南平市行政服务中心管委会“互联网”+放管服平台系统等级测评服务项目采购公告

一、项目名称：南平市行政服务中心管委会“互联网”+放管服平台系统等级测评服务

二、最高控制价：15万元

三、投标资格要求

（一）供应商委托的测评机构须具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。

（二）本项目测评团队需具备但不局限于以下资格：

1、供应商须依据国家《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《信息安全等级保护管理办法》（公通字[2007]43号）、《信息安全技术 网络安全等级保护基本要求GBT*****-2019 》、《信息安全技术 网络安全等级保护测评要求GBT*****-2019》等法规要求为本项目提供等保测评服务（提供测评机构为该项目出具的测评承诺函）。

2、为保证服务质量，该项目拟投入此次项目中的测评人员中至少需要有一名高级测评师及四名中级测评师，在网络安全等级保护网（http://www.djbh.net/）上能够查询人员相关信息（需提供相关证明材料）。

备注：供应商在报价文件中需提供合法有效的证书复印件并加盖公章，否则视为无效投标。

（三）报价函、营业执照副本复印件、测评机构推荐证书复印件、测评承诺函（原件）、相关测评人员在网络安全等级保护网上的信息截图均需加盖公章后用信封单独封装并在密封处加盖投标单位公章。

（四）本项目最高控制价为15万元（此为含税价，且本项目中的一切费用均应包含在投标总价中），超过最高控制价的报价为无效报价。

（五）中标原则：符合资格相关条件的最低报价供应商作为本项目成交供应商。

（六）有意向的投标人可于2022年7月29日17：00前将报价函（见附件）送达至南平市行政服务中心六楼综合科（建阳区童游街道翠屏路2号），联系人：李女士，联系电话：0599-*******

四、服务内容

　　（一）供应商依据《信息安全技术网络安全等级保护基本要求》，对南平市“互联网+”放管服平台（含“一窗受理”系统、政务服务权力运行系统、南平市政务服务门户网站、政务APP（模块）、政务微门户、智能终端应用管理系统、政务服务监管系统、政务服务基础支撑系统、“放管服”数据交换系统、“放管服”信息共享服务、“放管服”信息资源数据中心、政务一体机、权责清单管理系统、全市重点工作责任与问题清单督查系统、综合执法业务系统、双随机抽查系统、电子证照综合管理系统 ）开展等级测评工作，在２０２2年１１月１日前，出具《网络安全等级测评报告》。《网络安全等级测评报告》应符合南平市网安办等级测评工作要求。

包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。

（二）测评内容

１、访谈

依据测评技术方案（访谈问题）列表对相关人员进行访谈，获取与安全管理有关的评估证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。

２、 检查

在物理测评中，测评人员采用文档查阅与分析和现场观察等检查操作来获取测评证据，用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面的测评活动中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查操作来获取测评证据，用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求，对相关设备进行检查的过程中，乙方不直接操作设备，甲方安排相关配合人员根据我方的检查要求对设备进行操作，并将结果反馈给我方。

在安全管理测评中，测评人员主要采用文档查阅与分析来获取测评证据，用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

３、测试

在网络安全、主机安全和应用安全等方面的测评活动中，测评人员可以采用手工验证和工具测试等测试操作对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。

依据（GBT *****-2019）《信息安全技术 网络安全等级保护测评要求》，以《信息安全技术 网络安全等级保护测评过程指南》（GBT *****-2018）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，代码测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。

依据《信息安全技术网络安全等级保护基本要求》（GB/T *****-2019），中标供 应商提供的安全等级测评服务必须包括并不限于以下内容：

安全通用要求：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

云计算安全扩展要求：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理、安全运维管理。

移动互联安全扩展要求：安全物理环境、安全区域边界、安全计算环境、安全建设管理。

（三）等级保护服务

⑴系统定级服务

通过对《信息安全技术 网络安全等级保护定级指南》（以下简称：《定级指南》）的全方面解读，对国家网络安全等级保护相关政策有着充分的理解，熟知定级的工作流程，能够有效的解决在定级过程中遇到的问题。

网络安全等级保护不再自主定级，通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”的线性定级流程，对南平市“互联网+”放管服平台定级必须经过专家评审，完成定级评审。

⑵系统备案服务

严格依照《信息安全等级保护管理办法》(公通字[2007]43号文件)，协助准备等保备案表，协助在所在地区的公安机关办理备案手续，取得备案证明。

⑶等保资产分析服务

派遣专业工程师到现场整理系统的网络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；

对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理，编制信息系统详细描述文档。

服务实施完成后需提供《资产调研表》、《网络拓扑图》。

⑷等保整改及加固服务

对服务范围内信息系统协助测评机构按照整改报告对应策略设计整改加固措施，并根据等保安全加固指导书协助客户实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固以及应用安全加固。

⑸等保制度建设服务

协助客户对安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。

服务实施完成后需提供《等保管理制度汇编》。

⑹等保测评辅助服务

在服务期内，委托具备网络安全等级保护测评机构推荐证书的测评机构为本项目提供等保测评服务，配合测评队伍完成现场测评，从而通过等级测评并获得测评机构出具的等级测评报告。

测评过程中配合提供测评相关材料。

（四）安全服务

1、现场应急演练

现场组织一场应急演练，应急演练服务遵循（GB/T *****-2009）《信息安全技术信息安全应急响应计划规范》、《网络安全法》第五章第五十三条与第五十五规定等国家、各行业相关文件精神设计的安全应急演练实施方案，通过现场演练，可有效协助妥善处理应对和处置信息系统突发事件，确保客户信息系统的安全、稳定、持续运行，防止造成重大的损失和影响，进一步提高信息系统的应急保障能力。演练结束后7个工作日内提供《应急演练报告》。

2、安全知识培训

培训内容根据采购人实际情况，按需定制个性化的安全培训课程方案，通过新颖、专业、详细的安全课程培训及安全事件解读，帮助采购人单位职工了解并掌握相关安全知识的同时，尽量减少因安全知识欠缺而导致的安全事故。培训内容及培训时间，需经采购人审核同意后，提供4课时的安全培训课程。

五、付款方式：乙方完成测评报告的印刷交付，同时出具的测评报告符合南平市网安办测评要求，并提供合法有效的应收金额的正式税务发票后30个工作日内，甲方按合同款项的80%进行支付。乙方完成应急演练及安全知识培训等安全服务，并以报告的方式交与甲方，并提供合法有效的应收金额的正式税务发票后30个工作日内，甲方按合同款项的20%进行支付。

附件：南平市“互联网+”放管服平台项目安全等级测评服务报价函