为便于供应商及时了解政府采购信息，根据《财政部关于印发政府采购需求管理办法的通知》（财库〔2021〕22号）等有关规定，现将该项目的采购需求公开如下：

本次公开的采购需求是本单位政府采购工作的初步安排，具体采购项目情况以相关采购公告和采购文件为准。

青岛市住房公积金管理中心

2022年10月24日

附件1：

《住房公积金综合管理系统及住房补贴系统的等级保护测评服务》采购需求

1.供应商资格要求：

1.1 满足《中华人民共和国政府采购法》第二十二条规定；

1.2 采购公告发布之日前三年内无行贿犯罪及重大违法记录；

1.3 通过中国政府采购网（www.ccgp.gov.cn）、信用中国网站（www.creditchina.gov.cn）、信用山东网站(credit.shandong.gov.cn)及信用青岛网站（www.qingdao.gov.cn/credit）查询，未被列入失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录等名单；

1.4 具有公安部第三研究所颁发的网络安全等级保护测评与检测评估机构服务认证证书；

1.5 本项目不接受联合体投标。

2.服务要求

2.1服务内容：

2.1.1总体要求：

为满足国家及主管部门相关法律或规定要求，依据如下:

《中华人民共和国网络安全法》第二十一条，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

《青岛市政务信息系统项目管理办法》第三十条，项目建设单位应按照国家网络与信息安全风险评估的有关规定，开展网络与信息安全风险评估。严格落实等级保护和分级保护要求，切实保障政务信息系统安全稳定运行。

《信息安全等级保护管理办法》(公通字〔2007〕43号)第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。

2.1.2等级保护测评服务内容：

本项目拟委托具有公安部第三研究所颁发的网络安全等级保护测评与检测评估机构服务认证证书的第三方测评机构对我单位的两套三级信息系统开展测评工作。

信息系统为：

青岛市住房公积金管理中心青岛市住房补贴及其他资金系统

青岛市住房公积金管理中心住房公积金综合管理系统

2.1.2.1服务依据：

《信息安全技术网络安全等级保护基本要求》(GB/T*****-2019)

《信息安全技术网络安全等级保护测评要求》(GB/T*****-2019)

《信息安全技术网络安全等级保护安全设计技术要求》(GB/T*****-2019)

《信息安全技术网络安全等级保护测评过程指南》(GB/T*****-2018)

《信息安全技术信息系统安全等级保护实施指南》(GBT*****-2019)

2.1.2.2服务要求：

根据信息系统的保护等级，并依据GB/T*****-2019《信息安全技术网络安全等级保护基本要求》、《信息系统安全等级保护测评准则》等相关标准的条款要求，对信息系统的安全保护等级进行测评，测评的内容包括但不限于以下内容:

安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;

安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

(1)安全物理环境

安全物理环境现场测评根据信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

(2)安全通信网络

安全通信网络现场测评根据信息系统网络安全测评记录，针对“网络架构”、“通信传输”、“可信验证”等安全通信网络方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

(3)安全区域边界

安全区域边界现场测评包括对信息系统服务器的测评，测评内容包括对“边界防护”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码和垃圾邮件防范”、“可信验证”等安全区域边界方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

(4)安全计算环境

安全计算环境现场测评包括对信息系统的测评，测评内容包括对“身份鉴别”、“访问控制”、“安全审计”、“入侵方法”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等安全计算环境方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

(5)安全管理中心

安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控”等几个方面的测评，判断出与其相对应的各测评项的测评结果。

(6)安全管理制度

根据现场安全测评记录，针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“指定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

(7)安全管理机构

根据现场安全测评记录，针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

(8)安全管理人员

根据现场安全测评记录，针对信息系统在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

(9)安全建设管理

根据现场安全测评记录，针对信息系统在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

(10)安全运维管理

根据现场安全测评记录，针对信息系统在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

现场测评完成后，双方进行结果确认，测评机构出具测评报告，并将测评报告报当地公安机关备案。

2.1.2其他服务要求

（1）为应对测评过程中可能发生的网络安全事件,供应商应具备网络安全事件响应和处置能力。信息系统在发生安全事件时，现场实施人员应能够迅速定位、协助处置安全风险。

（2）供应商应具备足够的漏洞发现能力，能够通过对两套系统的测评，尽可能准确、全面的发现系统存在的安全隐患。