中国 (略)  (略)  (略) 络安全等级保护测评服务项目拟以询价方式进行采购。
一、项目基本情况
1、采购人：中国 (略)  (略) 
2、项目名称： (略) 络安全等级保护测评服务项目 
3、项目地点：湖北武汉
4、采购预估金额：#元
二、本次采购具体情况
1、项目需求：（1）定级备案服务：根据中国 (略)  (略) 的智慧餐饮系统（二级）、智慧物业系统（二级）、智慧康养系统（二级）、物资供应链系统（二级）等保测评项目情况，组织编写定级备案材料，协助用 (略) 监部门备案。（2）等级测评：根据等级保护相关技术标准对信息系统进行等级测评，出具初步的等级测评报告。（3）安全整改咨询：协助指导建设方进行安全整改，协助用户完善安全管理体系，使达到相应等级保护要求。（4）二次测评：初步整改完成后对信息进行二次测评，出具正式的测评报告，协助 (略) 监部门出具的信息系统《等级保护备案证明》。
2、工作内容：
2.1定级备案服务
协助中国 (略)  (略) 需要进行测评的信息系统进行定级、备案材料的编写，协助采购方到公安监管等部门办理备案手续，确保信息系统安全保护等级定级准确、备案完整。
2.2信息系统安全等级保护测评服务
根据国家相关标准（详见采购文件），对中国 (略)  (略) 需要进行测评的信息系统进行等级测评，出具 (略) 络安全等级保护格式要求的等级测评报告。测评范围为项目目标所涉及的机房基础设施、网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。
测评内容应包括但不限于以下内容：
（1）安全技术测评：包括安全物理环境、 (略) 络、 (略) 域边界、安全计算环境和安全管理中心等五个方面的安全测评；
（2）安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评； 
（3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 
2.3安全整改建设方案编制
安全整改建设方案应严格依据《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全保护实施指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求制定《中国 (略)  (略) 信息系统安全整改建设方案》，并在后续提供安全整改咨询服务，协助客户完善信息系统的安全防护措施，使系统达到等级保护相应级别的相关要求。
2.4二次测评
采购方完成信息系统安全整改后，对整改后的信息系统进行复测，出具正式的测评报告，送公安部门办理备案手续。
2.5标准和规范
详见采购文件。
2.6测评实施原则
在项目实施过程中必须满足以下原则：
保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标方的行为。
标准性原则：测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
规范性原则：供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。
可控性原则：项目安排工作进度要跟上进度表的安排，保证工作的可控性。
最小影响原则：测评工作应尽可能小的影 (略) 络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。
2.7整体要求
（1）供应商应详细描述本次信息系统安全等级保护测评的整体实施方案，包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
（2）供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
（3）供应商必须具备丰富的等级测评项目经验，参与项目的测评人员不少于3人，提供本项目的高级测评师或NSATP- (略) 络安全渗透评估专业人员证书。
（4）供应商应持有中国信息安全测评中心颁发的信息安全服务资质证书（安全工程类一级）或质量管理体系认证证书。
（5）本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件（包括测试工具和报告编写工具）应符合国家相关要求，报告编写工具应取得中关村测评联盟授权，经招标人确认后由供应商提供并在信息系统等级保护测评中使用。
（6）信息系统安全等级保护测评需要的运行环境（如场地、网络环境等）由招标人提供，供应商应详细描述需要的运行环境的具体要求。
2.8专用工具要求
本项目涉及工程实施和验收测试所需的工具，由供应商负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前，应对工具进行测评，如果需要则对工具进行软件或代码升级。
2.9安全管理要求
为做好全过程的安全保密工作，在等级保护测评前、中、后三个阶段都要做好安全保密工作。
（1）等级保护测评前
1）对等级保护测评人员要进行安全保密教育，制定安全保密措施；
2）签订安全保密协议。
（2）等级保护测评中
1）对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理；
2）等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序；
3）对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围；
4）对测评设备、介质进行严格的保密管理；
5）工作过程中对人员要实施封闭式集中管理；
6）对进场人员遵守被测单位的相关管理规定。
（3）等级保护测评后
1）认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏；
2）现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何代码或可执行程序；
3）在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
2.10售后服务
项目验收后免费提供一年的安全服务， (略) 站安全防护、漏洞修复、网络优化、配置加固、安全建设方案编写、安全管理制度完善、安全培训等安全咨询服务。
3、测评风险规避要求
项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文档和数据进行安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行控制。
安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法：
1）操作的申请和监护
在实施过程中必须遵守的相关操作章程，以防止敏感信息泄漏和确 (略) 理意外事件。
2）操作时间控制
对测评直接影响系统工作时，尽可能避开敏感时期。
3）人员与数据管理
必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。
4）制定应急预案
根据测评范围界定的系统情况，在实施前制定应急预案。
5）关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和简单测试的方式进行。
6）优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。
7）数据备份与恢复
对业务系统和数据库主机，应对其上数据进行备份，防止测评过程中对设备与主机的损伤影响业务系统的正常运行。
8）厂商协作
厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息，在测评之前，由三方共同分析测评对业务可能造成的风险，分析可能存在的问题。在测评过程中尽量规避这些风险。
4、服务期限：供应商须在合同签订后，22个工作日内完成等保测评工作（不包含整改时间）出具公安机关认可的《网络安全等级保护测评报告》。
三、供应商资格要求
（一）基本资格要求
1、供应商应具备《政府采购法》第二十二条规定的条件。
2、供应商必须是在中华人民共和国境内注册并取得营业执照的具有独立法人的合法企业。
（二）专业资格要求
1、供应商必须持有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》（需在投标文件中附盖章版复印件）。
2、本项目不允许联合体应答。
3、供应商须具有本地化服务能力， (略) 需提供本地化分支机构证明材料和本地化常驻人员近一年的社保证明。
四、采购文件的获取：
1、拟获取文件时间：2024年11月22日下午15：30－2024年11月25日下午15：30（如有变动，将通过邮件方式通知）
2、采购文件获取地址：将通过邮件发送。
3、报名地点：中国 (略)  (略) （网上报名）。
4、逾期送达或未送达指定地点的应答文件将不予受理。
五、应答无效事宜
1、未能通过资格后审的应答文件将视同无效应答，不再进入实际性评审。
2、无论是否通过资格后审，提交的应答文件均不予退还，应答发生的费用自负。
六、联系方式
采购人：中国 (略)  (略) 
地 址： (略)  (略)  (略) 162号葛洲坝国际中心
邮政编码：#
采购联系人：吴文璐 
电 话：#
E-mail：#qq.com
技术联系人：熊锴
电 话：#
E-mail：*@*q.com
中国 (略)  (略) 
2024年11月7日

中国 (略)  (略)  (略) 络安全等级保护测评服务项目拟以询价方式进行采购。
一、项目基本情况
1、采购人：中国 (略)  (略) 
2、项目名称： (略) 络安全等级保护测评服务项目 
3、项目地点：湖北武汉
4、采购预估金额：#元
二、本次采购具体情况
1、项目需求：（1）定级备案服务：根据中国 (略)  (略) 的智慧餐饮系统（二级）、智慧物业系统（二级）、智慧康养系统（二级）、物资供应链系统（二级）等保测评项目情况，组织编写定级备案材料，协助用 (略) 监部门备案。（2）等级测评：根据等级保护相关技术标准对信息系统进行等级测评，出具初步的等级测评报告。（3）安全整改咨询：协助指导建设方进行安全整改，协助用户完善安全管理体系，使达到相应等级保护要求。（4）二次测评：初步整改完成后对信息进行二次测评，出具正式的测评报告，协助 (略) 监部门出具的信息系统《等级保护备案证明》。
2、工作内容：
2.1定级备案服务
协助中国 (略)  (略) 需要进行测评的信息系统进行定级、备案材料的编写，协助采购方到公安监管等部门办理备案手续，确保信息系统安全保护等级定级准确、备案完整。
2.2信息系统安全等级保护测评服务
根据国家相关标准（详见采购文件），对中国 (略)  (略) 需要进行测评的信息系统进行等级测评，出具 (略) 络安全等级保护格式要求的等级测评报告。测评范围为项目目标所涉及的机房基础设施、网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。
测评内容应包括但不限于以下内容：
（1）安全技术测评：包括安全物理环境、 (略) 络、 (略) 域边界、安全计算环境和安全管理中心等五个方面的安全测评；
（2）安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评； 
（3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 
2.3安全整改建设方案编制
安全整改建设方案应严格依据《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全保护实施指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求制定《中国 (略)  (略) 信息系统安全整改建设方案》，并在后续提供安全整改咨询服务，协助客户完善信息系统的安全防护措施，使系统达到等级保护相应级别的相关要求。
2.4二次测评
采购方完成信息系统安全整改后，对整改后的信息系统进行复测，出具正式的测评报告，送公安部门办理备案手续。
2.5标准和规范
详见采购文件。
2.6测评实施原则
在项目实施过程中必须满足以下原则：
保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标方的行为。
标准性原则：测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
规范性原则：供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。
可控性原则：项目安排工作进度要跟上进度表的安排，保证工作的可控性。
最小影响原则：测评工作应尽可能小的影 (略) 络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。
2.7整体要求
（1）供应商应详细描述本次信息系统安全等级保护测评的整体实施方案，包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
（2）供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
（3）供应商必须具备丰富的等级测评项目经验，参与项目的测评人员不少于3人，提供本项目的高级测评师或NSATP- (略) 络安全渗透评估专业人员证书。
（4）供应商应持有中国信息安全测评中心颁发的信息安全服务资质证书（安全工程类一级）或质量管理体系认证证书。
（5）本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件（包括测试工具和报告编写工具）应符合国家相关要求，报告编写工具应取得中关村测评联盟授权，经招标人确认后由供应商提供并在信息系统等级保护测评中使用。
（6）信息系统安全等级保护测评需要的运行环境（如场地、网络环境等）由招标人提供，供应商应详细描述需要的运行环境的具体要求。
2.8专用工具要求
本项目涉及工程实施和验收测试所需的工具，由供应商负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前，应对工具进行测评，如果需要则对工具进行软件或代码升级。
2.9安全管理要求
为做好全过程的安全保密工作，在等级保护测评前、中、后三个阶段都要做好安全保密工作。
（1）等级保护测评前
1）对等级保护测评人员要进行安全保密教育，制定安全保密措施；
2）签订安全保密协议。
（2）等级保护测评中
1）对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理；
2）等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序；
3）对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围；
4）对测评设备、介质进行严格的保密管理；
5）工作过程中对人员要实施封闭式集中管理；
6）对进场人员遵守被测单位的相关管理规定。
（3）等级保护测评后
1）认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏；
2）现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何代码或可执行程序；
3）在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
2.10售后服务
项目验收后免费提供一年的安全服务， (略) 站安全防护、漏洞修复、网络优化、配置加固、安全建设方案编写、安全管理制度完善、安全培训等安全咨询服务。
3、测评风险规避要求
项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文档和数据进行安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行控制。
安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法：
1）操作的申请和监护
在实施过程中必须遵守的相关操作章程，以防止敏感信息泄漏和确 (略) 理意外事件。
2）操作时间控制
对测评直接影响系统工作时，尽可能避开敏感时期。
3）人员与数据管理
必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。
4）制定应急预案
根据测评范围界定的系统情况，在实施前制定应急预案。
5）关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和简单测试的方式进行。
6）优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。
7）数据备份与恢复
对业务系统和数据库主机，应对其上数据进行备份，防止测评过程中对设备与主机的损伤影响业务系统的正常运行。
8）厂商协作
厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息，在测评之前，由三方共同分析测评对业务可能造成的风险，分析可能存在的问题。在测评过程中尽量规避这些风险。
4、服务期限：供应商须在合同签订后，22个工作日内完成等保测评工作（不包含整改时间）出具公安机关认可的《网络安全等级保护测评报告》。
三、供应商资格要求
（一）基本资格要求
1、供应商应具备《政府采购法》第二十二条规定的条件。
2、供应商必须是在中华人民共和国境内注册并取得营业执照的具有独立法人的合法企业。
（二）专业资格要求
1、供应商必须持有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》（需在投标文件中附盖章版复印件）。
2、本项目不允许联合体应答。
3、供应商须具有本地化服务能力， (略) 需提供本地化分支机构证明材料和本地化常驻人员近一年的社保证明。
四、采购文件的获取：
1、拟获取文件时间：2024年11月22日下午15：30－2024年11月25日下午15：30（如有变动，将通过邮件方式通知）
2、采购文件获取地址：将通过邮件发送。
3、报名地点：中国 (略)  (略) （网上报名）。
4、逾期送达或未送达指定地点的应答文件将不予受理。
五、应答无效事宜
1、未能通过资格后审的应答文件将视同无效应答，不再进入实际性评审。
2、无论是否通过资格后审，提交的应答文件均不予退还，应答发生的费用自负。
六、联系方式
采购人：中国 (略)  (略) 
地 址： (略)  (略)  (略) 162号葛洲坝国际中心
邮政编码：#
采购联系人：吴文璐 
电 话：#
E-mail：#qq.com
技术联系人：熊锴
电 话：#
E-mail：*@*q.com
中国 (略)  (略) 
2024年11月7日