Yrh 中文字幕_亚洲丁香六月开心婷婷_中日韩亚洲欧洲视频_国自产拍精品91

1

常德公司調度管理平臺（包含以下子系統(tǒng)：常德公交管理平臺、湖南常德GPRS監(jiān)控平臺、Saas智能調度平臺、常德市出租車監(jiān)管平臺）

■

2

常德車載二維碼管理平臺 （IC卡管理平臺）

■

總計

2

安全物理環(huán)境

物理位置選擇

a) 機房場地應選擇在具有防震、防風和防雨等能力的建筑內；

b) 機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施。

物理訪問控制

機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。

防盜竊和防破壞

a) 應將設備或主要部件進行固定，并設置明顯的不易除去的標識；

b) 應將通信線纜鋪設在隱蔽安全處；

防雷擊

應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地。

防火

a) 機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；

b) 機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料。

防水和防潮

a) 應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；

b) 應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。

防靜電

應采用防靜電地板或地面并采用必要的接地防靜電措施。

溫濕度控制

應設置溫濕度自動調節(jié)設施，使機房溫濕度的變化在設備運行所允許的范圍之內。

電力供應

a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備；

b) 應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。

電磁防護

電源線和通信線纜應隔離鋪設，避免互相干擾。

網(wǎng)絡架構

a) 應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址；

b) 應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術隔離手段。

通信傳輸

應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性。

可信驗證

可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

安全區(qū)域邊界

邊界防護

應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信。

訪問控制

a) 應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；

b) 應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；

c) 應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；

d) 應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。

入侵防范

應在關鍵網(wǎng)絡節(jié)點處監(jiān)視網(wǎng)絡攻擊行為。

惡意代碼和垃圾郵件防范

應在關鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。

安全審計

a) 應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

c) 應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

可信驗證

可基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

安全計算環(huán)境

身份鑒別

a) 應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；

b) 應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施；

c) 當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

訪問控制

a) 應對登錄的用戶分配賬戶和權限；

b) 應重命名或刪除默認賬戶，修改默認賬戶的默認口令；

c) 應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

d) 應授予管理用戶所需的最小權限，實現(xiàn)管理用戶的權限分離。

安全審計

a) 應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

c) 應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

入侵防范

a) 應遵循最小安裝的原則，僅安裝需要的組件和應用程序；

b) 應關閉不需要的系統(tǒng)服務、默認共享和高危端口；

c) 應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制；

d) 應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設定要求；

e) 應能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

惡意代碼防范

應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。

可信驗證

可基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

數(shù)據(jù)完整性

應采用校驗技術保證重要數(shù)據(jù)在傳輸過程中的完整性。

數(shù)據(jù)備份恢復

a) 應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；

b) 應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地。

剩余信息保護

應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。

個人信息保護

a) 應僅采集和保存業(yè)務必需的用戶個人信息；

b) 應禁止未授權訪問和非法使用用戶個人信息。

安全管理中心

系統(tǒng)管理

a) 應對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計；

b) 應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數(shù)據(jù)和設備的備份與恢復等。

審計管理

a) 應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計；

b) 應通過審計管理員對審計記錄應進行分析，并根據(jù)分析結果進行處理，包括根據(jù)安全審計策略對審計記錄進行存儲、管理和查詢等。

安全管理制度

安全策略

應制定網(wǎng)絡安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安全框架等。

管理制度

a) 應對安全管理活動中的主要管理內容建立安全管理制度；

b) 應對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。

制定和發(fā)布

a) 應指定或授權專門的部門或人員負責安全管理制度的制定；

b) 安全管理制度應通過正式、有效的方式發(fā)布，并進行版本控制。

評審和修訂

應定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理制度進行修訂。

崗位設置

a) 應設立網(wǎng)絡安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；

b) 應設立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責。

人員配備

應配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員等。

授權和審批

a) 應根據(jù)各個部門和崗位的職責明確授權審批事項、審批部門和批準人等；

b) 應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批過程。

溝通和合作

a) 應加強各類管理人員、組織內部機構和網(wǎng)絡安全管理部門之間的合作與溝通，定期召開協(xié)調會議，共同協(xié)作處理網(wǎng)絡安全問題；

b) 應加強與網(wǎng)絡安全職能部門、各類供應商、業(yè)界專家及安全組織的合作與溝通；

c) 應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內容、聯(lián)系人和聯(lián)系方式等信息。

審核和檢查

應定期進行常規(guī)安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

安全管理人員

人員錄用

a) 應指定或授權專門的部門或人員負責人員錄用；

b) 應對被錄用人員的身份、安全背景、專業(yè)資格或資質等進行審查。

人員離崗

應及時終止離崗人員的所有訪問權限，取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。

安全意識教育和培訓

應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施。

外部人員訪問管理

a) 應在外部人員物理訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同，并登記備案；

b) 應在外部人員接入受控網(wǎng)絡訪問系統(tǒng)前先提出書面申請，批準后由專人開設賬戶、分配權限，并登記備案；

c) 外部人員離場后應及時清除其所有的訪問權限。

安全建設管理

定級和備案

a) 應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由；

b) 應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定；

c) 應保證定級結果經(jīng)過相關部門的批準；

d) 應將備案材料報主管部門和相應公安機關備案。

安全方案設計

a) 應根據(jù)安全保護等級選擇基本安全措施，依據(jù)風險分析的結果補充和調整安全措施；

b) 應根據(jù)保護對象的安全保護等級進行安全方案設計；

c) 應組織相關部門和有關安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進行論證和審定，經(jīng)過批準后才能正式實施。

產(chǎn)品采購和使用

a) 應確保網(wǎng)絡安全產(chǎn)品采購和使用符合國家的有關規(guī)定；

b) 應確保密碼產(chǎn)品與服務的采購和使用符合國家密碼管理主管部門的要求。

自行軟件開發(fā)

a) 應將開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結果受到控制；

b) 應保證在軟件開發(fā)過程中對安全性進行測試，在軟件安裝前對可能存在的惡意代碼進行檢測。

外包軟件開發(fā)

a) 應在軟件交付前檢測其中可能存在的惡意代碼；

b) 應保證開發(fā)單位提供軟件設計文檔和使用指南。

工程實施

a) 應指定或授權專門的部門或人員負責工程實施過程的管理；

b) 應制定安全工程實施方案控制工程實施過程。

測試驗收

a) 應制訂測試驗收方案，并依據(jù)測試驗收方案實施測試驗收，形成測試驗收報告；

b) 應進行上線前的安全性測試，并出具安全測試報告。

系統(tǒng)交付

a) 應制定交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點；

b) 應對負責運行維護的技術人員進行相應的技能培訓；

c) 應提供建設過程文檔和運行維護文檔。

等級測評

a) 應定期進行等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；

b) 應在發(fā)生重大變更或級別發(fā)生變化時進行等級測評；

c) 應確保測評機構的選擇符合國家有關規(guī)定。

服務供應商選擇

a) 應確保服務供應商的選擇符合國家的有關規(guī)定；

b) 應與選定的服務供應商簽訂相關協(xié)議，明確整個服務供應鏈各方需履行的網(wǎng)絡安全相關義務。

安全運維管理

環(huán)境管理

a) 應指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理；

b) 應對機房的安全管理做出規(guī)定，包括物理訪問、物品帶進出和環(huán)境安全等；

c) 應不在重要區(qū)域接待來訪人員，不隨意放置含有敏感信息的紙檔文件和移動介質等。

資產(chǎn)管理

應編制并保存與保護對象相關的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內容。

介質管理

a) 應將介質存放在安全的環(huán)境中，對各類介質進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質的目錄清單定期盤點；

b) 應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質的歸檔和查詢等進行登記記錄；

設備維護管理

a) 應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理；

b) 應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、維修和服務的審批、維修過程的監(jiān)督控制等。

漏洞和風險管理

應采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。

網(wǎng)絡和系統(tǒng)安全管理

a) 應劃分不同的管理員角色進行網(wǎng)絡和系統(tǒng)的運維管理，明確各個角色的責任和權限；

b) 應指定專門的部門或人員進行賬戶管理，對申請賬戶、建立賬戶、刪除賬戶等進行控制；

c) 應建立網(wǎng)絡和系統(tǒng)安全管理制度，對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規(guī)定；

d) 應制定重要設備的配置和操作手冊，依據(jù)手冊對設備進行安全配置和優(yōu)化配置等；

e) 應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設置和修改等內容。

惡意代碼防范管理

a) 應提高所有用戶的防惡意代碼意識，對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等；

b) 應對惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權使用、惡意代碼庫升級、惡意代碼的定期查殺等；

c)應定期檢查惡意代碼庫的升級情況，對截獲的惡意代碼進行及時分析處理。

配置管理

應記錄和保存基本配置信息，包括網(wǎng)絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數(shù)等。

密碼管理

a) 應遵循密碼相關國家標準和行業(yè)標準；

b) 應使用國家密碼管理主管部門認證核準的密碼技術和產(chǎn)品。

變更管理

a) 應明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施。

備份與恢復管理

a) 應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；

b) 應規(guī)定備份信息的備份方式、備份頻度、存儲介質、保存期等；

c) 應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略、備份程序和恢復程序等。

安全事件處置

a) 應及時向安全管理部門報告所發(fā)現(xiàn)的安全弱點和可疑事件；

b) 應制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應流程，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責等；

c) 應在安全事件報告和響應處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結經(jīng)驗教訓。

應急預案管理

a) 應制定重要事件的應急預案，包括應急處理流程、系統(tǒng)恢復流程等內容；

b) 應定期對系統(tǒng)相關的人員進行應急預案培訓，并進行應急預案的演練。

外包運維管理

a) 應確保外包運維服務商的選擇符合國家的有關規(guī)定；

b) 應與選定的外包運維服務商簽訂相關的協(xié)議，明確約定外包運維的范圍、工作內容。

評審因素

計分因素

分值

評分標準

商務部分(F1)

30分

服務資質

（24分）

6分

具有中國信息安全測評中心頒發(fā)的國家信息安全測評授權證書的計6分。

6分

具有中國信息安全測評中心頒發(fā)的《信息安全服務資質證書（風險評估）二級》（含二級）以上的計6分。

6分

具有網(wǎng)絡安全應急服務支撐單位證書（省級），計6分。

3分

具有ISO 9001或者ISO 27001認證體系證書，計3分。

3分

具有中國信息安全測評中心頒發(fā)的《信息安全服務資質（安全工程 一級）》（含一級）以上的計3分。

業(yè)績

6分

1.自2019年（以合同簽訂日期為準）以來具有同類型項目業(yè)績,每個項目計2分，最多計6分。（提供合同掃描打印件并加蓋公章）

技術部分(F2)

40分

滿足招標文件技術要求程度

5分

完全滿足招標文件一般技術指標的計5分，一般技術條款（非“★”條款）每負偏離一項扣0.5分；如應答時缺項，則作為負偏離處理。

工作目標

10分

項目建設工作目標是否明確，對招標方需求的理解程度。

有明確的工作目標，對招標方需求了解充分、完整的為優(yōu)計10分；有較為清晰的工作目標，對招標方需求了解較為充分的為良計7分；工作目標一般，對招標方需求了解一般的計4分；工作目標不明確，需求理解不可行的不計分。

服務方案

10分

服務方案完善，提供了合理化建議，并完全滿足招標文件要求為優(yōu)的計10分；服務方案較完善，合理化建議基本可行評為良的計7；服務方案一般，合理化建議不夠科學，評為一般的計4分；不可行的，不計分。

服務能力

10分

1、測評人員具有“信息安全等級保護測評師”證書。

高級測評師證書每個計2分，中級測評師證書每個計2分，最多4分。

2、測評人員具有中國信息安全測評中心頒發(fā)的CISP認證工程師證書，每個計1分，最多6分。

售后服務

5分

針對本項目售后服務方案的合理及完善程度分檔計分：優(yōu)計5分，良計3分，一般計2分，差計1分。沒提供針對本項目售后服務方案的不計分。

報價(F3)

30分

投標報價（30分）

30分

價格分以基準平均價為依據(jù)，當評標價等于基準平均價時計為：30分。具體計算方式如下：

1）基準平均價計算方法：取進入價格評分的各投標公司評標價的平均值作為基準平均價。

2）其他報價得分=30- Q扣

Q扣=|（評標價格-基準平均價）/基準平均價*30 |其中：“Q扣”為投標服務商評標價偏離基準平均價的扣分值，為評標價格與基準平均價偏差百分數(shù)的絕對值（四舍五入取小數(shù)點最后兩位數(shù)）。

評委評分=F1+F2+F3 

綜合得分最高的為成交供應商。

F1、F2、F3分別為各項評分因素的匯總得分。