附件 技術需求描述

根據《中華人 (略) 絡安全法》和《網絡安全等級保護制度》相關要求，中國 (略) （以下簡稱“結算公司”）擬聘請等保測評服務機構（以下簡稱“供應商”）開展2025-2 (略) 絡安全等級保護測評工作。具體要求如下：

結算公司2025-2 (略) 絡安全等級保護測評項目。

結算公司在2022年完成6 (略) 絡安全等級保護測評， (略) 順 (略) 備案。本項目計劃在2025年至2026年新增2個系統備案、延續5個系統備案、撤銷1個系統備案，具體如下表所示：

 

本項目方案設計與實施工作應符合以下原則：

1、保密性原則。供應商須對測評的過程數據和結果數據嚴格保密，未經授權不得泄露給任何單位和個人，不得利用評測數據 (略) 的行為， (略) 有權追究供應商的責任。

2、標準性原則。供應商的測評方案的設計與實施應依據國家等級保護的相關標準進行。

3、規范性原則。供應商提供項目過程文檔，應具有很好的規范性，可以便于項目的跟蹤和控制。

4、可控性原則。供應商測評服務的進度要符合雙方約定的進度表安排， (略) 對于測評工作的可控性。

5、整體性原則。供應商的測評范圍和內容應當整體全面，包括國家等級保護相關要求涉及的各個層面。

6、最小影響原則。供應商的測評工作應盡可能小的影 (略) 絡，并在可控范圍內；測評工作不能對現有信息系統的正常運行、業務的正常開展產生任何影響。服務提供方應嚴格依照上述原則和國家等級保護相關標準開展項目實施工作。

1、供應商須遵守國家相關法律、監管要求的相關規定，按照等級保護管理規范和技術標準（《信息 (略) 絡安全等級保護基本要求》（GB/T (略)-2019）、《信息 (略) 絡安全等級保護測評要求》（GB/T (略)-2019）和《信息 (略) 絡安全等級保護測評過程指南》（GB/T(略)-2018））等要求，對以上7個 (略) 絡安全等級保護測評工作。

2、供應商等級保護測評的內容包括安全物理環境、 (略) 絡、 (略) 域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理十個層面的安全測評，完成等保測評工作后，出具《網絡安全等級保護等級測評報告》，并針對信息系統安全建設提出具有針對性的整改建議。

3、依據等級保護測評準則， (略) 系統特點，制定測評方案，通過訪談、檢查、測評和系統分析等方式判斷其安全技術和安全管理的各方面是否達到了相應等級的國家信息系統等級保護要求，找出信息系統中存在的安全隱患，對安全性進行整體評估。

4、完成信息系統安全等級保護定級報告、信息系統安全等級保護備案表等材料的編寫、審核、定稿；向結算公司 (略) 提交信息安全等級保護系統定級備案和測評報告備案，并 (略) 頒發的系統備案證明(或備案回執)。

5、根據等級測評結果及問題總結編制整改建議方案。如果需要對系統進行整改，供應商應安排經驗豐富的信息安全等 (略) 完成整改工作，并補正材料。

供應商應按以下時間節點要求，提供詳盡的服務方案和計劃，并在服務實施過程中，嚴格按照服務要求、驗收標準提供服務。

1、2025年底前，完成1個系統（ (略) ）的信息系統定級備案和信息系統等級測評工作。

2、2025年底前，完成1個系統（辦公自動化）的網絡安全等級保護備案撤銷。

3、2026年底前，完成7個系統（ (略) 、云平臺、郵件系統、 (略) 、 (略) 、BSP (略) (略) ）的信息系統定級備案和信息系統等級測評工作。

1、共計2份服務方案和工作計劃（2025年和2026年）。

2、共計8份系統等保測評通過報告（2025年和2026年）。

供應商應根據雙方簽署生效的“服務工作計劃書”要求提供服務，“服務工作計劃書”由雙方在服務實施前協商確定，內容涵蓋服務的組織形式、工作方式、各階段的工作內容、完成時間、階段性成果(或工作目標)、驗收時間、驗收標準、培訓計劃、雙方在服務各個階段的工作責任和分工等。

供應商須對服務實施結果負責， (略) 完成公安部門的備案系統等保測評任務。結算公司對服務效果進行評估，并根據未達標情況扣除相應服務合同費用。

1、服務期中，供應商應每年提供1次培訓，培訓計劃由雙方約定，培訓內容包括且不限于等保測評、滲透測試、系統安全防護等相關知識。

2、服務期中，供應商應及時響應， (略) 要求出現場的情況下，主要人員提供2小時內到場服務,協助解決測評中出現的問題。超時未到，每次罰金為總合同金額的10%，直至總合同金額罰完為止。

3、在被評測系統的等保有效期內，供 (略) 順利完成外部監管機構的等保檢查相關工作，能夠與相應的監管機構進行有效溝通，溝通不暢或未達良好效果的，每次罰金為總合同金額的10%，直至總合同金額罰完為止。

1、 (略) 的任何財務數據、統計資料、交易數據、產品信息、客戶信息、人員信息、組織架構、發展規劃、文件檔案、數據資料等信息均為涉密信息。

2、除上條中所列涉密信息外，結算公司 (略) 內部的任何資料成為涉密信息。

3、供應商未經許可向第三方透露涉密信息的，結算公司有權依法追究供應商法律責任。

1、結算公司將就該合同成立專門的專項工作小組，配合供應商開展工作，供應商應按需派出具有豐富經驗的員工，確保合同的按時、保質保量完成。

2、服務合同執行期間，供應商 (略) 相關管理要求。

1、本項目?供應商技術人 (略) 絡信息安全相關資質證書，如：《網絡安全等級保護測評師》或《信息安全等級測評師》或《注冊信息安全專業人員（CISP）》證書，以確保具備相應的專業知識和技能，能夠勝任測評工作。（需提供人員簡歷和項目經歷，加蓋公章）

2、供應商須指派項目經理負責本項目工作，負責制定整體工作計劃和工作安排，確保工作進度和工作質量。項目經理應具備計算機或相關專業本科及以上學歷，具備5年以上計算機行業從業經驗，2年以上等保測評項目經理經驗?。（需提供不少于3個作為項目經理的等保測評服務項目合同復印件，加蓋公章）?

3、本項目?供應商技術人員需在項目合同執行期間保持穩定，不得因為其他項目原因而征調本項目人員，避免因人員流動對本項目服務造成影響。（需提供《人員穩定性承諾書》，加蓋公章）

本項目采用競價采購方式選擇合作伙伴，服務響應方應針對本需求書內容提出詳細的服務建議書，并對服務提出報價。結算公 (略) 的服務建議書進行評估。

結算公司鼓勵響應方提出最佳和最適當的解決方案，因而不對服務建議書設定過于剛性和嚴格的格式。響應方對需求書作回復時應進行靈活的思考，建議書可以不限于需求書的內容，但應當在建議書中以易于識別的方式明顯標示。

但是，為了供應商選擇過程的統一性，結算公司希望響應方注意下述在撰寫和提交服務建議書時應遵循的原則：

建議書以MS Word文件形式編寫，使用單倍行距和小四號字體的規則文體。

1、本次征求建議書的 (略) 測評服務的供應商提供最佳的解決方案建議，響應本建議的提交成果應包括但不限于：

l 服務方案和實施計劃。

l 供應商的技術實力以及承擔本合同的人員安排和備份方案。

2、建議書應包括以下內容：

l 內容提要（不包括收費信息）：內容提要部分應當包括意向書中的重點內容，并且應簡明扼要。

l  (略) 的服務需求的理解：服務 (略) 服務目標和范圍的理解分別進行詳細的表述。

l 需求書條款內容所涉及問題的解決方案：服務建議書應當對需求書所提及的問題提供詳細的解決方案，并設計相應的建設/實施步驟。解決方案的表述應該與建議的步驟相一致。

l 各相關單位角色定位與分工：描述供應商、及結算公司行內各方在實施過程中所需承擔的角色及相應的工作，對不同的工作任務的負責方、參與方的職責進行明確，對及其工作內容進行描述，內容包括：每個階段各相關方的角色、工作及責任。若在此過程中，有依賴性或不確定性，請單獨進行標注，并提供可選方案。

l 詳細說明等保測評所使用的工具（軟硬件型號、功能和性能描述）、使用的方式和時間、 (略) 的要求以及使用可能對系統造成的風險等。

3、保密及宣傳限制

l  (略) 向供應商提供的技術信息、商業信息及其它秘密信息，供應商負有保密的責任，不得向任何第三方透露，但法律法規另有規定或監管部門另有要求的有關內容除外。不論本項目是否變更、解除或者終止，保密條款繼續有效，供應商均應繼續承擔保密義務。

l  (略) 同意，供應商不得以 (略) 提供的或本次服務過程中產生的相關信息、材料、成果等。