安全保密自查和检查工作，针对检查过程中发现的安全问题，及时协助终端用户开展安全整改工作。

　　4.9信息安全培训

　　对全员提供信息安全意识教育、案例讲解、个人信息安全防护技术相关培训，要求有完善的培训与讲座实施计划。安全服务商应安排曾经承担过政府机构相关讲座经验的专家承担，由不低于国家测评中心CISP资格的讲师承担。工作内容如下：

　　4.10信息安全通报

　　定期向我局提供紧急通报、安全通报服务，通报内容主要包括国内外安全行业动态、安全漏洞通报、病毒安全通报等。工作内容如下：

　　4.11信息安全联合检查

　　根据深圳市党政机关信息安全联合检查工作方案的要求，依据各检查指标项进行安全自查，针对自查中不符合要求的内容，及时提出整改建议，并配合完成安全整改工作。工作内容如下：

　　4.12市主管单位工作要求

　　根据市信息安全主管单位的政策、文件要求，积极开展各项信息安全自查、技术防护措施和安全整改等工作，并将工作完成情况及时向相关主管单位回函。

　　服务期内根据我局实际需求提供服务。

　　4.13顾问咨询服务

　　提供安全咨询支持，担任网络安全的咨询顾问，在网络、主机和信息系统进行升级、扩建时，提供安全顾问咨询服务，和信息安全评估服务，并根据实际情况提供咨询服务解决方案等。

　　作为咨询顾问，需要提供全方位的咨询服务，通过电话、E-mail、现场研讨等方式，协助对信息系统中出现的安全问题或与安全相关的问题进行处理。

　　服务期内根据我局实际需求提供顾问咨询服务。

　　5、项目服务要求

　　5.1项目总体要求

　　1、本项目的项目经理将具备高级项目经理资质证书，项目成员不低于相关行业3年工作经验；

　　2、将根据我局实际情况编写项目总体安全服务方案，对各项工作的内容、方法、时间进行描述，其中工作时间以周为单位进行量化；

　　3、每季度进行一次网络安全运行现状分析，详细描述本月信息安全工作开展情况进行总结、列出存在的安全隐患，以及提出整改建议。并书面呈报。

　　4、对在项目实施中需要协调和协助的工作，将至少提前一周书面通知相关岗位人员，以便有充分的时间安排时间和业务协调；

　　5、项目实施中所有的文档：过程数据、会议纪要、过程文档、计划、方案、策略等，将以电子、纸质同时保存（至少一式两份存档），随时接受检查；

　　6、针对不同的工作内容实行文档（电子及纸质）分类管理，文档分类要清晰，容易调阅。每项工作完成后都有相应的工作附件与之呼应；

　　7、项目实施中对信息系统采用的任何技术检测（本地核查、网络扫描、安全分析、设备调研）手段和方法，将事先提交详细的实施（检测）方案，明确检测内容、方法、使用的规则（策略）、可能引发的后果、以及后果的处理等内容，经确认通过后才进行实施；

　　8、所有对数据库系统和应用系统的技术测试将预选制定数据备份和恢复方案，并提交相关岗位工程师确认。在方案获得确认后，需确认备份数据有效后再进行相关技术测试（相关技术测试事先已提交过测试方案并获得确认后才实施）；

　　9、按时完成本年度信息安全联合检查工作各阶段要求的上报材料（如，工作计划、实施方案、核查表等）并准时提交；

　　10、为保证我局信息系统安全，所有有关项目的文档，无论电子还是纸质均不会带出项目现场。

　　5.2应急响应要求

　　将提供7*24小时服务，在发生故障需要提供技术支持时，保证能够联系上相关服务人员。

　　在出现紧急事件时，接到报告后，以最快的速度(1小时内)派遣安全技术工程师到达现场，协助进行处理， 技术支持人员在解决故障时，要最大限度保护好数据，做好故障恢复的文档，力争恢复到故障点前的业务状态。对于“系统瘫痪，业务系统不能运转”的故障级别，如果不能于12小时内解决故障，必须16小时内提出应急方案，确保业务系统的运行。故障解决后24小时内，提交故障处理报告，说明故障种类、故障原因、故障解决中使用的方法、故障损失、以及优化建议等情况。

　　5.3行为规范要求

　　1、项目实施人员将严格遵守我局的规章制度，严格按照相应的规章制度办事。

　　2、与我局其他各合作方在协同工作时，将密切配合，同时会将双方协商的工作方案及时反馈到相关负责人员，再确定落实与否。

　　3、遵守保密原则。对我局网络拓扑、信息系统的安全情况负责保密责任，不得随意传播。

　　5.4服务工具要求

　　在项目中用于安全检测使用的安全产品为厂商正版授权、符合国家安全标准及我局提出的有关质量标准的设备和产品。

　　5.5服务人员要求

　　1、中标人应成立针对我局安全服务的项目团队，人数要求不少于5人。其中项目经理1名，负责处理本项目有关事务（项目经理需具有持有CISP/PMP等相关技术资格证书）；机动安全专家1名，以便于在紧急情况或工作量较大时，可随时抽调熟悉相关环境的工程师进行补充（机动安全专家具有CISAW/CISP等相关技术资格证书）；安排一名专职安全工程师负责项目工作，工程师必须具有较强的技术能力和项目沟通能力，必须持有CISP证；在突发应急事件中能临时增加2名服务人员。

　　2、项目成员应严格遵守采购人的规章制度和保密制度,项目团队成员与中标公司均须与我局签定安全保密协议。

　　3、中标人应设立24小时热线电话，接受日常和应急安全服务要求和技术支持响应。

　　4、投标人在投标时需提供该项目组成员的资质证书等材料。项目经理要求在投标人公司已工作3年以上，有丰富的项目管理经验。

　　5.6项目验收要求

　　乙方根据项目服务合同，提供信息安全服务，项目实施完成后，将提供以下文档，配合完成项目验收工作。

　　1、提交最新修订版的《信息安全管理制度》。

　　2、提交《信息安全风险评估报告》、《本地核查文档集》、《信息安全风险评估应用层扫描报告》、《信息安全风险评估网络层扫描报告》、《信息安全风险评估修复加固报告》。

　　3、提交《应急演练工作计划》、《应急演练工作方案》、《应急演练工作总结》文档。

　　4、提交信息安全培训计划、培训材料和视频。

　　5、提交信息安全联合检查工作文档汇编。

　　三、供应商资格要求

　　（一）符合《中华人民共和国政府采购法》第二十二条规定的条件，国内注册（指按国家有关规定要求注册的），依法能提供本次采购服务，具有法人资格的供应商；

　　（二）在深圳参与的采购活动中无违规记录，即在深圳市政府采购中心网站的曝光台中无相关记录；

　　（三）供应商具备信息系统安全运维、信息技术服务等相关资质，有相关同类项目实施经验优先；

　　（四）本项目不接受联合体竞标。

　　四、评标方法

　　本项目采用综合评分法的，满分100分，得分最高的投标人为中标供应商。最低报价不作为成交保证。

　　（一）价格部分

　　价格分满分为30分，以满足采购需求且报价最低的报价为评标基准价，其价格分为价格分满分，其他报价人的价格分统一按下列公式计算：

　　报价得分=（评标基准价/报价）×价格权值×100。

　　（二）技术部分

　　技术部分满分为45分，由评审小组根据供应商的公司整体方案、服务网点、技术团队、配套工具情况进行打分。

　　（三）商务部分

　　商务部分满分为25分，由评审小组根据公司以往类似项目业绩情况、供应商的公司资质、相关获奖情况打分。

　　五、商务需求

　　（一）服务期：一年。

　　（二）服务地点：采购单位指定地点

　　（三）项目属性：服务类项目

　　（四）报价要求：

　　1.本项目服务费采用包干制，应包括服务成本、法定税费和企业的利润。由投标供应商根据采购文件所提供的资料自行测算投标报价；一经中标，报价总价作为中标供应商与采购人签定的合同金额，合同期限内不做调整。

　　2.投标供应商应当根据本企业的成本自行决定报价，但不得以低于其企业成本的报价投标。

　　3.投标供应商的报价不得超过项目预算金额。

　　4.投标供应商的报价，应当是本项目采购范围和采购文件及合同条款上所列的各项内容中所述的全部，不得以任何理由予以重复。

　　5.除非采购人通过修改采购文件予以更正，否则，投标供应商应毫无例外地按响应文件所列的清单中项目和数量填报综合单价和合价。投标供应商未填综合单价或合价的项目，在实施后，将不得以支付，并视作该项费用已包括在其它有价款的综合单价或合价内。

　　6.投标供应商应按要求提供包含报价函、法人授权委托书、资质审查材料和其他证明文件（纸质材料一式5份（一正四副），电子光盘1份）应装订良好并分别密封于信封（或包装袋）中（格式见附件），并自行承担所有与编写和提交响应文件有关的费用。

　　7.投标供应商不得期望通过索赔等方式获取补偿，否则，除可能遭到拒绝外，还可能将被作为不良行为记录在案，并可能影响其以后参加政府采购的项目投标。各投标供应商在报价时，应充分考虑报价的风险。

　　六、提交投标文件联系方式、地点和截止时间

　　（一）联系人：张先生 88127356   蔡先生 88125245

　　（二）投标地点：深圳市福田区市民中心C区4117室

　　（三）投标截止时间：2021年11月19日17点前

　　七、评分标准

　　八、附件

　　1.报价函

　　2.报价表

　　3.法人授权委托书

　　4.技术响应、偏离情况说明表

　　5.商务响应表

　　6. 投标人认为需要提交的其他资料

深圳市地方金融监督管理局

2021年11月12日