包号

名称

数量

预算金额

（人民币万元）

简要项目描述和采购需求

1

信息系统安全等级测评

详见采购需求

223

信息系统安全等级测评

2

信息系统安全监测预警

详见采购需求

375

应用安全监测预警

3

关键信息基础设施安全评估

详见采购需求

145

关键信息基础设施的渗透测试

评分项

评分标准

分

价格部分

(10)

满足招标文件要求且投标价格最低的投标价为基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分＝（评标基准价/投标报价）×10。

10

商务部分

(20)

服务能力

1.投标人具有ISO9001质量管理体系认证证书，得3分。

2.投标人具有ISO27001信息安全管理体系认证证书，得2分。

注：必须提供明确为本单位的书面证明或提供官方网站链接及其截图。未提供或提供材料未能证明为投标单位所有，不得分。

5

企业资质

1.投标人具备中国信息安全测评中心颁发的信息安全服务资质（安全工程类三级），得3分。

2.投标人为CISP官方授权培训机构，得2分。

注：必须提供明确为本单位的书面证明或提供官方网站链接及其截图。未提供或提供材料未能证明为投标单位所有，不得分。

5

成功案例

投标人需提供近三年（2015年1月1日至今）独立承担的同类安全服务项目成功案例（须是渗透测试服务项目或含渗透测试服务的项目），每个案例得2分（同一单位多个案例计为1个有效案例），最多得10分。

注：合同须与最终客户直接签约，同一单位多个案例计为1个有效案例，须提供合同首页、签字盖章页、服务内容页、服务金额所在页复印件加盖投标人公章，并提供用户联系人和电话备查，证明材料不全视为无效案例。

10

技术部分

(70)

项目实施方案

投标文件需清晰阐述对招标文件需求的理解：

理解全面、分析透彻，得7-10分；

理解较好不全面的，得4-6分；

理解较差的，得0-3分。

10

技术方案是否覆盖招标要求：

技术完全覆盖招标要求，并清晰、准确阐述应标内容7-10分；

应标内容阐述基本清晰4-6分；

未完全覆盖招标要求或阐述不清晰得0-3分。

10

方案实施计划的科学、合理性：

科学合理、可行性强、服务内容丰富、且优于招标要求得7-10分；

实施计划基本满足得4-6分；

实施计划不满足得0-3分。

10

项目实施人员

1.负责本项目的项目经理需同时具备国际PMP证书和CISP证书，具备12年以上相关职业工作经验，熟悉教育行业，且在投标单位工作2年或以上（须提供由社保管理部门出具的2年或2年以上的社保缴纳证明）得5分，否则不得分。；

2.项目成员具有中国信息安全测评中心颁发的注册Web安全工程师（CISM-WSE）。每提供一个有效证明文件得2分，最多得10分。

3.项目主要成员在三年内，曾披露过操作系统(微软、Linux)、开源软件(Struts、Apache)等国际著名厂商的CVE漏洞并获得官方认可（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得1分；最多得5分，未提供不得分。

4.项目主要成员或成员参加的团队参与国际、国内网络安全攻防大赛参赛（如Pwn2Own、DEFCON、ISG信息安全技能竞赛、国家网络安全宣传周CTF等），并获得个人或团队前10名。（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得2分，最多得10分，未提供不得分。

注：以上要求须提供相关人员简历、资历证明文件、3个月以上在职社保证明文件，并加盖投标人公章。

20

项目实施工具

项目团队具有完善的渗透测试的相关工具：

1.投标人具备自主研发的Web应用弱点扫描工具，得2分；参与过GA/T 1107-2013 《信息安全技术 Web应用安全扫描产品安全技术要求》标准的制定，得3分；不具备不得分。

2.具备自主研发的数据库弱点扫描工具，得2分；参与过GA/T1139-2014《信息安全技术 数据库扫描产品安全技术要求》标准的制定，满足得3分；不具备不得分。

3.具备自主研发的对渗透测试对象“关键信息基础设施”等级保护检查的信息安全等级保护检查工具，具备得5分，不具备不得分。

4.具备自主研发的网络安全事件应急处置工具，可对渗透测试结果或安全事件进行快速分析、取证、处置，具备得5分，不具备不得分。

注：以上4类工具不得重复提供，投标人须提供计算机软件登记著作权证书或公安部销售许可证或IT产品信息安全认证证书等相关证明文件，并加盖投标人公章，证明材料不足，按无效评定。

20

包号

名称

数量

预算金额

（人民币万元）

简要项目描述和采购需求

备注

1

信息系统安全等级测评

详见采购需求

223

信息系统安全等级测评

无

2

信息系统安全监测预警

详见采购需求

375

应用安全监测预警

本包执行招一年签三年。（即按照一年进行招标，预算不变的前提下续签合同，续签两次。）。预算为一年的金额，报价也按照一年进行报价。

3

关键信息基础设施安全评估

详见采购需求

145

关键信息基础设施的渗透测试

评分项

评分标准

分

价格部分

(10)

满足招标文件要求且投标价格最低的投标价为基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分＝（评标基准价/投标报价）×10。

10

商务部分

(20)

服务能力

1.投标人具有ISO9001质量管理体系认证证书，得3分。

2.投标人具有ISO27001信息安全管理体系认证证书，得2分。

注：必须提供明确为本单位的书面证明或提供官方网站链接及其截图。未提供或提供材料未能证明为投标单位所有，不得分。

5

企业资质

1.投标人具备中国信息安全测评中心颁发的信息安全服务资质（安全工程类三级），得3分。

2.投标人为CISP官方授权培训机构，得2分。

注：必须提供明确为本单位的书面证明或提供官方网站链接及其截图。未提供或提供材料未能证明为投标单位所有，不得分。

5

成功案例

投标人需提供近三年（2015年1月1日至今）独立承担的同类安全服务项目成功案例（须是渗透测试服务项目或含渗透测试服务的项目），每个案例得2分（同一单位多个案例计为1个有效案例），最多得10分。

注：合同须与最终客户直接签约，同一单位多个案例计为1个有效案例，须提供合同首页、签字盖章页、服务内容页、服务金额所在页复印件加盖投标人公章，并提供用户联系人和电话备查，证明材料不全视为无效案例。

10

技术部分

(70)

项目实施方案

投标文件需清晰阐述对招标文件需求的理解：

理解全面、分析透彻，得7-10分；

理解较好不全面的，得4-6分；

理解较差的，得0-3分。

10

技术方案是否覆盖招标要求：

技术完全覆盖招标要求，并清晰、准确阐述应标内容7-10分；

应标内容阐述基本清晰4-6分；

未完全覆盖招标要求或阐述不清晰得0-3分。

10

方案实施计划的科学、合理性：

科学合理、可行性强、服务内容丰富、且优于招标要求得7-10分；

实施计划基本满足得4-6分；

实施计划不满足得0-3分。

10

项目实施人员

1.负责本项目的项目经理需同时具备国际PMP证书和CISP证书，具备12年以上相关职业工作经验，熟悉教育行业，且在投标单位工作2年或以上（须提供由社保管理部门出具的2年或2年以上的社保缴纳证明）得5分，否则不得分。；

2.项目成员具有中国信息安全测评中心颁发的注册Web安全工程师（CISM-WSE）。每提供一个有效证明文件得1分，最多得5分。

3.项目主要成员在三年内，曾披露过操作系统(微软、Linux)、开源软件(Struts、Apache)等国际著名厂商的CVE漏洞并获得官方认可（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得1分；最多得5分，未提供不得分。

4.项目主要成员或成员参加的团队参与国际、国内网络安全攻防大赛参赛（如Pwn2Own、DEFCON、ISG信息安全技能竞赛、国家网络安全宣传周CTF等），并获得个人或团队前10名。（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得1分，最多得5分，未提供不得分。

注：以上要求须提供相关人员简历、资历证明文件、3个月以上在职社保证明文件，并加盖投标人公章。

20

项目实施工具

项目团队具有完善的渗透测试的相关工具：

1.投标人具备自主研发的Web应用弱点扫描工具，得2分；参与过GA/T 1107-2013 《信息安全技术 Web应用安全扫描产品安全技术要求》标准的制定，得3分；不具备不得分。

2.具备自主研发的数据库弱点扫描工具，得2分；参与过GA/T1139-2014《信息安全技术 数据库扫描产品安全技术要求》标准的制定，满足得3分；不具备不得分。

3.具备自主研发的对渗透测试对象“关键信息基础设施”等级保护检查的信息安全等级保护检查工具，具备得5分，不具备不得分。

4.具备自主研发的网络安全事件应急处置工具，可对渗透测试结果或安全事件进行快速分析、取证、处置，具备得5分，不具备不得分。

注：以上4类工具不得重复提供，投标人须提供计算机软件登记著作权证书或公安部销售许可证或IT产品信息安全认证证书等相关证明文件，并加盖投标人公章，证明材料不足，按无效评定。

20