服务1：数据分类分级工作指南

序号

名称

功能、性能、配置或服务要求

1

★实质性条款

依据国家、行业数据分类分级标准，并结合采购人实际业务场景对数据进行识别和管理，明确列出数据安全策略的关键性原则，策略实施后的适用对象和应用范围，以制定数据分类分级指南。

2

非实质性条款

无

服务2：数据分类分级清单

1

★实质性条款

基于采购人现有的数据资产，并对资产进行识别和整理，形成《数据资产清单》；

基于《数据分类分级指南》中数据分类策略，对梳理形成的《数据资产清单》的数据进行分类；

基于《数据分类分级指南》中数据分级策略，对梳理形成的《数据资产清单》的数据进行分级。

2

非实质性条款

无

服务3：数据安全配套管理制度及记录表单

1

★实质性条款

建立分类分级管理制度，编写供采购人内部使用的数据安全配套的管理制度，用于指导数据安全策略制定、优化资源分配、引导数据安全意识、支持数据生命周期管理、评估数据安全合规性、指导事件响应处置。

2

非实质性条款

无

服务4：数据安全风险评估

1

★实质性条款

对所有的数据资产开展数据安全风险评估工作，基于数据使用场景的风险暴露面（即自身脆弱性）、安全威胁主体、安全威胁三个方面进行分析，同时结合行业监管标准规范的安全防护要求，最终形成数据安全风险评估报告。

2

非实质性条款

无

序号

分类

评分项

评分标准

分值

1

价格

(30分）

价格合理性

价格分采用低价优先法计算，即满足采购文件要求且报价最低的供应商报价为评标基准价，其价格分为满分30分，其它投标人的价格分统一按照以下公式计算：投标报价得分=（评标基准价／投标报价）×30分，小数点保留1位。

30

2

服务方案

（30分）

技术方案

技术方案整体全面、合理、可行,得10分；技术方案整体一般，得5分；技术方案整体较差或无技术方案不得分。

10

实施方案

实施方案整体全面、合理、可行,得10分；实施方案整体一般，得5分；实施方案整体较差或无实施方案不得分。

10

项目风险管控

风险管控方案详细清晰，具有可行性,得10分；管控方案不够详细清晰，或可行性不高的得5分；风险管控方案整体较差、无可行性或无管控方案的不得分。

10

3

服务保障水平与履约能力（40分）

人员专业水平

1、项目经理同时具备等级保护高级测评师证书，CISP资质、CIIPT资质、CISAW（信息安全保障人员）资质、CCSC网络安全能力认证、CCRC数据安全官证书，PMP证书，具备得5分，少一项不得分。

提供相关证书复印件加盖公章，原件备查）

5

服务供应商专业资质

1.投标人具备ISO9001质量管理体系认证得2分。2.投标人具备ISO20000信息技术服务管理体系标准认证得2分。3.投标人具备ISO27001信息安全管理体系认证得2分。4.投标人具备ISO14001环境管理体系认证证书得2分。5.投标人具备ISO45001职业健康安全体系认证证书得2分。6.投标人具备ISO37301合规管理体系认证证书得2分。7.投标人具备SA8000社会责任管理体系认证证书得2分。8.投标人具备ITSS信息技术服务标准符合性证书得2分。9.投标人具备中国网络安全审查技术与认证中心的信息安全风险评估服务资质得2分。10.投标人具备中国网络安全审查技术与认证中心的的信息安全应急处理服务资质得2分。

20

资信等级

企业信用等级AAA级得3分；AA级得2分；A级得1分。（提供相关证书复印件，原件备查）

3

业绩情况

投标人具有2022年（含）以来完成的信息系统安全技术服务或系统安全测试评估类技术服务项目案例的（必须为技术服务类项目，不含安全产品销售与系统集成合同），每有一个得3分，最多得12分。（投标人须提供相关中标通知书或合同等证明材料，并加盖公章）

12