信息安全等级保护测评服务项目需求书V2.0(招标文件)

信息安全等级保护测评服务项目需求书

一、项目内容

XX银行股份有限公司成立于xxxx年，xxxx年末，资产规模达xxxx亿元。在北京、天津、沈阳、大连、哈尔滨等地区设立分行。目前，与70多个国家及地区500多个金融机构开展业务，代理行网络遍及世界各地。

作为重点金融机构，其信息系统承载了非常重要的患者数据。为保证本行信息系统安全、降低风险，提高管理能力，进一步加强内部网络的整体安全防护能力，全面提升我行信息系统整体安全防范能力。特对本行核心网络系统进行2015年度安全等级保护测评项目，本项目为预算为XX万。

服务范围：

二、服务年限

投标人中标，签订合同之日起一年

三、要求条款

四、技术要求

五、评分因素及评标标准

第一部分商务因素（35分）

1、本地化服务（3分）

（1）投标人是在天津工商行政管理部门注册企业（3分）

（2）投标人在天津设有分公司、全资子公司或与本项目服务相关的投资公司（投资比例需超过50%，提供户卡或验资报告），并在天

津依法纳税满一年的（提供纳税发票复印件）（2分）（3）投标人在本市具有常驻机构，提供房屋租赁合同或产权证明（1分）

2、投标人具备GB/T19001系列或ISO9001系列质量管理体系认证，

提供证书复印件（1分）

具备1分，不具备0分

3、投标人需建立安全服务小组，投标人安全服务小组内实施人员

应具备信息安全等级保护师认证（项目实施人员应为投标人的本单

位的正式员工，提供相关认证原件、劳动合同和社保证明）（3分）（1）投标人安全服务小组内实施人员均为信息安全等级保护测评师，项目中安排高级、中级、初级测评师完成测评工作，分工合理。

（3分）

（2）投标人安全服务小组内实施人员部分具备信息安全等级保护测评师认证（1分）

（3）投标人安全服务小组内实施人员无信息安全等级保护测评师认证（0分）

4、安全服务小组内实施人员应包含Cisco CCIE、华为、华三等认证

的安全服务工程师（项目实施人员应为投标人的本单位的正式员工，

要求提供相关认证原件、劳动合同和社保证明）。（3分）（1）现场实施人员提供上述所有认证资质证明文件：3分

（2）现场实施人员提供上述1-2项证书资质证明文件：1分

（3）未提供或不符合要求的：0分。

5、投标人安全服务小组内实施人员应包含ISO27001、ITIL等认证的

安全服务工程师（项目实施人员应为投标人的本单位的正式员工，

提供相关认证原件、劳动合同和社保证明）。（2分）（1）现场实施人员提供上述所有认证资质证明文件：3分

（2）现场实施人员提供上述任意一项项证书资质证明文件：1分

（3）未提供或不符合要求的：0分。

6、投标人实施能力，提供自2014年至今金融行业三级或三级以上信

息系统测评成果案例一项（3分）

（1）测评系统为四级系统：3分

（2）测评系统为三级系统：1分

（3）测评系统为二级及以下系统：0分

7、价格（20分）

（1）投标报价超过采购预算的，投标无效，未超过采购预算的投标报价按以下公式进行计算

（2）投标报价得分=（评标基准价/投标报价）×20

注：满足招标文件要求且投标报价最低的投标报价为评标基准价

第二部分技术因素（65分）

1、信息安全等级保护差距分析（8分）

投标人应根据招标人信息系统现状情况，结合该信息系统级别要求，建立相关方案，分析招标人信息系统与等级保护要求的差距情况，并出具《信息安全等级保护差距分析报告》

（1）投标人相关项目经验丰富，熟悉差距分析内容，建立详细的差距分析方案，并在差距分析工作完成后出具符合要求的《信息安全等级保护差距分析报告》（8分）

（2）投标人相关项目经验较多，比较熟悉差距分析内容，所建立差距分析方案内容比较详尽，可在差距分析工作后出具相关文件（4分）

（3）投标人相关项目经验很少，不熟悉差距分析内容，所建立差距分析方案内容不充分，无法在差距分析工作后出具相关文件（0分）

2、信息安全等级保护方案（27分）

●投标人服务方案规范化及标准化程度（7分）

（1）投标人相关项目经验非常丰富，非常熟悉完成项目所有工作内容，提供的服务方案规范性及标准化程度很高：7分；

（2）投标人相关项目经验较多，比较熟悉完成项目所有工作内容，提供的服务方案规范性及标准化程度比较好：5分；

（3）投标人相关项目经验很少，基本能够完成项目所有工作内容，提供的服务方案规范性及标准化程度一般：3分；

●投标人服务方案的针对性、可行性、完整性（10分）

（1）服务方案完整，充分考虑用户需求，服务方案针对性及可行性很高：10分

（2）服务方案比较完整，服务方案具有一定的针对性及可行性：7分

（3）服务方案不够完整，且服务方案的针对性及可行性一般：4分●投标人服务方案中对本服务项目任务、需求的理解程度（10分）

（1）全面分析了用户现状、性能要求、实施要求等内容，对于本项目任务目标及需求理解深刻：10分；

（2）对于用户系统现状、性能要求、实施要求等内容阐述不够充分，对于本项目任务目标及需求有基本了解：7分；

（3）对用户信息化现状、业务需求了解不够充分：4分

3、信息安全等级保护响应（6分）

投标人应响应招标人信息系统等级评测需求，完成其重要信息系统等级安全测评，出具符合国家规定的等级测评报告，负责提交有关部门，并保证招标人信息系统可以顺利通过等保评测。

（1）具有完善的等级测评计划，包含测评的各个环节、测评范围、质量控制、风险控制、完成标准，实施测评方案充分体现了完整性、针对性、专业性的：（6分）

（2）具有较完善的等级测评计划，基本包含测评的各个环节、测评范围、质量控制、风险控制、完成标准，实施测评方案基本体现了完整性、针对性、专业性的：（3分）

（3）无完善的等级测评计划，缺少等级测评的重要环节、测评范围、质量控制、风险控制、完成标准等，实施测评方案缺乏完整性、针对性、专业性的：（0分）

4、测评内容应对（6分）

招标人应结合招标人信息系统现状进行信息安全等级保护测评，测评范围包括但不限于如下内容：

安全技术测评：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

（1）测评内容详尽，具有测评方案，符合招标人要求，每项测评内容均具有测评指导书，每项环节均留有相关测评材料（6分）（2）测评内容不够详尽，无具体方案指导，不符合等保及招标人要求，测评指导书不够充实（3分）