为做好福建省科技馆信息系统安全等级保护服务采购项目（项目编号FJSKJG202106，以下简称项目），进一步确定采购预算价格，使其更加符合项目需求和当前的市场情况，现公开征询市场报价，欢迎有意向承接此业务的供应商联系报价。

一、项目名称

福建省科技馆信息系统安全等级保护服务采购项目

二、采购内容

1.系统范围及基本情况

本项目测评目标为两个信息系统，分别为福建省科技馆官网信息管理系统（www.fjkjg.com）、福建数字科技馆（www.fjdstm.com）：

两个信息系统均部署在移动云上，移动云机房满足等保三级配置；

福建省科技馆信息管理系统应用程序与MySQL数据库分别部署在2台Linux云服务器上；

福建省数字科技馆部署在1台windows云服务器上；

云主机均已配置移动云安全套餐，未配备SSL证书。

2.服务要求

根据公安部印发《GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术信息系统安全等级保护测评要求》等标准规范要求，按照等级保护2.0要求，为福建省科技馆2个信息系统提供一站式等级保护服务，包括定级、备案、安全建设、等级测评、监督检查相关服务，根据定级做相应的系统加固并最终通过等保测评，拿到测评机构出具的测评合格报告。报价应覆盖项目所发生的认证费、评审费、专家费、站点证书、加固软件购置、工具使用、人工、交通、验收、税收等项目实施过程中可能产生的所有费用。

3.时限要求

　　合同签订生效后的100个自然日内按采购人要求完成全部评测工作、验收合格并交付使用。

4.技术要求

4.1 定级备案

参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的方法和理由，并收集整理定级系统参与等级测评所需的资料和文档。同时协助用户完成等级保护定级的专家评定工作。

提交成果：

1)《网络安全等级保护定级报告》

2)《网络安全等级保护专家评审意见》

3)《网络安全等级保护备案证明》

4.2 等保差距评估

在安全评估和信息系统定级的基础上，根据《网络安全保护等级基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从技术方面找出存在的问题并进行差距分析，主要包括以下四个方面：

1）安全通信网络：对通信网络的结构安全、网络业务处理能力、网络传输完整性和保密性等方面进行现场测试。

2）安全区域边界：对网络边界或区域之间的边界防护、访问控制、入侵防范、恶意代码防范、安全审计等方面的测试。

3）安全计算环境：对主机和应用系统的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据保密性和完整性、数据备份恢复等方面进行安全测试。

4）安全管理制度：对信息系统安全建设、安全运维、安全管理相关制度合规性检查。

提交成果：《网络安全等级保护差距分析报告》

4.3 渗透测试和代码审计服务

为两个系统提供专业渗透测试和源代码安全审计工作，并出具报告，提供整改优化建议，协助指导软件开发公司进行整改。

提交成果：

《福建省科技馆官网信息管理系统渗透测试报告》

《福建数字科技馆渗透测试报告》

《福建省科技馆官网信息管理系统代码审计报告》

《福建数字科技馆代码审计报告》

4.4 等级保护测评

基于国家标准《GB/T22239-2019网络安全等级保护基本要求》项目清单范围内所有系统的等级保护测评服务，测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，在测评过程中应使用符合等级保护相关标准要求的测评方法，并按照等级保护行业主管部门指定的报告模版要求，为每个被测评系统编制信息系统安全等级保护测评报告。

提交成果：《网络安全等级保护测评报告》

4.5安全加固服务

1）根据等级保护基本要求以及差距分析结果，对服务范围内信息系统的关键资产编制安全加固实施方案。

2）派遣专业工程师到现场根据安全加固实施方案实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固以及应用安全加固辅导。

3）协助用户完成编制《安全管理制度》、《安全建设管理制度》、《安全运维管理制度》及配套流程与单据。

5.商务约定

合同签订且收到中标单位支付申请及开具的合法发票后15个工作日内支付合同总价50%的服务费。完成验收且收到中标单位支付申请及开具的合法发票后15个工作日内支付余款。

6.保密义务

1)保密内容：采购人向中标人提供的所有书面、电子材料，包括但不限于被测系统拓扑图、内部管理手册、被测系统操作手册、系统验收文档、被测系统数据、测评报告等。

2)涉密人员范围: 所有参与项目测评的人员。包括管理人员与技术人员。

3)保密要求：未经采购人许可不得将测评报告、风险评估报告用于本合同以外的网络或信息系统或对外泄露其内容。

4)保密期限：5年。

三、密封报价时间：2021年5月19日17:00（北京时间）前

四、报价地点：福州市鼓楼区古田路89号福建省科技馆

五、联系人：陈继彬 联系电话： 147*****885

六、报价人资质要求

1.安全服务资质要求，报价人应符合下列至少一项要求：

（1）取得信息安全风险评估三级或以上资质；

（2）取得信息系统安全集成三级或以上资质；

七、报价材料

1.报价函及分项报价表；

2.关于资格的声明函；

3.法人营业执照（法人营业执照需由副本原件复印，并加盖公章）；

4.相关资质证书（需由原件复印，并加盖公章）；

5.具备参加政府采购活动条件的承诺书。

以上材料均需加盖单位公章，并且将所有材料装订成册，密封提交。（原件备查）

附件.docx