(略) 杭州分行

产业基金个性化系统信息安全等保测评项目

供应商召集公告

根据业务发展需要，按照 (略) 采购相关管理办法，我行拟对《 产业基金个性化系统信息安全等保测评 项目》面向浙江省范围内公开征集供应商，诚邀符合条件的供应商参与方案洽谈。

一、资质要求

㈠供应商：

1.供应商必须具备公安 (略) 络安全等级测评与检测服务认证资质。

2.业绩要求：2022年3月1日以来（时间以合同签订时间为准），供应商承接过至少2个等保业绩。

3.本次招标不接受联合体投标申请。

4.注册地须在浙江省 (略) 设立分公司，至召集报名截止日前，供应商注册时间不少于2年。

5.供应商需在 (略) 进行开户，涉及采购款项需通过宁波银行账户划转。

㈡其他：

5. 项目标准：

安全等保测评应依据但不限于以下国家信息安全标准：

《浙江省信息安全等级保护管理办法》（省政府223号令）

GB/T (略)-2019：《信息安全技术 信息系统安全等级保护基本要求》

GB/T (略)-2020《信息安全技术 网络安全等级保护定级指南》

GB/T (略)-2010：《信息安全技术 信息系统安全等级保护实施指南》

GB/T (略)-2019：《信息安全技术 信息系统安全等级保护测评要求》

GB/T (略)-2018：《信息安全技术 信息系统安全等级保护测评过程指南》

6. 技术要求

6.1定级要求

实施方应依据《信息系统安全等级保护定级指南》要求协助采购单位完成测评的信息系统定级备案工作，并编制信息系统《等级保护定级报告》和《备案表》等相关内容。

评级分须满足2级等保通过要求。

6.2测评内容

根据采购单位信息系统的安全保护等级，并依据《GB/T (略)-2019 信息安全技术信息系统安全等级保护基本要求》、GB/T (略)-2019：《信息安全技术 信息系统安全等级保护测评要求》的条款要满足以下规范：安全技术测评：安全物理环境、 (略) 络、 (略) 域边界、安全计算环境和安全管理中心等五个方面的安全测评；安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

6.3测评原则

本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

6.3.1标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

6.3.2规范性原则：实施方的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

6.3.3可控性原则：测评服务的进度要跟上进度表的安排，保证采购方对于测评工作的可控性。

6.3.4整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

6.3.5最小影响原则：测评工作应尽可能小的影 (略) 络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

实施方应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

6.4测评要求

6.4.1实施方应在对采购方系统详细了解的基础上，编制针对性的等级保护测评整体实施方案，包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

6.4.2实施方应详细描述测评人员的组成、资质及各自职责的划分。配置有经验的测评人员进行本次等级保护测评工作。

6.4.3本次等级保护测评实施过程中所使用到的各种工具软件由实施方推荐，经采购方确认后由实施方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、 (略) 的要求以及使用可能对系统造成的风险等。

6.4.4对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，包括但不 (略) 络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。

6.4.5实施方应详细描述需要的运行环境的具体要求。

6.4.6项目完成后必须提交完整的技术文档、测评报告、整改建议等。

6.5项目实施要求

6.5.1实施方应保证投标项目在采购方条件成熟时应立即开展实施；

6.5.2实施方在项目实施过程中应服从采购方的统一领导和协调，采购方有权裁决实施方的责任范围，实施方必须执行，在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容，采购方有权中止项目、索赔或拒付款项；

6.5.3实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件；

6.5.4实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成；

6.5.5实施方需为浙江省内服务单位， (略) 络安全等级测评与检测评估机构服务认证证书。

6.5.6本次项目实施骨干人员至少持有《信息安全等级测评师》证书（提供证书复印件），测评人员需要具备扎实的专业知识， (略) 络安全基础知识、操作系统安全知识等，并熟悉等保相关标准和规范，确保项目的顺利实施。

6.6项目验收

实施方应在测评工作结束后，协助委托方完成系统的备案工作。服务完成后经用户验收合格支付合同金额。

本项目输出包括但不限于以下成果：

1) 《网络安全等级保护测评报告》

2) 《网络安全整改建议书》

3) 《信息系统安全等级保护备案证明》

6.7保密要求

实施方应对项目实施过程中获取的信息系统重要数据采取严格的保密措施，防止数据泄露。

(略) 杭州分行

产业基金个性化系统信息安全等保测评项目

供应商召集公告

根据业务发展需要，按照 (略) 采购相关管理办法，我行拟对《 产业基金个性化系统信息安全等保测评 项目》面向浙江省范围内公开征集供应商，诚邀符合条件的供应商参与方案洽谈。

一、资质要求

㈠供应商：

1.供应商必须具备公安 (略) 络安全等级测评与检测服务认证资质。

2.业绩要求：2022年3月1日以来（时间以合同签订时间为准），供应商承接过至少2个等保业绩。

3.本次招标不接受联合体投标申请。

4.注册地须在浙江省 (略) 设立分公司，至召集报名截止日前，供应商注册时间不少于2年。

5.供应商需在 (略) 进行开户，涉及采购款项需通过宁波银行账户划转。

㈡其他：

5. 项目标准：

安全等保测评应依据但不限于以下国家信息安全标准：

《浙江省信息安全等级保护管理办法》（省政府223号令）

GB/T (略)-2019：《信息安全技术 信息系统安全等级保护基本要求》

GB/T (略)-2020《信息安全技术 网络安全等级保护定级指南》

GB/T (略)-2010：《信息安全技术 信息系统安全等级保护实施指南》

GB/T (略)-2019：《信息安全技术 信息系统安全等级保护测评要求》

GB/T (略)-2018：《信息安全技术 信息系统安全等级保护测评过程指南》

6. 技术要求

6.1定级要求

实施方应依据《信息系统安全等级保护定级指南》要求协助采购单位完成测评的信息系统定级备案工作，并编制信息系统《等级保护定级报告》和《备案表》等相关内容。

评级分须满足2级等保通过要求。

6.2测评内容

根据采购单位信息系统的安全保护等级，并依据《GB/T (略)-2019 信息安全技术信息系统安全等级保护基本要求》、GB/T (略)-2019：《信息安全技术 信息系统安全等级保护测评要求》的条款要满足以下规范：安全技术测评：安全物理环境、 (略) 络、 (略) 域边界、安全计算环境和安全管理中心等五个方面的安全测评；安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

6.3测评原则

本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

6.3.1标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

6.3.2规范性原则：实施方的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

6.3.3可控性原则：测评服务的进度要跟上进度表的安排，保证采购方对于测评工作的可控性。

6.3.4整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

6.3.5最小影响原则：测评工作应尽可能小的影 (略) 络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

实施方应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

6.4测评要求

6.4.1实施方应在对采购方系统详细了解的基础上，编制针对性的等级保护测评整体实施方案，包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

6.4.2实施方应详细描述测评人员的组成、资质及各自职责的划分。配置有经验的测评人员进行本次等级保护测评工作。

6.4.3本次等级保护测评实施过程中所使用到的各种工具软件由实施方推荐，经采购方确认后由实施方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、 (略) 的要求以及使用可能对系统造成的风险等。

6.4.4对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，包括但不 (略) 络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。

6.4.5实施方应详细描述需要的运行环境的具体要求。

6.4.6项目完成后必须提交完整的技术文档、测评报告、整改建议等。

6.5项目实施要求

6.5.1实施方应保证投标项目在采购方条件成熟时应立即开展实施；

6.5.2实施方在项目实施过程中应服从采购方的统一领导和协调，采购方有权裁决实施方的责任范围，实施方必须执行，在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容，采购方有权中止项目、索赔或拒付款项；

6.5.3实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件；

6.5.4实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成；

6.5.5实施方需为浙江省内服务单位， (略) 络安全等级测评与检测评估机构服务认证证书。

6.5.6本次项目实施骨干人员至少持有《信息安全等级测评师》证书（提供证书复印件），测评人员需要具备扎实的专业知识， (略) 络安全基础知识、操作系统安全知识等，并熟悉等保相关标准和规范，确保项目的顺利实施。

6.6项目验收

实施方应在测评工作结束后，协助委托方完成系统的备案工作。服务完成后经用户验收合格支付合同金额。

本项目输出包括但不限于以下成果：

1) 《网络安全等级保护测评报告》

2) 《网络安全整改建议书》

3) 《信息系统安全等级保护备案证明》

6.7保密要求

实施方应对项目实施过程中获取的信息系统重要数据采取严格的保密措施，防止数据泄露。