一、项目名称

2020年度中阿博览会信息化系统等级保护测评项目。

二、项目内容

对中阿博览会信息化系统进行等级保护测评，具体包括中国—阿拉伯国家博览会官网（含会议管理系统、展览管理系统）、宁夏回族自治区博览局门户网站（含宁夏回族自治区会展业项目管理系统）。

三、投标人资格

（一）法人授权委托书（原件）；

（二）营业执照、税务登记证、组织机构代码证书（三证合一只提供营业执照副本）复印件加盖公章；

（三）投标人须提供信用查询记录（“信用中国”和“中国政府采购网”截图加盖公章）；

（四）须具有公安部认可的信息安全等级保护测评资质，并在公安部等级保护测评机构推荐目录中（复印件加盖公章）；

（五）测评人员要求

1.开展信息安全等级保护测评工作的人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

2.开展信息安全等级保护测评工作的人员应是由具有相关机构等级测评师证书的人员组成。

（六）本项目不接受联合体投标。

四、技术参数

（一）招标内容与技术测评

1.1项目背景

等级保护是国家关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），（以下简称27号文）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

根据国家的相关要求对宁夏回族自治区博览局的“中国—阿拉伯国家博览会官网”（含会议管理系统、展览管理系统）、“宁夏回族自治区博览局门户网站”（含宁夏回族自治区会展业项目管理系统）进行信息安全等级保护测评。

1.2测评目的

本次等保测评的目的是：

1）通过等级保护测评，验证中阿博览会信息化系统的安全性；

2）对中阿博览会信息化系统的安全状态做出判断，验证其是否符合等级保护要求。同时，将测评结论作为进一步完善系统安全防护措施的依据。

3）出具信息安全等级保护测评报告等。

1.3测评依据

参考：

1.《中华人民共和国网络安全法》

2.《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

3.《计算机信息系统 安全保护等级划分准则》（GB 17859-1999）

4.《信息系统安全等级保护实施指南》(GB/T25058-2010)

5.《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

6.《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）

7.《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2018 试行稿）

8.《信息安全等级保护备案实施细则》（公信[2007]1360号）

9.《信息安全技术 网络安全等级保护安全设计技术要求》（GBT 25070-2019）

10.《信息安全技术网络安全等级保护测评过程指南》（GBT 28449-2018）

11.《信息安全技术网络安全等级保护测试评估技术指南》（GB_T 36627-2018）

12.《网络安全等级保护测评报告模板（2019版）》

13.委托测评协议书等

（二）测评工作内容

2.1等级测评内容

测评的内容包括但不限于以下内容：

(1)安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

(2)安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

2.1.1安全物理环境

根据中阿博览会信息化系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

2.1.2安全通信网络

安全通信网络现场测评主要针对系统网络架构方面，在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

2.1.3安全区域边界

安全区域边界现场测评主要针对网络安全区域边界进行测评，测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。

2.1.4安全计算环境

安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。

2.1.5安全管理中心

安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。

2.1.6安全管理制度

根据现场安全测评记录，针对中阿博览会信息化系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.7安全管理机构

根据现场安全测评记录，针对中阿博览会信息化系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.8安全管理人员

根据现场安全测评记录，针对中阿博览会信息化系统在人员安全管理方面的“人员录用”、“人员离岗”、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.9安全建设管理

根据现场安全测评记录，针对中阿博览会信息化系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.10安全运维管理

根据现场安全测评记录，针对中阿博览会信息化系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

2.2项目实施要求

2.2.1保密要求

投标方对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务：

2.2.1.1中标方应按要求与宁夏回族自治区博览局（甲方）签署保密协议。

2.2.1.2主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。

2.2.1.3不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的甲方关于该项目的商业秘密。

2.2.1.4不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。

2.2.1.5不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。

2.2.1.6不论何种原因终止参与甲方关于该项目的工作后，都不得利用该项目之商业秘密为其他与甲方有竞争关系的企业（包括自办企业）服务。

2.2.1.7该项目的商业秘密所有权始终全部归属甲方，乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权，在本协议签订前乙方已依法具有某些所有权者除外。

2.2.1.8如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密，应当采取有效措施防止泄密进一步扩大，并及时向甲方公司报告。

（三）实施要求

在项目实施过程中，投标方应做好计划与安排，不影响我单位正常业务办公的开展。投标方要给予承诺，并承担由此引起的损失。

（四）服务要求

1.提供给甲方与项目相关的技术文档。

2.一旦收到甲方的服务请求，乙方项目组成员应立即给予响应。双方确认需要到现场服务时，从确认时间开始，乙方工程师在24小时内到达用户现场，提供服务。

3.提供技术服务热线，并安排专业人员为宁夏回族自治区博览局解答本项目有关技术问题，接收到用户要求服务的通知后，有关技术人员应立即做出响应。

4.交付物

根据《网络安全等级保护测评机构管理办法》（公信安〔2018〕765）号要求，成果交付物为：

1.所有登记备案的信息系统出具由测评机构法人审签的正式纸质测评报告2套。

2.所有登记备案的信息系统出具纸质安全整改建议方案2套。

3.测评活动原始记录材料1份。

项目相关的各项管理文档等,生成的阶段性评估结果报告或资料等中间文件。

5.质量保证

（1）为保证信息安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。

（2）参与等级测评的每个人都应具有等级测评师安全服务资质。

（3）等级测评结果必须通过宁夏回族自治区博览局组织的评审和审批。

五、报名所需材料

（一）项目比选报名表。

（二）法人代表授权委托书原件、法人代表身份证复印件。

（三）信用中国、中国政府采购网查询截图并加盖公章。

同时提交装订成册，密封加盖公章的比选投标文件（一式5份）。

六、投标要求

投标人须针对项目内容，提出具体的等保测评工作方案，明确目标、内容、方法、服务承诺等相关内容。

七、投标时间及地点

（一）投标人填写《2020年度中阿博览会信息化系统等级保护测评项目邀标比选报名表》，制订比选投标文件，以上资料于2020年7月15日17:00前递交至宁夏回族自治区博览局（宁夏回族自治区银川市兴庆区民族北街蓝泰广场A座1501室）。

（二）投标文件必须在投标截止时间前送达。逾期送达或密封和标注不符合规定的投标文件恕不接收。

八、选定数量

通过公开比选，采用综合评分法进行打分，得分最高者作为唯一中标人，全权负责2020年度中阿博览会信息化系统等级保护测评工作。

九、比选细则

附后。

十、现场述标

（一）述标内容

1.介绍公司基本情况。

2.根据比选细则及招标要求，讲述工作方案。

（二）述标及答疑时间

总时间控制在8分钟以内，其中：述标时间控制在5分钟以内，答疑时间控制在3分钟以内。

十一、开标时间地点

时间：2020年7月17日15:00。

地点：宁夏回族自治区博览局15楼会议室。

十二、联系方式

投标联系人：李文鑫电话：****-*******

监督联系人：杨静电话：****-*******

宁夏回族自治区博览局

2020年7月9日