LIMS源代码安全审计服务采购项目.DOCVIP

LIMS源代码安全审计服务采购项目 需求文件 国土资源部珠宝玉石首饰管理中心 （国家珠宝玉石质量监督检验中心） 2018年11月29日 PAGE \* MERGEFORMAT6 项目名称 国土资源部珠宝玉石首饰管理中心（国家珠宝玉石质量监督检验中心）LIMS源代码安全审计服务采购项目。 项目采购内容及要求 （一）采购内容： 采购LIMS系统源代码安全审计服务。源代码可执行代码行数120至150万行。LIMS系统为国土资源部珠宝玉石首饰管理中心（国家珠宝玉石质量监督检验中心）下属实验室检测珠宝玉石首饰类样品的全流程管控应用系统，涵盖检测流程涉及到的每个环节。 源代码安全性审计服务内容： 1) 分析源代码是否能追溯到需求； 2) 分析源代码是否符合支持工具和编程语言分析； 3) 分析源代码是否满足模块化、可验证、易安全修改的要求； 4) 分析软件编码中所使用技术的安全性和方法的合理性。 （二）响应文件要求： 响应文件应包括但不限于以下内容： 1、技术方案：应至少包括提供源代码安全审计服务的内容、流程、报价及工期及使用的标准等； 2、需要甲方（用户方）提供的源代码及文档要求； 3、服务完成后可提供的结论文档目录； 4、保密协议范本； 5、响应文件应包含企业营业执照复印件盖章及其他服务供应商认为应该提供的证明文件； 6、响应文件应提供正本一份，副本两份； 7、且必须为未被列入“信用中国”网站()、中国政府采购网()渠道信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。 （三）评分标准 评标采用综合评分法。满分为100分。响应报价30分，商务部分20分，技术部分为50分；详细评分细则见后。 最低报价不作为中标的保证。 评分项 评分标准 分值 价格部分（30） 经评审合格，满足需求文件要求的投标最低报价为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分=(评标基准价／投标报价)×10%×100 30 商务部分 (20) 服务管理能力 1、投标人应具备ISO9001（2015）版质量管理体系认证证书，符合得2分。 2、投标人应具备ISO27001（2013）版管理体系认证证书，符合得2分。 注：必须提供明确为本单位的书面证明或提供官方网站链接及其截图，不提供，或提供材料未能证明为投标单位所有，不得分。 4 企业资质 1、投标人应具备中国信息安全测评中心颁发的信息安全服务资质（安全工程类），三级得3分,二级得2分，一级得1分，不具备不得分。 2、投标人应具备中国信息安全测评中心出具的信息安全服务风险评估类认证证书，二级得3分，一级得2分，不具备不得分。 3、投标人应具备中国信息安全认证中心颁发的信息安全应急处理服务资质，一级得3分，二级得2分，一级得1分，不具备不得分。 4、为体现投标人软件能力成熟度集成能力针对新开发系统的检测能力，公司需具备CMMI5资质认证。具备得2分，不具备不得分。 注：必须提供明确为本单位的书面证明或提供官方网站链接及其截图，不提供，或提供材料未能证明为投标单位所有，不得分。 11 成功案例 2015年至今投标人在企业具备一定的代码审计服务案例，服务内容可包含代码审计服务内容，项目金额大于400万的，每提供一个得2分。项目金额在50-100万之间的，每提供一个得1分，最多满分5分。 5 技术部分 (50) 项目实施方案 有目录索引、页码无错乱、标题、编号、正文、表格等排版规范得1分，每出现一个错误扣0.5分，扣完为止。 2 响应文件需清晰阐述对需求文件需求的理解：理解全面、分析透彻，得2-3分，理解较好，1-2分，理解一般得0分。 3 技术方案是否覆盖需求文件要求：技术完全覆盖需求文件要求，并清晰、准确阐述应标内容5-6分，应标内容阐述基本清晰2-4分，未完全覆盖需求文件要求或阐述不清晰得0-1分。 6 方案实施计划的科学、合理性：科学合理、可行性强、服务内容丰富、且优于需求文件要求得7-9分，较好4-6分，一般得0-3分。 9 项目实施人员 2、核心项目成员要求： 1）在审计的过程需要投标人对系统进行渗透性测试，需至少包含2名一线渗透测试人员，须具有中国信息安全测评中心颁发的注册Web安全工程师（CISM-WSE）。每提供一人得5分，不满足不得分。 2）需至少包含1名代码审计安全工程师，实施人员需具备CISP认证资质，满足得5分，不满足不得分。 以上要求须提供相关人员简历、资历证明文件、近3个月在职社保证明文件，并加盖投标人公章。 15 项目实施工具 为保障投标人在代码安全审计服务当中的全面性，须在人工测试外采用自动化测试。投标人应具备自动化渗透测试工具的能力，投标人需提供相关检测工具： 1、具备Web应用弱点扫描工具，且参与过web应用安全扫