为做好福建省科技馆信息系统安全等级保护服务采购项目（项目编号FJSKJG202106，以下简称项目），按政府采购相关规定，现就项目进行公开征集供应商。欢迎符合条件的单位报名申请。

一、项目名称

福建省科技馆信息系统安全等级保护服务采购项目

二、采购内容

1.系统范围及基本情况

本项目测评目标为两个信息系统，分别为福建省科技馆官网信息管理系统（www.fjkjg.com）、福建数字科技馆（www.fjdstm.com）：

其中福建省科技馆官网为PHP语言开发，软件应用包约为21.5G，数据库为MySQL；

数字馆软件应用包（含数字化资源）大小约为106G，数字库为oracle；

两个信息系统均部署在移动云上，移动云机房满足等保三级配置；

福建省科技馆信息管理系统应用程序与MySQL数据库分别部署在2台Linux云服务器上；

福建省数字科技馆部署在1台windows云服务器上；

云主机均已配置移动云安全套餐，未配备SSL证书。

2.服务要求

根据公安部印发《GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求》、《GB/T 28448-2019 信息安全技术信息系统安全等级保护测评要求》等标准规范要求，按照等级保护2.0要求，为福建省科技馆2个信息系统提供一站式等级保护服务，包括定级、备案、安全建设、等级测评、监督检查、应急演练等相关服务，根据定级做相应的系统加固并通过等保测评，拿到测评机构出具的测评合格报告。报价应覆盖项目所发生的认证费、评审费、材料费、专家费、站点证书、加固软件购置、工具使用、人工、交通、验收、税收等项目实施过程中可能产生的所有费用。

3.时限要求

　　合同签订生效后的80个自然日内按采购人要求完成本项目要求的全部工作、提交相关材料完成验收。

4.技术要求

4.1 定级备案

参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的方法和理由，并收集整理定级系统参与等级测评所需的资料和文档。组织开展并完成等级保护定级的专家评定工作。

提交成果：

1)《网络安全等级保护定级报告》

2)《网络安全等级保护专家评审意见》

3)《网络安全等级保护备案证明》

4.2 等保差距评估

在安全评估和信息系统定级的基础上，根据《网络安全保护等级基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从技术方面找出存在的问题并进行差距分析，主要包括以下四个方面：

1）安全通信网络：对通信网络的结构安全、网络业务处理能力、网络传输完整性和保密性等方面进行现场测试。

2）安全区域边界：对网络边界或区域之间的边界防护、访问控制、入侵防范、恶意代码防范、安全审计等方面的测试。

3）安全计算环境：对主机和应用系统的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据保密性和完整性、数据备份恢复等方面进行安全测试。

4）安全管理制度：对信息系统安全建设、安全运维、安全管理相关制度合规性检查。

提交成果：《网络安全等级保护差距分析报告》

4.3 渗透测试和代码审计服务

为两个系统提供专业渗透测试和源代码安全审计工作，并出具报告，提供整改优化建议，协助指导软件开发公司进行整改。提供支持Windows与主流Linux操作系统的B/S架构远程安全评估系统，采用SSL加密通信方式，支持多用户同时登录操作，严格控制各账户之间的登录信息权限。提供审计功能，能够对登录日志、操作日常进行记录和查询，并可以将日志导入导出操作。厂商漏洞策略库大于50000条；漏洞策略描述中提供详细的漏洞描述和对应的解决方案描述。

提交成果：

《福建省科技馆官网信息管理系统渗透测试报告》

《福建数字科技馆渗透测试报告》

《福建省科技馆官网信息管理系统代码审计报告》

《福建数字科技馆代码审计报告》

4.4 等级保护测评

基于国家标准《GB/T22239-2019网络安全等级保护基本要求》项目清单范围内所有系统的等级保护测评服务，测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，在测评过程中应使用符合等级保护相关标准要求的测评方法，并按照等级保护行业主管部门指定的报告模版要求，为每个被测评系统编制信息系统安全等级保护测评报告。供应商所选的测评机构应具备国家网络安全等级保护协调小组办公室颁发的《网络安全等级保护测评机构的推荐证书》，测评机构所出具的测评报告须达到福建省公安厅的相关要求。因信息系统所需安全保护等级未确定，供应商所选择的测评机构须具有等保测评资质及不低于三级等保的测评能力。（测评机构及测试师证书适用本公告“权责要求”第五项条件，原件备查）

提交成果：两个信息系统测评通过的《网络安全等级保护测评报告》

4.5安全加固服务

1）根据等级保护基本要求以及差距分析结果，对服务范围内信息系统的关键资产编制安全加固实施方案。

2）派遣专业工程师到现场根据安全加固实施方案实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固以及应用安全加固辅导。

3）协助用户完成编制《安全管理制度》、《安全建设管理制度》、《安全运维管理制度》及配套流程与单据。

4.6 网络安全应急演练

为省科技馆两个信息系统建立应急预案，协同馆方及软件服务商、云主机服务商开展应急演练，测试极端情况下的应急响应流程。

提交成果：《信息系统网络安全应急预案》

《信息系统网络安全应急演练报告》

5.商务约定

项目进展满足以下支付条件并收到中选单位支付申请及开具的合法发票后15个工作日内支付对应期次的款项：

乙方在合同签订后10日内按合同价的10%向甲方提交履约保证金，履约保证金可以银行转账、银行保函方式递交。履约保证金有效期至本合同签订至项目实施完成最终验收前。

如在履约保证金有效期到期前30日内，乙方仍未完成本项目，或甲方有理由认为本项目的完成日期将晚于履约保证金有效期，则甲方有权要求乙方延长其履约保证金的有效期。如乙方拒绝，甲方有权拒付相应合同款并没收履约保证金。

6.保密义务

1)保密内容：采购人向中选人提供的所有书面、电子材料，包括但不限于被测系统拓扑图、内部管理手册、被测系统操作手册、系统验收文档、被测系统数据、测评报告等。

2)涉密人员范围: 所有参与本项目的人员。包括管理人员与技术人员。

3)保密要求：未经采购人许可不得将测评报告、风险评估报告等材料对本项目无关人员或机构泄露其内容。

4)保密期限：5年。

三、密封报名时间：2021年6月 24日17:30（北京时间）前

四、报名地点：福州市鼓楼区古田路89号福建省科技馆五楼信息管理部

五、联系人：林晨 联系电话： 137*****971

六、报名人资质要求

1.安全服务资质要求，报名人应符合下列至少一项要求：

（1）取得信息安全风险评估三级或以上资质；

（2）取得信息系统安全集成三级或以上资质。

七、报名材料

1.供应商的营业执照复印件；

2.法定代表人授权书、法定代表人身证份复印件、被授权代表身份证复印件；

3.安全服务资质证明；

4.关于资格的声明函；

5.具备参加政府采购活动条件的承诺书；

6.报价单及分项报价表。

以上材料均需加盖单位公章，并且将所有材料装订成册，密封提交。（原件备查）

八、报价要求

本项目含税总价的最高限价为人民币贰拾万元（￥200000元），项目所发生所有费用均包含在报价中，超出限价的报名文件无效。

九、选定中选人方式

在满足项目需求的前提下，进行报价。确定报价中总价最低的为中选人。项目评审将按省科技馆采购的有关规定组织专家进行评审，在符合项目需求的情况下，采用最低价排列方式确定一名中选人及两名顺位候选人（报价相同的先提交报名材料到报名地点者优先），中选结果将按相关规定进行公示。

十、权责要求

（1）在服务期间, 如中选人未能及时按服务要求处理负责事项，则构成违约。若违约没对采购人系统运行造成影响的,则每次罚款合同金额的5%；若对采购人系统运行造成影响的，则每次罚款合同金额的10%。

（2）因中选人原因，且未能及时提供解决方案，导致使采购人系统无法恢复，处以合同金额15%的罚金，采购人有权终止合同。

（3）在项目服务期间或服务期满后，中选人对于所派遣的工作人员负有全部责任，中选人及所派遣的工作人员必须严格遵守采购人的各项规章制度，在未征得采购人同意的情况下，不得泄露采购人提供的各项信息，若中选人违反了本规定，采购人有权要求中选人赔偿因违反此规定所造成的全部损失，并按照合同金额的15%进行处罚。

（4）因中选人原因，在操作过程中对采购人的数据造成丢失，且无法在五个工作日内恢复，责任由中选人承担，按合同金额全额赔偿。采购人根据工作需要进行系统及数据迁移，中选人必须无条件配合。

（5）若中选人于中选结果公告后二十个自然日内不能提供与合规的等保测评机构已开展本项目协作的证明文件，采购人将有权立即终止合同，并保留进一步追究中选人责任的权利。

（6）中选人超出服务期限要求未能完成验收条件的，采购人将有权立即终止合同，并保留进一步追究中选人责任的权利。

（7）中选人在服务期内因工作开展出现重大偏差，造成较大人身伤害或采购人重大损失的，采购人将立即终止合同，并保留进一步追究中选人责任的权利。

十一、 询问、质疑与投诉

1.服务商对采购活动有疑问的，可以通过口头、电话、传真等形式提出询问，采购单位在3个工作日予以答复，但答复的内容不涉及商业秘密。

2.提出质疑的期限：

对采购文件提出质疑的，在项目采购报名截止日起一个工作日内；

对采购结果提出质疑的，为采购结果公告结束起一个工作日内。

3.质疑书应当提供服务商法人代表人签字盖章并加盖公章的书面材料（逐页加盖公章）。

4.服务商质疑应当符合下列条件：

（1）必须是参与项目采购的服务商；

（2）在质疑有效期内提出质疑；

（3）质疑事项应在所质疑的项目采购活动范围内；

（4）证据真实，来源合法。

5.下列有下列情形之一的质疑，不予受理；

（1）质疑人不是所质疑政府采购活动的参与者；

（2）质疑事项不具体，且未提供有效线索，难以查证的；

（3）质疑书未经法定代表人签字并加盖公章的；

（4）超过质疑时效的；

（5）质疑事项属于有关法律、法规和规章规定处于保密阶段的事项，质疑人无法提供信息来源或有效证据的。

附件：采购公告 - 2021年6月21日.docx（位于文件末尾）