教育部外资贷款事务中心（教育部政府采购中心）教育行业信息技术安全保障项目更正公告

首次公告日期 2018年07月20日 更正日期 2018年07月27日

联系人及联系方式：

项目联系人 蒋旭、于辉、陈清

项目联系电话 010-59893113、3121、3112

采购单位 教育部外资贷款事务中心（教育部政府采购中心）

采购单位地址 北京市海淀区西直门北大街32号枫蓝国际中心写字楼B座1706

采购单位联系方式 李宁，010-62290203

代理机构名称 北京中教仪国际招标代理有限公司

代理机构地址 北京市海淀区文慧园北路10号院

代理机构联系方式 蒋旭、于辉、陈清，010-59893113、3121、3112

投标人需提供近三年（2015年1月1日至今）独立承担的同类安全服务项目成功案例（须是渗透测试服务项目或含渗透测试服务的项目），每个案例得2分（同一单位多个案例计为1个有效案例），最多得10分。
注：合同须与最终客户直接签约，同一单位多个案例计为1个有效案例，须提供合同首页、签字盖章页、服务内容页、服务金额所在页复印件加盖投标人公章，并提供用户联系人和电话备查，证明材料不全视为无效案例。
1.负责本项目的项目经理需同时具备国际PMP证书和CISP证书，具备12年以上相关职业工作经验，熟悉教育行业，且在投标单位工作2年或以上（须提供由社保管理部门出具的2年或2年以上的社保缴纳证明）得5分，否则不得分。；
2.项目成员具有中国信息安全测评中心颁发的注册Web安全工程师（CISM-WSE）。每提供一个有效证明文件得2分，最多得10分。
3.项目主要成员在三年内，曾披露过操作系统(微软、Linux)、开源软件(Struts、Apache)等国际著名厂商的CVE漏洞并获得官方认可（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得1分；最多得5分，未提供不得分。
4.项目主要成员或成员参加的团队参与国际、国内网络安全攻防大赛参赛（如Pwn2Own、DEFCON、ISG信息安全技能竞赛、国家网络安全宣传周CTF等），并获得个人或团队前10名。（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得2分，最多得10分，未提供不得分。
注：以上要求须提供相关人员简历、资历证明文件、3个月以上在职社保证明文件，并加盖投标人公章。
项目团队具有完善的渗透测试的相关工具：
1.投标人具备自主研发的Web应用弱点扫描工具，得2分；参与过GA/T 1107-2013 《信息安全技术 Web应用安全扫描产品安全技术要求》标准的制定，得3分；不具备不得分。
2.具备自主研发的数据库弱点扫描工具，得2分；参与过GA/T1139-2014《信息安全技术 数据库扫描产品安全技术要求》标准的制定，满足得3分；不具备不得分。
3.具备自主研发的对渗透测试对象“关键信息基础设施”等级保护检查的信息安全等级保护检查工具，具备得5分，不具备不得分。
4.具备自主研发的网络安全事件应急处置工具，可对渗透测试结果或安全事件进行快速分析、取证、处置，具备得5分，不具备不得分。
注：以上4类工具不得重复提供，投标人须提供计算机软件登记著作权证书或公安部销售许可证或IT产品信息安全认证证书等相关证明文件，并加盖投标人公章，证明材料不足，按无效评定。
投标人需提供近三年（2015年1月1日至今）独立承担的同类安全服务项目成功案例（须是渗透测试服务项目或含渗透测试服务的项目），每个案例得2分（同一单位多个案例计为1个有效案例），最多得10分。
注：合同须与最终客户直接签约，同一单位多个案例计为1个有效案例，须提供合同首页、签字盖章页、服务内容页、服务金额所在页复印件加盖投标人公章，并提供用户联系人和电话备查，证明材料不全视为无效案例。
1.负责本项目的项目经理需同时具备国际PMP证书和CISP证书，具备12年以上相关职业工作经验，熟悉教育行业，且在投标单位工作2年或以上（须提供由社保管理部门出具的2年或2年以上的社保缴纳证明）得5分，否则不得分。；
2.项目成员具有中国信息安全测评中心颁发的注册Web安全工程师（CISM-WSE）。每提供一个有效证明文件得1分，最多得5分。
3.项目主要成员在三年内，曾披露过操作系统(微软、Linux)、开源软件(Struts、Apache)等国际著名厂商的CVE漏洞并获得官方认可（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得1分；最多得5分，未提供不得分。
4.项目主要成员或成员参加的团队参与国际、国内网络安全攻防大赛参赛（如Pwn2Own、DEFCON、ISG信息安全技能竞赛、国家网络安全宣传周CTF等），并获得个人或团队前10名。（提供相关证明文件、人员简历、劳动合同证明文件、社保证明文件），每提供1个有效证明文件得1分，最多得5分，未提供不得分。
注：以上要求须提供相关人员简历、资历证明文件、3个月以上在职社保证明文件，并加盖投标人公章。
项目团队具有完善的渗透测试的相关工具：
1.投标人具备自主研发的Web应用弱点扫描工具，得2分；参与过GA/T 1107-2013 《信息安全技术 Web应用安全扫描产品安全技术要求》标准的制定，得3分；不具备不得分。
2.具备自主研发的数据库弱点扫描工具，得2分；参与过GA/T1139-2014《信息安全技术 数据库扫描产品安全技术要求》标准的制定，满足得3分；不具备不得分。
3.具备自主研发的对渗透测试对象“关键信息基础设施”等级保护检查的信息安全等级保护检查工具，具备得5分，不具备不得分。
4.具备自主研发的网络安全事件应急处置工具，可对渗透测试结果或安全事件进行快速分析、取证、处置，具备得5分，不具备不得分。
注：以上4类工具不得重复提供，投标人须提供计算机软件登记著作权证书或公安部销售许可证或IT产品信息安全认证证书等相关证明文件，并加盖投标人公章，证明材料不足，按无效评定。