（略）絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目

根據(jù)《甘肅省人民政府辦公廳轉(zhuǎn)發(fā)省發(fā)展和改革委員會(huì)省公共資源交易局關(guān)于進(jìn)一步加強(qiáng)和（略）)等文件要求,，對(duì)“（略）絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目”以公開(kāi)招標(biāo)方式：（略）
一,、采購(gòu)單位：（略）
二,、（略）：2025-JYAFDA-FC0001
三,、項(xiàng)目名稱(chēng)：（略）
四,、項(xiàng)目依據(jù)：
1,、法律法規(guī)及相關(guān)政策依據(jù)
1)《（略）絡(luò)安全法》
2)《（略）安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)
3)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕27號(hào))
4)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字〔2004〕66號(hào))
5)《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))
6)關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)(公信安〔2009〕1429號(hào))
7)《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》（公信安〔2010〕303號(hào)）
2、技術(shù)標(biāo)準(zhǔn)
1)《（略）安全等級(jí)保護(hù)實(shí)施指南》(GB/T（略）)
2)《（略）安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB（略）)
3)《（略）安全等級(jí)保護(hù)定級(jí)指南》(GBT22240—2020)
4)《（略）絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T（略））
5)《（略）絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T（略）)
6)《（略）絡(luò)安全等級(jí)保護(hù)過(guò)程指南》（GB/T（略））
7)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984—2007）
8)《信息安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》（GB/T18336）
9)《（略）通用安全技術(shù)要求》（GB/T（略））
10)《（略）絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T（略））
11)《（略）安全技術(shù)要求》（GB/T（略））
12)《（略）安全技術(shù)要求》（GB/T（略））
13)《（略）安全等級(jí)技術(shù)要求》（GA/T（略））
14)《（略）安全管理要求》（GB/T20269—2006）
15)《（略）安全管理測(cè)評(píng)》（GA/T（略））
16)《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T（略））
17)《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》（GB/T（略））
《（略）安全保障評(píng)估框架》（GB/T20274）
五,、項(xiàng)目概況：
為貫徹落實(shí)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》,、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》和《信息安全等級(jí)保護(hù)管理辦法》的精神；同時(shí),，根據(jù)《（略）絡(luò)安全法》的要求,，（略）開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)。
六,、總體要求：
通過(guò)等級(jí)保護(hù)測(cè)評(píng),、漏洞掃描和滲透測(cè)試等測(cè)評(píng)手段，（略）的安全防護(hù)能力現(xiàn)狀,，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行深入分析,，（略）等級(jí)保護(hù)三級(jí)的要求給出整改建議，（略）進(jìn)行整改,，（略）等級(jí)保護(hù)三級(jí)的測(cè)評(píng)報(bào)告,（略）定期進(jìn)行滲透性測(cè)試,、漏洞掃描服務(wù)，對(duì)于發(fā)現(xiàn)的隱患及安全問(wèn)題出具整改建議,，協(xié)助進(jìn)行修復(fù),。
（1）等級(jí)保護(hù)測(cè)評(píng)
測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容：
安全技術(shù)測(cè)評(píng)：包括安全物理環(huán)境、（略）絡(luò),、（略）域邊界,、（略）等五個(gè)方面的安全測(cè)評(píng)；
安全管理測(cè)評(píng)：安全管理機(jī)構(gòu),、安全管理制度,、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng),。
（2）滲透性測(cè)試服務(wù)
（略）開(kāi)展?jié)B透性測(cè)試服務(wù),，針對(duì)發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù)。
（3）漏洞掃描服務(wù)
（略）開(kāi)展漏洞掃描服務(wù),，針對(duì)發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù)。
1,、項(xiàng)目實(shí)施原則
（1）客觀性和公正性原則：
測(cè)評(píng)人員在項(xiàng)目實(shí)施過(guò)程中應(yīng)無(wú)偏見(jiàn),，在最小主觀判斷情形下，按照測(cè)評(píng)雙方相互認(rèn)可的測(cè)評(píng)方案,，基于明確定義的測(cè)評(píng)方式：（略）
（2）可重復(fù)性和可再現(xiàn)性原則：
依照同一要求,，使用同一測(cè)評(píng)方式：（略）
（3）連續(xù)性原則：
確保在高速變化的信息安全環(huán)境中，在有效的服務(wù)期間內(nèi),，保證等級(jí)測(cè)評(píng)結(jié)論的準(zhǔn)確性和及時(shí)性,，（略）和服務(wù),，或新建立的信息化項(xiàng)目，（略）的重新測(cè)評(píng),。
（4）擴(kuò)展性原則：
在測(cè)評(píng)過(guò)程結(jié)束后,，信息安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程要保持?jǐn)U展性，從擴(kuò)展的屬性上進(jìn)一步加強(qiáng)測(cè)評(píng)結(jié)束后采購(gòu)方的安全管理有效性和可用性,。
（5）保密原則：
在測(cè)評(píng)過(guò)程中,，需嚴(yán)格遵循保密原則，雙方簽訂保密協(xié)議,，對(duì)服務(wù)過(guò)程中涉及到的任何用戶(hù)信息未經(jīng)允許不向其他任何第三方泄漏,，以及不得利用這些信息損害采購(gòu)方利益。
（6）互動(dòng)原則：
在整個(gè)測(cè)評(píng)過(guò)程中,，強(qiáng)調(diào)采購(gòu)方的互動(dòng)參與,，每個(gè)階段都能夠及時(shí)根據(jù)行內(nèi)要求和實(shí)際情況對(duì)測(cè)評(píng)的內(nèi)容、方式：（略）
（7）最小影響原則：
（略）絡(luò)的正常運(yùn)行,，不能對(duì)業(yè)務(wù)的正常運(yùn)行產(chǎn)生明顯的影響（（略）性能明顯下降,、網(wǎng)絡(luò)阻塞、服務(wù)中斷等）,，如無(wú)法避免,，則應(yīng)做出說(shuō)明。
（8）規(guī)范性原則：
信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)的實(shí)施必須由專(zhuān)業(yè)的測(cè)評(píng)服務(wù)人員依照規(guī)范的操作流程進(jìn)行,，對(duì)操作過(guò)程和結(jié)果要有相應(yīng)的記錄,，并提供完整的服務(wù)報(bào)告。
（9）質(zhì)量保障原則：
在整個(gè)測(cè)評(píng)過(guò)程中,，須特別重視項(xiàng)目質(zhì)量管理,。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行，并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督,，控制項(xiàng)目的進(jìn)度和質(zhì)量,。
2、項(xiàng)目?jī)?nèi)容
（略）
（略）名稱(chēng)：（略）
安全保護(hù)等級(jí)
備注
1
（略）絡(luò)安全測(cè)評(píng)
三級(jí)
/
（略）的安全保護(hù)等級(jí)需求,，依據(jù)國(guó)家及行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn),，通過(guò)信息安全等級(jí)保護(hù)測(cè)評(píng)的方法，（略）各安全層面與相應(yīng)安全保護(hù)等級(jí)標(biāo)準(zhǔn)的差距,，明確存在的安全問(wèn)題及現(xiàn)有安全措施的有效性,，并針對(duì)安全問(wèn)題關(guān)聯(lián)的資產(chǎn)、威脅,、脆弱性,，（略）面臨的安全風(fēng)險(xiǎn)，尋求風(fēng)險(xiǎn)降低或規(guī)避的方法,、提出建設(shè)整改建議,、編制建設(shè)整改方案,、提供整改實(shí)施技術(shù)支持。并在整改實(shí)施完成后,，通過(guò)開(kāi)展等級(jí)測(cè)評(píng)工作,，驗(yàn)證建設(shè)整改的效果及與標(biāo)準(zhǔn)的符合度，（略）是否達(dá)到了相應(yīng)安全保護(hù)等級(jí)的防護(hù)能力,。編制提交《（略）等級(jí)測(cè)評(píng)報(bào)告》,，同時(shí)為以后的安全決策、安全管理,、安全運(yùn)維,、持續(xù)整改提供依據(jù)。
具體工作內(nèi)容及要求如下：
（1）（略）安全等級(jí)保護(hù)現(xiàn)狀測(cè)評(píng)工作
依據(jù)相關(guān)標(biāo)準(zhǔn),，結(jié)合行業(yè)特點(diǎn)和自身安全需求,，（略）安全等級(jí)保護(hù)現(xiàn)狀測(cè)評(píng)工作，提供包括但不限于以下服務(wù)內(nèi)容：
1）信息收集：（略）開(kāi)展調(diào)研工作,，（略）的物理環(huán)境及機(jī)房基礎(chǔ)設(shè)施情況,，網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)設(shè)備,、安全設(shè)備部署情況,，（略）、（略）使用情況,，（略）業(yè)務(wù)流程,、數(shù)據(jù)流向、用戶(hù)群體情況,，數(shù)據(jù)傳輸及存儲(chǔ)備份情況,，系統(tǒng)的高可用性需求情況，安全管理制度建設(shè)及執(zhí)行情況,。并根據(jù)收集的信息建立基礎(chǔ)臺(tái)賬,。
2）方案編制：根據(jù)收集的基礎(chǔ)信息，（略）絡(luò)覆蓋范圍,，系統(tǒng)構(gòu)成,、資產(chǎn)識(shí)別與賦值、威脅識(shí)別與賦值,，明確檢測(cè)評(píng)估目的及流程,、明確檢測(cè)評(píng)估對(duì)象及指標(biāo)、明確檢測(cè)評(píng)估方法及工具掃描接入點(diǎn),、明確檢測(cè)評(píng)估實(shí)施步驟及配合需求、明確檢測(cè)評(píng)估的實(shí)施計(jì)劃,。并據(jù)此編制實(shí)施方案,、開(kāi)發(fā)實(shí)施指導(dǎo)書(shū),。
3）現(xiàn)場(chǎng)檢測(cè)評(píng)估實(shí)施：依據(jù)測(cè)評(píng)方案、參照實(shí)施指導(dǎo)書(shū),，通過(guò)訪談,、檢查、測(cè)試,、實(shí)地查看等方法開(kāi)展現(xiàn)場(chǎng)檢測(cè)評(píng)估活動(dòng),，詳細(xì)記錄每個(gè)檢測(cè)評(píng)估對(duì)象的安全現(xiàn)狀。形成現(xiàn)場(chǎng)檢測(cè)評(píng)估記錄表,。
4）數(shù)據(jù)匯總分析：根據(jù)現(xiàn)場(chǎng)檢測(cè)評(píng)估記錄,，按照物理安全、網(wǎng)絡(luò)安全,、主機(jī)安全,、應(yīng)用安全、數(shù)據(jù)安全,、安全管理幾個(gè)安全層面,，匯總各安全層面測(cè)評(píng)對(duì)象的安全現(xiàn)狀，明確已有安全措施的有效性,，識(shí)別測(cè)評(píng)對(duì)象關(guān)聯(lián)資產(chǎn)的脆弱性,。形成安全措施匯總表、安全問(wèn)題匯總表,。
5）安全問(wèn)題交流：通過(guò)交流會(huì)的形式,，對(duì)安全措施匯總表、安全問(wèn)題匯總表中的內(nèi)容進(jìn)行溝通交流,，明確安全問(wèn)題是否真實(shí)存在,，如有遺漏或不確定項(xiàng)需進(jìn)行補(bǔ)充檢測(cè)并詳細(xì)記錄結(jié)果；并針對(duì)存在的問(wèn)題,，結(jié)合威脅被利用的可能性,、威脅被利用后的后果嚴(yán)重性，交流降低或規(guī)避風(fēng)險(xiǎn)的方法,，提出初步的建設(shè)整改建議,。
6）建設(shè)整改方案設(shè)計(jì)：在明確安全問(wèn)題的基礎(chǔ)上，依據(jù)交流的建設(shè)整改建議,，（略）實(shí)際情況,，編制建設(shè)整改方案，為整改實(shí)施提供依據(jù),。
（2）（略）安全等級(jí)保護(hù)符合性測(cè)評(píng)工作
采購(gòu)方建設(shè)整改工作完成后,，針對(duì)現(xiàn)狀測(cè)評(píng)過(guò)程中存在的安全差距開(kāi)展符合性測(cè)評(píng)工作，確認(rèn)之前存在的問(wèn)題是否已經(jīng)解決,，驗(yàn)證整改活動(dòng)是否已經(jīng)切實(shí)有效的執(zhí)行,。若未完成,，需配合采購(gòu)方繼續(xù)進(jìn)行安全建設(shè)整改工作；當(dāng)整改工作中的主要安全問(wèn)題已基本解決,，則編制提交《（略）等級(jí)測(cè)評(píng)報(bào)告》,。
（3）滲透性測(cè)試服務(wù)
（略）定期開(kāi)展?jié)B透性測(cè)試服務(wù)，出具整改建議,，針對(duì)發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù),。
（4）漏洞掃描服務(wù)
（略）定期開(kāi)展漏洞掃描服務(wù)，針對(duì)發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù),。
（5）安全培訓(xùn)工作
（略）絡(luò)安全等級(jí)保護(hù)相關(guān)安全培訓(xùn),；
（6）項(xiàng)目實(shí)施方案，技術(shù)支持和服務(wù)保障
1）針對(duì)本項(xiàng)目所描述項(xiàng)目需求進(jìn)行業(yè)務(wù)分析并提出項(xiàng)目總體實(shí)施方案,、測(cè)評(píng)方案,。
2）實(shí)施方案，包括項(xiàng)目進(jìn)度表和組織機(jī)構(gòu),。
3）技術(shù)支持和服務(wù),要求制定詳細(xì)的支持和服務(wù)保障方案,，提供服務(wù)項(xiàng)目清單及自身服務(wù)承諾(包括服務(wù)周期時(shí)間、費(fèi)用),。
4）為完成本項(xiàng)目,，投標(biāo)方應(yīng)組建工作小組、明確組成人員職責(zé),。
5）在項(xiàng)目現(xiàn)場(chǎng)實(shí)施周期內(nèi),，投標(biāo)人須為本項(xiàng)目成立等級(jí)保護(hù)測(cè)評(píng)小組，安排包括項(xiàng)目經(jīng)理：（略）
6）制度完善：協(xié)助完善三級(jí)等保管理制度,。
注：1.投標(biāo)單位：（略）
2.報(bào)價(jià)方式：（略）
3.項(xiàng)目實(shí)施方案中的技術(shù)標(biāo)準(zhǔn)還需要參考甲方內(nèi)部的建設(shè)指南,。
4.再給出建設(shè)方案時(shí)，應(yīng)區(qū)分緊急程度,，及總體建議造價(jià)且設(shè)備必須是國(guó)產(chǎn)化,。
七、采購(gòu)項(xiàng)目控制價(jià)：
小寫(xiě)：￥100000.00元,，大寫(xiě)：壹拾萬(wàn)圓整,。
八、工期要求：
1.合同履約期限：合同簽訂后150日,。
2.中標(biāo)單位：（略）
九,、評(píng)標(biāo)辦法：最低價(jià)中標(biāo)法
十、投標(biāo)人資格要求：
（一）符合《中華人民共和國(guó)政府采購(gòu)法》第二十二條資格條件：
1.具有獨(dú)立承擔(dān)民事責(zé)任的能力,；
2.具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度,；
3.具有履行合同所必需的設(shè)備和專(zhuān)業(yè)技術(shù)能力；
4.有依法繳納稅收和社會(huì)保障資金的良好記錄；
5.參加政府采購(gòu)活動(dòng)前3年內(nèi),，在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄,；
6.法律、行政法規(guī)規(guī)定的其他條件,。
（二）國(guó)有企業(yè)；事業(yè)單位：（略）
（三）單位：（略）
（四）未被列入政府采購(gòu)失信名單,、軍隊(duì)供應(yīng)商暫停名單,，未在軍隊(duì)采購(gòu)失信名單禁入處罰期內(nèi)，未被“信用中國(guó)”網(wǎng)站列入失信被執(zhí)行人,、重大稅收違法案件當(dāng)事人,。
（五）投標(biāo)單位：（略）
（六）投標(biāo)單位：（略）
（七）對(duì)惡意投標(biāo)、中標(biāo)后不按合同要求保證服務(wù)者,，甲方保留通報(bào)批評(píng),、索賠、罰款,、收取違約金和停止繼續(xù)履行合同,；
（八）投標(biāo)人不得相互串通投標(biāo)報(bào)價(jià)，不得排擠其他投標(biāo)人的公平競(jìng)爭(zhēng),；
（九）本項(xiàng)目不接受聯(lián)合體投標(biāo),；
（十）具有《信息安全管理體系認(rèn)證證書(shū)》相關(guān)證書(shū)，提供證書(shū)復(fù)印件加蓋單位：（略）
（十一）具有由公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全服務(wù)認(rèn)證證書(shū)等級(jí)保護(hù)測(cè)評(píng)服務(wù)認(rèn)證》或《網(wǎng)絡(luò)安金等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書(shū)》相關(guān)證書(shū),，提供證書(shū)復(fù)印件加蓋單位：（略）
十一,、（略）站：
（略）、（略）
十二,、（略）站：
（略）
十三,、采購(gòu)項(xiàng)目聯(lián)系人：（略）
采購(gòu)人：（略）
聯(lián)系人：（略）
聯(lián)系電話(huà)：（略）
十四、紀(jì)檢監(jiān)督聯(lián)系電話(huà)：（略）
聯(lián)系人：（略）
聯(lián)系電話(huà)：（略）