四川铁道职业学院官网和数据中心三级等保测评服务项目采购公告
- 2025-06-14
项目名称: 四川铁道职业学院官网和数据中心三级等保测评服务项目采购公告
项目编号: CTZY-CG-2025023
招标公司: 四川铁道职业学院
来源: 全国招标资源网
采购标的物: 边界防护、官网和数据中心三级等保测评服务项目
四川铁道职业学院采购项目 竞 争 性 比 选 文 件 四川·成都 2025年6月 第一章比选邀请 四川铁道职业学院拟对官网和数据中心三级等保测评服务项目进行公开采购。遵循公开、公平、公正的原则,欢迎符合条件的各潜在供应商积极参与该项目。现就有关事项公告如下: 项目名称:官网和数据中心三级等保测评服务项目 二、项目编号:CTZY-CG-2025023 三、项目简介 本项目共计1个包,拟确定中选人1名。(具体比选详情见第四章) 四、供应商参加本次采购活动应具备下列条件: (一)具有独立承担民事责任的能力; (二)具有良好的商业信誉和健全的财务会计制度; (三)具有履行合同所必需的设备和专业技术能力; (四)有依法缴纳税收和社会保障资金的良好记录; (五)参加比选活动前三年内,在经营活动中没有重大违法记录; (六)法律、行政法规规定的其他条件。 (七)本项目不接受联合体参与招标。 五、比选公告发布的媒体 本次比选公告在四川铁道职业学院官网(https://www.scrc.edu.cn/cgzbxxztw/)发布。 六、禁止参加本次比选活动的供应商 根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)的要求,采购人或采购代理机构将通过“信用中国”网站(www.creditchina.gov.cn)、“中国政府采购网”网站(www.ccgp.gov.cn)等渠道查询供应商在提交首次响应文件截止之日前的信用记录并保存信用记录结果网页截图,拒绝列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中的供应商报名参加本项目的比选活动(以联合体形式参加本项目采购活动,联合体成员存在不良信用记录的,视同联合体存在不良信用记录)。 七、提交比选响应文件截止时间(参加比选的时间) 2025年6月19日时10:00分(北京时间) 1.比选申请文件应在参加比选时间前送达比选地点,未在参加比选前送到的文件将被拒收。 2.逾期送达或没有密封的比选申请文件恕不接收。 八、提交比选响应文件地点和比选地点 成都市郫都区安德街道彭温路399号四川铁道职业学院基建后勤办公区213室(评标室) 九、联系方式 比选人:四川铁道职业学院 地址:成都市郫都区安德街道彭温路399号 联系人:陆老师、张老师 联系电话:查看完整信息、查看完整信息 第二章比选须知 一、申请人须知附表 序号 应知事项 说明和要求 比选预算 (实质性要求) 人民币16万元 超过比选预算的报价,其比选申请文件作无效处理 最高限价 (实质性要求) 人民币16万元 超过最高限价的报价,其比选申请文件作无效处理 不正当竞争预防措施 (实质性要求) 比选评审委员会认为申请人的报价明显低于其他通过符合性检查申请人的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在比选现场合理的时间内提供书面说明,并提交相关证明材料;申请人不能证明其报价合理性的,比选评审委员会应当将其作为无效处理。 信用记录查询 (实质性要求) (1)比选人通过 信用中国(www.creditchina.gov.cn)和中国政府采购网(www.ccgp.gov.cn)进行信用记录查询; (2)查询时间:本项目资格审查时; (3)查询记录和证据留存的具体方式:与比选文件一并保存; (4)使用规则:对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商,拒绝其参与政府采购活动 比选申请文件有效期 (实质性要求) 提交比选申请文件截止之日起90日 合同分包 (实质性要求) 不接受 联合体 (实质性要求) 不接受 比选方法 综合评分法 比选申请文件的份数 (实质性要求) “比选申请文件”正本1份。 现场踏勘和答疑 不举行 比选文件咨询 电话:查看完整信息 比选结果公告 比选结果将在“四川铁道职业学院官网”公告 说明 本比选为非政府采购项目,比选文件中所有涉及政府采购相关内容均为参考执行;比选人不对结果作任何解释;最终解释权归比选人所有 二、总则 (一)适用范围 本比选文件仅适用于本次公开比选所叙述的货物和服务项目采购。 (二)比选主体 1.“比选人”系指四川铁道职业学院。 2.“申请人”系指拟参加比选和向比选人提供货物及相应服务的比选申请人。 (三)有关定义 1.比选文件所称的“以上”、“以下”、“以内”、“届满”,包括本数;所称的“不满”、“超过”、“以外”,不包括本数。 2.比选文件要求申请人提供原件资料的,文件均以“原件”字样作以标注;未作“原件”标注的,提供的资料可使用原件的复印件或影印件。 3.本比选文件规定的期间按照年、月、日计算期间的,开始的当日不计入,自下一日开始计算。期间的最后一日是法定休假日的,以法定休假日结束的次日为期间的最后一日。按照年、月计算期间的,到期月的对应日为期间的最后一日;没有对应日的,月末日为期间的最后一日。 (四)合格的申请人(实质性要求) 1.具备“比选邀请”基本条件; 2.遵守国家有关的法律、法规和条例; 3.比选文件和法律、行政法规规定的其他条件。 (五)参与比选的费用(实质性要求) 申请人应自行承担参加比选活动的一切费用。 (六)联合体响应(实质性要求) 1.本项目是否接受联合体响应,以“申请人须知附表”为准。 2.(以下仅适用接受联合体响应的情形)两个以上申请人可以组成一个联合体比选,以一个申请人的身份比选。以联合体形式参加比选的,联合体各方均应当符合《中华人民共和国政府采购法》第二十二条规定的条件。 3.联合体各方之间应当签订联合体比选协议,明确约定联合体各方承担的工作和相应的责任。联合体参与比选的,应在比选申请文件中提供联合体协议。 4.联合体应当确定其中一个单位为比选的全权代表,负责参加比选的一切事务。 5.联合体各方应当共同与比选人签订采购合同,就采购合同约定的事项对比选人承担连带责任。 6.联合体中有同类资质的申请人按照联合体分工承担相同工作的,将按照资质等级较低的申请人确定资质等级。 7.以联合体形式参加比选活动的,联合体各方不得再单独参加或者与其他申请人另外组成联合体参加同一合同项下的比选活动。 三、比选文件 (一)比选文件的构成 1.比选文件是申请人准备比选申请文件和参加比选的依据,同时也是比选的重要依据。比选文件用以阐明比选项目所需的资质、技术、服务及报价等要求、比选程序、有关规定和注意事项以及合同主要条款等。 2.申请人应认真阅读和充分理解比选文件中所有的事项、格式条款和规范要求。申请人应详细阅读比选文件的全部内容,按照比选文件的要求提供比选申请文件,并保证所提供的全部资料的真实性和有效性,一经发现有虚假行为的,将取消其参加比选或中选资格,并承担相应的法律责任。 (二)比选文件的澄清和修改 1.在提交比选申请文件截止时间前,比选人可以对比选文件进行澄清或者修改。 2.比选人对已发出的比选文件进行澄清或者修改,比选人将在网上发布更正公告。 3.申请人应于提交比选申请文件截止前,在网上关注本项目的更正公告,以保证其对比选文件做出正确的响应。申请人未按要求下载相关文件,或由于未及时关注更正公告的信息造成的后果,其责任由申请人自行负责。 四、比选申请文件 (一)比选申请文件的组成 1.申请人应按照比选文件的规定和要求编制比选申请文件。(实质性要求) (二)比选申请文件的语言(实质性要求) 1.申请人提交的比选申请文件以及申请人就有关报价的所有来往书面文件均应使用中文。比选申请文件中如附有外文资料,应当逐一对应翻译成中文并加盖申请人公章后附在相关外文资料后面,所提供的外文资料将被视为无效材料。 2.翻译的中文资料与外文资料如果出现差异和矛盾时,以中文为准。涉嫌虚假响应的按照相关法律法规处理。 3.如因未翻译而造成的比选申请文件无效风险,由申请人承担。 4.比选申请文件对不同文字文本的解释发生异议的,以中文文本为准。 (三)计量单位(实质性要求) 除比选文件中另有规定外,本次比选项目所有合同项下的报价均采用国家法定的计量单位。 (四)报价(实质性要求) 1.本次比选项目的报价货币为人民币,报价以比选文件规定为准。 2.申请人的报价应是申请人响应比选项目要求的全部工作内容的价格体现,是最终用户验收合格后的总价,包含了申请人完成本项目所需的一切费用,即项目包干价。 (五)比选申请文件有效期(实质性要求) 本项目比选申请文件有效期为提交比选首次比选申请文件截止之日起90天。申请人比选申请文件中必须载明比选申请文件有效期,比选申请文件中载明的比选申请文件有效期可以长于比选文件规定的期限,但不得短于比选文件规定的期限。否则,其比选申请文件将作为无效响应处理。 (六)知识产权(实质性要求) 1.申请人应保证在本项目中使用的任何产品和服务(包括部分使用),不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷,如因专利权、商标权或其它知识产权而引起法律和经济纠纷,由申请人承担所有相关责任。 2.除非比选文件特别规定,比选人享有本项目实施过程中产生的知识成果及知识产权。 3.申请人如欲在项目实施过程中采用自有知识成果,使用该知识成果后,申请人需提供开发接口和开发手册等技术文档,并承诺提供无限期技术支持,比选人享有永久使用权(含比选人委托第三方在该项目后续开发的使用权)。 4.如采用申请人所不拥有的知识产权,则在报价中必须包括合法获取该知识产权的相关费用。 (七)比选申请文件格式 1.申请人应执行比选文件第六章的规定要求。 2.对于没有格式要求的比选文件由申请人自行编写。 (八)比选申请文件的编制和签署 1.比选申请文件正本1份。(实质性要求) 2.比选申请文件密封袋的最外层可以注明比选项目名称、比选项目编号、包号及名称(若有)、申请人名称、“正本”字样。 3.比选申请文件应根据比选文件的要求签署、盖章。(实质性要求) 4.比选申请文件正本可采用打印或用不褪色、不变质的墨水书写。 5.比选申请文件的打印和书写应清楚工整,任何行间插字、涂改或增删,必须由申请人的法定代表人/单位负责人或其授权代表签字并盖申请人公章。字迹潦草、表达不清或可能导致非唯一理解的比选申请文件可能被作为无效处理。(实质性要求) 6.比选申请文件应由申请人法定代表人/主要负责人/本人或其授权代表在比选申请文件要求的地方签字(注:申请人为法人的,应当由其法定代表人或者授权代表签字确认;申请人为其他组织的,应当由其主要负责人或者授权代表签字确认;申请人为自然人的,应当由其本人或者授权代表签字确认)或加盖私人印章,要求加盖公章的地方加盖单位公章,不得使用专用章(如经济合同章、投标专用章等)或下属单位印章代替。(实质性要求) 7.比选申请文件正本可以采用A4幅面纸胶装方式装订成册并逐页编码。 (九)比选申请文件的密封 1.比选申请文件所有外层应当密封完好。(实质性要求) 2.未密封的比选申请文件,比选人将拒收或者在法定时间允许的范围内,要求修改完善后接收。(实质性要求) (十)比选申请文件的提交 1.比选申请文件应在提交首次比选申请文件截止时间前送达。(实质性要求) 2.逾期送达或者未密封的比选申请文件,必选人应当拒收。(实质性要求) (十一)比选申请文件的修改和撤回 1.申请人不得在提交截止时间起至比选申请文件有效期期满前撤回其比选申请文件。 2.申请人对其提交的比选申请文件的真实性、合法性承担法律责任。 五、比选会 1.比选人在比选文件规定的时间和地点组织比选,申请人须派代表参加并签到以证明其出席。 2.比选会时,比选人对比选申请文件的密封情况进行检查。 3.当众宣布检查比选申请文件的密封情况。 4.宣布比选会结束。主持人宣布比选会结束后,所有申请人代表应立即退场。 六、比选评审 (一)比选评审 详见第五章 (二)成交通知书 1.成交通知书为签订采购合同的依据之一,是合同的有效组成部分。 2成交通知书对比选人和中选人均具有法律效力。成交通知书发出后,比选人无正当理由改变中选结果,或者中选人无正当理由放弃中选的,将承担相应的法律责任。 3.中选人的比选申请文件作为无效比选申请文件处理或者有政府采购法律法规规章制度规定的中选无效情形的,比选人在取得有权主体的认定以后,有权宣布发出的成交通知书无效,并收回发出的成交通知书,依法重新确定中选人或者重新开展比选活动。 七、合同事项 (一)签订合同 1.中选人应在成交通知书发出之日起30日内与比选人签订采购合同。由于中选人的原因逾期未与比选人签订采购合同的,将视为放弃中选,取消其中选资格并将按相关规定进行处理。 2.比选文件、中选人的比选申请文件及双方确认的澄清文件等,均为有法律约束力的经济合同的组成部分。 3.比选人不得向中选人提出任何不合理的要求,作为签订合同的条件,不得与中选人私下订立背离合同实质性内容的任何协议,所签订的合同不得对比选文件和中选人比选申请文件确定的事项进行修改。 4.中选人因不可抗力原因不能履行采购合同或放弃中选的,比选人可以与排在中选人之后第一位的中选候选人签订采购合同,以此类推。 5.比选文件、中选人提交的比选申请文件、比选中的最后报价、中选人承诺书、成交通知书等均称为有法律约束力的合同组成内容。 (二)履行合同 1.中选人与比选人签订合同后,合同双方应严格执行合同条款,履行合同规定的义务,保证合同的顺利完成。 2.在合同履行过程中,如发生合同纠纷,合同双方应按照《中华人民共和国民法典》的有关规定进行处理。 (三)验收 1.本项目比选人将参照政府采购相关法律法规以及《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)、《政府采购需求管理办法》(财库〔2021〕22号)的要求进行验收。 2.验收结果合格的,中选人凭验收报告办理相关手续;验收结果不合格的,比选人有权要求中选人履行相关义务,直到验收合格。 (四)合同价款支付 比选人将按照采购合同规定,及时向中选人支付采购资金。本项目采购资金付款详见第四章规定的付款方式。 比选纪律要求(实质性要求) (一)申请人纪律要求 1.申请人应当遵循公平竞争的原则,不得恶意串通,不得妨碍其他申请人的竞争行为,不得损害比选人或者其他申请人的合法权益。 2.在比选过程中发现申请人有上述情形的,比选评审委员会应当认定其无效响应,并书面报告主管部门。 (二)申请人禁止性行为,申请人参加本项目比选不得具有以下情形: (1)提供虚假材料谋取中选; (2)采取不正当手段诋毁、排挤其他申请人; (3)与比选人、比选代理机构、或其他申请人恶意串通; (4)向比选人、比选代理机构、比选评审委员会成员行贿或者提供其他不正当利益; (5)在比选过程中与比选人、比选代理机构进行协商; (6)中选后无正当理由拒不与比选人签订采购合同; (7)未按照比选文件确定的事项签订采购合同; (8)将采购合同转包或者违规分包; (9)提供假冒伪劣产品; (10)擅自变更、中止或者终止采购合同; (11)拒绝有关部门的监督检查或者向监督检查部门提供虚假情况; (12)法律法规规定的其他情形。 申请人有上述情形的,按照规定追究法律责任,具备(1)-(10)条情形之一的,同时将取消被确认为中选人的资格或者认定中选无效。 九、其他 (一)本比选文件中所引相关法律制度规定,在采购中有变化的,按照变化后的相关法律制度规定执行。本章规定的内容条款,在本项目提交比选申请文件截止时间届满后,因相关法律制度规定的变化导致不符合相关法律制度规定的,直接按照变化后的相关法律制度规定执行,本比选文件不再做调整。 (二)比选文件内容前后有矛盾或不一致时:相关法律法规、规范性文件和强制性标准有专门规定的,以符合相关法律法规、规范性文件和强制性标准的为准;有时间先后顺序的,以时间在后的修改、澄清或补正文件为准;没有时间先后顺序的,以比选须知前附表为准,如前附表中无相关内容,在保证国家、集体和比选人利益不受损害的情况下按有利于申请人的原则进行处理。 (三)本项目涉及企业资质、产品认证、人员执业资格、行业标准等描述与国家最新要求不一致时以国家最新要求为准。 资格条件要求以及应当提供的资格证明材料 序号 本项目的资格要求 申请人应当提供的资格证明材料 1 具有独立承担民事责任的能力 (1)申请人若为企业法人:提供“统一社会信用代码营业执照”;未换证的提供“营业执照、税务登记证、组织机构代码证或三证合一的营业执照”; (2)若为事业法人:提供“统一社会信用代码法人登记证书”;未换证的提交“事业法人登记证书、组织机构代码证”; (3)若为其他组织:提供“对应主管部门颁发的准许执业证明文件或营业执照”; (4)若为自然人:提供“身份证明材料”; 2 具有健全的财务会计制度 申请人根据自身情况选择提供其中任意一项: (1)可提供2023或2024年度经审计的财务报告复印件(包含审计报告和审计报告中所涉及的财务报表和报表附注); (2)也可提供申请人内部的2023或2024年度财务报表复印件(至少包含资产负债表); (3)也可提供截至提交首次比选申请文件截止日一年内银行出具的资信证明(复印件); (4)申请人注册时间截至提交首次比选申请文件截止日不足一年的,也可提供工商管理部门备案的章程(复印件); (5)申请人为个体工商户或自然人时,可提供承诺函 3 具有良好的商业信誉和履行合同所必需的设备和专业技术能力 统一提供承诺函 (格式详见第六章) 4 有依法缴纳税收和社会保障资金的良好记录 5 参加本次比选活动前三年内,在经营活动中没有重大违法记录 6 法律、行政法规规定的其他条件 7 其他类似效力要求:授权参加本次比选活动的申请人代表证明 (1)法定代表人/单位负责人授权书原件(非法定代表人或单位负责人参与比选时提供,格式见第六章); (2)法定代表人/单位负责人参与比选时只须提供法定代表人/单位负责人身份证复印件 第四章比选内容及要求 一、项目概述 为了落实公安部、网信办以及教育厅对高校应用系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故依据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全等级保护管理办法》(公通字[2007]43号)和《中华人民共和国网络安全法》等标准规范,四川铁道职业学校现拟招一家供应商提供等保测评服务。 二、技术参数要求 1.测评要求 根据项目需求,为保障信息安全现场测评过程安全可控,明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程: 序号 关键实施阶段 工作要求 1 确定测评范围 明确本次被测评信息系统的范围,包括每个信息系统的范围、信息系统的边界等。 2 获得信息系统的信息 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 3 确定具体的测评对象 初步确定每个信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。 4 确定测评工作的方法 根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法。 5 制定测评工作计划 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 6 实施等级保护测评 实施测评,包括人工检查、工具扫描等方式。 7 项目总结 对测评结果进行总结、汇报 2.测评内容 按照网络安全等级保护测评依据开展测评工作(包括不限于以下项目): (1)安全物理环境 安全物理环境检查主要是了解信息系统的物理安全保障情况,涉及对象为机房。在内容上,安全物理环境层面测评实施过程涉及的工作单元,具体如下表: 表1安全物理环境测评内容 序号 工作单元名称 工作单元描述 1 物理位置的选择 检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 2 物理访问控制 检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 3 防盗窃和防破坏 检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 4 防雷击 检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 5 防火 检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 6 防水和防潮 检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 7 防静电 检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 8 温湿度控制 检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 9 电力供应 检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 10 电磁防护 检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 (2)安全通信网络 安全通信网络检查主要是了解系统的网络架构和通信传输等,涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上,安全通信网络层面测评过程涉及的工作单元,具体如下表: 表2安全通信网络测评内容 序号 工作单元名称 工作单元描述 1 网络架构 检查核心设备的CPU和内存使用率,整个网络带宽是否满足现状,VLAN划分是否合理,网络架构是否做到设备冗余、链路。 2 通信传输 检查数据在传输过程中的的完整性和保密性措施。 3 可信计算 检查设备是否进行可信验证。 (3)安全区域边界 安全区域边界检查主要是了解系统在网络边界的防护措施,涉及对象为防火墙、入侵检测、安全审计等安全设备。在内容上,安全区域边界层面测评实施过程涉及的工作单元,具体如下表: 表3安全区域边界测评内容 序号 工作单元名称 工作单元描述 1 边界防护 检查网络边界是否有访问控制设备,访问控制策略是否合理,是否关闭了闲置端口等。 2 访问控制 检查网络中的访问控制策略是否合理、有效。 3 入侵防范 检查网络中是否采用了入侵防范措施,验证该措施是否有效。 4 恶意代码和垃圾邮件防范 检查网络中是否有恶意代码和垃圾邮件防范措施。 5 安全审计 检查网络中是否有综合安全审计措施。 6 可信验证 检查设备是否进行可信验证。 (4)安全计算环境 安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施,涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上,安全计算环境层面测评实施过程涉及的工作单元,具体如下表: 表4应用系统安全测评内容 序号 工作单元名称 工作单元描述 1 身份鉴别 检查所有设备的登录用户是否有身份鉴别措施,是否有复杂度、唯一性等检查。 2 访问控制 检查用户的权限分配情况,默认用户和默认口令使用情况等。 3 安全审计 检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。 4 入侵防范 检查设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 5 恶意代码防范 检查设备的恶意代码防范情况。 6 可信验证 检查设备是否进行可信验证。 7 数据完整性 检查系统数据的传输完整性和存储完整性措施。 8 数据保密性 检查系统数据的传输保密性和存储保密性措施。 9 数据备份恢复 检查系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 10 剩余信息保护 检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 11 个人信息保护 检查系统对个人信息的采集和使用情况。 (5)安全管理中心 安全管理中心检查主要是了解系统在管理、审计等集中管理的情况,涉及对象为综合管理类设备、综合审计类设备等。在内容上,安全管理中心实施过程涉及的工作单元,具体如下表: 表5安全管理中心测评内容 序号 工作单元名称 工作单元描述 1 系统管理 检查是否对系统管理员进行统一的身份鉴别,操作审计等。 2 审计管理 检查是否对审计管理员进行统一的身份鉴别,操作审计等。 3 安全管理 检查是否对安全管理员进行统一的身份鉴别,操作审计等。 4 集中管控 检查是否划分独立的安全管理区域,是否对网络中运行的设备进行状态监测、日志审计、安全审计等,是否对补丁、恶意代代码进行统一管理。 (6)安全管理制度 安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元,具体如下表: 表6安全管理制度测评内容 序号 工作单元名称 工作单元描述 1 安全策略 核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略 2 管理制度 检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 3 制定和发布 检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 4 评审和修订 检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 (7)安全管理机构 安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况,主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及的工作单元,具体如下表: 表7安全管理机构测评内容 序号 工作单元名称 工作单元描述 1 岗位设置 检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 2 人员配备 检查人员名单等文档,测评信息系统各个岗位人员配备情况。 3 授权和审批 检查相关文档,测评信息系统对关键活动的授权和审批情况。 4 沟通和合作 检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 5 审核和检查 检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 (8)安全管理人员 安全管理人员测评是为了了解单位人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程涉及的工作单元,具体如下表: 表8安全管理人员测评内容 序号 工作单元名称 工作单元描述 1 人员录用 检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 2 人员离岗 检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 3 安全意识教育和培训 检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 4 外部人员访问管理 检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 (9)安全建设管理 安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全建设管理测评实施过程涉及的工作单元,具体如下表: 表9安全建设管理测评内容 序号 工作单元名称 工作单元描述 1 定级和备案 检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 2 安全方案设计 检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 3 产品采购和使用 测评是否按照一定的要求进行系统的产品采购。 4 自行软件开发 检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 5 外包软件开发 检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 6 工程实施 检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 7 测试验收 检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 8 系统交付 检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 9 等级测评 检查系统之前等级测评的情况,以及之前测评机构的资质等。 10 服务供应商选择 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 (10)安全运维管理 安全运维管理测评是为了了解系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程涉及的工作单元,具体如下表: 表10安全运维管理测评内容 序号 工作单元名称 工作单元描述 1 环境管理 检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 2 资产管理 检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 3 介质管理 检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 4 设备维护管理 检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 5 漏洞和风险管理 检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 6 网络和系统安全管理 检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容;检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容;核查是否具有对日志、监测和报警数据等进行分析统计的报告;核查开通远程运维的审批记录,核查针对远程运维的审计日志是否不可以更改等。 7 恶意代码防范管理 检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 8 配置管理 检查是否对基本配置信息进行记录和保存,基本配置信息改变后是否及时更新基本配置信息库等。 9 密码管理 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 10 变更管理 检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 11 备份与恢复管理 检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 12 资产管理 检查是否有资产清单,清单是否包括资产类别、资产责任部门、重要程度和所处位置等内容;是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施的选取上是否不同;核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。 13 应急预案管理 检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 14 外包运维管理 检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 3.交付产物 包括但不仅限于以下资料: (1)★信息系统安全等级测评报告(包含整改建议)。 (2)公安机关要求的、其他未列入的相关资料。 三、项目技术、服务要求(实质性要求) (1)服务时间:合同签订之日起至取得中标供应商出具的官网和数据中心《网络系统安全等级保护测评报告》且提供《网络安全等级保护测评项目登记管理系统》中显示全面完成测评工作的截图佐证资料。 (2)服务地点:四川铁道职业学院。 (3)自合同签订之日起,提供一年7*24小时等级保护和网络安全咨询服务。 (4)付款方式: ①甲方收到乙方开具的合法合规的有效增值税发票等票据凭证资料后10个工作日内,支付70%作为项目实施预付款。项目实施完毕经甲乙双方最终验收合格,且收到乙方开具的合法有效完整合格的项目尾款增值税发票后10个工作日内,支付余款30%。 ②乙方须向甲方出具合法有效完整的完税增值税发票及凭证资料进行支付结算。若乙方未提供前述发票或凭证资料,或提供的发票不合法合规,凭证资料不完整等,甲方有权不予支付合同价款,并不视为甲方违约。 (5)验收内容: 完整有效的测评目标的等级测评报告、信息系统安全整改建议报告,公安机关通过相关的等级保护备案审查。 (6)验收标准: ①等级测评报告通过公安机关审核。若不能达到审核标准,须指导学校进行安全整改,并重新完成测评,直至通过审核。 ②信息系统安全整改建议报告在符合学校实际情况的条件下,详细完整,可实际操作。 ③《网络安全等级保护测评项目登记管理系统》中显示全面完成测评工作的截图佐证资料。 ④存在国家强制规定或行业标准的遵照相关规定执行。 第五章比选评审办法 一、总则 1.比选人将根据比选项目特点组建评审委员会,采取综合评分法。 2.比选评审工作应遵循公平、公正、科学及择优的原则,并以相同的比选评审程序和标准对待所有的申请人。 3.评审委员会按照比选文件规定的评审方法和标准进行评审,并独立履行下列职责: (1)审查比选申请文件是否符合比选文件要求,并作出评价; (2)要求参加申请人对比选申请文件有关事项作出解释或者澄清; (3)推荐中选候选人名单。 二、比选评审 1.资格性检查。根据比选文件的规定,对比选申请文件中的资格证明等进行审查,以确定申请人是否具备比选资格。 2.符合性检查。根据比选文件的规定,从比选申请文件的所有实质性要求进行审查,以确定是否对比选文件的实质性要求作出响应。 3.澄清有关问题。比选评审委员会可要求申请人对其比选申请文件中非实质性的有关问题进行澄清、说明或者补正。有关澄清、说明或者补正的要求和答复应以书面形式提交。申请人的澄清、说明或者补正不得超出比选申请文件的范围或者改变比选申请文件的实质性内容。 4.比较与评价。按比选文件中规定的比选评审方法和标准,对资格性检查和符合性检查合格的比选申请文件按照以下综合评分表进行综合比较与评价。 5.推荐中选候选人名单。中选候选人数量应当根据采购需要确定,但必须按顺序排列中选候选人。 6.编写比选评审报告。比选评审报告是比选评审委员会根据全体比选评审成员签字的原始比选评审记录和比选评审结果编写的报告。 7.中选。比选人根据中选候选人名单,原则上选择综合得分最高的申请人为中选人,若遇到特殊情况比选人可自主根据中选候选人名单确定中选人。 三、比选评审办法 本次比选采用综合评分法。 四、评分办法说明 对各投标文件采取综合评分法进行详细评审,满分为100分,招标主要考评因素包括综合投标报价(10%)、企业资质(16%)、测评团队能力要求(30%)、技术能力(44%)五个方面,各投标人各方面的所有评价指标的得分之和就是该投标人的综合得分。 详细评分标准如下表: 序号 评分因素及权重 分 值 评分标准 说明 1 综合投标报价10% 10分 满足竞争性比选文件要求且报价最低的供应商的价格为评标基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:投标报价得分=(评标基准价/最后投标报价)×价格权重×100(保留小数点后两位,第三位四舍五入) 2 企业资质16% 企业实力 10分 1.供应商通过质量管理体系认证,且认证范围“信息安全等级保护测试评估服务”得2分; 2.供应商通过信息安全管理体系认证,且认证范围“信息安全等级保护测试评估服务”得2分; 3.供应商通过环境管理体系认证,且认证范围“信息安全等级保护测试评估服务”得2分; 4.供应商具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书得2分; 5.供应商具有工业信息安全监测应急支撑单位证书得2分。 资质或资格证书加盖投标人公章 履约经验 6分 供应商自2023年1月1日至今每有一个等保测评相关案例得1.5分,最多得6分。 提供相关合同复印件加盖投标人公章 3 测评团队能力要求30% 项目总测评师 8分 供应商为本项目配备的总测评师具有网络安全等级测评师高级证书的同时提供以下证书: 1.工业互联网安全评估师高级证书(CIISA); 2.计算机技术与软件专业资格信息安全工程师(软考类); 3.信息安全保障人员认证证书CISAW(认证方向分别为:安全运维、应急服务); 4.人社部门颁发的网络安全服务工程师高级职称证书。 以上四项证书每提供一项得2分,全部满足得8分。 ①拟配人员需提供本单位投标截止前连续三个月社保证明材料; ②提供证书复印件并加盖供应商单位公章。 ③拟派项目总测评师与项目经理、渗透测试工程师不得兼任; ④拟派的其余测评人员,同一人拥有多个证书的以最高单项计分,不累加得分。 项目经理 8分 供应商为本项目配备的项目经理具有信息安全等级测评师高级证书的同时提供以下证书: 1.注册信息安全专业人员证书(CISP); 2.信息安全保障人员认证证书(CISAW)认证方向:风险管理(专业级); 3.人社部门颁发的网络安全服务工程师高级职称证书; 4.国家信息安全水平证书(一级)。 以上四项证书每提供一项得2分,全部满足得8分。 渗透测试工程师 6分 供应商为本项目配备的渗透测试工程师具有信息安全等级测评师中级及以上证书的同时提供以下证书: 1.个人信息保护专业人员认证证书(PIPP); 2.数据安全评估师(DSA); 3.注册渗透测评工程师证书(CISP-PTE)。 以上三项证书每提供一项得2分,全部满足得6分。 测评人员 8分 供应商为本项目配备的其余测评人员具有以下资质: 1.个人信息保护专业人员认证证书(PIPP); 2.国家重要信息系统保护人员证书; 3.信息安全保障人员CISAW证书; 4.注册渗透测试专家(CISP-PTS)。 以上四项证书每提供一项得2分,全部满足得8分。 4 技术能力44% 技术方案 24分 (一)供应商根据本项目的服务内容及要求编制实施服务方案,提供的方案包括以下内容:1.等保测评流程;2.等保测评方法;3.等保测评指标;4.评测质量控制及保证措施;5.项目应急保障方案;6.项目实施计划。 内容完整、无缺失项、完全符合采购需求得24分,每有一项内容缺失的扣4分;每项有一处缺陷的扣2分,扣完本项分为止。 (缺陷是指:本项目提供的方案中引用法律、规范、标准存在失效或错误;项目名称、地点区域与本项目要求不符;方案内容矛盾或表述前后不一致、内容不完善、不适应本项目采购需求;仅有框架或标题、明显套用其他项目内容任意一种情形) 10分 (二)供应商针对本项目编制安全技术测评方案,包括以下内容:1.安全物理环境测评;2.安全通信网络测评;3.安全区域边界测评;4.安全计算环境测评;5.安全管理中心。内容完整、无缺失项、完全符合采购需求得10分,每有一项内容缺失的扣2分;每项有一处缺陷的扣1分,扣完本项分为止。 (缺陷是指:本项目提供的方案中引用法律、规范、标准存在失效或错误;项目名称、地点区域与本项目要求不符;方案内容矛盾或表述前后不一致、内容不完善、不适应本项目采购需求;仅有框架或标题、明显套用其他项目内容任意一种情形) 10分 (三)供应商针对本项目编制安全管理测评方案,包括以下内容:1.安全管理制度测评;2.安全管理机构测评;3.安全管理人员测评;4.安全系统建设测评;5.安全系统运维管理测评。内容完整、无缺失项、完全符合采购需求得10分,每有一项内容缺失的扣2分;每项有一处缺陷的扣1分,扣完本项分为止。 (缺陷是指:本项目提供的方案中引用法律、规范、标准存在失效或错误;项目名称、地点区域与本项目要求不符;方案内容矛盾或表述前后不一致、内容不完善、不适应本项目采购需求;仅有框架或标题、明显套用其他项目内容任意一种情形) 第六章比选申请文件格式 (正本) 竞争性比选申请文件 申请人名称: 项目编号: 包号:(若有) 日期:XX年XX月XX日 一、申请函 xxxxxxxxx: 我方全面研究了“XXX”项目比选文件(比选编号:XXX),决定参加贵单位组织的本项目比选。 我方授权XXX(姓名、职务)代表我方XXX(申请人名称)全权处理本项目比选的有关事宜。 1、我方自愿按照比选文件规定的各项要求向比选人提供所需货物/服务。 2、一旦我方中选,我方将严格履行合同规定的责任和义务。 3、我方为本项目提交的比选申请文件正本1份。 4、我方承诺比选有效期为比选截止日后XXX天(日历日)。 5、我方愿意提供贵校可能另外要求的,与比选有关的文件资料,并保证我方已提供和将要提供的文件资料是真实、准确的。 6、我方完全理解比选人不一定将合同授予最低报价的申请人的行为。 申请人名称:(盖章) 法定代表人/单位负责人或授权代表(签字): 通讯地址: 邮政编码: 联系电话: 传真: 日期: 二、法定代表人/单位负责人授权书 四川铁道职业学院: 本授权声明:XXXX(申请人名称)XXXX(法定代表人/单位负责人姓名、职务)授权XXXX(被授权人姓名、职务)为我方“项目名称1”(项目编号:系统生成)比选活动的合法代表,以我方名义全权处理该项目有关比选采购、签订合同以及执行合同等一切事宜。 特此声明。 法定代表人/单位负责人(委托人)签字或加盖个人印章:XXXX。 授权代表(被授权人)签字:XXXX。 申请人名称:XXXX(单位盖章)。 日期:XXXX。 身份证复印件 身份证复印件 身份证复印件 身份证复印件 注: 1.非法人单位提供单位负责人授权书。 2.须附法定代表人/单位负责人和授权代表身份证复印件(身份证两面均应复印),否则无效。 3.法定代表人/单位负责人参与比选时只须提供法定代表人/单位负责人身份证复印件。 4.申请人的法定代表人/单位负责人为外籍人士的,则提供护照复印件。 三、承诺函 四川铁道职业学院: 我方全面研究了“项目名称1”比选文件(项目编号:系统生成),决定参加贵单位组织的本项目比选采购。 1.具备《中华人民共和国政府采购法》第二十二条规定的条件: (1)具有独立承担民事责任的能力; (2)具有良好的商业信誉和健全的财务会计制度; (3)具有履行合同所必需的设备和专业技术能力; (4)有依法缴纳税收和社会保障资金的良好记录; (5)参加采购活动前三年内,在经营活动中没有重大违法记录; (6)法律、行政法规规定的其他条件; (7)根据采购项目提出的特殊条件。 2.我方已认真阅读并接受本项目比选文件的全部实质性要求,如对比选文件有异议,已依法进行维权救济,不存在对比选文件有异议的同时又参加比选以求侥幸成交或者为实现其他非法目的的行为。若提起质疑,我方承诺将在一次性提出。且在质疑内容中提供对应的证明材料。 3.在参加本次采购活动中,不存在与单位负责人为同一人或者存在直接控股、管理关系的其他申请人参与同一合同项下的采购活动的行为。 4.为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的申请人,不得再参加该采购项目的其他采购活动,我方承诺不属于此类禁止参加本项目的申请人。 5.在参加本次采购活动中,不存在和其他申请人在同一合同项下的采购项目中,同时委托同一个自然人、同一家庭的人员、同一单位的人员作为代理人的行为。 6.我方实际控制人或者中高级管理人员,不存在同时是比选人工作人员的情形。 7.不存在同一母学校的两家以上的子学校,以不同申请人身份同时参加本项目同一合同项下的采购活动的情形。 8.我方与比选人不存在关联关系,也不是比选人的母学校或子学校。 9.比选申请文件中提供的任何资料和技术、服务、商务等响应承诺情况都是真实的、有效的、合法的。 10.如本项目比选采购过程中需要提供样品,则我方提供的样品即为成交后将要提供的成交产品,我方对提供样品的性能和质量负责,因样品存在缺陷或者不符合比选文件要求导致未能成交的,我方愿意承担相应不利后果。 11.国家或行业主管部门对采购产品的技术标准、质量标准和资格资质条件等有强制性规定的,我方承诺符合其要求。 12.我方保证在本项目使用的任何产品和服务(包括部分使用)时,不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷,如因专利权、商标权或其它知识产权而引起法律和经济纠纷,由我方承担所有相关责任。除非比选文件特别规定,比选人享有本项目实施过程中产生的知识成果及知识产权。如我方在采购项目实施过程中采用自有或者第三方知识成果的,使用该知识成果后,我方承诺提供开发接口和开发手册等技术资料,并提供无限期支持,比选人享有使用权(含比选人委托第三方在该项目后续开发的使用权)。如我方在项目实施过程中采用非自有的知识产权,则在报价中已包括合法获取该知识产权的相关费用。 13.我方自愿按照比选文件规定的各项要求向比选人提供所需货物和服务。 14.一旦我方成交,我方将严格履行采购合同规定的责任和义务。 15.我方愿意提供贵单位可能另外要求的,与比选报价有关的文件资料,并保证我方已提供和将要提供的文件资料是真实、准确的。 16.我方接受比选人按照采购合同约定金额支付采购资金,报价以比选申请文件为准。 本单位对上述承诺的内容事项真实性负责。如经查实上述承诺的内容事项存在虚假,我单位愿意接受以提供虚假材料谋取成交追究法律责任。 申请人名称:XXXX(单位公章) 法定代表人/单位负责人或授权代表(签字或加盖个人印章):XXXX。 日期:XXXX。 四、申请人基本情况表 申请人名称 注册地址 邮政编码 联系方式 联系人 电话 传真 网址 组织结构 法定代表人 姓名 技术职称 电话 技术负责人 姓名 技术职称 电话 成立时间 员工总人数: 企业资质等级 其中 项目经理 营业执照号 高级职称人员 注册资金 中级职称人员 开户银行 初级职称人员 账号 技工 经营范围 备注 申请人名称:XXXX(单位公章) 法定代表人/单位负责人或授权代表(签字): 日期: 五、申请人类似项目业绩一览表 年份 用户名称 项目名称 完成时间 合同金额 备注 六、技术参数要求响应情况表 序号 比选文件要求 响应内容 差异说明 (若有) 注:申请人按照比选文件“第四章”“技术参数要求”的全部逐项梳理填写本表。 申请人名称:XXX(盖单位公章) 法定代表人/单位负责人或授权代表(签字或加盖个人印章):XXX 日期:XXX年XXX月XXX日 七、商务应答表 序号 比选文件要求 响应内容 差异说明 (若有) 注:申请人按照比选文件“第四章”“商务要求”的全部逐项梳理填写本表。 申请人名称:XXX(盖单位公章) 法定代表人/单位负责人或授权代表(签字或加盖个人印章):XXX 日期:XXX年XXX月XXX日 八、报价一览表 项目名称: 项目编号: 包号: 我方自愿按照招标文件规定的各项要求向采购人提供所需服务,投标报价如下:。 申请人名称(加盖公章): 法定代表人/单位负责人或授权代表(签字或加盖个人印章):XXXX 日期:XXXX 九、申请人其他需要补充的资料 针对比选文件的要求,申请人认为需要提供的其它资料。例如特殊资格条件证明材料等等 (格式自拟) 第七章采购合同条款(草案) 采购合同 合同编号: 签订地点:四川省成都市郫都区安德街道彭温路399号 签订时间:2025年月日。 采购人(甲方):四川铁道职业学院 供应商(乙方): 根据《中华人民共和国政府采购法》《中华人民共和国合同法》及采购项目(项目编号:)的《招标文件》、乙方的《投标文件》及《中标通知书》,甲、乙双方同意签订本合同。详细技术说明及其他有关合同项目的特定信息由合同附件予以说明,合同附件及本项目的招标文件、投标文件、《中标通知书》等均为本合同不可分割的部分。双方同意共同遵守如下条款: 服务名称 系统名称 保护等级 测评完成期限 2025年官网三级测评服务 学院官网 三级 90天(不含2025年暑期放假时间) 2025年数据中心三级测评服务 数据中心 三级 备注:服务内容为:对甲方指定的信息系统进行等级保护测评并出具测评报告。具体服务内容包括: (1)信息系统测评,提供整改建议,并协助甲方进行安全建设整改,完成等级保护测评工作; (2)出具《网络安全等级保护测评报告》,等级测评报告通过公安机关备案且提供《网络安全等级保护测评项目登记管理系统》中显示全面完成测评工作的截图佐证资料。若不能达到备案要求,须指导学校进行安全整改,并重新完成测评,直至通过备案; (3)其他与本次等级保护测评相关的工作; (4)特别说明:本合同中四川铁道职业学院官网信息系统网络安全第三级等级测评属于复测评,成都市公安局不再重新发放《信息系统安全等级保护备案证明》证书。但服务和结果均应超过有关检测标准,通过相关行政验收、监测(如有)。 二、合同总价 合同总价为人民币大写:,即RMB¥.00元;该合同总价已包括乙方承担的直接工程费、间接费、利润、其它摊入费(应由乙方承担的义务、责任和风险所发生的一切费用)及税费等全部费用。本合同执行期间合同总价不变,甲方无须另向乙方支付本条规定之外的其他任何费用。 三、质量要求 1、乙方在对甲方指定的信息系统进行测评中,必须严格依照《(GB/T22239-2019)信息安全技术网络安全等级保护基本要求》、《GB/T28448-2019信息安全技术信息系统安全等级保护测评要求》以及《GB/T28449-2018信息安全技术信息系统安全等级保护测评过程指南》等相关要求与标准执行。 2、在测评过程中,为保证测评结果真实有效,甲方应协助并向乙方提供有关信息系统测评所需的文档资料,这些文档资料包括但不限于:信息系统安全等级保护备案表、网络拓扑、IP地址、业务流程、规章制度、记录表格等。甲方应根据乙方提交的测评方案和工作计划,向乙方提供工作便利,包括但不限于:进入机房的授权、管理员的配合等。 3、乙方在对甲方指定的信息系统进行测评后,依照本节第1条所列的要求和指南,甲方的信息系统不能达到要求的,乙方必须在初次出具报告时指导甲方的整改工作,包括但不限于机房环境安全、网络环境安全、服务器安全、信息系统安全、制度安全和人员安全等方面,并提出具有可操作性的整改意见。 4、乙方保证在为甲方提供服务过程中所使用的产品、资料、技术不涉及任何第三方利益、不侵犯任何第三方的知识产权和其他权益,且不存在任何与此相关的争议,若乙方违反上述保证给甲方和第三方造成损失,乙方应负责全额赔偿。 四、交货及验收 1、乙方提交最终测评报告期限为合同签订生效后的90日(不含2025年暑期放假时间)内,乙方应在合同签订生效之日起90天(不含2025年暑期放假时间)内到甲方指定测评地点(甲方指定地点为:四川铁道职业学院图书信息中心),实施等级保护测评工作,并向甲方递交最终测评报告并通过甲方验收(如由于采购人的原因造成合同延迟签订、项目延迟整改或验收的,时间相应顺延)。 2、验收由甲方组织,乙方配合进行: (1)乙方向甲方提交最终测评报告,甲方提交至公安机关备案通过后,甲方应及时组织验收。 (2)验收标准:按国家有关规定以及甲方招标文件的质量要求和技术指标、乙方的投标文件及承诺与本合同约定标准进行验收;甲乙双方如对质量要求和技术指标的约定标准有相互抵触或异议的事项,由甲方在招标与投标文件中按质量要求和技术指标比较优胜的原则确定该项的约定标准进行验收;测评报告应符合同等要求,不应存在虚假、遗漏、缺陷、错误等。 (3)验收时如发现所交付的测评报告不能用于公安等级测评报备及本合同规定之情形或存在虚假、遗漏、缺陷、错误者(前提条件为甲方按照乙方整改意见完成相应整改工作),甲方应做出详尽的现场记录,或由甲乙双方签署备忘录,乙方应无条件按甲方要求完善或重做并经甲方重新验收,直至达到要求,由此产生的时间延误与全部费用由乙方承担; (4)如质量验收合格,双方签署质量验收报告,签署质量验收报告之日为最终测评报告验收合格之日。 3、乙方应将所提供测评报告的清单等资料一并交付给甲方;乙方不能完整交付测评报告及本款规定的单证和资料的,必须负责补齐,否则视为不能交货。 4、如经乙方2次完善仍不能完成公安等级测评报备工作(前提条件为甲方按照乙方整改意见完成相应整改工作),甲方有权单方解除本合同,并视作乙方不能完成本服务而须支付违约金给甲方,违约金为本合同总价款的30%,若违约金不足以弥补甲方损失的,甲方还可依法要求乙方赔偿损失。 五、付款方式 1、合同采取两次付款执行。甲方收到乙方开具的合法合规的有效增值税发票等票据凭证资料后10个工作日内,支付70%(¥.00元,人民币大写:)作为项目实施预付款。项目实施完毕经甲乙双方最终验收合格,且收到乙方开具的合法有效完整合格的项目尾款增值税发票后10个工作日内,支付余款30%(¥元,人民币大写:)。 2、乙方须向甲方出具合法有效完整的完税增值税发票及凭证资料进行支付结算。若乙方未提供前述发票或凭证资料,或提供的发票不合法合规,凭证资料不完整等,甲方有权不予支付合同价款,并不视为甲方违约。 六、售后服务 1、质保期为最终测评报告验收合格并交付甲方后壹年,质保期内测评机构要对出具的测评报告负责,若出现有关等级保护测评报告的相关问题,乙方在接到甲方通知后4小时内响应到场,免费提供相关咨询服务并协助甲方处理。如乙方未依约履行质保期义务,甲方有权终止合同并依约追究乙方的违约责任,违约金为本合同价款的30%,若违约金不足以弥补甲方损失的,甲方还可依法要求乙方赔偿损失,同时履约保证金不予退还乙方。 2、服务周期为壹年,自本合同生效之日起算。服务周期内,乙方向甲方提供7*24小时等级保护和网络安全咨询服务,结合甲方实际需要经授权委托提供“官网”系统和“数据中心”系统漏洞扫描服务并出具安全评估报告。服务期内,乙方未依约履行服务,且经沟通仍拒绝履行,甲方有权终止合同并依约追究乙方的违约责任,违约金为本合同价款的5%,若违约金不足以弥补甲方损失的,甲方还可依法要求乙方赔偿损失。同时履约保证金不予退还乙方。 3、乙方须指派专人(联系人:电话:)负责与甲方联系售后服务事宜。乙方更换联系人需提前30日告知甲方,并经甲方同意,否则视为乙方违约,应承担本合同价款5%的违约金。 4、乙方免费向甲方提供信息安全意识及教育培训。 七、违约责任 1、甲方违约责任 (1)甲方无正当理由拒收《网络安全等级保护测评报告》的,甲方应偿付合同总价百分之5的违约金; (2)甲方无正当理由逾期支付款项的,除应及时付足款项外,应向乙方偿付欠款总额万分之5/天的违约金;逾期付款超过30天的,乙方有权终止合同; (3)甲方偿付的违约金不足以弥补乙方损失的,还应按乙方损失尚未弥补的部分,支付赔偿金给乙方。 2、乙方违约责任 (1)乙方交付的《网络安全等级保护测评报告》不能满足公安等级测评报备标准要求,乙方应向甲方支付合同总价的百分之5的违约金,并须在合同规定的或甲方指定的交货时间内更换合格的测评报告给甲方,否则,视作乙方不能交付测评报告而违约,还应按本条本款下述第“(2)”项规定由乙方偿付违约金给甲方。 (2)非甲方整改时间过长而导致乙方不能交付《网络安全等级保护测评报告》或逾期交付《网络安全等级保护测评报告》而违约的,除应及时交付测评报告外,应向甲方偿付合同总价款万分之5/天的违约金;不能交付或逾期交付超过30天,甲方有权单方解除合同,乙方则应按合同总价的百分之5的款额向甲方偿付违约金,并须全额退还甲方已经付给乙方的款项及其利息。此次服务期限不包含整改时间,如因甲方整改时间过长导致工期延长双方可就服务时间另行协商,作为本合同的补充协议,如若甲方拒不整改,乙方可依据《网络安全等级保护测评机构管理办法》相关要求按照最后一次测评结果出具《网络安全等级保护测评报告》并将结果报公安机关。 (3)乙方保证本合同测评报告的权利无瑕疵,包括测评报告知识产权等权利无瑕疵。如任何第三方向甲方主张权利或索赔,或经法院(或仲裁机构)裁决有权对上述测评报告主张权利或处罚,乙方除应向甲方返还已收款项本息外,还应另按合同总价的百分之10向甲方支付违约金并赔偿因此给甲方造成的一切损失。 (4)乙方偿付的违约金不足以弥补甲方损失的,还应按甲方损失尚未弥补的部分,支付赔偿金给甲方,甲方损失包括但不限于为实现权利产生的诉讼费、律师费、差旅费等。 (5)如测评结果为“差”(不能满足等级保护要求),在乙方的指导下,甲方未能完成整改工作,最终因甲方原因导致测评结论为“差”的,乙方不承担责任。 八、争议解决办法 1、因测评报告的质量问题发生争议,由相关部门进行质量鉴定。测评报告符合标准的,鉴定费由甲方承担;测评报告不符合质量标准的,鉴定费由乙方承担。 2、合同履行期间,若甲乙双方发生争议,可协商或由有关部门调解解决,协商或调解不成的,由合同履行地即甲方指定测评地点有管辖权的法院解决。败诉方应承担胜诉方为解决争议支付的包括律师费、诉讼费、保全费在内的一切费用。 九、合同生效及其他 1、合同经双方法定代表人或授权委托代理人签字并加盖单位公章后生效,未尽事宜双方友好协商解决。 2、合同执行中涉及采购资金和采购内容修改或补充的,须经相关部门审批,并签书面补充协议报监督管理部门备案,方可作为主合同不可分割的一部分。 3、本合同一式玖份,每份具有同等法律效力,甲方执陆份,乙方执叁份。 4、本合同附件包括项目磋商文件、项目修改澄清文件、项目响应文件、成交通知书及前述文件中提到的附件。本合同附件内容与本合同不一致的,以本合同约定为准;附件内容之间不一致的,由甲方按照最优于甲方签订本合同目的的原则选择确认适用内容。 5、甲乙双方因履行本合同而相互发出或者提供的所有通知、文件、资料,均以甲乙双方页尾所列地址送达,一方如果迁址或者变更联系人、联系电话,应当书面通知对方。 十、合同附件 附件一:《保密协议书》 附件二:《现场测评授权书》 附件三:《渗透测试授权书》 附件一 等保测评保密协议 甲方:四川铁道职业学院 乙方: 甲、乙双方根据《中华人民共和国反不正当竞争法》和国家、地方有关规定,就双方商务、技术等私密保护达成如下协议: 一、保密内容和范围 1.项目所涉及的商务洽谈内容(含服务价格)及技术交流获得提供的与本项目有关的技术资料、需求分析等内容。 2.与项目有关的设计方案、实施方案、测试记录、测试成果等内容。 3.乙方在合同期内因工作行为所接触和掌握到的甲方技术成果、设备配置、网络搭建、技术文档等相关技术资料以及甲方的全部非公开信息。 4.乙方在履行本合同过程中所创造产生的所有知识产权。 5.《中华人民共和国保密法》和国家、地方有关规定的保守国家秘密的内容。 二、双方的权利和义务 1.乙方必须严格遵守甲方的保密制度,严禁泄漏国家和商业秘密及技术秘密。 2未经甲或乙方书面同意,任何一方不得将任何商业秘密及技术秘密向本项目无关的第三方泄露或复制传递,但向监管部门以及根据国家法律法规规定和政府有关部门要求提供除外。 三、协议期限 1.甲、乙双方签署的服务合同终止后,本协议项下的保密义务并不必然终止,直至相关保密信息非因承担保密义务的一方原因成为公开信息时止或双方按照下款规定终止保密协议。 2.服务合同终止后,双方若协商一致终止本保密协议,则本协议终止。单方面终止无效。 本保密协议经甲乙双方加盖公章后生效。 甲方:四川铁道职业学院(盖章) 日期:年月日 乙方:(盖章) 日期:年月日 附件二 现场测评授权书 甲方:四川铁道职业学院 乙方: 甲方委托乙方对合同中所涉及测评服务对象开展等级保护测评服务(包括安全基线检测和渗透测试等等级保护规范要求,以下简称“测评”)。 为确保测评工作的顺利进行,并保证甲方信息系统所涉及的操作系统、应用系统及网络等的文档和数据的安全性,甲乙双方就下述事宜达成一致,特制定本协议。 一、甲方责任 1、甲方提供准确的信息系统信息(包括应用系统、网络系统、服务器系统、数据及备份系统、相关文档资料的基本信息),并安排专人全程配合测评工作,确保测评工作的顺利进行。 2、甲方允许乙方在测评过程中对所获取的信息进行必要的记录。 3、甲方应在测评工作中配合乙方测评工作,以确保乙方所获取信息的真实性。 4、甲方应在测评前对相关数据进行必要的备份。 5、甲方在未经乙方允许的情况下,不得泄露乙方在测评工作中所使用的测试方法、技术及相关输出。 二、乙方责任 1、对于乙方在测评过程中所获取的任何信息,仅在编写报告时使用。 2、在未经授权的情况下,乙方不得向任何单位提供测评过程中所获取的信息。 3、乙方在测评过程中应尽量避免影响甲方业务的正常运行,若出现意外操作而导致的异常则应立刻通知甲方并积极配合协商解决。 4、在测试完成后,乙方承诺不对外泄露甲方测试信息。 5、测评现场工作可能会给被测系统带来如下风险: 网络性能变慢; 网络设备性能变慢或停机; 主机服务器性能变慢或停机; 应用系统性能变慢或下线; 数据库数据可能会丢失。 鉴于以上风险,被测单位应提前做好各项数据、设备和系统的备份工作和应急响应工作。并请被测单位派遣人员全程陪同进行机房和信息系统以及渗透测评相关工作。 甲方:四川铁道职业学院(盖章) 日期:年月日 乙方:(盖章) 日期:年月日 附件三 渗透测试授权书 甲方:四川铁道职业学院 乙方: 甲方委托乙方对甲方的“官网”和“数据中心”系统进行_漏洞扫描、渗透测试_安全测试(以下简称“安全测试”)。 为确保测试的顺利进行,并保证甲方系统、应用及网络的稳定性和数据的安全性,甲乙双方就下述事宜达成一致,特制订本协议。 一、甲方责任 1.甲方提供准确的被测试系统的IP或域名信息。 2.甲方允许乙方在测试过程中对所获取的信息进行必要的记录。 3.若甲方要求乙方提供相关测试工具,则甲方不可使用乙方所提供工具从事危害网络安全的非法行为,否则引起的一切责任由甲方负责。 4.甲方在未经乙方允许的情况下,不得泄露乙方在工作过程中所使用的工具及相关输出。 二、乙方责任 1.对于乙方在测试过程中所获取的任何信息,仅在编写报告时使用。 2.在未经甲方授权的情况下,乙方不得向任何个人或单位提供测试过程中所获取的信息。 3.乙方在测试过程中应尽量避免影响甲方业务的正常运转,若出现意外操作而导致异常则应立刻通知甲方并积极配合协商解决。 4.在测试完成后,乙方承诺不对外泄露甲方测试信息。 5.乙方承诺在取消授权后,销毁所有涉及授权的机密资料。 三、风险告知 渗透测试现场工作可能会给被测系统带来如下风险: 1.网络性能变慢。 2.网络设备性能变慢或停机。 3.主机服务器性能变慢或停机。 4.应用系统性能变慢或下线。 5.数据库数据可能会丢失。 6.其他风险。 鉴于以上风险,请被测单位做好各项数据、设备和系统的备份工作和应急响应工作。并请被测单位派遣人员全程陪同渗透测评工作。 甲方:四川铁道职业学院 乙方: 甲方代表签字(签章): 乙方代表签字(签章): 年月日 年月日 -20- -20- -25- -25-
