启东市自来水厂有限公司2024年度收费系统、集抄平台的三级等保测评项目市场询价公告

(略) (略) 2024年度收费系统、集抄平台的三级等保测评项目即将实施，现就 (略) 场询价调研。

一、测评范围：

2个三级等保系统，以通过公安备案的数量为准。供应商须根据被测信息的安全保护等级，完成网络安全等级保护现状分析、安全建设整改支持、网络安全等级保护测评、增值服务四个方面的服务内容。

二、服务标准、效率等要求：

（一）总体要求：

1、完成上述系统安全等级测评工作，测评后经用户方确认，出具符合网络安全等级保护测评要求的测评报告；

2、对上述系统不符合网络安全等级保护有关管理规范和技术标准的，提出可行性整改方案，提供相应的安全整改建议书。

（二）网络安全等级保护测评内容：

1、安全技术测评：包括安全物理环境、安全区域边界、安全通信网络、安全计算环境和安全管理中心五个方面的安全测评；

2、安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评

（三）提供整改咨询服务，根据所测系统的最终测评报告，对系统现状提出安全整改建议并协助整改工作，以期达到整改目的。

（四）增值服务

1、漏洞扫描服务：周期开展全面的漏洞扫描服务，使用漏洞扫描系统并结合人工方式，进行安全漏洞扫描；对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险查；每个月完成一次漏洞检查，及时发现最新的安全漏洞及安全风险，并出具详细的漏洞扫描报告及协助整改。

2、渗透测试服务：

（1）每季度渗透测试：针对渗透测试服务范围，并结合等级保护合规性测评等各项检查工作的成果，在可控范围内采用外部渗透方式对应用系统和网络安全基础设施进行非破坏性质的模拟入侵者攻击的测试，检测外部威胁源和路径，以便掌握系统的安全状况，寻找系统存在的漏洞和风险；并出具渗透测试报告；

（2）每季度漏洞修复：提供漏洞修复服务，依据渗透测试的结果，对发现的应用系统和应用系统承载设施存在的安全风险给出修复建议，协助修复并出具漏洞修复建议和报告；

3、安全培训服务：针对员工的安全意识进行培训，保证人员具有与其岗位职责相适应安全意识，以减少人为因素给系统带来的安全风险。安全意识培训：主要针对内部员工及用户指定的相关人员，旨在提高全员的安全意识，包括日常网络安全防范、上网行为安全规范、网络安全法律法规宣贯等内容。 安全意识培训的方式包括：专家讲座、安全展板、手册、动画短片等方式（需根据用户实际需求选择）；

4、安全预警保障服务：在政府的重大活动期间、国家护网行动期间、国家法定的重大节假日等重要时刻，以邮件、电话、走访、微信等方式提前做技术交流，帮助采购单位保持领先的安全理念和技术，并在可能对其业务运营产生重大影响的时刻，提供7*24小时保障服务。对跟当前信息系统有关的最新漏洞进行通告预警，遵循及时有效的原则。

5、安全管理制度梳理服务：落实单位信息系统安全保护制度；按照等级保护安全管理制度的建设步骤，梳理现有安全管理制度，完善单位安全管理制度，细化各项操作流程、规范、表单；

6、补*升级服务:补*修复漏洞，安全配置增强等技术手段进行安全加固和优化，提高系统的安全性和抗攻击能力。另需要其他第三方支持的（如需应用开发方修复或是设备原厂响应的）。

7、咨询服务:

（1）安全建设咨询规划

以前期资产梳理、安全评估、网络拓扑、数据流向等工作成果作为现实依据，结合采购人的实际需求，参考国内外安全标准和国内新技术研究（如等保2.0、关键信息基础设施保护条例、商用密码体系、云计算、大数据、物联网、移动安全）对采购人网络安全建设提供咨询服务，包括网络安全结构设计、系统安全设计、年度建设规划和其他网络安全方案设计；提供网络安全远景规划设计，为未来网络信息安全工作开展提供有力指导与支撑。
（2）日常安全问题咨询
依据实际需求，参考国内外安全标准，提供日常安全问题咨询服务，主要包括大的安全决策、安全事件处理等。 针对各类网络安全事件，提供完整全面的处理方案，方案具有可操作性、能够指导采购人进行事件处理和应对。
（3）网络安全等级保护咨询
深化网络安全等级保护工作，基于对网络安全的深刻理解，在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系，对等级保护各个阶段的工作重点为客户提供全方位的支持和服务，协助完成定级备案、差距分析、安全整改或安全建议和协助厂家等保测评工作。

8、安全加固服务: (略) (略) 系统涉及的应用服务操作系统加固、应用服务加固、程序代码加固服务，能抵御对操作系统的直接攻击，能在发生攻击时限制影响范围。

以上增值服务未能履约、及时响应的， (略) (略) 造成严重负面影响的将列入黑名单，不得再参与启东水司的任何采购项目，并且有权全额扣除履约保证金，全额不予退还，同时采购单位亦有权终止合同，成交供应商还须承担相应的法律赔偿责任。

三、测评时间要求：按照被测单位要求，合同签订完毕一周内启动测评工作。

四、测评期限要求：签订合同后30日内完成网络安全等级保护测评及出具盖章报告，并完成备案。

五、服务地点：采购人指定地点。

六、约定事项：

1、市场询价表、营业执照、网页截图等相关材料于**日17:30前，送或寄（以邮戳为准） (略) (略) （ (略) 公园中路802号）。联系人：高明君，联系电话：0513-*。

2、报价说明：本项目为固定单价合同。供应商报价应包括完成本项目全部服务所发生的费用，以及为完成本项目工作所必须的劳务费、编制费、差旅费、资料和数据收集与分析、利润、税金、保险、公安备案等所有相关费用。供应商报价时应充分考虑国家政策性调整等风险因素，在合同实施期间，合同价不随国家政策或法规、 (略) 场因素的变化而进行调整。

3、报价单位须提供：

①合法有效的营业执照复印件加盖公章；

②未被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单，提供网页截图加盖公章；

③需具有有效期内的《网络安全等级测评与检测评估机构服务认证证书》。

4、拟定支付方式及期限：采购人在收到测评报告后一个月内一次性付清。成交供应商应在付款前提供正式发票。

5、其他：（1）请报价单位认真核算、如实报价，如发现虚假报价的，记入黑名单；（2）本次 (略) 场调研；（3）本次调研询价不接收质疑函，只接收对本项目的建议。

(略) (略)

**日

附件1： (略) (略) 2024年度收费系统、集抄平台的三级等 (略) 场询价表

报价单位（盖章）： 联系人： 联系电话： 报价日期：

附件2：合法有效的营业执照复印件加盖公章

附件3：未被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单，提供网页截图加盖公章

附件4：需具有有效期内的《网络安全等级测评与检测评估机构服务认证证书》。

启东市自来水厂有限公司2024年度收费系统、集抄平台的三级等保测评项目市场询价公告.doc

启东市自来水厂有限公司2024年度收费系统、集抄平台的三级等保测评项目市场询价公告

(略) (略) 2024年度收费系统、集抄平台的三级等保测评项目即将实施，现就 (略) 场询价调研。

一、测评范围：

2个三级等保系统，以通过公安备案的数量为准。供应商须根据被测信息的安全保护等级，完成网络安全等级保护现状分析、安全建设整改支持、网络安全等级保护测评、增值服务四个方面的服务内容。

二、服务标准、效率等要求：

（一）总体要求：

1、完成上述系统安全等级测评工作，测评后经用户方确认，出具符合网络安全等级保护测评要求的测评报告；

2、对上述系统不符合网络安全等级保护有关管理规范和技术标准的，提出可行性整改方案，提供相应的安全整改建议书。

（二）网络安全等级保护测评内容：

1、安全技术测评：包括安全物理环境、安全区域边界、安全通信网络、安全计算环境和安全管理中心五个方面的安全测评；

2、安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评

（三）提供整改咨询服务，根据所测系统的最终测评报告，对系统现状提出安全整改建议并协助整改工作，以期达到整改目的。

（四）增值服务

1、漏洞扫描服务：周期开展全面的漏洞扫描服务，使用漏洞扫描系统并结合人工方式，进行安全漏洞扫描；对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险查；每个月完成一次漏洞检查，及时发现最新的安全漏洞及安全风险，并出具详细的漏洞扫描报告及协助整改。

2、渗透测试服务：

（1）每季度渗透测试：针对渗透测试服务范围，并结合等级保护合规性测评等各项检查工作的成果，在可控范围内采用外部渗透方式对应用系统和网络安全基础设施进行非破坏性质的模拟入侵者攻击的测试，检测外部威胁源和路径，以便掌握系统的安全状况，寻找系统存在的漏洞和风险；并出具渗透测试报告；

（2）每季度漏洞修复：提供漏洞修复服务，依据渗透测试的结果，对发现的应用系统和应用系统承载设施存在的安全风险给出修复建议，协助修复并出具漏洞修复建议和报告；

3、安全培训服务：针对员工的安全意识进行培训，保证人员具有与其岗位职责相适应安全意识，以减少人为因素给系统带来的安全风险。安全意识培训：主要针对内部员工及用户指定的相关人员，旨在提高全员的安全意识，包括日常网络安全防范、上网行为安全规范、网络安全法律法规宣贯等内容。 安全意识培训的方式包括：专家讲座、安全展板、手册、动画短片等方式（需根据用户实际需求选择）；

4、安全预警保障服务：在政府的重大活动期间、国家护网行动期间、国家法定的重大节假日等重要时刻，以邮件、电话、走访、微信等方式提前做技术交流，帮助采购单位保持领先的安全理念和技术，并在可能对其业务运营产生重大影响的时刻，提供7*24小时保障服务。对跟当前信息系统有关的最新漏洞进行通告预警，遵循及时有效的原则。

5、安全管理制度梳理服务：落实单位信息系统安全保护制度；按照等级保护安全管理制度的建设步骤，梳理现有安全管理制度，完善单位安全管理制度，细化各项操作流程、规范、表单；

6、补*升级服务:补*修复漏洞，安全配置增强等技术手段进行安全加固和优化，提高系统的安全性和抗攻击能力。另需要其他第三方支持的（如需应用开发方修复或是设备原厂响应的）。

7、咨询服务:

（1）安全建设咨询规划

以前期资产梳理、安全评估、网络拓扑、数据流向等工作成果作为现实依据，结合采购人的实际需求，参考国内外安全标准和国内新技术研究（如等保2.0、关键信息基础设施保护条例、商用密码体系、云计算、大数据、物联网、移动安全）对采购人网络安全建设提供咨询服务，包括网络安全结构设计、系统安全设计、年度建设规划和其他网络安全方案设计；提供网络安全远景规划设计，为未来网络信息安全工作开展提供有力指导与支撑。
（2）日常安全问题咨询
依据实际需求，参考国内外安全标准，提供日常安全问题咨询服务，主要包括大的安全决策、安全事件处理等。 针对各类网络安全事件，提供完整全面的处理方案，方案具有可操作性、能够指导采购人进行事件处理和应对。
（3）网络安全等级保护咨询
深化网络安全等级保护工作，基于对网络安全的深刻理解，在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系，对等级保护各个阶段的工作重点为客户提供全方位的支持和服务，协助完成定级备案、差距分析、安全整改或安全建议和协助厂家等保测评工作。

8、安全加固服务: (略) (略) 系统涉及的应用服务操作系统加固、应用服务加固、程序代码加固服务，能抵御对操作系统的直接攻击，能在发生攻击时限制影响范围。

以上增值服务未能履约、及时响应的， (略) (略) 造成严重负面影响的将列入黑名单，不得再参与启东水司的任何采购项目，并且有权全额扣除履约保证金，全额不予退还，同时采购单位亦有权终止合同，成交供应商还须承担相应的法律赔偿责任。

三、测评时间要求：按照被测单位要求，合同签订完毕一周内启动测评工作。

四、测评期限要求：签订合同后30日内完成网络安全等级保护测评及出具盖章报告，并完成备案。

五、服务地点：采购人指定地点。

六、约定事项：

1、市场询价表、营业执照、网页截图等相关材料于**日17:30前，送或寄（以邮戳为准） (略) (略) （ (略) 公园中路802号）。联系人：高明君，联系电话：0513-*。

2、报价说明：本项目为固定单价合同。供应商报价应包括完成本项目全部服务所发生的费用，以及为完成本项目工作所必须的劳务费、编制费、差旅费、资料和数据收集与分析、利润、税金、保险、公安备案等所有相关费用。供应商报价时应充分考虑国家政策性调整等风险因素，在合同实施期间，合同价不随国家政策或法规、 (略) 场因素的变化而进行调整。

3、报价单位须提供：

①合法有效的营业执照复印件加盖公章；

②未被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单，提供网页截图加盖公章；

③需具有有效期内的《网络安全等级测评与检测评估机构服务认证证书》。

4、拟定支付方式及期限：采购人在收到测评报告后一个月内一次性付清。成交供应商应在付款前提供正式发票。

5、其他：（1）请报价单位认真核算、如实报价，如发现虚假报价的，记入黑名单；（2）本次 (略) 场调研；（3）本次调研询价不接收质疑函，只接收对本项目的建议。

(略) (略)

**日

附件1： (略) (略) 2024年度收费系统、集抄平台的三级等 (略) 场询价表

报价单位（盖章）： 联系人： 联系电话： 报价日期：

附件2：合法有效的营业执照复印件加盖公章

附件3：未被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单，提供网页截图加盖公章

附件4：需具有有效期内的《网络安全等级测评与检测评估机构服务认证证书》。

启东市自来水厂有限公司2024年度收费系统、集抄平台的三级等保测评项目市场询价公告.doc