济南局青岛工务段关于综合办公信息系统安全等级保护测评采购项目（采购编号：qdgwd2022clk-062）的公告变更如下：

一、服务要求变更如下：

1.技术要求

1.1技术服务的目标：完成对青岛工务段综合办公信息系统（系统定级：二级）等级保护测评工作，并根据相应结果为*方提供整体信息安全规划建议。

1.2技术服务的内容：

等级保护测评服务：对青岛工务段综合办公信息系统的安全性（系统定级：二级）进行测评；依据国家等级保护相关标准要求，对青岛工务段综合办公信息 (略) 络安全等级保护测评，出具《青岛工务段综合办公信息系统安全保护等级测评报告》，最终协助青岛工务段完成相关整改工作。

1.3技术服务的方式： 在*方提供的青岛工务段综合办公信息系统的具体部署环境，采取访谈、问卷、人工核查和工具核查等方式，在约定的时间范围内，在*方的配合和许可下开展技术服务工作。

1.4技术服务的交付成果：提供《青岛工务段综合办公信息系统安全等级保护测评报告》，一式四份，一份交*方，一份交受理备案的公安机关，一份交等保办，一份由*方存档。

1.5等级保护测评服务技术要求

1.5.1网络安全等级保护测评内容包括但不限于以下内容：

安全技术测评：包括安全物理环境、 (略) 络、安全区域边界、安全计算环境等五个方面进行安全测评。安全管理测评：安全管理机构、安全管理制度、人员安全管理、安全建设管理和安全运维管理等五个方面的安全测评。

1.5.1.1安全物理环境

针对等级保护对象物理环境、物理设备和物理设施等，在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行测评，判断出与其相对应的各测评项的测评结果。

1.5.1.2 (略) 络

针对等级保 (略) 络架构和通信传输，在“网络架构”、“通信传输”、“可信验证”等通信安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。1.5.1.3安全区域边界

安全区域边界测评包括对等级 (略) 络边界进行测评，测评内容包括“边界防护”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码和垃圾邮件防范”等方面。

1.5.1.4安全计算环境

A安全计算环境

安全计算环境现场测评包括对边界内的所有对象测评， (略) 络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“剩余信息保护”、“数据完整性”、“数据保密性”、“可信验证”、“数据备份与恢复”和“个人信息保护”等方面。

B 应用安全测试

根据软件质量相关标准及本项目的性能测试内容分析，需进行应用安全测试，主要从以下几个方面测试：应用程序级别安全测试、系统安全漏洞测试、系统风险评估和移动端安全测试，测试标 (略) 络安全等级保护相关需求。

1.5.1.5安全管理中心

安全管理中心针对整个系统提出安全管理方面的技术控制要求，现场测评包括“系统管理”、“审计管理”、“安全管理”和“集中管控”几个方面的测评。

1.5.1.6安全管理制度

根据现场安全测评记录，针对等级保护对象在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.7安全管理机构

根据现场安全测评记录，针对等级保护对象在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.8人员安全管理

根据现场安全测评记录，针对等级保护对象在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.9安全建设管理

根据现场安全测评记录，针对等级保护对象在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商管理”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.10安全运维管理

根据现场安全测评记录，针对等级保护对象在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。对运维管理方面与ITIL体系的融合适应性进行评估。

2差距分析

2.1通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。

2.2待整改完毕后，进行结果确认， (略) 络安全等级保护测评，出具测评报告，并将测评报告报当地公安机关备案。

3项目实施参照标准及依据

公安部、国家保密局、国际密码管理局、 (略) 信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

公安部、国家保密局、国家密码管理局、 (略) 信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43号）。

《信息安全技术 网络安全等级保护基本要求》（GB/T *-2019）

《信息安全技术 网络安全等级保护安全设计技术要求》 （GB/T*-2019）

《信息安全技术 网络安全等级保护测评要求》 （GB/T*-2019）

《信息安全技术 信息系统安全等级保护基本要求》（GB/T *-2008）

《信息安全技术 信息系统安全等级保护定级指南》（GB/T *-2008）

《信息安全技术 信息系统安全等级保护实施指南》（GB/T *-2010）

《信息安全技术 信息系统安全等级保护测评要求》（GB/T *-2012）

《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T *-2012）

《计算机信息系统安全保护等级划分准则》（GB *-1999）

《信息安全技术 信息系统通用安全技术要求》（GB/T *-2006）

《信息安全技术 网络基础安全技术要求》（GB/T *-2006）

《信息安全技术 操作系统安全技术要求》（GB/T *-2006）

《信息安全技术 数据库管理系统安全技术要求》（GB/T *-2006）

《信息安全技术 服务器技术要求》（GB/T *-2007）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）

《信息安全技术 信息系统安全管理要求》（GB/T*-2006）

《信息安全技术 信息系统安全工程管理要求》（GB/T *-2006）

《信息技术 安全技术 信息技术 安全性评估准则》（GB/T *-2001）

《信息系统密码应用基本要求》(GMT 0054-2018)

《信息系统密码测评要求》（试行）

《信息系统密码测评过程指南》（试行）

项目涉及的其它相关国际、国内标准或规范；项目实施过程中，如果相关规范更新，则按新规范要求执行。

4成果交付

项目实施完成后，要求投标人提供包括但不限于交付物如下：《网络安全等级保护测评方案》《网络安全等级保护测评报告》《网络安全整改加固报告》。

5双方约定本合同其他相关事项为：

5.1未经*方事先书面同意，*方不得部分转让或全部转让其应履行的合同义务。

5.2测试过程中存在的风险及应对措施：

5.2.1*方技术支持人员不能及时到位等风险，需要*方提前协调相关技术人员提前到测试现场。

5.2.2因*方修补高风险漏洞不到位，导致系统当前现状无法通过测评，整改及复测时间不可控的风险，需要**双方协调解决，*方出具解决方案，必要时给予书面说明，由*方进行修复。

5.3施工团队：项目经理 (略) 络安全风险管控的能力。所有成员必须全程全职参与本次项目。项目成员不得随意变动，确需变动，必须提前征得采购人同意。

6实施要求

6.1等保测评工作应以不影响系统正常运行为第一要务，坚决避免出现影响系统运行的情况发生。

6.2为确保本项目可以顺利实施，为确保本项目可以顺利实施，更好的 (略) 络安全运维及应急响应，保障国家重要信息系统测评服务质量，参与公司具备信息系统安全运维服务资质，技术检测的人员均为中华人民共和国公民，同时技术人员应具备测评所需的资格能力证书，其中包括CISAW（安全运维方向及风险管理方向）证书、国家重要信息系统保护人员CIIP-A、中国高级公务员培训中心颁发的信息系统审计师，无违法犯罪记录并与招标人签订安全保密协议的优先考虑

6.3投标方与招标方签订信息保密协议，采取必要的控制措施避免用户信息的泄漏。

6.4在项目实施过程中按照国家标准规定的标准和流程进行测评，保证测评结果的有效、可靠。

6.5从信息系统整体性考虑，避免对设备的孤立评估，避免出现偏颇的测评效果。

6.6在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

6.7测评方案：按照国家相关标准进行信息安全等级保护测评和系统性能测试，需从理论、方法、技术、工具等方面描述测评方案和项目实施方案，其中等级保护测评过程至少包含四个基本阶段：测评准备阶段、方案编制阶段、现场测评阶段、分析及报告编制阶段。测评方案方法、技术层次结构清晰，内容充实，测评过程描述正确、详实的。

6.8测评所产生的结果是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。

6.9建设整改方案：提供建设整改方法、技术、工具等详细内容等，协助用户进行问题整改修复。

二、联系方式

采购人： (略) (略) 青岛工务段

联系人：采购联系人：毛先生（0532-*,*）

技术咨询：管先生（0532-*，*）

济南局青岛工务段关于综合办公信息系统安全等级保护测评采购项目（采购编号：qdgwd2022clk-062）的公告变更如下：

一、服务要求变更如下：

1.技术要求

1.1技术服务的目标：完成对青岛工务段综合办公信息系统（系统定级：二级）等级保护测评工作，并根据相应结果为*方提供整体信息安全规划建议。

1.2技术服务的内容：

等级保护测评服务：对青岛工务段综合办公信息系统的安全性（系统定级：二级）进行测评；依据国家等级保护相关标准要求，对青岛工务段综合办公信息 (略) 络安全等级保护测评，出具《青岛工务段综合办公信息系统安全保护等级测评报告》，最终协助青岛工务段完成相关整改工作。

1.3技术服务的方式： 在*方提供的青岛工务段综合办公信息系统的具体部署环境，采取访谈、问卷、人工核查和工具核查等方式，在约定的时间范围内，在*方的配合和许可下开展技术服务工作。

1.4技术服务的交付成果：提供《青岛工务段综合办公信息系统安全等级保护测评报告》，一式四份，一份交*方，一份交受理备案的公安机关，一份交等保办，一份由*方存档。

1.5等级保护测评服务技术要求

1.5.1网络安全等级保护测评内容包括但不限于以下内容：

安全技术测评：包括安全物理环境、 (略) 络、安全区域边界、安全计算环境等五个方面进行安全测评。安全管理测评：安全管理机构、安全管理制度、人员安全管理、安全建设管理和安全运维管理等五个方面的安全测评。

1.5.1.1安全物理环境

针对等级保护对象物理环境、物理设备和物理设施等，在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行测评，判断出与其相对应的各测评项的测评结果。

1.5.1.2 (略) 络

针对等级保 (略) 络架构和通信传输，在“网络架构”、“通信传输”、“可信验证”等通信安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。1.5.1.3安全区域边界

安全区域边界测评包括对等级 (略) 络边界进行测评，测评内容包括“边界防护”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码和垃圾邮件防范”等方面。

1.5.1.4安全计算环境

A安全计算环境

安全计算环境现场测评包括对边界内的所有对象测评， (略) 络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“剩余信息保护”、“数据完整性”、“数据保密性”、“可信验证”、“数据备份与恢复”和“个人信息保护”等方面。

B 应用安全测试

根据软件质量相关标准及本项目的性能测试内容分析，需进行应用安全测试，主要从以下几个方面测试：应用程序级别安全测试、系统安全漏洞测试、系统风险评估和移动端安全测试，测试标 (略) 络安全等级保护相关需求。

1.5.1.5安全管理中心

安全管理中心针对整个系统提出安全管理方面的技术控制要求，现场测评包括“系统管理”、“审计管理”、“安全管理”和“集中管控”几个方面的测评。

1.5.1.6安全管理制度

根据现场安全测评记录，针对等级保护对象在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.7安全管理机构

根据现场安全测评记录，针对等级保护对象在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.8人员安全管理

根据现场安全测评记录，针对等级保护对象在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.9安全建设管理

根据现场安全测评记录，针对等级保护对象在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商管理”等测评指标，判断出与其相对应的各测评项的测评结果。

1.5.1.10安全运维管理

根据现场安全测评记录，针对等级保护对象在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。对运维管理方面与ITIL体系的融合适应性进行评估。

2差距分析

2.1通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。

2.2待整改完毕后，进行结果确认， (略) 络安全等级保护测评，出具测评报告，并将测评报告报当地公安机关备案。

3项目实施参照标准及依据

公安部、国家保密局、国际密码管理局、 (略) 信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；

公安部、国家保密局、国家密码管理局、 (略) 信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43号）。

《信息安全技术 网络安全等级保护基本要求》（GB/T *-2019）

《信息安全技术 网络安全等级保护安全设计技术要求》 （GB/T*-2019）

《信息安全技术 网络安全等级保护测评要求》 （GB/T*-2019）

《信息安全技术 信息系统安全等级保护基本要求》（GB/T *-2008）

《信息安全技术 信息系统安全等级保护定级指南》（GB/T *-2008）

《信息安全技术 信息系统安全等级保护实施指南》（GB/T *-2010）

《信息安全技术 信息系统安全等级保护测评要求》（GB/T *-2012）

《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T *-2012）

《计算机信息系统安全保护等级划分准则》（GB *-1999）

《信息安全技术 信息系统通用安全技术要求》（GB/T *-2006）

《信息安全技术 网络基础安全技术要求》（GB/T *-2006）

《信息安全技术 操作系统安全技术要求》（GB/T *-2006）

《信息安全技术 数据库管理系统安全技术要求》（GB/T *-2006）

《信息安全技术 服务器技术要求》（GB/T *-2007）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）

《信息安全技术 信息系统安全管理要求》（GB/T*-2006）

《信息安全技术 信息系统安全工程管理要求》（GB/T *-2006）

《信息技术 安全技术 信息技术 安全性评估准则》（GB/T *-2001）

《信息系统密码应用基本要求》(GMT 0054-2018)

《信息系统密码测评要求》（试行）

《信息系统密码测评过程指南》（试行）

项目涉及的其它相关国际、国内标准或规范；项目实施过程中，如果相关规范更新，则按新规范要求执行。

4成果交付

项目实施完成后，要求投标人提供包括但不限于交付物如下：《网络安全等级保护测评方案》《网络安全等级保护测评报告》《网络安全整改加固报告》。

5双方约定本合同其他相关事项为：

5.1未经*方事先书面同意，*方不得部分转让或全部转让其应履行的合同义务。

5.2测试过程中存在的风险及应对措施：

5.2.1*方技术支持人员不能及时到位等风险，需要*方提前协调相关技术人员提前到测试现场。

5.2.2因*方修补高风险漏洞不到位，导致系统当前现状无法通过测评，整改及复测时间不可控的风险，需要**双方协调解决，*方出具解决方案，必要时给予书面说明，由*方进行修复。

5.3施工团队：项目经理 (略) 络安全风险管控的能力。所有成员必须全程全职参与本次项目。项目成员不得随意变动，确需变动，必须提前征得采购人同意。

6实施要求

6.1等保测评工作应以不影响系统正常运行为第一要务，坚决避免出现影响系统运行的情况发生。

6.2为确保本项目可以顺利实施，为确保本项目可以顺利实施，更好的 (略) 络安全运维及应急响应，保障国家重要信息系统测评服务质量，参与公司具备信息系统安全运维服务资质，技术检测的人员均为中华人民共和国公民，同时技术人员应具备测评所需的资格能力证书，其中包括CISAW（安全运维方向及风险管理方向）证书、国家重要信息系统保护人员CIIP-A、中国高级公务员培训中心颁发的信息系统审计师，无违法犯罪记录并与招标人签订安全保密协议的优先考虑

6.3投标方与招标方签订信息保密协议，采取必要的控制措施避免用户信息的泄漏。

6.4在项目实施过程中按照国家标准规定的标准和流程进行测评，保证测评结果的有效、可靠。

6.5从信息系统整体性考虑，避免对设备的孤立评估，避免出现偏颇的测评效果。

6.6在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

6.7测评方案：按照国家相关标准进行信息安全等级保护测评和系统性能测试，需从理论、方法、技术、工具等方面描述测评方案和项目实施方案，其中等级保护测评过程至少包含四个基本阶段：测评准备阶段、方案编制阶段、现场测评阶段、分析及报告编制阶段。测评方案方法、技术层次结构清晰，内容充实，测评过程描述正确、详实的。

6.8测评所产生的结果是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。

6.9建设整改方案：提供建设整改方法、技术、工具等详细内容等，协助用户进行问题整改修复。

二、联系方式

采购人： (略) (略) 青岛工务段

联系人：采购联系人：毛先生（0532-*,*）

技术咨询：管先生（0532-*，*）