宿州市产业投资控股集团有限公司智慧资产管理系统网络安全等级保护测评服务询价公告

一、项目名称：（略）
（略）（略）络安全等级保护测评服务采购询价项目（以下简称“本项目”）
二、采购方式：（略）
通过询价方式：（略）
三、最高限价及选取规则
1.本项目报价最高限价5万元（（略）络安全等级保护测评5万元）。
2.本项目报名符合条件的报价人不足3家的，该询价项目中止。
四、响应供应商资质要求
1.满足《中华人民共和国政府采购法》第二十二条规定；
2.落实政府采购政策需满足的资格要求：
3.本项目的特定资格要求：供应商（（略）、（略））存在以下不良信用记录情形之一,不得推荐为中标候选人，不得确定为中标人:
（1）供应商被人民法院列入失信被执行人的；
（2）供应商或其法定代表人或拟派项目经理：（略）
（3）供应商被工商行政管理部门列入企业经营异常名录的；
（4）供应商被税务部门列入重大税收违法案件当事人名单的；
（5）供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。
以上情形第（1）（3）（4）（5）以“信用中国”（（略）.cn）、“信用宿州”
（（略）.cn/cms/infoPublicity/toInfoHongHeiMd.action）或其他指定媒介[（略）站（（略）.cn）、（略）（（略）.cn）、（略）站（（略）.cn）]发布的为准，查询截止时点为采购响应递交截止时间。
4.供应商拟派的安全服务团队不得少于4人（至少包括1名高级测评师、1名中级测评师）。至少1名专业人员，均具备等级测评师证书、信息安全保障人员认证(CISAW)证书，且认证方向为风险管理和安全运维方向。
5.供应商须具备ISO22301业务连续性管理体系认证证书。
6.（略）（略）安全运维服务资质证书。
7.提供自2020年01月01日以来等保测评或软件测试服务业绩合同三份（以合同签订日期为准，合同金额不限）。
五、服务需求
1.项目概况
依据《（略）络安全法》《信息安全等级保护管理办法》的相关要求，（略）（略）络安全等级保护测评，包括：安全技术测评，安全管理测评，工具测试，（略）安全整改方案，编制测评报告等。
2.项目实施范围
（略）如下：
（略）名称：（略）
1（略）二级
3.指导思想和基本准则
根据公安部、国家保密局、国家密码管理局、国信办联合印发的《（略）安全等级保护管理办法》（公通字〔2007〕43号）、《（略）安全等级保护工作的实施意见》（公通字〔2004〕66号）、《（略）安全等级保护定级工作的通知》（公信安〔2007〕861号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等文件精神，（略）工作实际，（略）（略）络安全等级保护测评，（略）安全管理体系和技术防护体系，（略）信息安全防护能力。
4.等级保护测评主要包括以下几个方面：
等保测评：完成包括安全物理环境、安全计算环境、（略）域边界、（略）络、（略）和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作；
工具测试：（略）进行漏洞扫描、渗透测试等安全服务工作；
整改建议：投标人应根据现场测评中发现的问题，分析与GB/T（略）、ISO/IEC27001、ISO/IEC20000、ISO22301、ITIL和ITSS等行业最佳实践之间的差距，（略）络安全等级保护标准要求提出安全整改建议；
编制测评报告：完成上述测评工作和整改加固实施后，（略）络安全等级保护测评报告。
5.工作要求：
规范性原则：成交供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；
标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。
可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人：（略）
整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；
最小影响原则：（略）络的正常运行，（略）的运行和业务的正常提供产生显著影响(（略）性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；
保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位：（略）
6.测评依据
《（略）络安全等级保护基本要求》（GB/T（略））
《（略）络安全等级保护定级指南》（GB/T（略））
《（略）络安全等级保护测评要求》（GB/T（略））
《（略）络安全等级保护测评过程指南》（GB∕T（略））
7.等级保护测评内容
根据国家等级保护相关标准，（略）络安全等级保护测评应包括以下内容：
（1）安全技术测评：包括安全物理环境、（略）络、（略）域边界、安全计算环境、（略）等五个方面的安全测评；
（2）安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
（3）安全物理环境
安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评，包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
（4）（略）络
（略）安全防护情况进行测评，（略）络架构、通信传输、可信验证等方面的安全状况。
（5）（略）域边界
（略）域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。
（6）安全计算环境
安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。
（7）（略）
（略）（略）管理、审计管理、安全管理、集中管控等方面的测评。
（8）安全管理制度
安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。
（9）安全管理机构
安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
（10）安全管理人员
安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。
（11）安全建设管理
安全建设管理测评是对建设过程中安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等情况进行测评。
（12）安全运维管理
安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、（略）安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。
9.验收标准
本项目服务的验收将以成交供应商提交《测评报告》（略）填报结果为准。
六、选取时间及地点：（略）
1.选取时间：2024年1月22日上午9:00。
2.选取地点：（略）
联系电话：（略）
联系人：（略）
七、提供材料
1.营业执照复印件（加盖公章）；
2.法人携带身份证或授权人携带身份证和法人授权委托书；
3.证书证明材料复印件（加盖公章）；
4.近三年内无不良行为承诺书（加盖公章，法人签字）。
以上材料原件查验，复印件留存。