竞争性谈判文件要求.doc

****拟对信息系统等保测评服务项目采用竞争性谈判方式进行采购，特邀请符合本次采购要求的供应商参加本项目的竞争性谈判。

一、采购项目基本情况

1.采购项目名称：****信息系统等保测评服务项目。

2.采购人：****。

二、资金情况

资金来源及金额：自筹资金50000元（人民币大写：伍万元整）。

三、****政府采购活动应具备下列条件

1.具有独立承担民事责任的能力；

2.具有良好的商业信誉和健全的财务会计制度；

3.具有履行合同所必需的设备和专业技术能力；

4.有依法缴纳税收和社会保障资金的良好记录；

5.参加政府采购活动前三年内，在经营活动中没有重大违法记录；

6.法律、行政法规规定的其他条件；

7.根据采购项目的特殊要求，规定供应商的特定条件的证明材料：******部第三研究所颁发的有效的《网络安全等级测评与检测评估机构服务认证证书》。

8.本项目不接受联合体投标。

四、谈判文件获取及报名方式：

(一)获取谈判文件的时间期限：谈判文件的获取时间(即报名时间)：2023年12月 04日至2023年12月 11日14时30分截止。

(二)获取谈判文件的地点：本次询价采购文件将以公告形式发布在****官网，谈判文件只在网上发布，不再提供其它发布方式。

(三)报名方式：邮件发送。

邮箱发送时：供应商在报名时间内将单位介绍信原件(须注明项目名称、联系人及联系电话、电子邮箱)、加盖投标单位公章的经办人身份证复印件发送到邮箱：****@qq.com，相关资料会通过邮箱发送，开标时请将报名资料原件带至开标室交与项目联系人。

五、递交响应文件截止时间：2023年12月11日14时30分。

六、递交响应文件地点：响应文件必须在递交响应文件截止时间前送达谈判地点。逾期送达、密封或标注错误的响应文件，采购人恕不接收。本次采购不接收邮寄的响应文件。

七、响应文件开启时间：2023年12月11日15时30分在谈判地点开启。

八、谈判地点：****一楼会议室

九、联系方式

采 购 人：****

地 址：**市**区柏溪镇长江路158号

联 系 人：陈松

联系电话：155****8662

一、项目概况

1、项目背景

******部关于信息系统安全等级保护等文件要求，进一步增强****信息系统安全防护能力，确保****信息系统安全稳定运行，特开展此次等级保护测评工作, 防止因系统安全事件引发安全事故依据《信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息安全等级保护管理办法》（公通字[2007]43号）和《中华人民**国网络安全法》等标准规范，特开展此次等级保护测评工作。

2、项目目标

依据国家和行业信息安全的相关标准，全面了解和掌握****信息系统现有安全状况，找出其与《信息系统安全等级保护基本要求》对应级别的差距，及时发现系统存在的安全问题，针对等级保护测评及****信息系统安全评估中发现的各种安全风险，测评项目组提出适宜的安全整改建议，提交该系统等级保护测评报告，******部门及相关部门的等级保护检查要求，达到国家等级保护相关要求,****机关备案手续。

二、★服务内容及范围

1、等级保护测评服务内容：

参照《GBT22239-2019 网络安全等级保护基本要求》和《GB/T28448-2019 网络安全等级保护测评要求》等标准规范要求，开展信息系统等级保护测评及整改工作。测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服******部门及相关部门的等级保护检查要求。

2、本项目实施方案设计与具体实施必须满足以下原则：

保密原则：

对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标方的行为。

标准性原则：

测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。

规范性原则：

投标方的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

可控性原则：

项目安排工作进度要跟上进度表的安排，保证工作的可控性。

最小影响原则：

测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

整体性原则：

测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

3、整体要求

投标人应详细描述本次信息系统安全等级保护测评的整体实施方案，包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。

投标人应完成信息系统定级报告及定级材料的准备、整理，完****机关的备案工作。

投标人应详细描述测评人员的组成、资质。

本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在信息系统等级保护测评中使用。

信息系统安全等级保护测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

投标人应提供本次信息系统安全等级保护整改的整体实施方案，包括项目时间安排、阶段性文档提交等，并负责实施整改。

4、专用工具要求

本项目涉****测试所需的工具，由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前，应对工具进行测评，如果需要则对工具进行软件或代码升级。

5、安全管理要求

为做好全过程的安全保密工作，在等级保护测评前、中、后三个阶段都要做好安全保密工作。

A、等级保护测评前

对等级保护测评人员要进行安全保密教育，制**全保密措施；签订安全保密协议。

B、等级保护测评中

对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理；

等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序；

对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围；

对测评设备、介质进行严格的保密管理；

工作过程中对人员要实施封闭式集中管理；

对进场人员遵守被测单位的相关管理规定。

C、等级保护测评后

认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏；

现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何代码或可执行程序；

在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。

6、文档要求

文档或报告的编写应完整清晰、用词规范、简明扼要，指出的问题应明确合理、符合逻辑、且有证据，出具的结论应公正客观、实事求是，提出的建议应符合国家标准规范、富有建设性和可操作性。

7、售后服务

投标方承诺能按要求实现本技术规范规定的所有条款及功能要求，****政府部门的信息安全等级保护相关（登记、整改等）工作要求。

三、★项目实施内容与要求

1、项目定级备案

投标方应梳理现有的信息系统，严格按照《GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》的要求，对信息系统的级别进行划定。完成信息系统定级报告及定级材料的准备、整理，完****机关的备案工作。

2、项目测评内容

根据国家等级保护相关标准《GBT22239-2019 网络安全等级保护基本要求》，对重要信息系统等级保护测评项目应包括以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心等五个方面的安全测评；

安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

服务内容：

协助开展系统和重要信息系统的自查自评估工作，对存在的风险隐患和安全问题及时提供有针对性的安全整改建议，保障整改措施的落实，完成重要信息系统的定级、备案等相关工作；

依据《网络安全等级保护基本要求》，从安全技术和管理两个方面共十个层面对信息系统进行等级测评，出具等级测评报告；

针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节，提供安全建设整改和安全加固方面的咨询。

提供安全服务，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作，及时、有效、正确的预防和阻止各种黑客攻击。职责清晰，能快速及时的帮助客户处理网站安全事件。

3、测评要求

（1）安全物理环境物理安全测评是对信息系统的机房和办公场所的物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全状况。

（2）安全通信网络

网络安全测评是对信息系统的网络系统安全防护情况进行测评，包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性测评、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。

安全区域边界

安全区域边界是对信息系统的边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面的安全状况。

（4）安全计算环境

安全计算环境是对信息系统的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。

（5****中心

****中心是对信息系统的系统管理、审计管理、安全管理、集中管控进行测评。

（6）安全管理制度

安全管理制度测评是对信息系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。

（7）安全管理机构

安全管理机构测评是对信息系统的岗位设置、人员配备、授权与审批、沟通和**、审核和检查等情况进行测评。

（8）安全管理人员

人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗安全意识教育和培训、外部人员访问管理等情况进行测评。

（9）安全建设管理

系统建设管理测评是对信息系统建设过程中的、测试验收、系统交付、等级测评服务供应商管理等情况进行测评。

（10）安全运维管理

系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。

4、测评风险规避要求

项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文档和数据进行安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行控制。

安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法：

（1）操作的申请和监护

在实施过程中必须遵守的相关操作章程，以防止敏感信息泄漏和确保及时处理意外事件。

（2）操作时间控制

对测评直接影响系统工作时，尽可能避开敏感时期。

（3）人员与数据管理

必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。

（4）制定应急预案

根据测评范围界定的系统情况，在实施前制定应急预案。

（5）关键业务系统风险控制

对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和简单测试的方式进行。

（6）优化扫描策略

分类扫描:对不同的主机和设备类型执行不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。

（7）数据备份与恢复

对业务系统和数据库主机，应对其上数据进行备份，防止测评过程中对设备与主机的损伤影响业务系统的正常运行。

5、整改实施内容

投标方严格按照差距分析报告内容，落实相关的等级保护建设整改工作，等级保护整改实施具体内容包括安全管理制度修订、安全技术整改、形**全配置基线、进行安全增强配置和调试工作、实施等保相关培训、安全风险管理工作落实等工作内容，提升信息系统的安全防护能力，确保信息系统满足国家等级保护相应等级要求。

6、汇总项目材料并验收

投标方对整改后的内容进行最终确认，并汇总信息系统等级保护测评报告，****机关的材料报备，取得信息系统备案证明。

四、★商务要求：

1、服务地点：采购人指定地点。

2、服务时间：合同签订后60日完成（整改时间除外）。

3、付款方式：双方签订合同后，采购人在收到成交人开具的等额发票后10个工作日内，向成交人支付合同总金额50%的款项；成交人完成测评工作后，采购人在收到成交人出具的《测评报告》及成交人开具的等额发票后10个工作日内，向成交人支付合同金额余下50%的款项。甲方付款前，成交人应向采购人开具真实合法有效的等额增值税发票，成交人未按合同约定提供发票的，采购人有权迟延支付应付款项直至成交人开具合格票据后，且甲方不承担违约责任。

4、成交人应当为采购人提供技术援助电话，解答采购人在使用中遇到的问题，及时为采购人提出解决问题的建议。

5、采购人根据相关法律法规自行组织验收.

6、服务期保障承诺：（提供书面承诺并加盖供应商单位公章）：

⑴、承诺针对信息系统中的每个测评系统，在该系统通过等保测评验收后一年内，如采购人有需要，供应商还应提供等保测评咨询服务，不另行增加费用。

⑵、在测评期间，为保证我局信息化顺畅运行，测评期内要求以上提供的所有测评人员及渗透人员现场驻场服务。

⑶、供应商提供ISO27701隐私信息管理体系认证（须提供在有效期内的证书复印件并加盖供应商公章）

⑷、供应商****测评中心颁发的信息安全服务资质证书（风险评估）（须提供在有效期内的证书复印件并加盖供应商公章）

（八）供应商提供CMMI软件能力成熟度三级及以上。（须提供在有效期内的证书复印件并加盖供应商公章）

备注：以上★内容为本次招标项目的实质性要求，不允许有负偏离。