当前位置:
根据工作需要,我厅决定采购广西RCEP、CPTPP数据库信息系统等保二级测评和软件测试服务项目,现将采购信息公告如下,欢迎符合条件的供应商报名参与竞争。
一、服务内容和要求
(一)项目名称:广西RCEP、CPTPP数据库信息系统等保二级测评和软件测试服务项目。
(二)项目需求
依据《中华人民共和国网络安全法》和《GBT 25000.51-2016 软件工程 软件产品质量要求与评价》,为广西RCEP、CPTPP数据库信息系统提供网络安全等保二级护测评和软件测试服务。
(三)项目地址
广西南宁市良庆区平乐大道10号中国-东盟经贸中心。
(四)项目采购内容
(一) 网络安全等级保护测评服务内容
1.依据《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019),对一个二级系统进行安全等级保护测评,并出具网络安全等级保护测评报告,并指导、配合采购人完成安全整改。
2.标准依据
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
3.测评内容
(1)安全管理制度和安全技术测评
测评内容包括安全管理和安全技术两大类,其中技术类包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面测评。安全管理类测评包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面测评。
(2)安全扩展要求测评
根据现场情况,保护对象可能涉及的安全扩展要求包括:云计算、移动互联、物联网、工业控制系统、大数据。
4.测评方法
在测评实施过程中,采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准要求相符。
(1)访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;
(2)检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程;
(3)测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;
(4)渗透测试是模拟黑客的攻击方法,对受保护对象,包括应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。
5.服务成果
测评完成后,出具符合《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的网络安全等级保护测评报告。
(二)软件测试服务内容
评估系统功能和性能等是否满足建设内容的要求,测评服务内容包括且不限于以下内容:
1.应用软件系统功能性测试
功能性测试应针对应用软件系统的功能需求逐项进行测试,以验证其功能是否满足建设要求。对应功能性测试需满足以下要求:
应详细阐述具体方法和手段,以确保通过测试验证应用软件系统建设要求是否得到完整覆盖。
针对不同类型应用软件特点,对系统业务流和数据流进行分析,提出一般性测试方法和测试重点,并提出针对各具体应用软件系统的可操作的测试方案。
应综合运用黑盒测试方法和手段,提出具体测试用例设计,确保业务流程分支覆盖完整、被测软件系统展示的基础数据和应用数据准确。
具体描述测试使用的测试工具、可能需要准备的测试数据和测试环境。
2.应用软件系统性能效率测试
应用软件系统性能效率应满足用户的日常工作以及相关依据文档要求。性能测试要求如下:
针对各应用软件系统具体分析,根据设计和需求提炼出测试应主要考虑的性能指标项目;
根据系统设计需求真实地模拟大规模用户接入各被测项目中,模拟用户访问行为,测试系统是否可以承受预定设计容量的大规模用户并发操作,且不会因为大规模用户并发操作而导致逻辑错误;
进行压力测试,测试各被测系统在预定设计容量之外还可以承受的业务压力,以向用户提示系统承受意外用户增长的冗余能力;
进行疲劳强度测试,模拟用户实际业务的混合场景,进行长时间的测试,以此测试系统的稳定性;
具体描述测试使用的测试工具、可能需要准备的测试数据和测试环境。
3.应用软件系统可靠性测试
要求进行可靠性测试,验证被测系统的容错性、易恢复性是否满足系统建设要求。
4.应用软件系统易用性测试要求
易用性测试验证被测系统的可辨识性、易学习性、易操作性、用户差错防御性、用户界面舒适性、易访问性可否满足系统建设要求。易用性测试覆盖至少以下内容:界面内容安排是否易理解;必要的提示信息是否清晰;操作是否简便;界面风格是否一致等。
5.应用软件系统兼容性测试要求
要求进行兼容性测试,验证被测系统的共存性、互操作性是否满足系统建设要求。
6.应用软件系统信息安全性测试要求
要求进行信息安全性测试,验证被测系统的保密性、完整性、抗抵赖性、可核查性、真实性以及信息安全性是否满足系统建设要求。
7.应用软件系统可移植性测试要求
要求进行可移植性测试,验证被测系统的适应性、易安装性、易替换性以及可移植性是否满足系统建设要求。
8.应用软件系统维护性测试要求
要求进行维护性测试,验证被测系统的模块化、可重用性、易分析性、易修改性、易测试性以及维护性是否满足系统建设要求。
(三)保密要求
1.供应商对有关采购单位信息化建设项目的一切资料和信息保密。
2.供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系,不得利用所处地位通过上述单位直接或间接获益。
3.供应商对采购单位保密信息的保密期限为永久。其他要求
(1)服务期:自合同签订之日起的60日内。
(2)服务地点:广西南宁市良庆区平乐大道10号中国-东盟经贸中心。
(四)项目采购预算标准
根据2022年9月自治区财政厅关于广西RCEP、CPTPP数据库建设项目的财评结果和同年10月自治区发展改革委关于项目投资概算的批复,并参照2023年9月《广西壮族自治区财政厅关于印发〈广西壮族自治区本级政务信息化建设和运维项目预算支出标准〉的通知》(桂财建〔2023〕102号)关于等保第二级系统测评费用上限6万元/系统的规定,广西RCEP、CPTPP数据库信息系统等保二级测评和软件测试服务项目费用上限为128900.00元人民币(大写:壹拾贰万捌仟玖佰元整)。
二、供应商资格要求
(一)具有独立法人资格;
(二)国内注册,经营本次采购服务的供应商;
(三)具有独立承担民事责任的能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;
(六)特定资格要求:服务一供应商应具有《网络安全等级测评与检测评估机构服务认证证书》、服务二供应商应具有检验检测机构资质认证认定证书(CMA)或具有中国合格评定国家认可委员会实验室认可证书(CNAS)。
三、供应商参加采购须知
(一)标书投递时间及地点
1.时间:标书投递截止时间为2025年7月18日18:00时(上班时间:上午8:00-12:00;下午3:00-6:00)。
2.地点:南宁市良庆区平乐大道10号中国—东盟经贸中心3号楼1122室。
(二)标书材料要求
参加采购应提交以下资料并按以下顺序装订成册并密封递交(一式五份):
1.报价函(格式自拟);
2.法定代表人授权书(格式自拟并附法定代表人身份证复印件及被授权人身份证复印件);
3.营业执照及相关资质证书复印件,以上材料须加盖单位公章;
4.项目服务方案(格式自拟);
5.业务能力证明。
四、评标办法及标准
本项目采用综合评分法进行评审。综合评分法,是指满足采购资质要求且按照评审标准得分最高的供应商为成交候选人的评审方法。
序号 | 分类 | 评分标准 | 分数 |
1 | 一、商务部分(20分) | 1、供应商业绩: 供应商提供近三年二级以上信息系统等级保护测评项目及软件测试服务业绩(提供合同关键页),提供一个得0.5分,最高得5分。 | 5分 |
2、资质证书及荣誉: ①具备ISO14001环境管理体系认证证书、ISO45001职业健康安全管理体系认证证书、ISO/IEC27001信息安全管理体系认证证书、ISO20000信息技术管理体系证书、ISO9001质量管理体系认证证书,得5分,缺少一项扣1分; ②具备中国合格评定国家认证委员会实验室认可证书(CNAS认证),认可能力需包含软件测试服务,得3分; ③具备CCRC信息安全风险评估(一级)资质认证证书,得3分; ④具备《中国通信企业协会通信网络安全服务能力评定证书》应急响应一级,得2分; ⑤具备5A标准化等级认证证书(资质范围包含网络安全等级保护测评服务),得2分。 【提供相关证书复印件并加盖公章,未提供不得分】 | 15分 | ||
2 | 二、技术部分(60分) | 1、技术方案 | |
供应商需针对本项目提供详细的项目实施方案,内容包括但不限于: ①项目需求理解与分析; ②等级保护测评及软件测试服务方案; ③项目团队人员安排; ④项目管理措施; ⑤质量管理方案; ⑥项目进度计划。 以上方案内容完整清晰明确且科学合理、可行性高具有针对性并满足采购需求的得40分,每缺少一项内容扣5分;每有一项内容不完整或未能满足采购需求的或每有一处不具有针对性或逻辑性错误且不完整的扣1分;扣完为止。 | |||
2、项目负责人(限1人) | 10分 | ||
有中关村安全信息联盟颁发的信息安全等级测评师证书(提供原件备查)在此基础上: 1、具备网络安全等级保护测评师证书(高级),得2分; 2、具备高级网络信息安全工程师,得2分; 3、具备信息产业信息安全测评中心颁发的(NSATP-A)注册网络安全渗透评估专业人员证书(专业级),得2分; 4、具备中国网络安全审查技术与认证中心颁发的CISAW(风险管理)专业级,得2分; 5、具备国家互联网应急中心颁发的(CCSC)网络安全能力认证证书,得2分。 【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续6个月的社保证明。】 | |||
3、团队成员(至少3人) | 10分 | ||
具有中关村安全信息联盟颁发的信息安全等级测评师证书(提供原件备查)在此基础上: 1、团队成员具备网络安全等级测评师证书(中级),得2分; 2、团队成员具备重要信息系统保护人员CIIP-A证书,得2分; 3、团队成员具备PMP项目管理专业人士资格认证证书,得2分; 4、团队成员具备(ISTQB)软件测试工程师,得2分; 5、团队成员具备注册渗透测试工程师(CISP-PTE)证书,得2分。 【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续6个月的社保证明】 | |||
3 | 三、售后服务(10分) | 根据投标人提供的售后支持服务方案,至少包括服务承诺、服务标准、服务流程、服务内容、响应时间、保障措施、应急解决方案等内容进行综合打分。 1.有详细具体的售后服务方案,售后服务承诺保障方案合理,针对本项目能给出具备实际意义的措施及建议,能有效满足需求项目需求得10分; 2.售后服务方案科学合理、有针对性,但方案不够全面,可行的措施及建议较少,能基本满足需求项目需求得5分; 3.售后服务方案略有欠缺,可行性较低,可行的措施及建议较少得3分; 4.无售后服务保证措施及方案或方案不可用者不得分。 | 10分 |
4 | 四、价格部分(10分) | 满足招标文件要求且价格最低的投标报价为评标基准价,其价格分为满分,其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/有效投标报价)×10。对于投标报价明显低于正常市场价格的提供相关证明文件。 | 10分 |
合计总分 | 100 | ||
五、服务单位的选定
通过评审,择优选定服务单位后,我厅将通知该单位,并与该单位签订项目服务合同。
自治区商务厅联系人:李卫,联系电话:0771-2211663。
客服电话
