(略) 絡安全等級保護測評服務項目

根據《甘肅省人民政府辦公廳轉發省發展和改革委員會省公共 (略) 關于進一步 (略) 縣公共資源交易工作意見的通知》（甘政辦發〔2018〕6號）、《政府集中采購目錄和采購限額標準》、《 (略) 人民政府辦公室印發<關于進一步深化“放管服”改革提高政府采購效率的意見>的通知》(酒政辦發〔2018〕301號)等文件要求，對“ (略) 絡安全等級保護測評服務項目”以公開招標方式進行采購。現將相關事宜公告如下：

一、采購單位：某部

二、項目編號：2025-JYAFDA-FC0001

三、項目名稱： (略) (略) 絡安全等級保護測評服務項目

四、項目依據：

1、法律法規及相關政策依據

1)《中華人 (略) 絡安全法》

2)《中華人民共和國計算機信息系統安全保護條例》( (略) 147號令)

3)《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)

4)《關于信息安全等級保護工作的實施意見》(公通字〔2004〕66號)

5)《信息安全等級保護管理辦法》(公通字〔2007〕43號)

6)關于開展信息安全等級保護安全建設整改工作的指導意見(公信安〔2009〕1429號)

7)《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安〔2010〕303號）

2、技術標準

1)《信息安全技術信息系統安全等級保護實施指南》(GB/T #-2010)

2)《計算機信息系統安全保護等級劃分準則》(GB #-1999 )

3)《信息安全技術信息系統安全等級保護定級指南》(GBT #—2020)

4)《信息安全技術 網絡安全等級保護基本要求》（GB/T #-2019）

5)《信息安全技術 網絡安全等級保護測評要求》(GB/T #-2019)

6)《信息安全技術 網絡安全等級保護過程指南》（GB/T#-2018）

7)《信息安全技術信息安全風險評估規范》（GB/T #—2007）

8)《信息安全技術信息技術安全性評估準則》（GB/T #）

9)《信息安全技術信息系統通用安全技術要求》（GB/T#-2006）

10)《信息 (略) 絡基礎安全技術要求》（GB/T#-2006）

11)《信息安全技術操作系統安全技術要求》（GB/T#-2006）

12)《信息安全技術數據庫管理系統安全技術要求》（GB/T#-2006）

13)《信息安全技術終端計算機系統安全等級技術要求》（GA/T671-2006）

14)《信息安全技術信息系統安全管理要求》（GB/T #—2006）

15)《信息安全技術信息系統安全管理測評》（GA/T 713-2007）

16)《信息技術安全技術信息安全管理體系要求》（GB/T#-2008）

17)《信息技術安全技術信息安全管理實用規則》（GB/T#-2008）

《信息安全技術信息系統安全保障評估框架》（GB/T #）

五、項目概況：

為貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》、《關于信息安全等級保護工作的實施意見》和《信息安全等級保護管理辦法》的精神；同時，根據《中華人 (略) 絡安全法》的要求， (略) 絡信息系統開展信息安全等級保護測評。

六、總體要求：

通過等級保護測評、漏洞掃描和滲透測試等測評手段， (略) 的安全防護能力現狀，對發現的問題進行深入分析，并按照信息系統等級保護三級的要求給出整改建議， (略) 進行整改，最終出具信息系統等級保護三級的測評報告, (略) 信息系統定期進行滲透性測試、漏洞掃描服務，對于發現的隱患及安全問題出具整改建議，協助進行修復。

（1）等級保護測評

測評的內容包括但不限于以下內容：

安全技術測評：包括安全物理環境、 (略) 絡、 (略) 域邊界、安全計算環境和安全管理中心等五個方面的安全測評；

安全管理測評：安全管理機構、安全管理制度、安全管理人員、安全建設管理和安全運維管理等五個方面的安全測評。

（2） 滲透性測試服務

(略) 信息系統開展滲透性測試服務，針對發現的安全隱患協助整改修復。

（3） 漏洞掃描服務

(略) 信息系統開展漏洞掃描服務，針對發現的安全隱患協助整改修復。

1、項目實施原則

（1）客觀性和公正性原則：

測評人員在項目實施過程中應無偏見，在最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方式和解釋，實施測評活動。

（2）可重復性和可再現性原則：

依照同一要求，使用同一測評方式，對每個測評實施過程的重復執行應該得到同樣的結果。可再現性和可重 (略) 別在于，前者與不同測評者測評結果的一致性有關，后者與同一測評者測評結果的一致性有關。

（3）連續性原則：

確保在高速變化的信息安全環境中，在有效的服務期間內，保證等級測評結論的準確性和及時性，對于新投產的信息系統和服務，或新建立的信息化項目， (略) 部系統的重新測評。

（4）擴展性原則：

在測評過程結束后，信息安全等級保護測評過程要保持擴展性，從擴展的屬性上進一步加強測評結束后采購方的安全管理有效性和可用性。

（5）保密原則：

在測評過程中，需嚴格遵循保密原則，雙方簽訂保密協議，對服務過程中涉及到的任何用戶信息未經允許不向其他任何第三方泄漏，以及不得利用這些信息損害采購方利益。

（6）互動原則：

在整個測評過程中，強調采購方的互動參與，每個階段都能夠及時根據行內要求和實際情況對測評的內容、方式做出相關調整，進而更好的進行等級測評工作。

（7）最小影響原則：

測評工作應該盡可能小地影 (略) 絡的正常運行，不能對業務的正常運行產生明顯的影響（包括系統性能明顯下降、網絡阻塞、服務中斷等），如無法避免，則應做出說明。

（8）規范性原則：

信息安全等級保護測評服務的實施必須由專業的測評服務人員依照規范的操作流程進行，對操作過程和結果要有相應的記錄，并提供完整的服務報告。

（9）質量保障原則：

在整個測評過程中，須特別重視項目質量管理。項目的實施將嚴格按照項目實施方案和流程進行，并由項目協調小組從中監督，控制項目的進度和質量。

2、項目內容

根據各信息系統的安全保護等級需求，依據國家及行業等級保護標準，通過信息安全等級保護測評的方法，查找信息系統各安全層面與相應安全保護等級標準的差距，明確存在的安全問題及現有安全措施的有效性，并針對安全問題關聯的資產、威脅、脆弱性，綜合分析信息系統面臨的安全風險，尋求風險降低或規避的方法、提出建設整改建議、編制建設整改方案、提供整改實施技術支持。并在整改實施完成后，通過開展等級測評工作，驗證建設整改的效果及與標準的符合度，明確信息系統是否達到了相應安全保護等級的防護能力。編制提交《網絡安全等級保護信息系統等級測評報告》，同時為以后的安全決策、安全管理、安全運維、持續整改提供依據。

具體工作內容及要求如下：

（1）開展信息系統安全等級保護現狀測評工作

依據相關標準，結合行業特點和自身安全需求，為信息系統開展信息系統安全等級保護現狀測評工作，提供包括但不限于以下服務內容：

1）信息收集：對項目涉及的所有信息系統開展調研工作，明確所有系統的物理環境及機房基礎設施情況，網絡架構，網絡設備、安全設備部署情況，服務器分布及操作系統、數據庫系統使用情況，應用系統業務流程、數據流向、用戶群體情況，數據傳輸及存儲備份情況，系統的高可用性需求情況，安全管理制度建設及執行情況。并根據收集的信息建立基礎臺賬。

2）方案編制：根據收集的基礎信息，識別各 (略) 絡 (略) 絡覆蓋范圍，系統構成、資產識別與賦值、威脅識別與賦值，明確檢測評估目的及流程、明確檢測評估對象及指標、明確檢測評估方法及工具掃描接入點、明確檢測評估實施步驟及配合需求、明確檢測評估的實施計劃。并據此編制實施方案、開發實施指導書。

3）現場檢測評估實施：依據測評方案、參照實施指導書，通過訪談、檢查、測試、實地查看等方法開展現場檢測評估活動，詳細記錄每個檢測評估對象的安全現狀。形成現場檢測評估記錄表。

4）數據匯總分析：根據現場檢測評估記錄，按照物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理幾個安全層面，匯總各安全層面測評對象的安全現狀，明確已有安全措施的有效性，識別測評對象關聯資產的脆弱性。形成安全措施匯總表、安全問題匯總表。

5）安全問題交流：通過交流會的形式，對安全措施匯總表、安全問題匯總表中的內容進行溝通交流，明確安全問題是否真實存在，如有遺漏或不確定項需進行補充檢測并詳細記錄結果；并針對存在的問題，結合威脅被利用的可能性、威脅被利用后的后果嚴重性，交流降低或規避風險的方法，提出初步的建設整改建議。

6）建設整改方案設計：在明確安全問題的基礎上，依據交流的建設整改建議， (略) 實際情況，編制建設整改方案，為整改實施提供依據。

（2）開展信息系統安全等級保護符合性測評工作

采購方建設整改工作完成后，針對現狀測評過程中存在的安全差距開展符合性測評工作，確認之前存在的問題是否已經解決，驗證整改活動是否已經切實有效的執行。若未完成，需配合采購方繼續進行安全建設整改工作；當整改工作中的主要安全問題已基本解決，則編制提交《網絡安全等級保護信息系統等級測評報告》。

（3）滲透性測試服務

(略) 信息系統定期開展滲透性測試服務，出具整改建議，針對發現的安全隱患協助整改修復。

（4）漏洞掃描服務

(略) 信息系統定期開展漏洞掃描服務，針對發現的安全隱患協助整改修復。

（5）安全培訓工作

向采購方 (略) 絡安全等級保護相關安全培訓；

（6）項目實施方案，技術支持和服務保障

1）針對本項目所描述項目需求進行業務分析并提出項目總體實施方案、測評方案。

2）實施方案，包括項目進度表和組織機構。

3）技術支持和服務,要求制定詳細的支持和服務保障方案，提供服務項目清單及自身服務承諾 (包括服務周期時間、費用)。

4）為完成本項目，投標方應組建工作小組、明確組成人員職責。

5）在項目現場實施周期內，投標人須為本項目成立等級保護測評小組，安排包括項目經理和核心技術人員在內現場駐場服務；駐場人員未經采購方同意項目實施途中不得隨意更換；成員 (略) 絡安全等級測評師證書資格，必須符合投標時投標文件中明確的人員。項目實施小組中項目經理 (略) 絡安全等級測評師證書和CISP-PTE證書，團隊成員具有CISP證書、CCSS證書、CISAW-風險管理證書，提 (略) 一年內三個月連續社保加蓋單位公章。

6）制度完善：協助完善三級等保管理制度。

注：1.投標單位根據上述參數要求提供報價，投標報價不應 (略) 場平均價格。

2.報價方式：本項目采用固定總價方式報價（含稅），包括但不限于6%增值稅、測評費、專家評審費、差旅費、食宿、培訓等項目實施過程中不可預見的一切費用由投標人承擔，此外招標人不再額外支付任何費用。

3.項目實施方案中的技術標準還需要參考#方內部的建設指南。

4.再給出建設方案時，應區分緊急程度，及總體建議造價且設備必須是國產化。

七、采購項目控制價：

小寫：￥#.00元，大寫：##萬圓整。

八、工期要求：

1.合同履約期限：合同簽訂后150日。

2.中標單位應按照#方要求，對工作 (略) 絡安全等級保護相關安全培訓，并留存培訓記錄。

九、評標辦法：最低價中標法

十、投標人資格要求：

（一） 符合《中華人民共和國政府采購法》第二十二條資格條件：

1.具有獨立承擔民事責任的能力；

2.具有良好的商業信譽和健全的財務會計制度；

3.具有履行合同所必需的設備和專業技術能力；

4.有依法繳納稅收和社會保障資金的良好記錄；

5.參加政府采購活動前3年內，在經營活動中沒有重大違法記錄；

6.法律、行政法規規定的其他條件。

（二）國有企業；事業單位；軍隊單位；成立三年以上的非外資控股企業。

（三）單位負責人為同一人或者存在直接控股、管理關系的不同供應商，不得同時參加同一包的采購活動。生產型企業的生產場經營地址或者注冊登記地址為同一地址的，非國有銷售型企業的股東和管理人員（法定代表人、董事、監事）之間存在近親屬、相互占股等關聯的，也不得同時參加同一包的采購活動。近親屬指夫妻、直系血親、三代以內旁系血親或近姻親關系。

（四）未被列入政府采購失信名單、軍隊供應商暫停名單，未在軍隊采購失信名 (略) 罰期內，未被“信用中國”網站列入失信被執行人、重大稅收違法案件當事人。

（五）投標單位需針對本項目提供《項目承諾書》，內容必須包含“所提供服務不滿足招標參數要求、或者不滿足相關標準，采購方有權拒收，投標單位承擔全部損失。”等字樣，以及投標單位認為需要承諾的其它內容，承諾書需要加蓋投標單位公章；

（六）投標單位須提供近三年內類似業績，內容必須包含等級保護測評有關項目，提供相關證明材料復印件加蓋公章；

（七）對惡意投標、中標后不按合同要求保證服務者，#方保留通報批評、索賠、罰款、收取違約金和停止繼續履行合同；

（八）投標人不得相互串通投標報價，不得排擠其他投標人的公平競爭；

（九）本項目不接受聯合體投標；

（十）具有《信息安全管理體系認證證書》相關證書，提供證書復印件加蓋單位公章；

（十一）具有由公安部第三研究所頒發的《網絡安全服務認證證書等級保護測評服務認證》或《網絡安金等級測評與檢測評估機構服務認證證書》相關證書，提供證書復印件加蓋單位公章， (略) 絡安全 (略) 相關截圖。

十一、公告及競價時間：

公告開始時間：2025年2月17日10時00分

上傳資質證明文件截止時間：2025年2月21日18時00分

競價開始時間：2025年2月22日08時00分

競價截止時間：2025年2月22日18時00分

十二、 (略) 站：

(略) (略) 、 (略)

十三、報名及 (略) 站：

(略) (略)

十四、采購項目聯系人姓名、電話：

采購人：某部

聯系人：王先生

聯系電話：177 4588 7933

十五、紀檢監督聯系電話：

聯系人：劉干事

聯系電話：0937-#