我单位决定对南通市大数据发展集团有限公司所开发和维护的公共基础数据库和公共信息平台以及数据整合与共享系统、南通市云数据中心系统进行等级保护测评，以明确信息系统现状，发现系统内部存在的安全隐患和不足，明确整改方向，降低系统被攻击的风险。

本次测评服务预算：拾万贰仟元；

一、本项目测评范围

序号系统名称备案情况

1公共基础数据库和公共信息平台以及数据整合与共享系统三级

2南通市云数据中心系统三级

二、测评单位要求

1、投标人具有公安部门网络安全等级保护评估中心颁发的《网络安全等级保护测评机构推荐证书》，提供证书复印件（加盖公章）；

三、测评内容

1、总体要求：

A．完成上述系统安全等级测评工作，测评后经用户方确认，出具符合网络安全等级保护测评要求的测评报告；

B．对上述系统不符合网络安全等级保护有关管理规范和技术标准的，提出可行性整改方案，提供相应的安全整改建议书。

2、质量要求：

A．等级测评及服务原则：符合性原则、标准性原则、规范性原则、可控性原则、整体性原则。

B．网络安全等级保护定级及测评服务依据：

《中华人民共和国网络安全法》

《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》，

《GB/T28448-2019 信息安全技术 网络安全等级保护测评要求》，

《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》，

《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》。

3、网络安全等级保护测评内容：

A．安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

B．安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评

4、提供整改咨询服务，根据所测系统的最终测评报告，对系统现状提出安全整改建议并协助整改工作，以期达到整改目的。

四、测评原则：

1、客观性和公正性原则：

测评人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。

2、可重复性和可再现性原则：

依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。

3、连续性原则：

确保在高速变化的信息安全环境中，在有效的服务期间内，保证采购方风险评估结论的准确性和及时性，对于采购方单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上，降低了采购方单位的成本，从信息安全性上，保证信息安全测评的动态稳定性。

4、扩展性原则：

在评估过程结束后，信息安全测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。

5、保密原则：

在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。

6、互动原则：

在整个测评过程中，强调采购方的互动参与，每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。

7、最小影响原则：

测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

8、规范性原则：

网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

9、质量保障原则：

在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。

五、测评人员和时限要求：

1、测评驻场人员要求：本次测评至少需要1名高级测评师，1名中级测评师， 2名初级测评师。本次等保测评项目不得转包或者分包，所有驻场测评师必须是中标公司自己的正式员工,所有驻场测评师必须持证上岗，响应文件中应提供项目组成员名单、社保主管部门出具的响应单位为其缴纳社保的证明、相关证书复印件等，未经采购方同意，项目组成员不得更改。

2、测评时间要求：按照被测单位要求，合同签订完毕一周内启动测评工作。

3、测评期限要求：签订合同后60天内完成网络安全等级保护测评并出具盖章报告，并完成备案。

4、本项目不接受联合体投标。

六、服务地点

采购方指定地点。

七、付款时间和条件

1.本项目所涉及的测评费用,在每个系统完成测评提交测评报告的10个工作日内，由采购方一次性付清全款。

2.如遇集团突发情况调整导致项目不能做完或无法出具报告的：所涉及系统测评予以终止。