（略）絡(luò)安全等級(jí)保護(hù)測評(píng)服務(wù)項(xiàng)目

根據(jù)《甘肅省人民政府辦公廳轉(zhuǎn)發(fā)省發(fā)展和改革委員會(huì)省公共資源交易局關(guān)于進(jìn)一步加強(qiáng)和（略）)等文件要求,，對“（略）絡(luò)安全等級(jí)保護(hù)測評(píng)服務(wù)項(xiàng)目”以公開招標(biāo)方式：（略）
一,、采購單位：（略）
二、（略）：2025-JYAFDA-FC0001
三、項(xiàng)目名稱：（略）
四、項(xiàng)目依據(jù)：
1,、法律法規(guī)及相關(guān)政策依據(jù)
1)《（略）絡(luò)安全法》
2)《（略）安全保護(hù)條例》(國務(wù)院147號(hào)令)
3)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)〔2003〕27號(hào))
4)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字〔2004〕66號(hào))
5)《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))
6)關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(公信安〔2009〕1429號(hào))
7)《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測評(píng)體系建設(shè)和開展等級(jí)測評(píng)工作的通知》（公信安〔2010〕303號(hào)）
2、技術(shù)標(biāo)準(zhǔn)
1)《（略）安全等級(jí)保護(hù)實(shí)施指南》(GB/T（略）)
2)《（略）安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB（略）)
3)《（略）安全等級(jí)保護(hù)定級(jí)指南》(GBT22240—2020)
4)《（略）絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T（略））
5)《（略）絡(luò)安全等級(jí)保護(hù)測評(píng)要求》(GB/T（略）)
6)《（略）絡(luò)安全等級(jí)保護(hù)過程指南》（GB/T（略））
7)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984—2007）
8)《信息安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》（GB/T18336）
9)《（略）通用安全技術(shù)要求》（GB/T（略））
10)《（略）絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T（略））
11)《（略）安全技術(shù)要求》（GB/T（略））
12)《（略）安全技術(shù)要求》（GB/T（略））
13)《（略）安全等級(jí)技術(shù)要求》（GA/T（略））
14)《（略）安全管理要求》（GB/T20269—2006）
15)《（略）安全管理測評(píng)》（GA/T（略））
16)《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T（略））
17)《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》（GB/T（略））
《（略）安全保障評(píng)估框架》（GB/T20274）
五,、項(xiàng)目概況：
為貫徹落實(shí)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》,、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》和《信息安全等級(jí)保護(hù)管理辦法》的精神；同時(shí),，根據(jù)《（略）絡(luò)安全法》的要求,，（略）開展信息安全等級(jí)保護(hù)測評(píng)。
六,、總體要求：
通過等級(jí)保護(hù)測評(píng),、漏洞掃描和滲透測試等測評(píng)手段，（略）的安全防護(hù)能力現(xiàn)狀,，對發(fā)現(xiàn)的問題進(jìn)行深入分析,，（略）等級(jí)保護(hù)三級(jí)的要求給出整改建議,，（略）進(jìn)行整改,，（略）等級(jí)保護(hù)三級(jí)的測評(píng)報(bào)告,（略）定期進(jìn)行滲透性測試、漏洞掃描服務(wù),，對于發(fā)現(xiàn)的隱患及安全問題出具整改建議,，協(xié)助進(jìn)行修復(fù)。
（1）等級(jí)保護(hù)測評(píng)
測評(píng)的內(nèi)容包括但不限于以下內(nèi)容：
安全技術(shù)測評(píng)：包括安全物理環(huán)境,、（略）絡(luò),、（略）域邊界、（略）等五個(gè)方面的安全測評(píng),；
安全管理測評(píng)：安全管理機(jī)構(gòu),、安全管理制度、安全管理人員,、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全測評(píng),。
（2）滲透性測試服務(wù)
（略）開展?jié)B透性測試服務(wù),，針對發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù)。
（3）漏洞掃描服務(wù)
（略）開展漏洞掃描服務(wù),，針對發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù),。
1、項(xiàng)目實(shí)施原則
（1）客觀性和公正性原則：
測評(píng)人員在項(xiàng)目實(shí)施過程中應(yīng)無偏見,，在最小主觀判斷情形下,，按照測評(píng)雙方相互認(rèn)可的測評(píng)方案，基于明確定義的測評(píng)方式：（略）
（2）可重復(fù)性和可再現(xiàn)性原則：
依照同一要求,，使用同一測評(píng)方式：（略）
（3）連續(xù)性原則：
確保在高速變化的信息安全環(huán)境中,，在有效的服務(wù)期間內(nèi)，保證等級(jí)測評(píng)結(jié)論的準(zhǔn)確性和及時(shí)性,，（略）和服務(wù),，或新建立的信息化項(xiàng)目，（略）的重新測評(píng),。
（4）擴(kuò)展性原則：
在測評(píng)過程結(jié)束后,，信息安全等級(jí)保護(hù)測評(píng)過程要保持?jǐn)U展性，從擴(kuò)展的屬性上進(jìn)一步加強(qiáng)測評(píng)結(jié)束后采購方的安全管理有效性和可用性,。
（5）保密原則：
在測評(píng)過程中,，需嚴(yán)格遵循保密原則，雙方簽訂保密協(xié)議,，對服務(wù)過程中涉及到的任何用戶信息未經(jīng)允許不向其他任何第三方泄漏,，以及不得利用這些信息損害采購方利益。
（6）互動(dòng)原則：
在整個(gè)測評(píng)過程中,，強(qiáng)調(diào)采購方的互動(dòng)參與,，每個(gè)階段都能夠及時(shí)根據(jù)行內(nèi)要求和實(shí)際情況對測評(píng)的內(nèi)容、方式：（略）
（7）最小影響原則：
（略）絡(luò)的正常運(yùn)行,，不能對業(yè)務(wù)的正常運(yùn)行產(chǎn)生明顯的影響（（略）性能明顯下降,、網(wǎng)絡(luò)阻塞、服務(wù)中斷等）,，如無法避免,，則應(yīng)做出說明。
（8）規(guī)范性原則：
信息安全等級(jí)保護(hù)測評(píng)服務(wù)的實(shí)施必須由專業(yè)的測評(píng)服務(wù)人員依照規(guī)范的操作流程進(jìn)行,，對操作過程和結(jié)果要有相應(yīng)的記錄,，并提供完整的服務(wù)報(bào)告。
（9）質(zhì)量保障原則：
在整個(gè)測評(píng)過程中,，須特別重視項(xiàng)目質(zhì)量管理,。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行，并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督,，控制項(xiàng)目的進(jìn)度和質(zhì)量,。
2,、項(xiàng)目內(nèi)容
（略）
（略）名稱：（略）
安全保護(hù)等級(jí)
備注
1
（略）絡(luò)安全測評(píng)
三級(jí)
/
（略）的安全保護(hù)等級(jí)需求，依據(jù)國家及行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn),，通過信息安全等級(jí)保護(hù)測評(píng)的方法,，（略）各安全層面與相應(yīng)安全保護(hù)等級(jí)標(biāo)準(zhǔn)的差距，明確存在的安全問題及現(xiàn)有安全措施的有效性,，并針對安全問題關(guān)聯(lián)的資產(chǎn),、威脅、脆弱性,，（略）面臨的安全風(fēng)險(xiǎn),，尋求風(fēng)險(xiǎn)降低或規(guī)避的方法、提出建設(shè)整改建議,、編制建設(shè)整改方案,、提供整改實(shí)施技術(shù)支持。并在整改實(shí)施完成后,，通過開展等級(jí)測評(píng)工作,，驗(yàn)證建設(shè)整改的效果及與標(biāo)準(zhǔn)的符合度，（略）是否達(dá)到了相應(yīng)安全保護(hù)等級(jí)的防護(hù)能力,。編制提交《（略）等級(jí)測評(píng)報(bào)告》,，同時(shí)為以后的安全決策、安全管理,、安全運(yùn)維,、持續(xù)整改提供依據(jù)。
具體工作內(nèi)容及要求如下：
（1）（略）安全等級(jí)保護(hù)現(xiàn)狀測評(píng)工作
依據(jù)相關(guān)標(biāo)準(zhǔn),，結(jié)合行業(yè)特點(diǎn)和自身安全需求,，（略）安全等級(jí)保護(hù)現(xiàn)狀測評(píng)工作，提供包括但不限于以下服務(wù)內(nèi)容：
1）信息收集：（略）開展調(diào)研工作,，（略）的物理環(huán)境及機(jī)房基礎(chǔ)設(shè)施情況,，網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)設(shè)備,、安全設(shè)備部署情況,，（略）,、（略）使用情況,，（略）業(yè)務(wù)流程、數(shù)據(jù)流向,、用戶群體情況,，數(shù)據(jù)傳輸及存儲(chǔ)備份情況，系統(tǒng)的高可用性需求情況,，安全管理制度建設(shè)及執(zhí)行情況,。并根據(jù)收集的信息建立基礎(chǔ)臺(tái)賬,。
2）方案編制：根據(jù)收集的基礎(chǔ)信息，（略）絡(luò)覆蓋范圍,，系統(tǒng)構(gòu)成,、資產(chǎn)識(shí)別與賦值、威脅識(shí)別與賦值,，明確檢測評(píng)估目的及流程,、明確檢測評(píng)估對象及指標(biāo)、明確檢測評(píng)估方法及工具掃描接入點(diǎn),、明確檢測評(píng)估實(shí)施步驟及配合需求,、明確檢測評(píng)估的實(shí)施計(jì)劃。并據(jù)此編制實(shí)施方案,、開發(fā)實(shí)施指導(dǎo)書,。
3）現(xiàn)場檢測評(píng)估實(shí)施：依據(jù)測評(píng)方案、參照實(shí)施指導(dǎo)書,，通過訪談,、檢查、測試,、實(shí)地查看等方法開展現(xiàn)場檢測評(píng)估活動(dòng),，詳細(xì)記錄每個(gè)檢測評(píng)估對象的安全現(xiàn)狀。形成現(xiàn)場檢測評(píng)估記錄表,。
4）數(shù)據(jù)匯總分析：根據(jù)現(xiàn)場檢測評(píng)估記錄,，按照物理安全、網(wǎng)絡(luò)安全,、主機(jī)安全,、應(yīng)用安全、數(shù)據(jù)安全,、安全管理幾個(gè)安全層面,，匯總各安全層面測評(píng)對象的安全現(xiàn)狀，明確已有安全措施的有效性,，識(shí)別測評(píng)對象關(guān)聯(lián)資產(chǎn)的脆弱性,。形成安全措施匯總表、安全問題匯總表,。
5）安全問題交流：通過交流會(huì)的形式,，對安全措施匯總表、安全問題匯總表中的內(nèi)容進(jìn)行溝通交流,，明確安全問題是否真實(shí)存在,，如有遺漏或不確定項(xiàng)需進(jìn)行補(bǔ)充檢測并詳細(xì)記錄結(jié)果；并針對存在的問題,，結(jié)合威脅被利用的可能性,、威脅被利用后的后果嚴(yán)重性,，交流降低或規(guī)避風(fēng)險(xiǎn)的方法，提出初步的建設(shè)整改建議,。
6）建設(shè)整改方案設(shè)計(jì)：在明確安全問題的基礎(chǔ)上,，依據(jù)交流的建設(shè)整改建議，（略）實(shí)際情況,，編制建設(shè)整改方案,，為整改實(shí)施提供依據(jù)。
（2）（略）安全等級(jí)保護(hù)符合性測評(píng)工作
采購方建設(shè)整改工作完成后,，針對現(xiàn)狀測評(píng)過程中存在的安全差距開展符合性測評(píng)工作,，確認(rèn)之前存在的問題是否已經(jīng)解決，驗(yàn)證整改活動(dòng)是否已經(jīng)切實(shí)有效的執(zhí)行,。若未完成,，需配合采購方繼續(xù)進(jìn)行安全建設(shè)整改工作；當(dāng)整改工作中的主要安全問題已基本解決,，則編制提交《（略）等級(jí)測評(píng)報(bào)告》。
（3）滲透性測試服務(wù)
（略）定期開展?jié)B透性測試服務(wù),，出具整改建議,，針對發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù)。
（4）漏洞掃描服務(wù)
（略）定期開展漏洞掃描服務(wù),，針對發(fā)現(xiàn)的安全隱患協(xié)助整改修復(fù),。
（5）安全培訓(xùn)工作
（略）絡(luò)安全等級(jí)保護(hù)相關(guān)安全培訓(xùn)；
（6）項(xiàng)目實(shí)施方案,，技術(shù)支持和服務(wù)保障
1）針對本項(xiàng)目所描述項(xiàng)目需求進(jìn)行業(yè)務(wù)分析并提出項(xiàng)目總體實(shí)施方案,、測評(píng)方案。
2）實(shí)施方案,，包括項(xiàng)目進(jìn)度表和組織機(jī)構(gòu),。
3）技術(shù)支持和服務(wù),要求制定詳細(xì)的支持和服務(wù)保障方案，提供服務(wù)項(xiàng)目清單及自身服務(wù)承諾(包括服務(wù)周期時(shí)間,、費(fèi)用),。
4）為完成本項(xiàng)目，投標(biāo)方應(yīng)組建工作小組,、明確組成人員職責(zé),。
5）在項(xiàng)目現(xiàn)場實(shí)施周期內(nèi)，投標(biāo)人須為本項(xiàng)目成立等級(jí)保護(hù)測評(píng)小組,，安排包括項(xiàng)目經(jīng)理：（略）
6）制度完善：協(xié)助完善三級(jí)等保管理制度,。
注：1.投標(biāo)單位：（略）
2.報(bào)價(jià)方式：（略）
3.項(xiàng)目實(shí)施方案中的技術(shù)標(biāo)準(zhǔn)還需要參考甲方內(nèi)部的建設(shè)指南,。
4.再給出建設(shè)方案時(shí),，應(yīng)區(qū)分緊急程度,，及總體建議造價(jià)且設(shè)備必須是國產(chǎn)化。
七,、采購項(xiàng)目控制價(jià)：
小寫：￥100000.00元，大寫：壹拾萬圓整,。
八,、工期要求：
1.合同履約期限：合同簽訂后150日。
2.中標(biāo)單位：（略）
九,、評(píng)標(biāo)辦法：最低價(jià)中標(biāo)法
十、投標(biāo)人資格要求：
（一）符合《中華人民共和國政府采購法》第二十二條資格條件：
1.具有獨(dú)立承擔(dān)民事責(zé)任的能力,；
2.具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度,；
3.具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力；
4.有依法繳納稅收和社會(huì)保障資金的良好記錄,；
5.參加政府采購活動(dòng)前3年內(nèi)，在經(jīng)營活動(dòng)中沒有重大違法記錄,；
6.法律、行政法規(guī)規(guī)定的其他條件,。
（二）國有企業(yè),；事業(yè)單位：（略）
（三）單位：（略）
（四）未被列入政府采購失信名單,、軍隊(duì)供應(yīng)商暫停名單，未在軍隊(duì)采購失信名單禁入處罰期內(nèi),，未被“信用中國”網(wǎng)站列入失信被執(zhí)行人,、重大稅收違法案件當(dāng)事人。
（五）投標(biāo)單位：（略）
（六）投標(biāo)單位：（略）
（七）對惡意投標(biāo),、中標(biāo)后不按合同要求保證服務(wù)者,，甲方保留通報(bào)批評(píng)、索賠,、罰款,、收取違約金和停止繼續(xù)履行合同；
（八）投標(biāo)人不得相互串通投標(biāo)報(bào)價(jià),，不得排擠其他投標(biāo)人的公平競爭,；
（九）本項(xiàng)目不接受聯(lián)合體投標(biāo)；
（十）具有《信息安全管理體系認(rèn)證證書》相關(guān)證書，提供證書復(fù)印件加蓋單位：（略）
（十一）具有由公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全服務(wù)認(rèn)證證書等級(jí)保護(hù)測評(píng)服務(wù)認(rèn)證》或《網(wǎng)絡(luò)安金等級(jí)測評(píng)與檢測評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》相關(guān)證書,，提供證書復(fù)印件加蓋單位：（略）
十一,、公告及競價(jià)時(shí)間：
公告開始時(shí)間：2025年2月17日10時(shí)00分
上傳資質(zhì)證明文件截止時(shí)間：2025年2月21日18時(shí)00分
競價(jià)開始時(shí)間：2025年2月22日08時(shí)00分
競價(jià)截止時(shí)間：2025年2月22日18時(shí)00分
十二,、（略）站：
（略）,、（略）
十三、（略）站：
（略）
十四,、采購項(xiàng)目聯(lián)系人：（略）
采購人：（略）
聯(lián)系人：（略）
聯(lián)系電話：（略）
十五,、紀(jì)檢監(jiān)督聯(lián)系電話：（略）
聯(lián)系人：（略）
聯(lián)系電話：（略）