宜宾市生态环境局

等级保护测评服务比选公告

我单位就宜宾市环境信息化省市县三级统筹能力建设项目等级保护测评服务(三级)进行比选，欢迎有资质的单位前来参加本项目合作比选。现对参加比选条件作出如下要求:

一、比选单位:宜宾市生态环境局

二、比选地点:宜宾

三、比选内容:宜宾市环境信息化省市县三级统筹能力建设项目等级保护测评服务(三级)

四、最高限价:12万元

五、参选单位报名时请携带以下资料:

保证所提供的各种材料和证明材料的真实性，并承担相应的法律责任。我方在报名时进行资质初审，通过者方可报名。中标后进行资质复审，通过后方可签订合同。

1.投标人的资质，并提供相应证件(均需加盖印章):

(1)企业法人营业执照、组织机构代码证;

(2)法定代表人授权委托书原件及法定代表人、被委托人身份证复印件;

(3)其它所需资料;

2.参选条件

(1)具有独立承担民事责任的能力;

(2)具有良好的商业信誉和健全的财务会计制度;

(3)具有履行合同所必需的设备和专业技术能力;

(4)有依法缴纳税收和社会保障资金的良好记录;

(5)参加政府采购活动前三年内，在经营活动中没有重大违法记录;

(6)法律、行政法规规定的其他条件。

(7)具有网络安全等级测评与检测评估机构服务认证证书。

六、以下为项目具体要求:

1.参选单位总测评师具有信息(网络)安全等级测评师(高级)证书、注册信息系统审计师(CISP-A)、软件性能测试高级工程师证书的，每有一个证书得10分，共30分;

2.参选单位团队测评工程师具有信息(网络)安全等级测评师(高级)证书、注册云安全系统认证专家(CCSSP)证书、网络安全高级工程师、信息安全风险评估师、注册信息系统审计师(CISP-A)，每有一个证书得10分，共50分，同一证书不重复计分;

3.参选单位能提供类似等级保护测评服务案例的得10分;

4.参选单位有效报价最低的得10分，投标报价得分=(投标最低价/投标报价)*10。

5.参选单位需满足相关管理要求，非省内单位需提供当地主管部门相关异地备案证明原件，并承诺能够提供本地化服务及2小时内应急响应服务。

6、技术要求:对本单位的信息系统开展等级保护测评(并协助指导整改)及备案登记工作;

具体技术要求参见附件;

七、报名地点:宜宾市生态环境局1107

八、报名时间:2022年10月31日—2022年11月4日

此次报名不接受电话及邮件报名。

九、比选时间:2022年11月4日下午14:30

十、联系方式:0831-*******

宜宾市生态环境局

2022年10月31日

附件:

技术要求

一、 参考标准要求

投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准:

1)中华人民共和国计算机信息系统安全保护条例(国务院第147号令);

2)《信息安全等级保护管理办法》

《计算机信息系统安全保护等级划分准则》(GB*****-1999)

《信息系统安全等级保护定级指南》(GB/T*****-2008)

《信息系统安全等级保护基本要求》(GB/T*****-2019)

《信息系统安全等级保护测评要求》(GB/T*****-2019)

《信息系统安全等级保护测评过程指南》(GB/T*****-2018)

《信息安全风险评估规范》(GB/T*****-2007)

3)信息安全等级保护管理办法(公通字[2007]43号)

4)其它国家、省、行业信息安全等级保护有关要求及标准。

二、测评应满足的原则

本次信息系统安全等级保护测评服务方案设计，以及具体实施内容应满足以下原则:

(1)保密原则:对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。

(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。

(3)规范性原则:投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

(4)可控性原则:等保测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

(5)整体性原则:等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

(6)最小影响原则:等保测评服务工作应尽可能小的影响系统和网络，并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

三、本次安全等级保护测评的整体要求

(1)投标人应详细描述本次项目整体实施方案，包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

(2)投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

(3)本次服务项目实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在测评中使用。采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件。

(4)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标人推荐，经招标人确认后由投标人提供并在测评中使用。

(5)安全测评需要的运行环境(如场地、网络环境等)由招标人提供，投标人应详细描述需要的运行环境的具体要求。

四、总体进度要求

信息系统安全等级保护测评整个工作应在合同签定后40天内完成。

五、测评项目

从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面对本次项目所含系统进行测评。(测评须涵盖本项目所列系统涉及的所有硬件及软件)

安全物理环境测评包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

安全通信网络测评包括:网络架构、通信传输、可信验证。

安全区域边界测评包括:边界防护、访问控制、入侵防护、恶意代码和防垃圾邮件、安全审计、可信验证。

安全计算环境测评包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

安全管理中心包括:系统管理、审计管理、安全管理、集中管控。

安全管理制度测评包括:管理制度、制定和发布、评审和修订。

安全管理机构测评包括:岗位设置、人员配备、授权和审批、沟通与合作、审核与检查。

安全管理人员测评包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

安全建设管理测评包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。

安全运维管理测评包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。