****（以下简称：采购方）

对新**质计所网站、****中心网站和质检线上服务平台系统等级保护测评服务项目公开征集符合资格条件的供应商报价。现将有关事项公告如下：

一、项目金额

（小写）108000元，（大写）壹拾万捌仟元整。

总体报价不能超项目金额，超出项目金额采购方将拒绝其报价资格。项目金额已含项目所涉及的一切费用和供应商开具给采购方的增值税专用发票税金，项目清单见下第六点需求。

二、项目背景

为促进信息化建设、应用、管理和服务水平的持续提高，保障采购方新**质计所网站、****中心网站和质检线上服务平台系统的安全和稳定运行，拟在现有网络安全设备的基础上，严格按照《中华人民**国网络安全法》和《**省计算机信息系统安全保护条例》、GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》、GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》等法律法规的要求开展信息系统安全加固工作。

三、项目目标

（1）依据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》以及GB/T28449-2018《信息安全技术信息系统安全等级保护测评过程指南》的要求，对需定级的系统进行等级保护基本要求符合性的调查，采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析报告；

（2）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差距分析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达到等级保护安全性、稳固性要求。

（3）依据国家等级保护相关标准查找现有信息系统存在的信息安全问题，确保信息系统在技术防护和安全管理体系方面均达能到等级保护的防护要求，能够防护系统免受来自外部威胁源发起的恶意攻击。

（4）通过对信息系统的渗透扫描服务，发现系统是否完成等级保护整改和是否还存在其他网络安全漏洞。

四、项目具体需求

为保证测评、整改和渗透扫描服务的独立性、真实性和准确性，等级保护测评服务供应商不能参与项目中等级保护测评整改加固服务和渗透扫描服务。本项目接受供应商进行项目分包，且分包方不能再次分包项目，分包方需有相应资质与能力并经采购方同意,供应商需在报价文件中列明分包范围。

本项目具体需求内容如下：

1） 信息安全等级保护测评服务

按照等级保护的相关要求对信息系统安全等级保护状况进行测试评估，包括但不限于安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求等。

对采购方的新**质计所网站、****中心网站和质检线上服务平台系统进行定级备案、前期测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式；针对单位网络应用环境，综合运用各种手段，定性与定量相结合，通过技术测试、调查等多种途径，对网络信息系统的脆弱性、威胁和影响进行全方位评估，分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析列表并最终形成信息系统等级保护差距测评分析报告，并最终形成验收报告。

2）等级保护测评整改加固服务

根据差距测评分析报告，针对目标信息系统的各项细分化漏洞进行有效的分析，将需要整改的内容进行核实、整理，将整改内容清晰化、实体化。协助采购方对信息系统进行整改，以满足等保测评要求。

协助采购方加固信息系统的软硬件技术架构、修复安全威胁等因素提高系统安全防护能力，该服务包括但不限于底层操作系统安全、通信安全、系统开发平台、系统日志、系统漏洞补丁和最**全风险防护等加固和修复工作。

3）信息系统渗透扫描服务

对信息系统开展渗透扫描服务，对差距测评分析报告中要求整改问题进行再次复核，并对信息系统进行完整性的渗透扫描工作，进一步查找是否还存在其他安全漏洞问题，并协助采购方完成整改并消除问题为止。

渗透工作包括内容为但不限于：Web服务器安全漏洞、Web服务器错误配置、SQL注入、XSS（跨站脚本）、CRLF注入、代码执行、目录遍历、文件包含、输入验证、认证、逻辑错误、Google Hacking、密码保护区域猜测、字典攻击、特定的错误页面检测、脆弱权限的目录、危险的HTTP方法（如：PUT、DELETE）等。

五、供应商资质和责任要求

1.具备独立承担民事责任的能力,提供的资格、资质等证明文件真实有效；

2.具有良好的商业信誉和健全的财务会计制度；

3.具有履行合同所必需的设备和专业技术能力；

4.有依法缴纳税收和社会保障资金的良好记录；

5.供应商未被列入“信用中国”网站(www.****.cn)“记录失信被执行人或重大税收违法失信主体”记录名单；****政府采购网(www.****.cn)“政府采购严重违法失信行为信息记录”****政府采购活动期间。（以在“信用中国”****政府采购网查询结果为准）；

6.参与项目的等级保******部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》。

六、其他要求

1) 技术服务团队

供应商必须承诺签订合同后为本项目成立不少于 5 ****小组，小组组成由供应商（含分包方）人员组成，人员组成比例需得到采购方同意，供应商选其中一人为项目经理统筹负责本项目。测评、整改和渗透等工作必须选派经验丰富的测评人员参与此项目。

需提供技术服务团队人员的能力证明（技术服务团队人员需提供参与相同类型项目3年以上证明材料）。

在服务期内，服务团队中任何人员调整或更换，必须事先告知采购方并同意后才能更换。

2) 保密要求

须保证对本项目实施中所获得任何资料和信息严格保密，供应商（含分包方）和技术服务团队人员均需与采购方签订保密责任书。

3) 服务工具要求

必须保证项目中所使用的所有工具和软件不会产生所有权和知识产权纠纷，并保证工具和软件的可用性和可靠性。由此产生的一切责任由供应商（含分包方）负完全责任。（供应商（含分包方）需提供承诺函，格式自拟）。

本项目使用的所有测评工具和软件（包括但不限于以下安全策略可视化管理工具、数据安全工具）无需采购方购买，均由供应商（含分包方）自行提供，且不包含在本项目报价范围内。

4) 项目周期

合同签订后30个日历日内完成系统差距测评和整改，在75个日历日内完成渗透和验收工作。

5) 项目完成要求

供应商协助采购方完成等级测******局网警支队的工作，配合采购人完成信息系统部署在市政务云服务空间的安全配置工作。采购人与供应商签订项目合同，供应商与分包方共同就本项目向采购方承担连带法律责任。供应商应对分包项目的实施过程进行全面管理和监督，确保分包方按照合同和承接函的要求执行项目。如发现分包方存在违约行为或未能满足项目要求，供应商有权采取必要的纠正措施，包括但不限于要求分包方整改、更换分包方或解除合同等。采购人保留对分包活动进行监督和检查的权利，以确保分包项目符合合同和项目要求。

七、报价资料要求

1.按要求提交本项目报价资料。供应商提供的资料包括但不限于：项目报价、供应商资质文件、营业执照、同类项目业绩和供应商认为为履行项目不可缺少的资料。请有意向的单位向****咨询详细情况并提交报价资料和电子档资料各一份，纸质报价资料须按要求加盖单位公章。报价资料须密封在密封袋内，封口处须加盖单位公章。未按要求密封的报价资料将被拒绝接收。

2.报价应包括但不限于：项目服务的价款、一切税费、资料、验收等相关的全部费用。

3.报价资料提交截止时间为2024年11月05日下午5时30分。报价资料递交地点为**市****六路48号1号楼4楼415室。

4.递交资料方式：上门送达、快递、邮寄，不接受电邮、传真。快递或邮寄时以收到邮件时间为准。

八、联系方式

联系人：梁先生

联系电话：0760-****5901

****

2024年 10 月30日