一、采购事项:广州市交通运输局2020年政府投资信息化项目等级保护测评服务
二、采购单位:广州市交通运输局
三、采购编号:GZJTITDBCP-2020-0420
四、报价截止时间及报价文件递交地点
1.询价通知书公告及报价截止时间:询价通知书于广州市交通运输局网站公告,公告时间五个工作日。逾期送达或邮寄送达的投标文件恕不接收。
2.报价文件递交地点:广州市天河南二路1号广州交通信息指挥中心大楼18楼1802会议室。
3.报价文件启封时间:2020年5月6日下午15时,请各报价单位的法定代表人到场参与报价,并提供法定代表人证明书。法定代表人不能到场的,可委托代理人到场参加报价,并需提供法定代表人证明书、法定代表人授权委托书及被授权代理人的身份证。
4.项目联系人:甘先生,(020)38180072。
五、采购需求
通过询价方式确定等级保护测评服务单位后,由该单位按具体项目分别签订委托测评合同,按以下具体要求开展测评工作。
1、实施内容、原则和依据
协助采购单位办理本项目有关信息系统网络安全等级保护备案工作。按照现行的等级保护测评工作中的测评指标对信息系统进行等级保护验收测评,核验信息系统是否已达到等级保护二级要求。经过测评后,如果系统达到等级保护测评二级要求,则出具等级保护测评报告。
(1)二级等级保护测评内容(按等级保护2.0要求)
安全物理环境
安全物理环境测评是对被测系统的机房和办公场所的物理环境安全防护情况进行测评,包括机房物理位置选择、物理访问控制、防盗窃和防破、防雷击、防火、防水和防潮、防静电应、温湿度控制、电力供应、电磁防护等方面的安全状况。
安全通信网络
安全通信网络测评是对被测系统的通信网络安全防护情况进行测评,包括网络架构、通信传输、可信验证等方面的安全状况。
安全区域边界
安全区域边界测评是对被测系统的区域边界的安全防护情况进行测评,包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的安全状况。
安全计算环境
安全计算环境测评是对被测系统的计算环境的安全防护情况进行测评,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。
安全管理中心
安全管理中心测评是对被测系统的管理中心安全保护情况进行测评,包括系统管理、审计管理。
安全管理制度
安全管理制度测评是对被测系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。
安全管理机构
安全管理机构测评是对被测系统的岗位设置、授权和审批、沟通和合作、审核和检查等情况进行测评。
安全管理人员
安全管理人员测评是对被测系统相关内部人员的人员录用、人员离岗、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
安全建设管理
安全建设管理测评是对被测系统建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自主软件开发、工程实施、测试验收、系统交付、等级保护测评、中标人选择等情况进行测评。
安全运维管理
安全运维管理测评是对被测系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险、网络和系统安全管理、配置管理、恶意代码防范管理、密码管理、变更管理、安全事件处置、应急预案管理等、外包运维管理情况进行测评。
(2)整体测评
整体测评主要包括控制间测评、层面间测评和区域间测评三部分。
控制间等级保护测评
安全控制间的等级保护测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。
层面间等级保护测评
层面间的等级保护测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作。
区域间等级保护测评
区域间的等级保护测评主要考虑互联互通(包括物理上和逻辑上的互联互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用。
根据被测系统信息系统的具体情况,结合标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
(3)风险分析
中标人将依据等级保护的相关规范和标准,采用风险分析的方法分析信息系统等级保护测评结果中存在的安全问题(等级保护测评结果中部分符合项或不符合项的汇总结果)可能对信息系统安全造成的影响。
分析过程包括:
1)判断安全问题被威胁利用的可能性,可能性的取值范围为高、中和低;
2)判断安全问题被威胁利用后,对信息系统安全(业务信息安全和系统服务安全)造成的影响程度,影响程度取值范围为高、中和低;
3)综合1)和2)的结果对信息系统面临的安全风险进行赋值,风险值的取值范围为高、中和低;
4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
最后将以列表形式向采购人呈现等级保护测评发现安全问题以及风险分析和评价情况。
根据上述评估内容范围要求,现场进行评估识别和判断信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度以及安全控制措施的有效性等情况。
同时针对主要网络攻击威胁场景进行安全评估,评估内容包括基础设施、网络和系统存在的风险,评估现有技术防护措施、安全管理措施的针对性和有效性。针对高级持续性威胁、精准式网络攻击进行安全评估,对威胁和攻击进行分类场景设定,出具针对此类攻击的防护措施专项评估报告。
(4)测评原则
中标人专业测评师需要通过规范的等级保护测试评估,对采购人信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。
项目的方案设计与实施应满足以下原则:
符合性原则:应符合国家信息安全等级保护制度及相关法律法规。
标准性原则:方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
规范性原则:项目实施应由专业的等级保护测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
整体性原则:等级保护测评与安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害客户利益的行为。
(5)测评依据
信息系统等级保护测评依据为现行的《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级信息系统遵循的标准进行综合性测评,提出相应的安全评审意见。
主要参考标准如下:(以下以国家相关部门颁发的最新标准为准)
《信息安全等级保护管理办法》
《计算机信息系统安全保护等级划分准则》
《信息安全技术 信息系统安全等级保护定级指南》
《信息安全技术 信息系统安全等级保护基本要求》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全技术 信息系统安全等级保护实施指南》
《信息安全技术 信息系统安全等级保护测评过程指南》
《信息安全技术 信息系统通用安全技术要求》
《信息安全技术 网络基础安全技术要求》
《信息安全技术 操作系统安全技术要求》
《信息安全技术 数据库管理系统安全技术要求》
《信息安全技术 服务器技术要求》
《信息安全技术 终端计算机系统安全等级技术要求》
《信息安全技术 信息安全风险评估规范》
(6)等级保护测评工具参数要求
依据GB/T22239-2019《信息安全技术信息系统安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求,在等级保护测评过程中,应采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距;为确保中标人开展信息系统安全测评的质量以及提高自动化程度,在工具检测方面,中标人可采用符合国家标准的等级保护工具箱辅助完成测评工作,利用等级保护工具箱,提高测评人员工作效率、测评客观公平、测评结果可管理分析汇总。
等级保护工具箱指标要求(参考):
指标项 | 指标要求 |
功能 | 任务管理 | 支持手动创建重要信息系统检查、行业主管部门检查、备案单位检查、网站检查、自定义检查任务。 |
支持检查任务并行检查及并行检查结果合并。 |
支持任务的打开、另存为、修改、删除、关闭。 |
支持与等保监察平台数据的上报和下发。 |
检查任务 | 检查范围:支持行业主管部门、备案单位、重要信息系统、网站四类检查对象的检查范围。支持基本情况、定级备案等检查范围。 |
检查内容:支持系统定级情况、岗位设置情况、安全审计情况等检查内容。 |
检查要点:支持检查对象检查内容具体检查指标项进行检查。 |
检查结果录入类型: 单项判定:支持判定未检、不适用、0分、1分、2分、3分、4分、5分 检查结果录入:支持录入检查结果记录 |
针对每个检查要点应提供相应的检查方法,检查结果判定依据等相关检查知识,以便引导进行现场检查。 |
支持对检查过程中具体检查对象(例如:主机、网络设备等)进行调整功能,要求可以选择已有的检查对象或录入新的检查对象。 |
支持将任务导出成检查模板,检查人员能够根据被检查单位情况,灵活分配各自的检查任务,支持导出检查表单提前让被检查单位人员对应进行自查,检查人员经现场检查核对无误之后,可以直接将检查检查表单数据直接导入到工具箱中。 |
检查层面、检查内容、检查指标项支持保存为模板,模板可导入、导出。 |
支持检查工具检查结果信息的展现功能。 |
支持导出、导入检查项。 |
支持手动填写测评概述,概述内容包括测评目的、测评依据、中标人法、测评结论、整体测评结果汇总等。 |
数据汇总 | 支持一键导入功能,将检查工具集检测结果自动导入到工具箱。 |
支持手动导入工具检查结果到工具箱及关联任务检查对象。 |
支持工具检查结果自动关联知识库。 |
检查结果导出 | 应采用国家商密办指定认可的国产商用密码算法对检查数据进行加密后导出,以确保检查数据的保密性。 |
导出的检查结果应按照指定的接口规范导出。 |
支持自动生成不同类型检查任务的检查报告,检查报告应包含不符合项的风险描述信息和安全评分。 |
兼容性 | 支持与工具箱监察管理系统数据的上报和下发。 |
监察 指标 库升 级维 护 | 指标库要求 | 监察指标库包含:控制点和要求项。 |
指标库升级维护 | 提供监察知识库升级功能,可以对监察知识库进行手动更新。 |
应提供升级检测和提醒功能。 |
监察知识库升级应有日志记录。 |
监 察 知 识 库 升 级 维 护 | 知识库要求 | 知识库内容必须覆盖所有检查指标。 |
知识库内容应包含检查指标的检查方法、检查结果判定依据和不符合项的风险提示。 |
知识库可以依据网络安全的标准和分析模型,对检查工具的检查结果进行自动分析,给出相应的检查结果记录。 |
知识库可以针对不同类型的检查任务,对检查结果进行自动分析和安全评分,比自动生成相应的检查结果记录。 |
知识库内容应描述正确,并具有明确的引导作用。 |
知识库升级维护 | 知识库内容必须覆盖所有检查指标。 |
知识库内容应包含检查指标的检查方法、检查结果判定依据和不符合项的风险提示。 |
知识库可以依据网络安全的标准和分析模型,对检查工具的检查结果进行自动分析,给出相应的检查结果记录。 |
工 具 管 理 | 升级管理 | 技术支持网站应提供检查工具升级提示功能,当检查工具有更新时,用户可以进行检查工具的升级操作。 |
检查工具升级操作应在工具箱留有日志记录。 |
结果管理 | 应提供结果分析,依据内置知识库自动对工具检查结果进行分析,自动判别相应检查指标的检查结果。 |
结果导入操作应留有日志记录。 |
应提供结果分析,依据内置知识库自动对工具检查结果进行分析,自动判别相应检查指标的检查结果。 |
风险提示 | 所有检查工具启动时,默认都会进行风险提示,支持通过配置是否下次启用风险提示。 |
系 统 管 理 | 配置管理 | 配置管理应提供对工具箱监察管理系统参数进行配置: 支持系统最大登录次数设置; 支持锁定用户时间设置; 支持软件自动锁定功能; 支持口令强度策略设置。 |
用户管理 | 支持对用户账户进行管理,支持管理员、操作员、审计员角色账户增加、口令修改; 支持对账户新增、修改、删除; 内置角色默认权限; 支持用户密码找回功能。 |
日志管理 | 可查看操作日期、操作用户、操作对象等日志记录。 |
提供日志筛选功能。 |
提供日志导出备份功能。 |
系统升级 | 应提供升级功能,升级操作应简单。 |
技术支持网站应提供升级提示功能。 |
应定期发布离线升级包,支持手动导入升级。 |
升级操作应留存日志记录。 |
工具箱监察管理系统具有登录尝试失败锁定功能。 |
访问控制 | 应依据安全策略严格控制用户文件,数据表等重要信息资源的操作。 |
应确保不提供已注销用户的任何信息,包括鉴别信息等。 |
安全审计 | 指标库、知识库、监察工具等升级操作。 |
用户登录和注销等事件。 |
数据导入、导出等事件。 |
通信安全 | 应采取措施确保导入和导出数据的完整性。 |
U盘安全检查工具向工具箱提交的检查结果数据。 |
数据安全 | 采用国家商密办指定认可的国产商用密码算法对以下数据进行加密。 |
等保工具箱配备U盘安全检查工具集 |
Windows 主 机 安 全 配 置 检 查 工 具 | 支持检查主机系统配置信息,包括:计算机名、用户名、操作系统、版本、内存大小、磁盘大小、系统路径、共享目录; 支持检查USB接入设备信息; 支持检查Internet Explorer、Chrome、Firefox等浏览器上网记录、Cookie记录; 支持检查主机硬件信息,包括:CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息; 支持检查主机开机自启动项程序; 查看主机上已经启动的可能有风险的服务程序,包括:如Task Scheduler、Print Spooler、Remote Registry 等服务; 支持检查账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等; 对系统账户进行检查,可智能识别系统影子账户(隐藏账户); 查看系统是否开启系统审核系统登录事件、审核账户登录事件等安全审计策略; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 |
主 机 病 毒 检 查 工 具 | 支持对操作系统的关键机制,如系统服务、内存、注册表、启动进程;检测操作系统的安全模型,包括访问控制、特权和审计;反馈系统安全配置、文件访问,驱动、引导等系统深度进行检查; 检查流氓软件、蠕虫病毒、其它恶意程序等; 支持快速扫描、全盘扫描、自定义目录扫描; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 |
主 机 木 马 检 查 工 具 | 支持检查系统中的木马程序、Rootkit、间谍程序等; 提取操作系统的关键机制,如系统服务、内存、注册表、启动进程;检测操作系统的安全模型,包括访问控制、特权和审计;反馈系统安全配置、文件访问,驱动、引导等系统深度信息; 支持快速扫描、全盘扫描、自定义目录扫描; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 |
网站 恶意 代码 检查 工具 | 支持asp、asa、cer、jsp、jspx、php 等文件格式检查; 支持自定义文件后缀格式; 支持异性、变异WEBSHELL后门代码检查; 支持关键恶意特征码定位; 支持快速扫描、全盘扫描、自定义路径扫描; 支持自定义扫描策略、可扩充恶意特征码; 支持自定义文件大小扫描; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 |
等保工具箱配备在线检查工具集 |
Linux 主 机 安 全 配 置 检 查 工 具 | 支持检查主机系统配置信息,包括:计算机名、用户名、操作系统、版本、内存等; 支持检查系统安全补丁升级情况; 支持检查不必要的服务和端口(如TELNET、SSH、SNMP、HTTP等); 支持检查账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等; SNMP、SSH服务、版本信息; 支持检查安全审计配置情况、包含事件类型; 支持检查屏幕保护恢复时间; 支持RedHat、Ubuntu、Debian、Fedora、Suse、Centos操作系统类型; 支持在线更新、离线升级。 |
网 络 及 安 全 设 备 配 置 检 查 工 具 | 支持对华三、思科、华为路由器、交换机通用系列网络设备安全分析检查; 支持对天融信、网神、启明星辰、网御星云、Juniper防火墙通用系列设置安全分析检查; 支持检查账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等; 支持检查安全审计策略,包含事件类型、SYSLOG服务器; 支持检查不必要的服务和端口(如TELNET、FTP、SNMP、HTTP、Sendmail); 支持SNMP、SSH服务、版本信息检查; 运行环境支持Windows XP、 Windows7、 Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 |
弱 口 令 检 查 工 具 | 应用服务支持类型:SSH、SMB、TELNET、FTP、RDP、SQL Server、Oracle、MySQL、POP3等协议应用程序弱口令检查; 支持自定义账户、口令字典; 支持自定义应用协议TCP端口; 内置常见弱口令字典(如口令为:123456、88888888、12345等); 支持本地、远程主机及多协议同时检查; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线更新。 |
数 据 库 安 全 检 查 工 具 | 支持IPV6地址检查; 支持对数据库弱点、不安全配置、安全策略、补丁升级、弱口令安全检查; 支持主流Oracle、SQL Server、DB2、Informix、MySQL、Sybase数据库类型; 支持授权扫描,使用具有DBA权限的数据库用户,执行选定的安全策略实现对目标数据库检查; 非授权扫描,用户在没有授权的情况下(即:不需要数据库用户名、密码),根据选定的安全策略对目标数据库进行的检测; 策略自定义,提供扫描策略可自定义模式,操作者可以灵活选择默认策略的同时也可以自定义添加策略; 支持在线更新、离线升级。 |
网 站 安 全 检 查 工 具 | 支持WEB 2.0,支持各类JavaScript脚本解析; 支持WAP站点扫描; 支持FLASH解析; 支持基于HTTPS应用系统的扫描; 支持实时存储扫描项目文件、断点续扫; 支持ERP等复杂的Web应用系统扫描; 支持易通、织梦、DEDECMS、Discuz、Ecshop、易思、方欣、大汉、科讯、通达OA、PHPCMS、PHP168、PHPCMS2008、phpcms v9、SHOPEX、SiteServercms、TRS、 Nginx代码执行、Spring代码执行、亿邮邮件系统命令执行等国内、国外知名WEB应用程序漏洞扫描; 支持JSP、CGI、ASP、.NET等类型动态页面; 支持IP地址、域名地址、批量网站扫描; 支持无人值守模式下的全自动扫描; 支持HTTP 1.0和1.1标准的Web应用系统; 支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Access、 Ingres等后台数据库类型; 支持对SQL注入、XSS跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄露、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描; 支持在线更新、离线升级。 |
系 统 漏 洞 检 查 工 具 | 支持对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描; 支持对Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件进行漏洞扫描; 支持对网络设备进行漏洞扫描; 支持多种扫描策略,包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描、Windows主机扫描、类Unix主机扫描等扫描策略,方便用户快速选择; 支持自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括:漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等; 支持在线、离线更新; 支持导出Word、PDF常见格式报表。 |
运行安全 | 不得改变检查对象当前配置; |
不影响检查对象正常运行; |
不影响检查对象所属网络正常运行; |
不在检查对象中遗留痕迹。 |
数据安全 | 存储安全 | U盘检查工具应对所有检查数据采用国产加密算法进行加密,防止监察数据被非法读取。 |
痕迹安全 | U盘检查工具应对所有检查数据采取痕迹消除措施,以防止信息泄露。 |
安全性 | 支持等级保护检查过程的用户信息的安全保护,所有数据以加密方式存储传输。 |
U盘自身具有病毒、木马程序免疫功能,防止病毒、木马程序感染U盘内文件。 |
报表中心 | 支持生成信息系统检查任务报告、行业主管部门检查任务报告、备案单位任务报告、网站安全检查任务报告、自建检查任务报告; 支持检查任务汇总、预览; 支持对信息系统检查任务检查结果进行得分汇总,并以饼形图的方式进行展示 支持生成等保测评报告、工具检测类型报表,等保测评报告采用最新的测评报告2015模板; 支持WORD、HTML格式报表导出; 支持下载自查表。 |
辅助功能 | 工具箱监察管理系统和U盘安全检查工具应提供软件截图工具,便于实时保存系统关键界面信息。 |
2、工作要求
按照等级保护相关标准(最新标准)的要求完成以下测评工作:
第一步:中标人对采购人的信息系统进行测试评估、分析差距、提出差距测评报告和安全整改建议;
第二步:采购人根据差距测评报告与安全整改建议实施安全整改;中标人需协助采购人按照等级保护相关标准完善安全管理制度;
第三步:中标人再次对采购人的信息系统进行测试评估、提出验收测评报告,并协助采购人通过公安机关的备案与检查。
3、测评项目列表
序号 | 项目名称 | 子项目 | 项目设计的服务器及专用服务引擎设备数量(台) | 项目等保测评服务限价(单位:万元) | 1 | 广州市交通委员会2018年信息化应用系统建设项目 | 广州市道路运输业务网上受理平台升级及网上办事大厅手机版 | 31 | 10.4 | 2 | 公路工程从业企业信用评价管理系统 | 3 | 广州市交通信息化系统安全管控系统(一期) | 4 | 交通信息资源协同与展示应用实施建设 | 5 | 广州市交通委员会公交站场站点视频系统智能化应用平台 | 18 | 6.3452 |
| 合计 | 49 | 16.7452 |
|
注:表中项目规划设计服务器及专用服务引擎设备数量仅供报价参考,以实际部署的数量为准。 |
六、报价要求
1、合同金额=项目方案切块金额×(1-b%),b%暨中标单位报价的下浮费率。合同金额以万为单位,截取小数点后两位。
2、投标人应根据企业自身能力报出等级保护测评费用的下浮费率b%。
3、费率以百分比方式报送,阿拉伯数字,保留小数点后一位小数(例如11.1%)。
七、报价供应商的资格要求
★投标人须列入《全国网络安全等级保护测评机构推荐目录》(须在有效期内。投标人须提供“中国网络安全等级保护网网站”目录截图,并以采购单位查证为准),并提供国家等保办或省级等保办颁发的《网络安全等级保护测评机构推荐证书》。
1.报价供应商应具有独立的法人资格,并提供经年检的法人营业执照(副本)复印件。
2.如报价供应商代表不是法定代表人的,报价供应商必须提供法定代表人对报价供应商代表的授权书原件,及报价供应商代表的身份证复印件。
3.供应商未被列入“信用中国”网站中“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”的记录名单;不处于“中国政府采购网”中“政府采购严重违法失信行为信息记录”的禁止参加政府采购活动期间(以采购代理机构或采购人于资格审查时在上述网站查询结果为准,如在上述网站查询结果均显示没有相关记录,视为没有上述不良信用记录。同时对信用信息查询记录和证据截图存档。如相关失信记录已失效,供应商须提供相关证明资料)。
4.为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动。
5.本项目不接受联合体投标。
八、报价文件的组成
1.询价通知书(只提供首页,主要包含项目名称和项目编号等内容);
2.承诺函;
3.报价函;
4.报价单位法人营业执照;
5.法定代表人(负责人)证明书/授权委托证明书;
6.询价项目报价响应表。
7.报价供应商的资格证明文件;
8.报价供应商提交的其它资料。
报价文件格式见附件,报价文件正本一份、副本一份。
九、成交供应商的评定规则
本项目采用询价方式,以供应商的唯一最高下浮费率来确定项目的服务商。服务商应按照“守法、公平、公正、独立”的原则,依照有关法律法规和标准规范,保证项目按期、高质量地完成。
1、当达到报价截止时间,少于3家符合资格要求的供应商参与询价报价,将作询价终止处理。
2、当达到报价截止时间,不少于3家符合资格要求的供应商参与询价报价:
报价依次不超过两轮进行,每一轮由供应商现场同时独立报价,各家供应商之间不得研商,第二轮报价下浮费率不得低于第一轮报价下浮费率,按以下规则评定出本项目成交供应商或终止询价。
1)若同一轮报价中,只有一家供应商报价为有效报价,则确定该报价供应商为本项目成交供应商,项目成交下浮费率按成交供应商报价执行,报价终止。
2)若同一轮报价中,有不少于2家供应商为有效报价,且各有效报价供应商的报价下浮费率不完全一致,则采购单位确定以唯一报价下浮费率最高者作为本项目成交供应商,项目成交下浮费率按成交供应商报价执行,报价终止。
3)若第一轮报价下浮费率不能确定唯一报价下浮费率最高者的,报价下浮费率最高者参加第二轮报价。
4)若第二轮报价后,报价下浮费率最高者为1家,则确定最高报价商为本项目成立供应商;若报价下浮费率最高者多于1家的,将作询价终止处理。
3、报价供应商关于评定规则有异议的,应于报价开始前一次性提出,报价开始后将不再接受质询。
附件:1.广州市交通运输局2020年政府投资信息化项目等级保护测评服务询价通知书.doc
2.报价文件模板.docx
广州市交通运输局
2020年4月26日
粤公网安备 44010602005296号 粤ICP备19161716号-1