一、概况

　　（一）项目名称：河北省总 (略) 等保测评

　　（二）项目内容

　　为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》《网络安全法》《等级保护2.0》等文件精神，进一步提高河北省总 (略) 络与信息系统安全保护能力和水平，依照国家等级保护定级、备案、整改、测评、检查等流程开展工作，选择经验丰富、信誉可靠的信息安全等级保护测评单位对“河北省总 (略) ”（含小程序）进行等级保护咨询和测评工作，及时对发现的安全问题进行整改，保证信息系统的安全，提高运维服务水平，确保信息系统安全稳定运行，进一步提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

　　（三）合同的签订

　　河北省总工会机关服务中心与中选单位签订《河北省总 (略) 等保测评合同》。

　　二、参加单位资质要求

　　具有独立法人资格，经工商行政管理部门注册登记，未被“信用中国”网站（http://**.cn)列入失信被执行人名单，具有等保测评资质和能力， (略) 区有固定办公场所的单位。

　　三、等保测评方案、报价和结算方式

　　（一）等保测评方案

　　现状调研服务

　　此工作是开展等级保护合规咨询服务的基础性工作，通过此项工作的开展，为后续等保工作提供基础数据支撑。

　　明确信息系统的配置、部署情况、业务运行模式、网络拓扑结构、技术基础结构、系统环境（周边控制、安全措施）等信息。通过调查和现场访谈，对信息系统的相关信息（包括主机、数据库、网络设备、系统软件、中间件、安全设备等）进行调查，将所有与信息系统有关的信息资产核查清楚。

　　（1）定级备案服务

　　定级备案作为等保工作的重要环节，只有定级工作准确才能保障后期等级保护工作的正确性，在本次项目中需要把定级、备案工作放在整个工作的首位，重点对*方信息系统进行业务梳理整合、定级对象确认、合理的定级。

　　本次项目定级备案工作主要是梳理信息系统的现状，分析*方信息系统的业务流程相关性，梳理信息系统的安全等级。

　　信息系统定级工作需依据《网络安全等级保护定级指南》对*方信息系统现状进行调研，参照业务信息安全级别和系统服务安全级别，判定信息系统所属级别，编制等级保护定级备案表和信息系统定级报告，组织专家评审，最后协助*方到指定部门完成定级备案过程，最终取得备案证明材料。

　　（2）初次测评

　　检查被测系统现状，参照《信息 (略) 络安全等级保护基本要求》（GB/T*—2019）从安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面进行差距分析，依据《信息 (略) 络安全等级保护安全设计技术要求》（GB/T*—2019），对系统进行初次安全评估。

　　通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。

　　初次测评内容如下：

　　安全物理环境：对被测系统的机房的物理环境安全防护情况进行测评，包括机房物理位置选择、物理访问控制、防盗窃和破防、防雷击、防火、防水和防潮、防静电应、温湿度控制、电力供应、电磁防护等方面的安全状况。

　　 (略) 络：对被测系 (略) 络安全防护情况进行测评， (略) 络架构、通信传输、可信验证等内容。

　　 (略) 域边界：对被测 (略) 域边界的安全防护情况进行测评，包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。

　　安全计算环境：对被测系统的计算环境的安全防护情况进行测评，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。

　　安全管理中心：对被测系统的管理中心安全保护情况进行测评，包括系统管理、审计管理、安全管理、集中管控等内容。

　　安全管理制度：对被测系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。

　　安全管理机构：对被测系统的岗位设置、授权和审批、沟通和合作、审核和检查等情况进行测评。

　　安全管理人员：对被测系统相关内部人员的人员录用、人员离岗、安全意识教育和培训，以及外部人员访问管理等情况进行测评。

　　安全建设管理：对被测系统建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自主软件开发、工程实施、测试验收、系统交付、等级保护测评、中选人选择等情况进行测评。

　　安全运维管理：对被测系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险、网络和系统安全管理、配置管理、恶意代码防范管理、密码管理、变更管理、安 (略) 置、应急预算管理等、外包运维管理情况进行测评。

　　（3）信息系统等保整改方案及建议

　　协助招标方按照《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等有关管理规范和技术标准，制定安全管理制度、落实安全责任，建设安全技术设施，落实安全技术措施。

　　*方应依据等级保护基本要求的相关条款，对信息系统的安全物理环境、 (略) 络、安全通信边界、安全计算环境、安全管理中心、安全管理制度、安全管理组织、安全管理人员、安全建设管理、安全运维管理十个层面进行差距分析，并结合漏洞扫描和渗透测试结果，分析存在的安全隐患，编制系统等级保护差距分析报告，并给出安全整改建议，指导系统安全整改工作。

　　（4）二次测评

　　 (略) 络安全等级测评完整实施阶段，通过对整改后的系统进一步分析和梳理，并按照《等级测评报告模板 最新版》编写等级测评报告。

　　（5）报告编制

　　通过对现场测评获得的测评证据和资料，判定单项测评结果及单元测评结果，然后进行整体测评和风险分析，形成等级测评结论，按照《网络安全等级测评报告（最新版）》编写等级测评报告。

　　（6）测评应满足的原则

　　本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

　　①保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究应答人的责任。

　　②规范性原则：应答人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

　　③可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性。

　　④整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

　　⑤最小影响原则：测评工作应尽可能小的影 (略) 络，并在可控范围内：测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响，保证现有系统24小时的不间断、稳定、安全运行。

　　⑥非高峰期原则：漏洞扫描及渗透测试时间，应尽量安排在夜间或法定节假日期间，制定切实可行的测试实施细则；对意外导致的宕机等，应提供技术保障方案，应提供技术保障方案，切实保证关键系统能正常工作。

　　投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。

　　（7）测评对象

　　本系统测评的测评范围及对象包括以下几类：

　　①机房（包括其环境、设备和设施等）；

　　②整 (略) 络拓扑结构；

　　③安全设备，包括防火墙、入侵检测设备 (略) 关等；

　　 (略) 络设备（可能会包括安全设备）， (略) 由器、防护墙、 (略) 关和边界接入设备（如楼层交换机）等；

　　⑤对整个信息 (略) 部的安全性 (略) 络互联设备，如核心交换机、汇聚层交换机、路由器等；

　　⑥存储被测系统重要数据的介质的存放环境；

　　⑦承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

　　⑧管理终端和主要业务应用系统终端；

　　⑨业务备份系统；

　　⑩管理方面：信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；

　　⑾产品方面：信息系统使用、运行的第三方软件产品；

　　⑿涉及到信息系统安全的所有管理制度设计和记录要求。

　　（8）验收方法

　　在项目验收时采购人必须已经取得测评报告，验收及相关费用由投标人负责。根据招标文件要求，中标人在经招标人认同的实施方案规定下，完成除售后服务外所有项目内容，且所有项目交付成果经招标人认可同意并全部交付后，才能达到项目主体验收要求。在合同有效期内容，项目中任何一方利用对方提供的技术资料、工作条件和技术服务，工作成果完成的新的技术成果，归招标人所有。项目最终交付物由用户与中标人协商最终确定，验收工作由用户负责组织内部或外部评审，中标人配合。如果在验收时发现缺乏相应的验收标准，将以对用户有利的标准实施验收。由于交付成果质量不能经过投标人认同，或由于中标人原因造成的交付延期，招标人有权要求中标人缴纳逾期罚款。若验收不通过，中标人应对验收过程发现的问题进行整改；并复查是否存在类似问题或相关问题，并进行相应的改进。本项目的目标是输出等级保护测评报告，协助招标人完成整改工作。投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。投标人应提交验收方案，供招标人参考。招标人将依据本项目的要求，组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。

　　（9）售后服务

　　服务期限自完成规定的工作内容并通过验收之日起一年。包括但不限于提供信息系统，建设咨询服务，涵盖系统基础设计、系统建设方案、运维管理等相关的建设及安全问题，提供信息安全检查咨询和整改建议等技术支持服务，7×24小时电话远程应急响应。服务期内提供专业咨询顾问服务，包括管理体系执行问题的咨询，运维操作方法的咨询，安全策略、规范以及相关管理、运维和技术体系需要调整时的咨询，技术体系建设过程中的咨询等。并包括系统诊断、故障恢复等。指定专门有丰富经验的技术人员负责系统的技术支持。根据招标人实际需要，中标人应随时提供现场咨询服务。售后服务人员原则上要求为体系设计的参与人员，如因客观原因无法满足要求，需要资质水平及经验不低于原参与人员的工程师替代。

　　（二）报价

　　参加单位所报价格为河北省总 (略) 等保测评的总价格。

　　（三）结算方式

　　完成河北省总 (略) 等保测评后经验收合格支付总费用的90%，一年后无任何问题支付剩余10%（质保金）。

　　四、需递交的文件及递交方式

　　（一）需递交的文件

　　1.单位营业执照复印件（加盖单位公章）；

　　2.法定代表人身份证明书（格式见附件1）；

　　3.法人授权委托书（法定代表人本人参与不提供，格式见附件2）；

　　4.等保测评资质（加盖单位公章）；

　　5.等保测评方案（加盖单位公章）；

　　6.报价单（项目最高限价：*元，超过最高限价 (略) 理，加盖单位公章）；

　　7.服务承诺（售后服务、质保期等，加盖单位公章）；

　　8.近三年（2021年11月—2024年11月）同类业绩（提供合同复印件并加盖单位公章）；

　　9.参加单位基本情况（格式见附件3，加盖单位公章）；

　　10.未被“信用中国”网站（http://**.cn）列入失信被执行人名单证明材料（加盖单位公章）。

　　（二）文件递交方式

　　请将所要递交的文件（一式六份：一份正本，五份副本）密封、装订成册并于2024年12月23日上午9:30前（当天） (略) (略) 红旗大街309号河北省总工会机关（如有变化另行通知），所递交的文件不再退还。

　　五、其它

　　（一）报名时间：2024年12月18日—22日 9:00—11:00，15:00—17:00；

　　（二）联系人：梁 亮；

　　（三）联系电话：0311—*、*（只接受电话报名）。

河北省总工会机关服务中心

2024年12月18日

　　一、概况

　　（一）项目名称：河北省总 (略) 等保测评

　　（二）项目内容

　　为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》《网络安全法》《等级保护2.0》等文件精神，进一步提高河北省总 (略) 络与信息系统安全保护能力和水平，依照国家等级保护定级、备案、整改、测评、检查等流程开展工作，选择经验丰富、信誉可靠的信息安全等级保护测评单位对“河北省总 (略) ”（含小程序）进行等级保护咨询和测评工作，及时对发现的安全问题进行整改，保证信息系统的安全，提高运维服务水平，确保信息系统安全稳定运行，进一步提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

　　（三）合同的签订

　　河北省总工会机关服务中心与中选单位签订《河北省总 (略) 等保测评合同》。

　　二、参加单位资质要求

　　具有独立法人资格，经工商行政管理部门注册登记，未被“信用中国”网站（http://**.cn)列入失信被执行人名单，具有等保测评资质和能力， (略) 区有固定办公场所的单位。

　　三、等保测评方案、报价和结算方式

　　（一）等保测评方案

　　现状调研服务

　　此工作是开展等级保护合规咨询服务的基础性工作，通过此项工作的开展，为后续等保工作提供基础数据支撑。

　　明确信息系统的配置、部署情况、业务运行模式、网络拓扑结构、技术基础结构、系统环境（周边控制、安全措施）等信息。通过调查和现场访谈，对信息系统的相关信息（包括主机、数据库、网络设备、系统软件、中间件、安全设备等）进行调查，将所有与信息系统有关的信息资产核查清楚。

　　（1）定级备案服务

　　定级备案作为等保工作的重要环节，只有定级工作准确才能保障后期等级保护工作的正确性，在本次项目中需要把定级、备案工作放在整个工作的首位，重点对*方信息系统进行业务梳理整合、定级对象确认、合理的定级。

　　本次项目定级备案工作主要是梳理信息系统的现状，分析*方信息系统的业务流程相关性，梳理信息系统的安全等级。

　　信息系统定级工作需依据《网络安全等级保护定级指南》对*方信息系统现状进行调研，参照业务信息安全级别和系统服务安全级别，判定信息系统所属级别，编制等级保护定级备案表和信息系统定级报告，组织专家评审，最后协助*方到指定部门完成定级备案过程，最终取得备案证明材料。

　　（2）初次测评

　　检查被测系统现状，参照《信息 (略) 络安全等级保护基本要求》（GB/T*—2019）从安全物理环境、 (略) 络、 (略) 域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面进行差距分析，依据《信息 (略) 络安全等级保护安全设计技术要求》（GB/T*—2019），对系统进行初次安全评估。

　　通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。

　　初次测评内容如下：

　　安全物理环境：对被测系统的机房的物理环境安全防护情况进行测评，包括机房物理位置选择、物理访问控制、防盗窃和破防、防雷击、防火、防水和防潮、防静电应、温湿度控制、电力供应、电磁防护等方面的安全状况。

　　 (略) 络：对被测系 (略) 络安全防护情况进行测评， (略) 络架构、通信传输、可信验证等内容。

　　 (略) 域边界：对被测 (略) 域边界的安全防护情况进行测评，包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。

　　安全计算环境：对被测系统的计算环境的安全防护情况进行测评，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。

　　安全管理中心：对被测系统的管理中心安全保护情况进行测评，包括系统管理、审计管理、安全管理、集中管控等内容。

　　安全管理制度：对被测系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。

　　安全管理机构：对被测系统的岗位设置、授权和审批、沟通和合作、审核和检查等情况进行测评。

　　安全管理人员：对被测系统相关内部人员的人员录用、人员离岗、安全意识教育和培训，以及外部人员访问管理等情况进行测评。

　　安全建设管理：对被测系统建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自主软件开发、工程实施、测试验收、系统交付、等级保护测评、中选人选择等情况进行测评。

　　安全运维管理：对被测系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险、网络和系统安全管理、配置管理、恶意代码防范管理、密码管理、变更管理、安 (略) 置、应急预算管理等、外包运维管理情况进行测评。

　　（3）信息系统等保整改方案及建议

　　协助招标方按照《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等有关管理规范和技术标准，制定安全管理制度、落实安全责任，建设安全技术设施，落实安全技术措施。

　　*方应依据等级保护基本要求的相关条款，对信息系统的安全物理环境、 (略) 络、安全通信边界、安全计算环境、安全管理中心、安全管理制度、安全管理组织、安全管理人员、安全建设管理、安全运维管理十个层面进行差距分析，并结合漏洞扫描和渗透测试结果，分析存在的安全隐患，编制系统等级保护差距分析报告，并给出安全整改建议，指导系统安全整改工作。

　　（4）二次测评

　　 (略) 络安全等级测评完整实施阶段，通过对整改后的系统进一步分析和梳理，并按照《等级测评报告模板 最新版》编写等级测评报告。

　　（5）报告编制

　　通过对现场测评获得的测评证据和资料，判定单项测评结果及单元测评结果，然后进行整体测评和风险分析，形成等级测评结论，按照《网络安全等级测评报告（最新版）》编写等级测评报告。

　　（6）测评应满足的原则

　　本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

　　①保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究应答人的责任。

　　②规范性原则：应答人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

　　③可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性。

　　④整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

　　⑤最小影响原则：测评工作应尽可能小的影 (略) 络，并在可控范围内：测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响，保证现有系统24小时的不间断、稳定、安全运行。

　　⑥非高峰期原则：漏洞扫描及渗透测试时间，应尽量安排在夜间或法定节假日期间，制定切实可行的测试实施细则；对意外导致的宕机等，应提供技术保障方案，应提供技术保障方案，切实保证关键系统能正常工作。

　　投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。

　　（7）测评对象

　　本系统测评的测评范围及对象包括以下几类：

　　①机房（包括其环境、设备和设施等）；

　　②整 (略) 络拓扑结构；

　　③安全设备，包括防火墙、入侵检测设备 (略) 关等；

　　 (略) 络设备（可能会包括安全设备）， (略) 由器、防护墙、 (略) 关和边界接入设备（如楼层交换机）等；

　　⑤对整个信息 (略) 部的安全性 (略) 络互联设备，如核心交换机、汇聚层交换机、路由器等；

　　⑥存储被测系统重要数据的介质的存放环境；

　　⑦承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

　　⑧管理终端和主要业务应用系统终端；

　　⑨业务备份系统；

　　⑩管理方面：信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；

　　⑾产品方面：信息系统使用、运行的第三方软件产品；

　　⑿涉及到信息系统安全的所有管理制度设计和记录要求。

　　（8）验收方法

　　在项目验收时采购人必须已经取得测评报告，验收及相关费用由投标人负责。根据招标文件要求，中标人在经招标人认同的实施方案规定下，完成除售后服务外所有项目内容，且所有项目交付成果经招标人认可同意并全部交付后，才能达到项目主体验收要求。在合同有效期内容，项目中任何一方利用对方提供的技术资料、工作条件和技术服务，工作成果完成的新的技术成果，归招标人所有。项目最终交付物由用户与中标人协商最终确定，验收工作由用户负责组织内部或外部评审，中标人配合。如果在验收时发现缺乏相应的验收标准，将以对用户有利的标准实施验收。由于交付成果质量不能经过投标人认同，或由于中标人原因造成的交付延期，招标人有权要求中标人缴纳逾期罚款。若验收不通过，中标人应对验收过程发现的问题进行整改；并复查是否存在类似问题或相关问题，并进行相应的改进。本项目的目标是输出等级保护测评报告，协助招标人完成整改工作。投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。投标人应提交验收方案，供招标人参考。招标人将依据本项目的要求，组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。

　　（9）售后服务

　　服务期限自完成规定的工作内容并通过验收之日起一年。包括但不限于提供信息系统，建设咨询服务，涵盖系统基础设计、系统建设方案、运维管理等相关的建设及安全问题，提供信息安全检查咨询和整改建议等技术支持服务，7×24小时电话远程应急响应。服务期内提供专业咨询顾问服务，包括管理体系执行问题的咨询，运维操作方法的咨询，安全策略、规范以及相关管理、运维和技术体系需要调整时的咨询，技术体系建设过程中的咨询等。并包括系统诊断、故障恢复等。指定专门有丰富经验的技术人员负责系统的技术支持。根据招标人实际需要，中标人应随时提供现场咨询服务。售后服务人员原则上要求为体系设计的参与人员，如因客观原因无法满足要求，需要资质水平及经验不低于原参与人员的工程师替代。

　　（二）报价

　　参加单位所报价格为河北省总 (略) 等保测评的总价格。

　　（三）结算方式

　　完成河北省总 (略) 等保测评后经验收合格支付总费用的90%，一年后无任何问题支付剩余10%（质保金）。

　　四、需递交的文件及递交方式

　　（一）需递交的文件

　　1.单位营业执照复印件（加盖单位公章）；

　　2.法定代表人身份证明书（格式见附件1）；

　　3.法人授权委托书（法定代表人本人参与不提供，格式见附件2）；

　　4.等保测评资质（加盖单位公章）；

　　5.等保测评方案（加盖单位公章）；

　　6.报价单（项目最高限价：*元，超过最高限价 (略) 理，加盖单位公章）；

　　7.服务承诺（售后服务、质保期等，加盖单位公章）；

　　8.近三年（2021年11月—2024年11月）同类业绩（提供合同复印件并加盖单位公章）；

　　9.参加单位基本情况（格式见附件3，加盖单位公章）；

　　10.未被“信用中国”网站（http://**.cn）列入失信被执行人名单证明材料（加盖单位公章）。

　　（二）文件递交方式

　　请将所要递交的文件（一式六份：一份正本，五份副本）密封、装订成册并于2024年12月23日上午9:30前（当天） (略) (略) 红旗大街309号河北省总工会机关（如有变化另行通知），所递交的文件不再退还。

　　五、其它

　　（一）报名时间：2024年12月18日—22日 9:00—11:00，15:00—17:00；

　　（二）联系人：梁 亮；

　　（三）联系电话：0311—*、*（只接受电话报名）。

河北省总工会机关服务中心

2024年12月18日