日期:2018-06-20
廣州榴莲视频下载官网入口投資經營管理有限公司現就榴莲视频下载官网入口公司OA係統等級保護建設(shè)整改與測評及相關服(fú)務采購進行公開(kāi)詢價,歡(huān)迎有意者參與投標競價(jià)。現將(jiāng)有關事項公(gōng)告如下:
一、 項目名稱:大(dà)學城公司OA係統等級保(bǎo)護建設整改與測評及相關服務采購
二、 承包內容
承包內容:按采(cǎi)購人提供的詢價文件(jiàn)、工程量清單,承包榴莲视频下载官网入口公司OA係統等級保護建設整改與(yǔ)測(cè)評(píng)及相關服務采購(gòu)詢價過程中發布的詢價文件所包含的全部內容。(具體以詢價文件(jiàn)及相關資料為準(zhǔn)。)
三、投標人資格要求
1、必須是具有獨立承擔民事責任能力的在中華人民共和國(guó)境內注冊的法人。
2、具備有效的工商(shāng)營業執照、企業法人組(zǔ)織(zhī)機構代(dài)碼證書、稅務登記證書(或三證合一)。
3、已辦理合法稅務(wù)登記,具有開具相應增值稅專用發票能力。
4、投標人近3年內(2015年1月1日至今) 完成過(guò)類似質量合格的網絡信息係統安全等級保護(hù)整改及測評(píng)服務業績。
5、不接受聯合報價。
四、詢價文(wén)件公(gōng)示
本項目的詢價公(gōng)告及相關信息公示時間:2018年6月20日至2018年7月(yuè)3日。在廣(guǎng)東建設信息網(網址:http://www.gdcic.net/)、廣州榴莲视频下载官网入口投資經營管理有限公司網站(網址:https://www.zjjstz.com/)上發布,並(bìng)視為有效送達。本(běn)詢價文件在其他法(fǎ)定媒體發布的文本(běn)如有不同之處,以在(zài)廣州大(dà)學城投(tóu)資經營管理有(yǒu)限公司網站發布的文本為(wéi)準。
五、報名及獲取詢價文件
1、報名時間、地點:2018年6月20日公告之時至2018年6月25日(不含節假日);上午9:00至12:00,下午14:00至17:00,地點:廣州市番禺區榴莲视频下载官网入口明誌街1號信息樞紐樓(lóu)東大堂(未參加報(bào)名的單位遞交的投標(biāo)文件不予接收)。
2、報名時需遞交:①《投標報(bào)名表(biǎo)》(見附件(jiàn)一(yī))原件一式兩份;②營業執照、稅務(wù)登記證(zhèng)、組織機構代(dài)碼證(或三證合一)(複印件蓋章);③法定代表人(rén)身(shēn)份證明書原件(格式見附件二(èr));④法定代表人授權委托證明書原件(格式見附件三,法定代表人親自辦理投標事宜的,則無需提交本證明書)(複印件蓋章)。
3、報名成功的單位(wèi),可向采購人(rén)索取該項目詢價文件。
4、在規定的報名期間,報名(míng)的申請(qǐng)單位不足3名時,采購人有權:(1)發布公告延長接(jiē)受報名(míng)及投標文件遞交時間。在延期報名時間(jiān)內,已報名申請單(dān)位的資料仍(réng)有效並可自行補充資料,未報名的申請單位可根據公告的約定參與(yǔ)報(bào)名。(2)按規定重新詢價。
六、遞交投標文件
1、遞交(jiāo)投標(biāo)文件方式:投標單位以密封的形式提供投標文件,信封的騎縫處須(xū)蓋章或簽字,我(wǒ)司接受(shòu)現場遞交或郵(yóu)寄兩種方式。
2、投標文件遞交截止時間:2018年7月3日下午15:30前遞(dì)交到上述報名地點,投標文(wén)件信封未密(mì)封,或未在(zài)騎縫處蓋章或(huò)簽字,或逾期送達(dá)的投標報價文件我(wǒ)司有權不予受理(lǐ)。
七、聯係(xì)方式:
1、采購單位:廣州榴莲视频下载官网入口投資經營管(guǎn)理有限公司
2、聯係地址:廣州市番禺區榴莲视频下载官网入口明誌街1號信息樞紐(niǔ)樓東大堂(táng)
聯係(xì)人:李工 電話:020-39302078
廣州榴莲视频下载官网入口投資(zī)經營管理有限公司
2018年6月20日
附件一、投標報名表
附件二、法定代表人身份(fèn)證明書
附件三、法定代表人(rén)授權委托證明書
附件一
| 投標報名表 | ||||||||||
| 項目(mù)名稱: | ||||||||||
| 報名單位名(míng)稱 | 法人代表 | |||||||||
| 詳細地址 | 郵 編 | |||||||||
| 成立日期 | 營業執照號碼 | 發證機構 | ||||||||
| 固定電話號碼 | 傳真號碼 | 注(zhù)冊資金 | ||||||||
| 公司類型 | 機構性質 | |||||||||
| 項目聯(lián)係人 | 聯係電話 | |||||||||
| 經營範圍 |
| |||||||||
| NO: | 資質證書(認證項目)名稱 | 發證(zhèng)機關 | ||||||||
| 1 | ||||||||||
| 2 | ||||||||||
| 3 | ||||||||||
| 主要服務行業 | 主要客戶 | |||||||||
| 近三年類似業績 | ||||||||||
| 服務單位 | 項目內容 | |||||||||
|
報名單位(蓋章): | ||||||||||
日期:2018年 月 日
附(fù)件二
法定代表人身份證明書
在我單位任職務,是我單位法定代表人,身份證(zhèng)號為,特此(cǐ)證明。
(單位蓋章)
日期:2018年 月 日
單位通信地址:
郵政編碼: 單位聯係電(diàn)話:
附:法人代表身份證正反麵或其他身份證明材料複印件
附件三
法定代表人授權委托(tuō)證明書
茲授權(委托代理(lǐ)人姓名)為(wéi)我方委托代(dài)理人,其權限是:辦理 (采購單位名稱)組(zǔ)織(zhī)的“ (項目名稱(chēng))”的投標和合(hé)同(tóng)執行,以我方的名義處理一切與之有關(guān)的事宜。
本授權書自年月日簽(qiān)章之日起生效,特此聲明。
附:代理人性別: 年齡: 職務:
身份證號(hào)碼:
(營業執照等)注(zhù)冊號碼:
企業類型:
經營範圍:
附(fù):被(bèi)授權(quán)人有效身(shēn)份(fèn)證正反麵或其他身(shēn)份證明材料複印
(單位蓋章):
法定代表人(簽(qiān)字或蓋章):
被授權人(簽(qiān)字(zì)或蓋章):
日期: 20 年(nián)月日(rì)
說明:法定代表人親(qīn)自辦理投標事宜(yí)的,無需提交本證明(míng)書。
大(dà)學城公司OA係統等(děng)級保護建(jiàn)設(shè)整改與測評及相關服務采購詢價文(wén)件
一、項目概況
1、項(xiàng)目名稱:榴莲视频下载官网入口公司OA係統等級保(bǎo)護建設整(zhěng)改與(yǔ)測評(píng)及相關服務采購
2、項目地點:廣州(zhōu)榴莲视频下载官网入口(chéng)信息樞紐樓
3、采購(gòu)限價:10萬元
4、項目簡介
根據(jù)《中華人民共和國網絡安全(quán)法》、《信息安全等級保護管理辦法》與集(jí)團簽訂的《網絡(luò)安全責任書》及其他相關(guān)規定,采購人擬(nǐ)開展OA係統等級保護建設整改與測評項目,使公司OA係統滿足我(wǒ)國信息安全等(děng)級保護製度(dù)要求,實現合法性,並切實提高整體網絡及OA係統的安全風險抵(dǐ)禦能力,減低信息係統(tǒng)所麵臨安全風險威脅(xié),保證信息係統(tǒng)安(ān)全、穩定的運行。
因采購人目(mù)前不具備自行獨立(lì)進行整改的能力,現計劃對整體網絡優(yōu)化及OA係統的等級保護(hù)建設整改與測評及相(xiàng)關服務進行總(zǒng)包采購,並根據相關等保要求對自建機房進行小型(xíng)改造,整改及改造後的效果須獲得由廣州市公安局簽發的“信息係統安全等級保二級保護備案證明” (第二級)。
二(èr)、投標資格要求
1、投標人須是中華人民共和(hé)國境(jìng)內注冊(cè),具有獨立法人資格。
2、具備有效的工商營業執照、企業法人組(zǔ)織機(jī)構代碼證書、稅務登記證書(或三證合一)。
3、投標人已辦理合法稅務登記,具(jù)有開具相應增值稅專用發票能力;
4、投標人(rén)近3年內(2015年1月1日至今)完成過(guò)類似質量合格的網(wǎng)絡信息係統安全等級(jí)保護整改(gǎi)及測評服務業績。
5、不接受聯合體報價。
三(sān)、項目(mù)目標
本項目(mù)在規定時間內實施(shī)完成後,投標人須完成對采購人整體網絡(包含門戶和OA係統)的安全評估,完成OA係統網(wǎng)絡安全等級(jí)保護定級(jí)及備案、相關整改及項目須(xū)能通過經公安部門認可的專業測(cè)評機構的驗收(shōu)測評並獲得由廣州市公安局簽發(fā)的“信息係統安全等級保護備案(àn)證明” (第二(èr)級)。如(rú)本(běn)項目所采購內容要求出現不合理或不完整問題(tí)及目前采購(gòu)人設備欠缺或不足時,則投標(biāo)人有責任和義務在投標文件中提出補充修改(gǎi)方案並征得(dé)采購人同意後實施,確保采購人OA係統獲得由廣(guǎng)州市公安局簽發(fā)的“信息係統(tǒng)安全等級(jí)保二級保護備案(àn)證明” (第二級)。同時(shí),通過整(zhěng)改建(jiàn)設和測評,建立信息係統的(de)基(jī)礎綜合防護體係,提高安全防護能力,並實現(xiàn)采購人自(zì)建機房的安全加(jiā)固。
四、OA係統現狀
我司OA係統信息詳情如下:
| 係統名稱 | 信息(xī)係(xì)統(tǒng)等(děng)級 | 安全級別(bié) | 係統描述 |
| 致信(xìn)OA協同係統 | 二級 | 首次(cì)驗收(shōu)測評 | 通過該(gāi)係統實現公司(sī)財務、人事、行(háng)政等部門的業務協同 |
五、項目的工作範圍及(jí)內容
(一)項目地點:榴莲视频下载官网入口信息樞紐(niǔ)樓1樓及9樓
(二)采購清單如(rú)下:
| 序號 | 服務項 | 服務子項(xiàng) | 服務內容概述 | 服務(wù)方式 | 服務範圍 | 服務年/次 | |
| 1 | 安全隱患排查(chá) | 信息(xī)收集階段 | 對(duì)整體網絡、係統的結構和組成進行了解,收集和整理信息係統相關信息,包括信息係統包含的網絡設備(bèi)、安(ān)全(quán)設備、主機係統、應用係統等各個層麵的信息。 | 現(xiàn)場 | 2個應用係統 | 1年/次 | |
| 測(cè)試階段 | 使用漏洞掃描工具、人工分析進行權限提(tí)升、獲取敏感信息(在獲得一定權限後,通(tōng)過分析源代碼、搜索文件、查詢數(shù)據庫等方式獲取係統存在的敏感信息(xī),如用戶帳戶信息、財務信息、交易信息等)。 | ||||||
| 風險分析及報告編製階段 | 對發(fā)現的問(wèn)題進行綜合風險分析,及根據前期各部分的安全服務工作,各任務中間記錄,總結信息係(xì)統存在的安全問題,進行安(ān)全情況綜合分析,並編寫滲透(tòu)測試報告。 | ||||||
| 2 | 等級保護2級測評 | 定級備案 | 對我司對協同辦公(gōng)係統進行(háng)調研信(xìn)息、輸出定級(jí)報告。填(tián)寫相關(guān)備案表(biǎo)格(gé),協(xié)助當地網監備案成功。 | 現場+遠程(chéng) | 1個應用係統 | 1次 | |
| 技術(shù)差距測評(píng) | 對OA係統涉及的物理安全、網絡安全、主機安全、數據安全(quán)等進行(háng)安全技術測評(píng)。對OA係統(tǒng)進(jìn)行滲透測試,對APP進行安全檢測 | ||||||
| 管理差(chà)距測評 | 對OA係統覆蓋的安全策略(luè)和(hé)管理製度、安全管理機構和人員、係統建設管理和係統運維管(guǎn)理等進行安全管理測評。 | ||||||
| 整體(tǐ)測評 | 對OA係統的不符合情況進行分析測評。 | ||||||
| 安全複測 | 針對(duì)整改(gǎi)後(hòu)的問題進行(háng)複測(cè)。 | ||||||
| 技術(shù)驗收測評 | 對OA係統涉及的應用安全、物理安全、網絡安全、主機安全、數據安全等(děng)進行安全技術測評,具體(tǐ)內容詳(xiáng)見下方第三點等保測評詳細(xì)內(nèi)容。 | ||||||
| 管理驗收測評 | 對OA係統覆蓋的安全策略和管理製度、安全管理機構和人員、係統建設管理和係統運維(wéi)管理等進行(háng)安全管理測評。 | ||||||
| 3 | 整改加固 | 整改加固 | 提供技術支持,服務商有義務對差距(jù)測評及安全隱患排查的結果進行整(zhěng)改(gǎi),直到(dào)使采購人OA係統獲得由廣州市公(gōng)安局簽發的“信息係統安全等級(jí)保二級保護備案證明” (第二級)。 | 現場+遠程 | 2個應用係統 | 1次 | |
| 4 | 安全培訓 |
| 每年對我司全體員工提供兩次網絡安全培訓 | 現場 |
| 2次 |
(三)等保測評詳細內容
1、本項目(mù)通過對辦公協(xié)同係統進行等級保(bǎo)護驗收測評服務,驗收測評主要內容如下:
1)物理安全:物(wù)理位置的選擇、物理訪問控製、防盜竊和防(fáng)破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控製、電力供應和電磁防護等方麵;
2)網絡安全:結構安全、訪問控製、安全審計、邊界完整性檢查、入侵(qīn)防範和網絡設備防(fáng)護等方麵;
3)主機安全:身份鑒別、訪問控製(zhì)、安全審計、入侵防範、惡意代碼防範和資源控製等方麵;
4)應用安全:身份鑒別、訪問控製、安全審計、通信完整性(xìng)、通信保(bǎo)密性(xìng)、軟件容錯和資源控(kòng)製等方麵;
5)數據安全:數據完整性、數(shù)據保密性(xìng)和備份和恢複等方麵;
6)安(ān)全管理製度:管理製度(dù)、製定和發布、評審和修訂等方麵;
7)安全管理機構:崗位設置、人員配備、授權和審批、溝通和合(hé)作、審查和檢查等方麵;
8)人員安全管理:人(rén)員錄用、人員離崗、人員考核、安(ān)全意識教育和培訓、外(wài)部(bù)人員訪問控製等方麵;
9)係統建設管理:係統(tǒng)定級、安全方案設計、產品采(cǎi)購和使用、自行軟件開(kāi)發、外包軟(ruǎn)件(jiàn)開發、工程實施、測試驗收、係(xì)統交付、安全服務商選擇等方麵;
10)係統運維(wéi)管理(lǐ):環境管理、資產管理、介質管理、設備管理、網絡安(ān)全(quán)管理(lǐ)、係統安全管理、惡意代碼(mǎ)防範管理(lǐ)、密碼管理、變更管理、備份與恢複管(guǎn)理、安全事件處理、應急預案管理等方麵。
六、項目工(gōng)期、驗收標準及質保期限
1、簽訂合同後(hòu),投(tóu)標人須在60個日曆天內完成項目實施和驗收工作,獲得由廣州市公安局簽發的“信息係統安全(quán)等級保護備案證明”(第二級)。
2、項目要求及驗收參考標準:以采購人OA係統是否獲得由廣州市公安局簽發的“信息係統安全等級保護備案證明”(第二級)為驗收(shōu)標準。
3、項目驗收方式:獲得由廣州市公安局簽發(fā)的“國家信息係統安全等級保護”二級認證(zhèng)及提供(gòng)《廣州榴莲视频下载官网入口投資公司協同辦公係統(二級)信息安全等級保護驗收測評報告》。
4、保密要求:中標人要承擔合同履行時所要盡的一切保(bǎo)密義務。中標人對項目實施過程中的資料(liào)、數據進行(háng)保密,未經采購人書麵同意不得泄露,且保密責任不因合同的中(zhōng)止或解除而失效。
七(qī)、費用及支付方式
1、本項目(mù)采用總價包幹,報價包括但不限於包(bāo)含以(yǐ)下內容:
(1)安全隱患排查費用;
(2)等級保護2級(jí)測評費用:
(3)整改加固費用;
(4)安全培訓費用。
(5)報價單位完成本項目約定範圍內包括(kuò)但(dàn)不限於人工費用、行政費用、物耗費用、勞(láo)保用品費用、工器具費用、交通費、管(guǎn)理費、利潤和稅(shuì)金等各項費用,以及承擔本合同明(míng)示或暗示的所有風險責任和義務所發生的一切費用(yòng)。報價單位已對現場狀況作出了解,報價單位(wèi)的報價應合理預計,該價款已包括按實際現狀完工(gōng)實現合同目的所須達到質量(liàng)標準的全部費(fèi)用,且不論所供設備是否(fǒu)屬於收費產品,報價單(dān)位均應向(xiàng)采(cǎi)購人提供與正價產品同等的售(shòu)後服(fú)務及質量(liàng)保證承諾。如有(yǒu)漏計或漏(lòu)項的報,視(shì)為報價單位已將相關費用計進其他項目中或屬於報價單位單方(fāng)麵作出的讓利,采購人不另(lìng)行增加費用。本合同執行期(qī)間,此價格為固定的含稅價格、不變價,采購(gòu)人無須另(lìng)向投標人支付本合(hé)同規定之外(wài)的其他任何費用。
2、付款方式
合同簽訂並進場工作並(bìng)收到乙方請款資料(liào)後15個工作日內支付合同價的30%預付款;乙(yǐ)方完成上述工作內容後,提供《廣(guǎng)州榴莲视频下载官网入口投資(zī)公司協同辦公係統(二級)信(xìn)息安全等級保護驗收測評報告》,甲方網絡信(xìn)息(xī)安全獲得由廣州市公(gōng)安(ān)局簽發的“國家信息係統安全等級保護(hù)”二級認證,甲方付清全部合同款項。
甲方每次付款前,乙方需開具等額的增值稅專業發票。
八、投標文件
根(gēn)據采購人(rén)要求的報價格式,按順序編製(zhì)頁碼,進行密封報價(蓋章)。投標文件應包含以下內容:
1、技術部分(格式(shì)自定,加(jiā)蓋公(gōng)章)
技術方案:中標單位應充分了解(jiě)現場條件,並針對本項目製(zhì)定切實可行的(de)技術方案,包括但不限於:
(1) 總體技術方(fāng)案;
(2) 實施進(jìn)度計劃(huá)和工期承諾書;
(3) 確保(bǎo)實施進度的技術和組織措施;
(4) 培訓方案;
(5) 投標(biāo)人認為其它需要(yào)說明的文字。
2、商務部分(提供(gòng)複印件,並加蓋(gài)公章)
(1) 企業營業執照副本、稅務登記證、組織機構代碼(mǎ)證(或三證合一);
(2) 法定代表人身份證明書和法定代表人授權委托證(zhèng)明書(格式見附件);
(3) 本工程(chéng)擬派項目負責人簡曆表(包(bāo)括(kuò)姓名、部門和職務、所學專業和畢業院校名稱及畢業時間、主(zhǔ)要資曆、經驗及(jí)承擔過的類似項目,獲得(dé)認證資質證書及複印(yìn)件(jiàn));
(4) 投標人近3年內(2015年1月1日(rì)至今)完成過(guò)類似的質量(liàng)合格的(de)網(wǎng)絡信息係統安(ān)全等級保(bǎo)護整改及測評服務業(yè)績(提供合同及驗收資料複印件)。
(5) 等級保護測評(píng)機構推薦證書。
3、價(jià)格文件(加蓋公章)
(1) 報價一覽(lǎn)表(格(gé)式見附件(jiàn)1)
(2) 報價明細表,參考本詢價文件所附的采購清(qīng)單報價。
九、評標方法
由采購人組織評標小組對投標文件進(jìn)行評審,按經評審的最低(dī)投標價法確定中標候選人(rén)。
同時(shí)通(tōng)過投標(biāo)人資格審查(見附(fù)件2)和投標文件有效性審(shěn)查(chá)(見附件(jiàn)3)後,各投標人按有效投標報價由低至高的順序依次排列,排名第(dì)一為第一中標候選人。投標人實行信用(yòng)評價管理,具體見附件7和附件8。
十、報名及投標
1、報名(míng)時間為2018年6月(yuè)20日公告之時(shí)至2018年6月25日17時00分,在規定的報名時間(jiān)內,申請人必須將①《投標報(bào)名表》(見附件)原件一式兩份;②營業執照(zhào)、稅(shuì)務(wù)登記證(zhèng)、組織機構代碼證(或三(sān)證合一)(複印件蓋章);③法定代表人身份證明書(shū)原件(見附件);④法定代表人授權委托證明書原件(見附件(jiàn),法定代表人親自辦理投標事宜的,則(zé)無(wú)需提交本證明(míng)書);⑤等級保護測評(píng)機構推薦證書(複印件蓋章(zhāng))提交或快遞至廣州市番禺區榴莲视频下载官网入口(chéng)明誌街1號信(xìn)息樞紐樓東大堂轉采購合(hé)同部。招標(biāo)人對未進行報名的投標人的投標報價不予受理。
2、在規定的報名期間,報名的申請單位不足(zú)3名時(shí),招標人有權(quán):(1)發布公(gōng)告延長接受報名及投標文件遞交時(shí)間。在延期報名時間內,已報(bào)名(míng)申請單位的資料仍有效並可自行補充(chōng)資料(liào),未(wèi)報名(míng)的申請單位可(kě)根據公告(gào)的約定參與報名。(2)按規定重新招標。
3、投標文件遞交(jiāo)截止時間和地點:2018年7月3日下午15:30前,投標文件信封未密封,或未(wèi)在騎縫處蓋章或簽字,或逾期遞交招標人有權不予受理。所有投標文件必須在此時間前遞交到:廣州市番禺區(qū)榴莲视频下载官网入口明誌街1號信息樞紐樓東大堂轉采購合同部。
十(shí)一、勘踏現場
投標人有必要勘踏現場,充分了解(jiě)清楚(chǔ)施工現場的環境和要求,以便(biàn)投標人獲取那些須投標人自己負責的有關編製投標文件和(hé)簽署(shǔ)合同所涉及現場所有的資(zī)料。一旦(dàn)中標,這種考察即被認為其結果(guǒ)已在中標(biāo)文件中得到充分反映。考察現場的費用由投標人自己承(chéng)擔,如因(yīn)對現場(chǎng)不了解導(dǎo)致報價的失誤,由投標人承(chéng)擔。勘踏現場時間:2018年6月26日10:00時,集中地點:廣州市番禺區榴莲视频下载官网入口(chéng)明誌(zhì)街1號信息樞紐樓一樓西門。勘踏現場聯係人辦公室(shì)許工,聯(lián)係電話:020-39302062。投標人未在規定時間勘踏現場的,采(cǎi)購人不再另行組織,由投標人(rén)自行前往勘踏。
十二(èr)、本(běn)詢價文件在廣東建設信息網(網址:http://www.gdcic.net/)、廣州榴莲视频下载官网入口投資經營管理有限公司網站(網址:https://www.zjjstz.com/)同時發布。本詢價文件在其他法定媒體發布的文(wén)本如有不同之(zhī)處,以(yǐ)在廣州榴莲视频下载官网入口投資經營管理有(yǒu)限公司網站發布的文本為準。
十三(sān)、采購聯(lián)係方式
采購單位:廣州(zhōu)榴莲视频下载官网入口投資經營管理有限公司
聯係地址:廣州市(shì)番禺區大(dà)學城明誌街1號信息樞紐(niǔ)樓東大堂
聯係人: 李工 聯係電話:020-39302078
附(fù)件1:等保二級要求清單及對應分數
附件2:報價一(yī)覽表
附件3:投(tóu)標人資格審查表
附件4:投標文件有效性審查表
附件5:投標報名表
附件6:法定代表人(rén)身份證明書
附件7:法定代表(biǎo)人(rén)授(shòu)權委托證明書(shū)
附件8:網上公開詢價供應商信(xìn)用評(píng)價
附件9:供應商信用指標及評價標準(zhǔn)
廣州(zhōu)榴莲视频下载官网入口投資經營管理有限(xiàn)公司(sī)
2018年6月20日
附件(jiàn)1:等保二級(jí)要求清單(dān)及對應分數
| 分類 | 子類(lèi) | 基本要求 | 測評項數 |
| 物理安全 | 物理(lǐ)位置的 選擇 | 機房和辦公場地應選擇在具有防震、防風和防雨等能(néng)力的建(jiàn)築內 | 2 |
| 物理訪問 控製 | 機房出入口應安排專人值守,控(kòng)製、鑒別(bié)和記錄進入的(de)人員 | 4 | |
| 需進入機房的來訪人(rén)員應經過申請和審批流程,並限製和監控其活動範圍 | |||
| 應對機房劃分區域進行管(guǎn)理,區域和區域之間設置物理隔離裝置,在重要區域前設置交付或安裝等過渡區域 | |||
| 重(chóng)要區(qū)域應配置電子門禁係統,控(kòng)製、鑒別和記錄進入(rù)的(de)人員(yuán) | |||
| 防盜竊(qiè)與防破壞 | 應將主要設備(bèi)放置在機房內 | 6 | |
| 應將設備或主要部件進行(háng)固定,並設置明顯的(de)不易除去的標記 | |||
| 應將通信線纜鋪設在隱蔽處,可鋪設在地下或管道(dào)中(zhōng) | |||
| 應對介(jiè)質分類標識,存儲在介(jiè)質庫或檔案室(shì)中 | |||
| 應對機房設置監控報警係統(tǒng) | |||
| 防(fáng)雷擊 | 機房(fáng)建(jiàn)築應設置避雷(léi)裝置 | 3 | |
| 機房應(yīng)設置交流電(diàn)源地線 | |||
| 防火 | 機房應設置火災自動消防係統,能夠自動(dòng)檢測火情、自動報警,並自動滅火 | 3 | |
| 機房及相關的(de)工作房間和輔(fǔ)助房應采用具有耐火等級的建築材料(liào) | |||
| 機房(fáng)應采(cǎi)取區域隔離防火措施,將重要設備與其他設備隔(gé)離開 | |||
| 防水和防潮 | 水(shuǐ)管安裝,不得(dé)穿過機房屋頂和活動地板下 | 4 | |
| 應采取措施防止雨水通過機房窗戶、屋(wū)頂和牆壁滲透 | |||
| 應采取措施防止(zhǐ)機房內水蒸氣結露和地下積水的轉移與滲(shèn)透 | |||
| 應安(ān)裝對水敏感(gǎn)的檢測儀表或元(yuán)件,對機房進行防水檢測和報警 | |||
| 防靜電 | 主要(yào)設備(bèi)應采用必要(yào)的接地防(fáng)靜電措施 | 2 | |
| 機(jī)房應采(cǎi)用(yòng)防靜電地板 | |||
| 溫濕度控製(zhì) | 機房應設置溫(wēn)、濕度自動調節設施,使機房溫、濕度的變化(huà)在(zài)設備運行所允許的範圍之內 | 1 | |
| 電力供應 | 應在(zài)機(jī)房供電線路上配置穩壓器和過電壓防護設備 | 4 | |
| 應提供短期的備用(yòng)電力供應,至少滿足主要設備在斷電情況(kuàng)下的正常運行要求 | |||
| 應建立(lì)備用(yòng)供電係統 | |||
| 電磁防護 | 應采用接地方式防止外界電磁幹擾和設備寄生耦合幹擾 | 3 | |
| 電源線和通(tōng)信線纜(lǎn)應隔離鋪設,避免互相幹(gàn)擾 | |||
| 應對關鍵設備和磁介(jiè)質實施電磁(cí)屏蔽 | |||
| 網絡安全 | 結構安全 | 應保證主要網絡設備的業務處(chù)理能力具備冗餘空間,滿足業(yè)務高峰期需要 | 7 |
| 應保證網絡各個部(bù)分的帶(dài)寬(kuān)滿足業務高峰期需(xū)要 | |||
| 應在業務終端與業務(wù)服務器之間進行路由控(kòng)製建立安全的訪問(wèn)路徑 | |||
| 應繪製與當前運行情況相符的網絡拓撲結構圖 | |||
| 應根(gēn)據各部門的工作職能、重要性和所涉及信(xìn)息的重要(yào)程(chéng)度等因素,劃分不同的子網或網段,並(bìng)按照方便管理和控製的原則為各子網、網段分配地址(zhǐ)段 | |||
| 應避免將重要網段部署在網絡(luò)邊(biān)界處且直接連接外部信息係統,重要網段與其他網段之間采取可靠的技術隔離手段(duàn) | |||
| 應按照對業務服務的重要次序來指定帶寬分配優(yōu)先級別(bié),保證在網絡發生擁堵的時候優先保(bǎo)護重要主機 | |||
| 訪(fǎng)問控製 | 應在網(wǎng)絡邊界部署訪問控製設(shè)備,啟用訪(fǎng)問控製功能 | 8 | |
| 應能根據會話狀態信息為數據流提供(gòng)明確的允許(xǔ)/拒絕訪問的能力,控製粒度為端口級 | |||
| 應對進出(chū)網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控製 | |||
| 應在會話處於非活躍一定時間或會話結束後終止網絡連接 | |||
| 應限製網絡最大流量數及網絡連接數 | |||
| 重要網段應采(cǎi)取技術手段防止地址欺騙 | |||
| 應按用(yòng)戶和係統之間的允許訪問規則,決定允許(xǔ)或拒絕用戶對(duì)受控係統進行資源(yuán)訪問,控製粒度為(wéi)單個用戶 | |||
| 應(yīng)限製具有撥號訪(fǎng)問權限的用(yòng)戶數量 | |||
| 安全審計 | 應對網絡係統中的網絡設備運(yùn)行狀況、網絡流量、用戶行(háng)為等進(jìn)行日誌記(jì)錄; | 4 | |
| 審計記錄應包(bāo)括事件的日(rì)期和時間、用戶、事件類型、事件是否成功及其他與審計相(xiàng)關的信息。 | |||
| 應能夠根(gēn)據記錄數據進行分析,並生成審計報表 | |||
| 應對審計記錄進行保護,避免受到未預期的刪除(chú)、修改或覆蓋(gài)等 | |||
| 邊(biān)界完整性 檢查 | 應能夠對非授(shòu)權設備私自聯到內部網絡的行為進行檢查,準確定出位置,並對其進行有效阻(zǔ)斷 | 2 | |
| 應能夠(gòu)對內部網絡用戶私自聯(lián)到外部網絡的行為進行檢查,準確定出位置,並對(duì)其進行有效阻斷 | |||
| 入侵防範 | 應在網絡邊界處監(jiān)視以(yǐ)下攻擊行為:端口掃描、強力攻擊(jī)、木馬後門(mén)攻(gōng)擊、拒絕服務攻擊、緩衝區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等 | 2 | |
| 當檢(jiǎn)測到攻擊行為時,記錄攻擊源IP、攻(gōng)擊類型、攻(gōng)擊目的、攻擊時間,在發生嚴重入(rù)侵事件時應(yīng)提供報警 | |||
| 惡意代碼 防範 | 應在網絡邊界處對惡意代碼進行檢測和清除 | 2 | |
| 應維護惡意代(dài)碼庫的升級和(hé)檢(jiǎn)測係統(tǒng)的更新 | |||
| 網絡設備 防護 | 應對登錄網絡設備的用戶進行身份鑒別 | 8 | |
| 應對網絡設備的(de)管理員登錄地址進行限製 | |||
| 網絡(luò)設(shè)備用戶的標識應唯一 | |||
| 主要網絡設備應對同一用戶選擇兩種或兩(liǎng)種以上(shàng)組合的鑒別技術(shù)來進行身份鑒別 | |||
| 身份(fèn)鑒別信息應(yīng)具有不易被冒用(yòng)的特點,口令應有(yǒu)複雜度要求並定期更換 | |||
| 應具有登錄失(shī)敗處理功能,可采取結束會話、限製非法登錄次數和當網絡登錄連接超時自動退出等措施 | |||
| 當對網絡設備進行遠程管理時,應采取(qǔ)必要措施防止鑒(jiàn)別信息在網絡傳輸過程中被竊聽 | |||
| 應實現設備特權用戶的權限分離 | |||
| 主(zhǔ)機安全(quán) | 身份鑒別 | 應對登錄操(cāo)作係統和數據庫(kù)係統的(de)用戶進行身份標識和鑒別 | 6 |
| 操作係統和數據庫係(xì)統管(guǎn)理(lǐ)用戶身(shēn)份標識應(yīng)具有不易被冒用的特點,口令應有複雜(zá)度要求並定期更換 | |||
| 應啟用登錄失敗處理功(gōng)能,可采取結束會話、限製非法登(dēng)錄次數和自動退(tuì)出等措施(shī) | |||
| 當對服務器進行遠程管理時,應采取必要措施,防止鑒別信(xìn)息在(zài)網絡傳輸過程中被竊聽 | |||
| 應為(wéi)操作係統和數據庫係統的不同用戶(hù)分配(pèi)不同的用戶名,確保用戶名具有唯一性(xìng) | |||
| 應采(cǎi)用兩種或(huò)兩種以上組合的鑒別技(jì)術對管理用戶進行身份鑒別 | |||
| 訪問控製 | 應啟用訪問控製功(gōng)能(néng),依據安全策略控製用戶對資源的訪問 | 7 | |
| 應根(gēn)據管理用戶的角色分配權限,實現管理用戶的權限分離,僅授予管理用戶所需的最小權限 | |||
| 應實現操作係統和數(shù)據庫係統特(tè)權用戶的權限分離 | |||
| 應限製默認帳戶的訪問權限,重命名係統默認帳戶,修改這些帳(zhàng)戶(hù)的默認口令 | |||
| 應及時(shí)刪除多餘的、過期的帳戶、避免共享帳(zhàng)戶(hù)的存(cún)在 | |||
| 應對重要信息資源(yuán)設置敏感標記 | |||
| 應依據安全策略嚴格控製用戶對有敏感標記重(chóng)要信息資源的操作 | |||
| 安全審計 | 審計範圍(wéi)應覆蓋到服務器和重(chóng)要客戶端上的每個操作係統用戶和數據庫用戶 | 6 | |
| 審計內容應包括重要用戶(hù)行為、係統(tǒng)資源的異常使用和(hé)重要係統命令的使用等係(xì)統內重要的安全相關事件 | |||
| 審計記錄應包括事件的日期、時間(jiān)、類型、主體標識、客體標識和(hé)結果等 | |||
| 應(yīng)能(néng)夠根據記錄(lù)數(shù)據進行分(fèn)析(xī),並生成審計報表 | |||
| 應保護審計進程,避免受(shòu)到未預期的中斷 | |||
| 應保護審計記錄,避(bì)免受到未預期的刪除(chú)、修改或覆蓋等 | |||
| 剩餘信息 保護 | 應(yīng)保證操作(zuò)係統和數據庫係統用戶的鑒別信息(xī)所在的存(cún)儲空間,被釋放或(huò)再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中 | 2 | |
| 應確保係統內的文件、目錄和(hé)數據(jù)庫記錄等資源所在的存儲空間,被釋(shì)放或重新分配給其他用戶前得到完全(quán)清除 | |||
| 入(rù)侵防範 | 應能夠檢(jiǎn)測到對重要服務器進(jìn)行入侵的行為,能夠記錄入侵的源(yuán)IP、攻擊的類型(xíng)、攻擊的目的、攻(gōng)擊的時間,並(bìng)在發生嚴重入侵事件時提供報警 | 3 | |
| 應能夠對重要程序的(de)完整性進行檢測,並在檢測到完整性受到(dào)破壞後具有恢複的措(cuò)施 | |||
| 操作係統應遵循最小安裝的原則,僅安裝需要的(de)組件和(hé)應用程序(xù),並通過設置升級服務器等方式保持係統補丁及(jí)時(shí)得到更新 | |||
| 惡意代碼 防範 | 應安裝防惡意代碼軟件,並及時更新防惡意(yì)代碼軟件版本(běn)和惡意代碼庫 | 3 | |
| 主機防惡意代碼產品應具有與網(wǎng)絡防惡意代碼產品不同的(de)惡意代碼庫 | |||
| 應支持防惡意代碼軟件的統(tǒng)一管(guǎn)理 | |||
| 資源控製 | 應通過設定終端接入方(fāng)式、網絡地址範圍等條件限製終端登錄 | 5 | |
| 應根據安全策略設置登錄終端操作超時鎖定(dìng) | |||
| 應對重要服務器進(jìn)行監視,包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況 | |||
| 應限製單個用戶對(duì)係統資源的(de)最(zuì)大或最小使(shǐ)用限度 | |||
| 應能夠對係統的服務水平降低到預先(xiān)規定(dìng)的最(zuì)小值進行檢測和(hé)報警 | |||
| 應用安(ān)全 | 身份鑒別 | 應提供專用(yòng)的登錄控製模塊對登錄用戶進(jìn)行身份標識和鑒別 | 5 |
| 應對同一(yī)用戶采用兩種或兩種以上組(zǔ)合的鑒別技術實現用戶身份鑒別 | |||
| 應提供用戶身份標識唯一和鑒(jiàn)別信息(xī)複雜度檢查功能,保證應(yīng)用係統中(zhōng)不存(cún)在重複用戶身份標識,身份鑒別信息(xī)不易被冒用 | |||
| 應提供登錄失(shī)敗處理功能,可采取(qǔ)結束會話、限製(zhì)非法登錄次數和自動退出等措施 | |||
| 應啟用(yòng)身份鑒別、用戶身份標識唯一性檢(jiǎn)查、用戶身份鑒別信息複雜度檢查以及登錄失敗處理功能(néng),並根據安(ān)全策略配置相關參數 | |||
| 訪問控製 | 應提供訪問控(kòng)製功能,依據安全策略控製用戶對文件、數據庫表等客體的訪問 | 6 | |
| 訪問控製的覆蓋範圍應包括與資源訪問相關的主體、客體及(jí)它們之間的操作 | |||
| 應由(yóu)授(shòu)權主(zhǔ)體配(pèi)置訪問控製策(cè)略,並嚴格限製默認帳戶的訪問權限 | |||
| 應授予不(bú)同帳戶為完成各自承擔任務所需的最小權限,並在它們之間形成相互製(zhì)約的關係 | |||
| 應具有對重要信(xìn)息資源設置(zhì)敏感標記的功(gōng)能 | |||
| 應依據安全策略嚴格控製用戶對有敏感標記重(chóng)要信息資源的操作 | |||
| 安全審計 | 應提供覆蓋到每個用(yòng)戶的安全審計功能,對應用係統重要安全事(shì)件進行審計 | 4 | |
| 應保證無法(fǎ)單獨中斷審計(jì)進程,無法刪除(chú)、修改或覆蓋審(shěn)計(jì)記錄 | |||
| 審計記錄的內容(róng)至少應包括事件日期、時間(jiān)、發起者信息、類型、描述和結果等 | |||
| 應提供對(duì)審計記(jì)錄數(shù)據進行統計、查詢、分析及生成審計(jì)報表的功能 | |||
| 剩餘信息 保護 | 應保證用戶鑒別信息所在(zài)的存儲空間被釋放或再分配給其他用戶前得到完全清除,無論這(zhè)些信息是存放在硬(yìng)盤上還是在內存中 | 2 | |
| 應保證係統內的文件、目錄和數據(jù)庫記錄等資源所在的存儲空間被釋放或重(chóng)新分配給其他用戶前得(dé)到完全清除 | |||
| 通(tōng)信完整(zhěng)性 | 應采(cǎi)用密碼技術保證通信過程(chéng)中(zhōng)數據的完整性 | 1 | |
| 通信保密性 | 在通信雙方(fāng)建立連接之前,應用係統應利用密碼技術進行會話初始化驗證 | 2 | |
| 應(yīng)對通信過程中的整個報文或會話過程進行加密 | |||
| 抗抵賴 | 應具有在請(qǐng)求的情況下為數據原發者或接收者提供數據原發證據的功(gōng)能 | 2 | |
| 應具有在請求的(de)情況下為數據原發者或接收者提供數據接收證據的功能 | |||
| 軟件容錯 | 應提供數(shù)據有效性檢驗功能,保證通過人機接口輸入或通過通信接口(kǒu)輸入的數據格式或長度符合係統設定要求 | 2 | |
| 應提供自動保護功能,當故障發生時自動保護當前所有狀態,保證係統能夠進行恢(huī)複 | |||
| 資源控製 | 當應用係統的通信雙方中的(de)一(yī)方在一(yī)段時間內未作任(rèn)何響應,另一方應(yīng)能夠自動結束(shù)會話(huà) | 7 | |
| 應能夠對應用係統的最大(dà)並發(fā)會話連接數進行限製 | |||
| 應(yīng)能夠對單個帳戶的多重(chóng)並(bìng)發會話進行限製 | |||
| 應能夠對一個時間段內可能(néng)的並發會話連接數進行限製 | |||
| 應能夠對一個訪問帳(zhàng)戶或一個請求(qiú)進程占用的資源分配最大限額和最(zuì)小限額 | |||
| 應(yīng)能夠對係統服務(wù)水平降(jiàng)低(dī)到預先規定的最小值進行檢(jiǎn)測和報警 | |||
| 應提供服務優先級設(shè)定功能,並在安裝後根據安全策略設定訪問帳戶或請求進程的優先級,根(gēn)據優先級分配係統資源 | |||
| 數據安全及備份 恢複 | 數據完整性 | 應能夠檢(jiǎn)測到係統(tǒng)管理數據、鑒別信(xìn)息和重要業務數據在傳輸過程中完整(zhěng)性(xìng)受到破壞,並在(zài)檢測到完整性錯誤時(shí)采(cǎi)取(qǔ)必要(yào)的恢複措施 | 2 |
| 應(yīng)能夠檢測(cè)到係統管理數據、鑒別信息(xī)和重要業務數據在存儲過程中完整性受到破壞,並在檢測到完整性錯誤時采取必要的(de)恢複措施 | |||
| 數據保密性 | 應采用加密或其他有(yǒu)效措施實現係統管理數據、鑒別信息和重要業務數(shù)據傳(chuán)輸保(bǎo)密性 | 2 | |
| 應采用加密或其他保護措施實(shí)現係統管理(lǐ)數據、鑒別信(xìn)息(xī)和(hé)重要業務數(shù)據存儲保密性 | |||
| 備份和恢複 | 應提供本地(dì)數(shù)據備份與恢複功能,完(wán)全數據備份至少每天一次,備份介質場外(wài)存放 | 4 | |
| 應提供異地數據(jù)備份功能,利用通信網絡將關(guān)鍵數據定時批量傳送至備用場地 | |||
| 應采用(yòng)冗餘技術設計網絡拓撲結構,避(bì)免關鍵節點存在單(dān)點故障 | |||
| 應提(tí)供主要網絡設備、通信線路和數據處理係統的硬件冗餘,保證係(xì)統的高可用性 | |||
| 安全管理(lǐ)製度(dù) | 管理製度 | 應製定(dìng)信息安全工作的總體方針(zhēn)和安全策略,說明機構安全工作的總(zǒng)體目標、範圍(wéi)、原(yuán)則和安全框(kuàng)架等(děng) | 4 |
| 應對安全(quán)管理活(huó)動中的各類管理內容建立安全管理製度 | |||
| 應對安全(quán)管理人員或操作人員執行的重要管理操(cāo)作建立操作規程(chéng) | |||
| 應形成由安全策略(luè)、管理製度、操作規程等構成的全麵的信息安全管理製度體係 | |||
| 製定和(hé)發布 | 應指定或(huò)授權專門的部門或人員負責安全(quán)管理製度的(de)製定 | 4 | |
| 安全管(guǎn)理製度應具有統一的格式,並進行版本(běn)控製(zhì) | |||
| 應組織(zhī)相關人員對(duì)製定的安全管理製度進行(háng)論證和審定 | |||
| 安(ān)全(quán)管理(lǐ)製度應通過正式、有效的方式發布 | |||
| 安全管理製度應(yīng)注明發布範圍,並(bìng)對收發(fā)文進行登記 | |||
| 評審和修訂 | 信息安全領導小組應負責定期組織相關部門(mén)和相關人員對安全管理製度體係的合理性和(hé)適用性進(jìn)行(háng)審定 | 2 | |
| 應定期或不定期對安全管理製度進行檢查和審定(dìng),對存在不(bú)足或需要改進的安全管理製度進行修訂 | |||
| 安(ān)全管理機構 | 崗位設置 | 應設立(lì)信(xìn)息安全管理工作的職能部門,設立安全主管(guǎn)、安全管理各個方麵的負責(zé)人崗位,並定義各負責人的職責 | 4 |
| 應設(shè)立係統管理員、網絡(luò)管(guǎn)理員、安全管理員等崗位,並定義各(gè)個工作崗位(wèi)的職責 | |||
| 應成立指導和管理信息安全工作的委員會或(huò)領導小組,其最(zuì)高領導由單位主(zhǔ)管領(lǐng)導委任或授(shòu)權 | |||
| 應製(zhì)定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求 | |||
| 人(rén)員配備 | 應配(pèi)備一定(dìng)數量的(de)係統管理(lǐ)員、網絡管理員、安全管理員等 | 3 | |
| 應配備專職安全管理員,不可兼(jiān)任 | |||
| 關鍵事務崗位應(yīng)配備多(duō)人共(gòng)同管(guǎn)理 | |||
| 授權和審批 | 應根據各個部門和崗位的職責明確授權審批事項、審批部門(mén)和批準人等 | 4 | |
| 應針對係統變更、重要操作、物理訪問和係(xì)統接入(rù)等事項建立審批程序,按照(zhào)審批程序執行審批過程,對重要活動建立逐級(jí)審批製度 | |||
| 應定期審查審批事項,及時更新需授權和審批的項目、審批(pī)部門和審批人等信(xìn)息 | |||
| 應記錄(lù)審批過程並保存(cún)審批文檔 | |||
| 溝通和合作 | 應(yīng)加強各類管理(lǐ)人員之間、組織內(nèi)部機構之間(jiān)以及信息安全職(zhí)能部門內部(bù)的合作與溝通,定期或不定期召開協(xié)調會議(yì),共同協作處理(lǐ)信息安全問題 | 5 | |
| 應(yīng)加強與兄弟單位、公安機關、電信(xìn)公司的合作與溝通 | |||
| 應加強與供應(yīng)商、業界專家、專業的(de)安全公司(sī)、安全組織的合作與溝通 | |||
| 應(yīng)建立外聯單位聯係列表,包括外聯單位名稱、合作內容、聯係人和聯係方式等信息 | |||
| 應聘請信息安全專家作為常年的安全顧問,指導信息安全建設,參與安全規(guī)劃和安全評審等 | |||
| 審核和檢查 | 安全管理員應(yīng)負責(zé)定期進行安(ān)全檢查,檢(jiǎn)查內容包括係統日常運行、係統漏洞(dòng)和數據備份(fèn)等情況 | 4 | |
| 應由內部人員或上級單位(wèi)定期進行全麵安全檢查,檢查內容包括現有安全技(jì)術措施的(de)有效(xiào)性、安全配置(zhì)與安全策略的一致(zhì)性、安全管理製(zhì)度的執行情況等 | |||
| 應製定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,並對安全檢查結果進行通報 | |||
| 應製定安全審核和安全檢查製度規範安全(quán)審(shěn)核和安全檢查工作,定期按照程序進行安全審(shěn)核和安全檢查活動 | |||
| 人員安全管(guǎn)理 | 人員錄用 | 應指(zhǐ)定或(huò)授權專門的部門或人員負責人員錄(lù)用(yòng) | 4 |
| 應嚴格(gé)規範人員錄用過程,對被(bèi)錄用(yòng)人的身份、背景、專業資(zī)格和資質等進行審查,對其所具有的技術技能進行(háng)考核 | |||
| 應簽署保密協議 | |||
| 應從內部人員中(zhōng)選(xuǎn)拔從事(shì)關(guān)鍵崗位(wèi)的人員,並簽署崗位安全協議(yì) | |||
| 人員離崗 | 應嚴格規範人員離崗過程,及時終止離崗員工的所有訪問權限 | 3 | |
| 應取回(huí)各種身份(fèn)證件、鑰匙、徽章等以及機構提供的軟硬件設備 | |||
| 應辦理嚴格的調離手續(xù),關鍵崗位人(rén)員離崗須承諾調離後(hòu)的保密義務後方可離開 | |||
| 人員考(kǎo)核 | 應定期對各個崗位(wèi)的人員進行安全技能(néng)及安全認知的考核 | 3 | |
| 應對(duì)關鍵崗位的人員進行全麵、嚴格的安(ān)全審查和技能考核(hé) | |||
| 應對考核結(jié)果進行記錄(lù)並保存 | |||
| 安全意識 教(jiāo)育和(hé)培訓 | 應(yīng)對各類人員進行安全意識教育(yù)、崗位技(jì)能培訓和(hé)相(xiàng)關安(ān)全技(jì)術培訓 | 4 | |
| 應(yīng)對安全責(zé)任和懲戒措施進行書(shū)麵規定並告知相關人員,對違反違背安全策略和規定的(de)人員進行(háng)懲戒 | |||
| 應對定期安全教育和培訓進行書麵規定,針對不同崗位製定不同的培訓計劃,對信息安全基礎知識、崗位操作(zuò)規程等進行培訓 | |||
| 應對安全教育和培訓的情(qíng)況和結果進行記錄並歸檔保存 | |||
| 外部人員 管理 | 應確保在外部人員訪問受控區域前先提出書(shū)麵申請,批準後由(yóu)專人全程陪同或監督,並登記備案 | 2 | |
| 對外部人員允許訪問的區域、係統、設備、信息等內容應進(jìn)行書(shū)麵的規定,並按(àn)照規定執行 | |||
| 係統建設管理 | 係統(tǒng)定級(jí) | 應明確信息係(xì)統的邊(biān)界和安全保護等級(jí) | 4 |
| 應以書麵的形式說明(míng)信(xìn)息係統確定為某(mǒu)個安全保護等級的方法和理(lǐ)由 | |||
| 應組織相關部門和(hé)有關安全技術專家對信息係統定級結果的合理性(xìng)和正確性進行論證和審定(dìng) | |||
| 應確保信息係統的定級結果經過相關部門的批準 | |||
| 安全方案(àn) 設計 | 應根據係統的(de)安全保護等級(jí)選擇基本安全措(cuò)施,依(yī)據(jù)風險分析的結果補充和調整安全措施(shī) | 5 | |
| 應指定(dìng)和授權專(zhuān)門(mén)的(de)部門對(duì)信息(xī)係統的安全建設進行總體規劃,製定近期和遠期的安全建設(shè)工作計(jì)劃 | |||
| 應根據信息係統的等級劃分情況,統(tǒng)一考(kǎo)慮安全保障體係的總(zǒng)體安全策(cè)略、安全技術(shù)框架、安全管理策略、總體建設規劃和詳細設計方案,並形成配套文件 | |||
| 應組織相關部門和有關安全技術專家對總(zǒng)體安全策略、安全技術框架、安全(quán)管理策略、總體建設規劃、詳細設計方案等相關(guān)配套文(wén)件的合理性和正確性進行論證和(hé)審定(dìng),並且經過批準(zhǔn)後,才能正式實施 | |||
| 應根據等級測評、安全評估的結果(guǒ)定期(qī)調整和修訂總體安全策略、安全技術框架、安全管(guǎn)理策略、總體建設規劃、詳細設計方案等相關配套文件 | |||
| 產品采購和 使用(yòng) | 應(yīng)確保安全產品采購和使用符合國家的有關規定 | 4 | |
| 應確保密(mì)碼產(chǎn)品采購和使用符合國家密碼主管部門的要求 | |||
| 應指定或授權專門的部門負責(zé)產品的采購 | |||
| 應預先對產品進行(háng)選型測試(shì),確定產品的候(hòu)選範圍,並定期審(shěn)定和更新候(hòu)選(xuǎn)產品名單 | |||
| 自行軟件 開發(fā) | 應確保開發環境與實際運行環境物理分開,開(kāi)發人員和測試人員分離,測(cè)試數據和測試結果(guǒ)受到控製 | 5 | |
| 應製定軟件開發管理(lǐ)製度,明確(què)說明開發過程的控製方法和人員行為準則 | |||
| 應製定代碼編寫安全規範,要求開發人員參照規範編寫代碼 | |||
| 應確保提供軟件設計(jì)的相(xiàng)關文檔和(hé)使用指南,並(bìng)由專人負責保管 | |||
| 應確保對程序資源庫(kù)的修改、更新、發布進行授權和批準(zhǔn) | |||
| 外包軟件 開發 | 應根據開發要求檢測軟件質量 | 4 | |
| 應確保提供軟件設計的相關文檔和使用(yòng)指南 | |||
| 應在軟(ruǎn)件安裝之前檢測軟件包中可能存在的惡意(yì)代碼 | |||
| 應(yīng)要求開發單位提供軟件(jiàn)源代碼,並(bìng)審查(chá)軟件中可能存在的後門 | |||
| 工程實施 | 應指定或授權專門的(de)部門或人員負責(zé)工程實施過(guò)程的管理 | 3 | |
| 應製定詳細的(de)工程實施方案(àn)控製實(shí)施過程,並要求工程實(shí)施單位能正式地執行安(ān)全工程過程 | |||
| 應製定(dìng)工程實施(shī)方(fāng)麵的管理製度(dù),明確說明實施過程的控(kòng)製方法和人(rén)員行為準則 | |||
| 測試驗收 | 應委托(tuō)公正的第三方測試單位對係統進行安全性測(cè)試,並出(chū)具安全性測(cè)試報告 | 5 | |
| 在測試(shì)驗收前應根據設計方案或合同要求等製訂測試(shì)驗收方案,在(zài)測試驗收過程中應詳細記錄(lù)測試驗收結果,並形成測試驗收報告 | |||
| 應對係統測試驗收的控(kòng)製方法和人員行為準則進行書麵規定 | |||
| 應指定或授權(quán)專門的部門負責係統測試驗收的管理,並按照管理規(guī)定的要求完成係統測試驗收工作 | |||
| 應組織相關部門和相關人員對係統(tǒng)測(cè)試驗收報(bào)告進行審定,並簽字確認 | |||
| 係統交付 | 應製定詳細的係統交付清單,並根據交付清單對所交接的設備、軟件和文檔等進行清點 | 5 | |
| 應對負責係(xì)統運行維護的技術人員進行相應的(de)技能培訓 | |||
| 應確保提供係統建(jiàn)設過程中的文檔和指導用戶進行(háng)係統運行維護的文檔 | |||
| 應對(duì)係統(tǒng)交付的控製方法和人員行為準則進行書麵規定 | |||
| 應指定或授權專門的部門負責係統交付(fù)的管理工作,並按照管理規定的要求完成係統交付工作 | |||
| 係(xì)統備案 | 應指定(dìng)專門的部門或人員負責管理係統定級的相關材料,並控製這些材料的使(shǐ)用 | 3 | |
| 應將係統等級及(jí)相關材料(liào)報係統(tǒng)主管部門備案 | |||
| 應將係統等級及其他(tā)要求的備案材料報相應公安機關備案 | |||
| 等級測評(píng) | 在係統運行過程中,應至少每年對係統進行一次等級測評,發現不符合相應等級保護標準要求的及時整改 | 4 | |
| 應在係統發生變更時及時對係統進行等級測評,發現級別發生變化的及時調整級別並進行(háng)安(ān)全改造(zào),發現不符合相應等級保護標準要求的及時整改(gǎi) | |||
| 應選擇具(jù)有國家相關技術資質(zhì)和(hé)安全資質的測評單位進(jìn)行等級測評 | |||
| 應指定或授權專門的部門或人員負責等級測評的管理 | |||
| 安全服務商 的選擇 | 應確保安全服務商的選擇符合國家的有關規定 | 3 | |
| 應與選定的安全服務商簽訂與安(ān)全相關的協議,明確約定相關責任 | |||
| 應確保選定的安全服務商(shāng)提(tí)供技術支持和服務承諾,必要的與其簽訂服務合同 | |||
| 係統運維管理 | 環境管(guǎn)理 | 應指定專門的部(bù)門或人員定期對機(jī)房供配電、空調、溫濕度控製等設施進行(háng)維護管(guǎn)理 | 4 |
| 應(yīng)指定部門負責機房安全(quán),並配備機房安(ān)全管理(lǐ)人員,對(duì)機房的出入、服務器(qì)的開機或關機等工作(zuò)進行管理 | |||
| 應建立機房安全(quán)管理(lǐ)製度,對有關機房物理訪問,物品帶進、帶(dài)出機房和機房環境安全等方麵的管理作出規定(dìng) | |||
| 應加強對辦公環境的保密性管理,規範辦(bàn)公環境人員行為,包(bāo)括工(gōng)作人員調離辦公室應立即交還該辦公室鑰匙、不在辦公區接待來訪人員、工(gōng)作人(rén)員離開(kāi)座位應確(què)保終(zhōng)端計(jì)算機退出登錄狀態和(hé)桌麵上沒有包含敏(mǐn)感(gǎn)信息的紙檔文(wén)件(jiàn)等 | |||
| 資(zī)產管理 | 應編製與信(xìn)息係統相關的資產清單,包括資產責任部門、重要程度和所處位置(zhì)等內容 | 4 | |
| 應建立資產安全管理製度,規(guī)定信息係統資產管理的責任人員或責任部門,並規範資產管理和使用的行為 | |||
| 應根據資(zī)產的重要程度(dù)對資產進行標識管理(lǐ),根據資產的價值選擇相應的管理措施 | |||
| 應對信息分(fèn)類與標識方法作出規定,並對信息的使用、傳輸和存儲等進行(háng)規範化管理 | |||
| 介質(zhì)管理 | 應(yīng)建立介質安全管理製度,對介質的存放環境、使用、維護和銷毀等方麵作出規定 | 6 | |
| 應(yīng)確保介質存(cún)放在安全的環境中,對各類介質進行控製和(hé)保護,並實行存儲(chǔ)環境專人管理 | |||
| 應(yīng)對介質在物理傳輸過程中的人員選擇(zé)、打包、交付等情況進行控製(zhì),對介質歸檔和查詢(xún)等進行登記記錄,並根據存檔介質的目錄清單定期盤點 | |||
| 應(yīng)對存儲介質的使用過程、送出維修以及(jí)銷毀等進行嚴(yán)格的管(guǎn)理,對帶出工(gōng)作環境的存儲介質進行內容加密和監(jiān)控管理,對送出維修或銷毀的介質應首先清除介(jiè)質中的敏感數據,對保密性較高(gāo)的存儲(chǔ)介質未經批(pī)準不得自行銷毀 | |||
| 應根據數據(jù)備份的需要對某些介質實(shí)行異地存儲,存儲地的環境要求和(hé)管理方法應與本地相同 | |||
| 應對重要介質中的數(shù)據和軟件采取加密存儲,並根據所承載(zǎi)數據和(hé)軟件(jiàn)的重要程(chéng)度對介質(zhì)進行分類和標識管理 | |||
| 設備管理 | 應對信息係(xì)統(tǒng)相關(guān)的各種設備(包括備份和冗餘(yú)設備)、線路等指定專門的(de)部門(mén)或人員定期進行維護管理 | 5 | |
| 應(yīng)建立基於申報、審(shěn)批和專人(rén)負責的設備安全管理製度,對(duì)信息係統的各種軟硬件設備的選(xuǎn)型、采購(gòu)、發放和領用等過程進行(háng)規範化管理 | |||
| 應建立配套設施、軟硬(yìng)件維護方麵的管理製度,對其維護進行有效(xiào)的(de)管理,包(bāo)括(kuò)明確維護(hù)人員的責(zé)任、涉外維修和服務的審批、維修過程的監督控製等 | |||
| 應對終端計算機、工作站(zhàn)、便攜機、係統和網絡等設備的操作和使用進行規範化(huà)管理,按操作(zuò)規程實現關鍵設備(包括備份和冗餘設備(bèi))的啟(qǐ)動/停止、加電(diàn)/斷電等操作(zuò) | |||
| 應確保(bǎo)信息處理設備必須經過審批才能帶離機房或辦公地點 | |||
| 監控管理和安全管理 中心 | 應對通信線路、主(zhǔ)機(jī)、網絡設備和應用軟件的運行狀況、網絡流量、用(yòng)戶行為等進行監測和報警,形成記錄並妥善保存 | 3 | |
| 應組織相關人員定期對(duì)監測(cè)和報警記錄進行分析、評審,發現可疑行為,形成分析報告,並采(cǎi)取必要的應對措施 | |||
| 應建立安全管理中心,對設(shè)備狀態、惡意代碼、補丁(dīng)升級、安全審計等安全相關事項進行集中管理(lǐ) | |||
| 網絡安全 管理 | 應指定人員對網絡(luò)進行(háng)管理,負責(zé)運行日誌、網絡監控記錄的日常維護和報警信息分析和處理工作 | 8 | |
| 應建立網絡安全管理(lǐ)製度,對網絡(luò)安全配置、日誌保存時間、安全策略、升級與打補丁、口(kǒu)令更新周期等方麵作出規定 | |||
| 應根據廠家提供的軟件升(shēng)級版本對網絡設備進行更新,並在(zài)更新前對現有的重要文件進行(háng)備份 | |||
| 應定期(qī)對網絡係統進行漏洞掃描,對發現的網(wǎng)絡係統安全漏洞進行及時的修補 | |||
| 應(yīng)實現設備的最小服務配置,並對配置文件進行定期(qī)離線備份 | |||
| 應保證所有與外部係統的連接均得到授權和批準 | |||
| 應依據安全策略允許(xǔ)或(huò)者拒絕便攜式和移動式設備的網絡(luò)接入 | |||
| 應定期檢(jiǎn)查違反規定撥號上網或其他違反網絡安全策略的行為 | |||
| 係統(tǒng)安全 管理 | 應根(gēn)據業務需求和係統安全分析確定係統的(de)訪問控製(zhì)策略 | 7 | |
| 應定期進行漏洞(dòng)掃描,對發現的係統安全(quán)漏洞及時進行修補(bǔ) | |||
| 應安裝係統的(de)最新補丁程序,在安裝係統補丁前,應首先在測試環境中測試通(tōng)過,並對重要文件進行備份後,方可實施(shī)係統補丁程序的安裝 | |||
| 應建立係統安全管理製度,對係統安全(quán)策略、安全配(pèi)置、日誌(zhì)管理和日常操作流程等方麵作出(chū)規定 | |||
| 應指定專人對係統進行管理,劃分係統(tǒng)管理員角色,明確(què)各個角色的權限、責任和風險,權(quán)限設定應當遵循最小授權原則 | |||
| 應依據操作(zuò)手冊對係統進行維護,詳細(xì)記錄操作日誌,包括重要的日常操作、運行維(wéi)護記錄、參數的設置(zhì)和修改等內容,嚴禁進行(háng)未經授權的操(cāo)作 | |||
| 應定期對運行日誌和審計數據進行分析(xī),以便及時發現異常行(háng)為(wéi) | |||
| 惡意代碼 防範管理 | 應提高所有用(yòng)戶的防病毒意識,告知及時升級防病毒軟件,在(zài)讀取移動存儲設備(bèi)上的數據以及網絡(luò)上接收文件或郵件之前,先進行病毒檢(jiǎn)查,對外來計算機或存(cún)儲設備(bèi)接入網絡係統之前也應進行病毒檢查 | 4 | |
| 應指定專人對網絡和主機進行惡意代碼檢測並保(bǎo)存檢測記錄 | |||
| 應對防(fáng)惡意代碼軟件的(de)授權使用、惡意代碼庫升級、定期(qī)匯報等作(zuò)出明確規定 | |||
| 應定期檢查信息係統內各種產品的惡意代碼庫的升級情況並進行記錄,對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病(bìng)毒或惡(è)意代碼進行及時分析處理,並形成書麵(miàn)的報表和(hé)總結匯報 | |||
| 密碼管理 | 應建立密碼使用管理製(zhì)度(dù),使用符合國家密碼管理規定的密碼技術和產品 | 1 | |
| 變更管理 | 應確認係統中要發生的(de)重要變更(gèng),並製定相(xiàng)應的變更方案 | 4 | |
| 應建立變更管理製度,係統發生變更(gèng)前,向主管領導申請,變更和變更方(fāng)案經過評審、審批後方可實(shí)施(shī)變更,並在實施後將變(biàn)更情況(kuàng)向相關(guān)人員通告 | |||
| 應建立(lì)變更(gèng)控製的申報和審批文件化程(chéng)序,對變更影響進行分析並文檔化,記錄變更實施過程,並妥善保(bǎo)存所有文檔和記錄 | |||
| 備份與恢複 管理 | 應識別(bié)需要定期備份(fèn)的重(chóng)要業(yè)務信息(xī)、係(xì)統數據及軟件(jiàn)係統等 | 5 | |
| 應建立備份與恢複管理相關的安全管理製度,對備份信息的備份方式、備(bèi)份頻度、存儲介質和保存(cún)期等進行規範 | |||
| 應根據數據的重要性及其對係統運行的影響,製(zhì)定數據的備份策略和恢複策略,備份策略(luè)指明備份數據的放置場所、文件命名規則、介質替換頻(pín)率和數據離站運輸方法 | |||
| 應建立控製數據備份和恢複過程的程序,對備份過程進行記錄,所有文件(jiàn)和記錄應妥善(shàn)保(bǎo)存 | |||
| 應定(dìng)期執行恢複程序,檢查和測試備份介質的有效性,確保可以(yǐ)在恢複程序規定的時間內完成備(bèi)份的恢複 | |||
| 安全事件 處置 | 應報告所發(fā)現(xiàn)的安全弱點和可疑事件,但任何情況下用戶均不應嚐試驗證弱點 | 6 | |
| 應製定安全事件報告和處置管理製度,明確安全事件類型,規定安全事件的現場處理、事(shì)件報告和後期恢(huī)複的管理職責 | |||
| 應根據國家相關管理部門對計算機安全事件等級劃分(fèn)方法和安全事件對本係統產生的影響(xiǎng),對本係統計算機安(ān)全事(shì)件進(jìn)行等級(jí)劃分 | |||
| 應製定安全事件報告和響應處理程序,確定(dìng)事(shì)件的報告流程,響應和處置的範圍、程(chéng)度,以及(jí)處(chù)理方法(fǎ)等 | |||
| 應在安全事件報告和響應處理過程中,分(fèn)析和鑒定事件(jiàn)產生的原因,收集證據,記錄(lù)處理過程,總結經驗教訓,製定防止再次發生的補救措施,過程形成(chéng)的所有文件和記錄均應妥善保存(cún) | |||
| 對造成係統中斷和造成信息泄密的安全事件應采用不同的處理程序和報告(gào)程序 | |||
| 應急預案 管理 | 應在統一的應急(jí)預案框架(jià)下製定(dìng)不同事件的應急預案,應急預案框架(jià)應包括啟動應急預案的條件、應急處理(lǐ)流程、係統恢複流程(chéng)、事後教育和培訓等內容 | 5 | |
| 應從人力、設備、技術和財(cái)務等(děng)方麵確保應急預(yù)案的執行有足夠的(de)資源保障 | |||
| 應對係統相關的人員進行應急預案培(péi)訓,應急預案的培訓應至少每年舉辦一次 |
附件2
報價一覽表
項目名稱:
| 序號 | 項目名稱 | 投標價(單位:人民幣元(yuán)) | |
| 1 | 投標總價 | 大(dà)寫: 小寫: | |
| 2 | 投標(biāo)工期 |
| |
| 3 | 工程質(zhì)量標準 |
| |
| 4 | 保修期限 |
| |
| 5 | 擬委派的項目 負責人 | 姓 名(míng) |
|
| 技術職(zhí)稱 |
| ||
注:(1)投標總價為人民幣報價。
(2)投(tóu)標總價是所有需采購人支付的本項目采購(gòu)的金額總數,應包括投標人完成本項目(如果中標)所必須的(de)所有成本費用和投標(biāo)人應承擔的(de)一切稅費,包括但不限(xiàn)於全部人工費用、行(háng)政費用、物耗費用、勞保用品費用、工器具費用(yòng)、交通費、管理費、利潤和稅金等各項費用,以及承擔(dān)本合同明示或暗示(shì)的(de)所有風險責任和義(yì)務所發生的一切(qiē)費用。本合同(tóng)執行期間,此(cǐ)價格為固定的含稅價格、不變價,采(cǎi)購人無須另向投標人支付本合同規定之外(wài)的其他任(rèn)何費用。
(3)若用小(xiǎo)寫表示的金額和用大寫表示的金額不一致,以大寫表示的金額為準。
投標(biāo)人名稱(蓋章):
日期: 年 月 日
附件3
投(tóu)標人資格審查表
項目名(míng)稱:
| 序號 | 評審內容 | 備注 |
| 1 | 無提供營業執(zhí)照(複印(yìn)件蓋章) |
|
| 2 | 無法定代表人證明書或法定(dìng)代表人授權委托書 |
|
| 3 | 無等級保護測評機構推薦證書(複印件蓋章) |
|
| 4 | 無近3年內(2015年1月1日至今)完成過類似的質量合格的網絡信息係統安全等級保護整(zhěng)改(gǎi)及測評服務業績 |
|
|
| 評(píng)審結論(通過/不通(tōng)過) |
|
注:
1.投標人分欄中填寫“√”表示該項符合招(zhāo)標文件要(yào)求,“×”表示該項不符合招標文件(jiàn)要求,“○”表示無該項內容;
2.經評標委員會審核後,出現一個“×”的結論為“不通過”,即按廢標處理。
3.表中全部條件滿足為“通過”,同意進入下一階段評(píng)審。
4.如對本(běn)表中某種情形的評委意見不一致時,以評標委員(yuán)會過半(bàn)數成(chéng)員的意見作為評標委員會對該情形的(de)認定結論。
評(píng)委簽名:
日 期: 年 月 日
附件4
有效(xiào)性審查表
項目(mù)名稱:
| 序(xù)號 | 評審內容 | 投標人 |
| 1 | 投標文件未按招標文件的規定密封、蓋章(zhāng)和簽署; |
|
| 2 | 投標文件未按招標文件規定的格式填寫,內容不全或(huò)關鍵字跡模糊、無法辯認; |
|
| 3 | 對同一詢價項目出現兩個或以上的投標報價,且沒聲明哪個有效; |
|
| 4 | 投標總報價低(dī)於(yú)企業自身成本; |
|
| 5 | 投標報價超過采購(gòu)限價; |
|
| 6 | 工期不滿足招標文件要(yào)求的; |
|
| 7 | 技術方案未響應詢價(jià)文件中已明確(què)必須要作實質性響應的(de)內容; |
|
| 8 | 投標(biāo)文件附有(yǒu)招標人不能接受(shòu)的條件; |
|
| 9 | 不符合詢價文件中規定的其他實質性要求。 |
|
|
| 評審結論(通過/不通過) |
|
注:
5.投標人分(fèn)欄中填寫“√”表示該項符合招標文件要求,“×”表示該(gāi)項不(bú)符(fú)合招標文件要(yào)求,“○”表示無該項內(nèi)容;
6.經評標委員會審核(hé)後,出現(xiàn)一個“×”的結論為“不通過”,即按廢(fèi)標處理。
7.表中全部條件滿足為(wéi)“通過”,同意進入下一階(jiē)段評審。
8.如對本表中某(mǒu)種情形的評(píng)委意見不一致時(shí),以評標委員會過半數成員的意見(jiàn)作(zuò)為評標委員會對(duì)該情形的認定(dìng)結論。
評委簽名:
日 期(qī): 年 月 日
附件5
| 投標報名表 | ||||||||||
| 項目(mù)名(míng)稱: | ||||||||||
| 報名單位名稱(chēng) | 法(fǎ)人(rén)代表(biǎo) | |||||||||
| 詳細地址 | 郵 編 | |||||||||
| 成(chéng)立日期 | 營業執照號碼 | 發證機構 | ||||||||
| 固(gù)定電話號碼 | 傳真號碼 | 注(zhù)冊資(zī)金 | ||||||||
| 公司類型 | 機構性質(zhì) | |||||||||
| 項目聯係(xì)人 | 聯係電話 | |||||||||
| 經營範(fàn)圍 |
| |||||||||
| NO: | 資質證書(認證項目)名稱 | 發證機關 | ||||||||
| 1 | ||||||||||
| 2 | ||||||||||
| 3 | ||||||||||
| 主要服務行業 | 主要(yào)客戶 | |||||||||
| 近三年類似業績 | ||||||||||
| 服務(wù)單位 | 項目內容 | |||||||||
|
報名單位(蓋章): | ||||||||||
日期:2018年(nián) 月 日
附(fù)件6
法定代表人身份證明(míng)書
在我單位任職務,是我單位法定代表人,身份證號為,特此證明。
(單位蓋章)
日期: 2018年 月 日
單位通信地址:
郵政編碼: 單位聯係電話:
附:法人代表(biǎo)身(shēn)份證正反麵或其他身份證明材料複印件
附件7
法(fǎ)定代表人授權委托證明書
茲授權 (委托(tuō)代理人姓名)為我方委托代理人,其(qí)權限是:辦理 (采購單位名稱)組(zǔ)織的(de)“ (項目名(míng)稱(chēng))”的投標(biāo)和合同執行,以我方的名義處理(lǐ)一切與之有關的事宜。
本授權書自 年 月 日簽章之日起生效,特此聲明。
附:代理人性別: 年齡: 職務:
身份證號碼:
(營業執照等)注冊號(hào)碼:
企(qǐ)業(yè)類型:
經營範圍:
附:被(bèi)授權人有效身份證正反麵或其他身份證明材料複(fù)印
(單位蓋章):
法定(dìng)代(dài)表人(簽字或蓋章):
被授權人(簽字或蓋章):
日期: 20 年 月 日
說明:法定代表人親(qīn)自辦理投標事宜的,無需提交本證明書。
附件8
網上公開詢價供應商信用評價
1.信用評價,是指采購人對參加網上詢價采購的供應商的誠信度和(hé)履約進行鑒別和(hé)打分(fèn)。
2.供應商信用評價內容
供應商信用綜合評價根據《供應商信用指標和評價標準》(附件8)進行評價。信用綜合評價內容為評價年度周期內供應(yīng)商的信用表現,包括良好行為和不良行為兩個方麵。
3. 評價結果應用
3.1網上詢價(jià)采(cǎi)購(gòu)項目可(kě)在各評標辦法(fǎ)中(zhōng)應用供應商信用評價評(píng)標。
3.2采用經評審的最低價中標法評標的,在(zài)推薦(jiàn)中標候選人時,應對通過資格和有效性評審的投標人按照評標價進行排序,即:評標價=有(yǒu)效報價×(1-信用係數),信用係(xì)數計取方法見附件1,供應商第一次參與投標的(de),信用係數按0計算。當出(chū)現二(èr)個或二個以上投標人的評標價的取值相同時,由評委會隨機抽(chōu)取確定。
3.3綜合評分法
3.3.1、采用綜合評分法評標的,采購項目的評標總分為100分,投標供應商得分由商務評分(fèn)、技術評分、價格評分組成,其中價格評(píng)分中的評標價引用信用係數計算確定,即(jí):評標價=有效報價×(1-信用係(xì)數),聯合體參與投標的,按聯合體企業中最低供應商信用(yòng)係數認定。
3.3.2、當出現二個或二個以上投標人的總(zǒng)得分相同時(shí),由評委會隨機抽取確定。
4. 違約處理
4.1 排序第1位的供應商出現以下情形之一的,將暫停其網(wǎng)上詢價資格1個月:
4.1.1、實際提供的有關產品性能指標(biāo)或技術服務能力或施工質量明顯低於報(bào)價響應時承諾的;
4.1.2、中標、確定為合同供方/承包人後,無正當理由拒絕履行合同和有關承諾的,或擅自變更、中止(終止)合同的(de)。
4.2供應商出現下列情形之一的,采(cǎi)購人有權暫停其網上詢價資格:
4.2.1、一年內供應商在采購項目中累計履約評價為不合格2次的;
4.2.2、供應商提供虛假材料或與其它供應商惡意串通謀取成交的;
4.2.3、發生(shēng)其他違規或違約情況,造成嚴重損害(hài)的;
4.2.4、其它經(jīng)采(cǎi)購(gòu)人認定的(de)。
附件9
供應商信用指標及評價(jià)標準
| 項目 | 子項 | 評價標準 |
| 良好行為 | 供應商按約定履行合同受到(dào)獎勵的(de) | 每發生1次,自認定之日起一(yī)年內信用係(xì)數加2%, |
| 不良行為 | 供應商提供虛假材料或與其它供應(yīng)商(shāng)惡意串通謀取中標、成交的; | 嚴重不良行為,每發生1次,自認定之日起一(yī)年內信用係數扣5% |
| 中標、確定(dìng)為合同(tóng)供方/承包人後,無正當理由拒(jù)絕履行合(hé)同(tóng)和有關承諾的,或擅自變更、中(zhōng)止(終(zhōng)止)合同的; | ||
| 實(shí)際提供的有關產品性(xìng)能指標和技術服(fú)務(wù)能力、施工質量明顯低於(yú)采購響應(yīng)文件或詢價時的承諾的; | ||
| 中(zhōng)標、成交後,將合同轉(zhuǎn)包給(gěi)其他供應商的; | ||
| 中標、成交後,將合同擅自分包給(gěi)其他(tā)供(gòng)應商的; | 一般不(bú)良行為,每發生1次,自認定之日起一年內信用係數(shù)扣2% | |
| 開標後擅自撤回(huí)采購(gòu)相應文件,影響采購活動繼續(xù)進行的; | 輕微不良行為,每發生1次,自認定(dìng)之日(rì)起一年內信用係數扣1.25% | |
| 供應商因未按約定履行合同受(shòu)到(dào)違約處罰的。 |
備注:
1. 供應商信用(yòng)係數每個(gè)評(píng)價年度周期的初評按0計算。
2. 經采購(gòu)人批準認定的同一供應商良好行(háng)為或不良行為,在評(píng)價年度周期內信用係數可累加(jiā)計算。
供應商在一個評價年度周期(qī)內未(wèi)發(fā)生任何信用係數扣罰的,在下一個評價年度周期內初評信用係數的基礎上(shàng)獎勵加3%,連續兩個評價年度周期內未發生任何信用係(xì)數(shù)扣罰的(de),在下一個評價年度周期(qī)內初評信用係數的基礎上獎勵加5%,連續三個及以上評價年度周期內未發生任何(hé)信用係數扣罰的,在下一個評價年(nián)度周期內初評信用(yòng)係數的基礎(chǔ)上獎(jiǎng)勵加8%。