详情见附件
(注：以下内容为附件图片识别，个别文字可能不准确，请以附件为准)
辽宁省金保工程二期 2023 年度信息化建设项目 -网络安全等级保护一体化服务项目
招标文件主要条款意见征集公告
项目编号： LNZB-ZBT2023-0308
辽宁工程招标有限公司受辽宁省人力资源和社会保障厅的委托，组织辽宁省金保工程二期
2023 年度信息化建设项目 -网络安全等级保护一体化服务项目的公开招标工作，现对招标文件主要
条款进行公示，并征求潜在投标人意见 ， 请将意见以 PDF 形式加盖公章以及 word 形式在 2023
年 6 月 29 日 16:30(北京时间前发至辽宁工程招标有限公司电子邮箱 邮件主题： 项目意见反
馈，邮箱地址： lngczbyxgs126.com，招标文件主要条款如下：
一 投标人资格要求
1投标人应为在中华人民共和国境内注册并具有独立承担民事责任能力的法人或其他组织
2投标人须具有网络安全等级测评与检测评估机构服务认证证书
3投标人具有履行合同所必需的设备和专业技术能力
4投标人近三年 2020 年 1 月 1 日投标截止期前未被国家企业信用信息公示系统列入严
重违法失信名单，未被信用中国列入严重失信主体名单。 (须提供未被国家企业信用信息公示
系统列入严重违法失信 名单和未被信用中国列入严重失信主体名单的网页截图或网站生成的
信用报告 )
5本项目不接受联合体投标。
二项目需求
一安全服务技术要求
根据中华人民共和国网络安全法中华人民共和国密码法 网络安全技术 -网络安全等级
保护基本要求 GB/T 22239-2019等法律法规技术规范和管理制度要求，为进一步提高辽宁省
人力资源和社会保障厅信息系统网络安全保障能力，通过开展专业化常态化实时化的网络安全
运维服务，建立科学实用的安全管理体系提高网络安全纵深防御能力，提升系统网络安全防护水
平 ，保障信息系统安全稳定可靠运行。
二 总体要求
服务方应按照网络安全技术 -网络安全等级保护基本要求 GB/T 22239-2019 开展符合第三
级安全要求的运维服务，提供服务方案，确保工作效果满足委托方网络基础设施信息系统外
网应用云计算平台等安全通信网络安全区域边界安全计算环境安全管理中心等技术要求，
服务过程符合安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等管理
要求。
针对委托方各信息系统，通过开展安全咨询安全风险评估网络安全资产梳理建立安全运
维基线协助 建立安全管理体系定期开展网络安全检查渗透测试，对新上线或有重大改造升级
的系统进行软件应用安全测试，组织进行安全培训，开展应急服务等各项安全服务工作。通过落实
以上多个方面的安全工作，最终将达到以下项目总体目标：
1 运维服务期内无重大网络安全责任事件重大网络安全责任事件数为 0
2 运维服务期内无高风险可利用性漏洞
3 重大安全事件 2小时内应急响应
4 提高网络安全技防能力，确保委托方的物理环境主机网络数据和外网应用系统正常运
行
5 建立健全委托方网络安全管理体系
6 提高委托方信息化队伍安全技术水平，提升委托 方的整体网络安全意识。
三 服务内容
3.1 等级保护测评服务
1 服务内容：每年开展一次等级保护测评，出具等级保护测评报告
2 测评范围：厅内 6 个系统网络安全等级保护测评 5个三级 1个二级系统
3 服务期限： 3年。
3.2 信息安全运维驻场服务
1 服务内容：
提供网络安全建设团队为人社厅开展安全运维安全咨询服务并提供驻场服务。服务内容包含
但不限于：
(1) 渗透测试与修复工作制定安全加固方案并配合安全加固工作
(2) 问题复测工作。安全隐患修复后提供安全复测
(3) 系统安全设计方案论证，系统上线前检测工作
(4) 信息安全意识 厅内宣传
(5) 建立应急网络专家团队，节假日及重要历史时刻的应急响应。
2 服务期限： 3年
3 人员要求：成立不少于 6人的项目组，包含 2名驻场工程师， 4名技术服务工程师
3.3 数据安全风险评估
1 服务内容：
(1)根据中华人民共和国数据安全法，重要的数据处理者应按规定展开风险评估，评估报告
应包括面临的数据安全风险
(2)对人社厅社会保障劳动关系就业等重要数据生产信息系统进行一次数据安全评估工作
(3)出具安全评估报告，在系统完成安全整改后重新评估。不少于 6个系统。
2 服务期限： 1年
四 技术要求
4.1 安全咨询服务
4.1.1咨询服务
4.1.1.1日常安全问题咨询服务
服务方应根据委托方的实际需求，参考国内外安全标准，提供日常安全咨询，主要包括大的网
络安全政策法律解读网络安全规划安全决策安全事件处理等。
针对各类网络安全事件，提供完整全面的处理方案，要求方案具有可操作性能够指导委托方
进行事件处理和应对。
4.1.1.2网络安全规划咨询服务
服务方应根据委托方的实际需求，参考国内外安全标准和国内新技术研究如云计算大数据
物联网移动安全，对委托方网络安全设计方案，网络安全建设，包括网络安全结构设计系统安
全 设计其他网络安全方案设计，提出符合业务发展的安全审计建设思路，出具咨询意见报告。
协助委托方进行年度网络安全工作规划，形成具体的年度网络安全建设实施方案。
4.1.1.3网络安全体系建设咨询服务
服务方根据对委托方的实际需求，参考国内外安全标准，对委托方网络安全体系建设给予技术
支持。包括网络安全管理体系技术体系运行体系等。
4.1.2制度体系制定
按照中华人民共和国网络安全法等法律条例要求， GB/T 22239-2019 信息安全技术 网络
安全等级保护测评基本要求等标准，以及全员参加 安全管理全过程安全管理全方位安全管
理原则进行开展。协助委托方优化修订信息系统网络安全制度汇编信息系统网络安全管理
办法信息系统网络安全信息通报工作规范，制定信息系统网络安全考核管理办法，建立网
络安全管理体系，根据实际管理工作需要，随时更新及补充安全管理制度及应急保障制度，不断完
善维护制度体系。
4.1.3安全通告和情报
4.1.3.1安全漏洞通告
服务方应向委托方及时通告国内外安全机构及漏洞发布平台发布的相关安全漏洞，并提供相应
修补方案，使委托方把握 CVE 公共漏洞库等网络安全现状与态 势，了解网络安全技术发展方向，及
时消除网络安全漏洞与隐患，避免引发网络安全事件进而对委托方形象造成影响。对收集整理
维护发布的专项预警服务，以邮件微信短信等多种方式提供安全事件通告。
4.1.3.2安全威胁通告
服务方应向业主提供威胁情报通告服务，结合业主现状，及时洞悉公网资产面临的安全威胁，
进行准确有针对性的预警，了解最新的威胁动态，实施积极主动的威胁防御和快速响应策略，结合
安全数据的深度分析全面掌握安全威胁态势，并准确地进行威胁追踪和攻击溯源通过威胁情报共
享接通安全资源，同时借助情报共享整合专 业安全能力，有效实现及时发现快速响应，应对高级
威胁和新型未知攻击。
针对特殊或突发情况，及时提供紧急安全漏洞通告和紧急安全威胁通告。
4.1.4等级保护咨询
服务方以为委托方构建等级化的安全体系为目标，在等级保护的框架下构建一个安全可
靠灵活可持续改进的网络安全体系，对等级保护各个阶段的工作重点为客户提供全方位的支持
和服务，协助完成安全整改和等保测评工作。
4.1.5密码应用安全性评估咨询
依据信息安全技术 信息系统密码应用基本要求 GM/T 39786-2021信息系统密码应用 测
评要求试行商用密码应用安全性评估测评过程指南试行商用密码应用安全性评估测
评作业指导书试行等标准规范中关于商用密码应用安全性评估的相关要求，服务方协助委托方
完成联网收费系统 ETC发行系统密码应用安全性评估咨询工作。并协助委托方从密码算法密码
技术密码产品密码服务物理和环境安全网络和通信安全设备和计算安全应用和数据安
全密钥管理和安全管理制度人员实施应急等方面完成密码应用安全性评估问题整改的
咨询工作。
4.2 安全运维服务
4.2.1安全状况梳理
对委托方信息 系统进行全面的梳理。梳理服务分为应用系统梳理信息资产梳理网络安全构
架梳理安全架构分析四个维度。所有梳理工作完成后将编制全面详尽真实的梳理报告，识别
记录资产维保等授权期限，形成软硬件资产台账。
1应用系统梳理，调查并记录所有应用系统名称用途 IP 地址部署情况安全状态等
信息。
2信息资产梳理，调查并记录各信息系统设备种类型号功能物理位置端口对应情况
部署情况等资产详细信息。
3网络安全架构梳理，评估利用资产调查的数据进行物理设备建档，绘制网络拓扑，统计信
息系统各软硬件设备 和系统的数量拓扑位置用途等信息并每半年更新一次。
4运营商专线梳理，全面梳理各运营商数据传输专线，识别运营商名称，两端地址带宽
使用年限业务名称并及时更新。
5安全架构分析，针对重要服务器操作系统应用系统进行定期漏洞扫描及弱口令扫描等
操作，对各信息系统的网络现状网络建设规范性网络可靠性网络边界安全网络流量分析
网络通信安全网络设备安全和网络安全管理等八个方面进行网络架构安全性的全面分析，对整体
网络中的脆弱点进行识别，评估结果包括定性和定量分析，并出具详细的安全架构分析报告及建议 。
4.2.2风险评估
按照安全风险评估国家标准 GB/T20984 或行业安全监管要求，对委托方信息系统的资产状况
面临安全威胁状况安全脆弱性状况以及安全控制措施状况进行分析和评估，并对信息安全风险水
平进行综合评价。提供安全风险评估报告及风险应对措施。评估范围为联网收费系统及相关的
信息资产，主要内容包括：
1漏洞扫描：对信息系统基础设施包括但不限于服务器网络和安全设备操作系统数
据库中间件等和应用系统等进行扫描，不直接提交漏洞扫描输出的报告，而对漏洞扫描报告进
行分析提炼和验证，输出高中和 低危漏洞信息。
2操作系统核查：核查操作系统补丁安装进程端口服务用户策略权限审计
内核恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性
有效性集成特性标准特性可管理特性可规划特性等六个方面进行评估。
3数据库核查：对数据库管理系统的权限口令数据备份与恢复等方面进行核查。
4网络及安全设备核查：针对设备的访问控制策略进行检查，确定是否开放多余服务。
5病毒木马检查：通过多种方式对服务器工作站内异常进程端口进行分析，判断是否是
木马或病 毒，研究相关行为，并进行查杀。
6渗透测试：通过适当的渗透性技术检测手段，模拟黑客的各种攻击手段，对评估过程中发
现的漏洞安全隐患进行攻击测试，评估其危害程度，同时利用渗透性技术检测，发现未知应用系统
漏洞和安全隐患，提出整改建议，协助进行安全整改，出具渗透测试报告。内容包括但不限于：
弱口令本地权限提升远程溢出数据库查询等。
4.2.3指导安全加固
根据委托方计划范围内的各类安全检查等保测评漏洞扫描威胁分析等工作成果，针对发
现的安全隐患包括安全漏洞，各种错误配置等，提出并指导安全加固意见 ，配合解决在安全评
估中发现的技术性安全问题， 降低高中危安全 隐患 风险 。
服务方对 安全类资产 特征库维保 情况梳理，全面梳理系统防火墙负载均衡入侵监测漏洞
扫描等各安全设备特征库授权期限，每年组织对授权到期特征库进行采购升级，保持特征库及时更
新，抵御新型病毒风险。
4.2.4渗透测试
定期开展渗透测试，并结合等级保护合规性测评等各项检查工作的成果，综合利用安全扫描器
漏洞利用工具人工渗透测试等手段，采用外部渗透方式对应用系统和网络安全基础设施进行非破
坏性质的模拟入侵者攻击的测试，检测外部威胁源和路径，以便掌握 系统的安全状况，并对发现的
安全风险提出针对性的安全整改建议，并且为修补漏洞抵御安全风险提供技术支持。
渗透测试的主要内容包括：
序号 控制域 渗透内容
1 网络层 网络设备类型探测，服务端口扫描，弱口令探测，常规漏洞扫描及渗透验证
2 主机层 主机操作系统类型探测，服务端口扫描，弱口令探测，常规漏洞扫描及渗透验证
3 数据库层 数据库类型及版本信息探测，弱口令探测，常规漏洞扫描及渗透验证
4 中间件层 中间件类型及版本信息探测，弱口令探测，常规漏洞扫描及渗透验证
5 应用系统层
1.工具 扫描：应用系统漏洞扫描及验证，漏洞组件探测编辑器应用程序后
台等
2.人工渗透：应用系统弱口令探测，验证绕过漏洞探测，任意文件上传及下载
漏洞探测，跨站脚本漏洞探测，目录遍历漏洞探测，注入漏洞探测，页面篡改
漏洞探测等。
4.2.5日常运维
4.2.5.1安全检查
对网络设备安全设备服务器操作系统应用系统终端进行周期性的状态检查安全扫
描，开展安全审计，补丁情况等并提交巡检报告及安全建议，主要包括：
1安全设备巡检服务
提供针对性详细的安全巡检表单，通过多种手段，对网络安全设备进行周期性的 状态检查
安全扫描日志分析，补丁管理并提交巡检报告及安全建议。
2定期开展全面的安全巡检服务。
提供针对性详细的安全巡检表单，通过多种手段，对网络设备安全设备服务器操作系
统应用系统终端进行周期性的状态检查安全扫描日志分析，补丁管理并提交巡检报告及安
全建议。
3协助配合完成国家及行业安全检查服务。
4.2.6.2应急类服务
面向已发生安全事件的事中事后的取证分析及提供解决方案等工作。帮助完成应用服务瘫
痪问题网络阻塞 DDoS攻击问题服务器遭劫持问题系统异常宕机问题恶意入侵黑 客攻击
问题恶意入侵黑客攻击问题病毒爆发问题内部安全事故等安全事件的应急响应支持。
运维期间，一旦收到用户安全事件响应需求后，服务方应在 30 分钟内做出响应并立即提供在线
技术支持，无法通过远程支持解决的问题，服务方应在 2 小时内抵达用户现场。配合完成应急事件
处置加固工作，出具应急响应处置报告。
应急响应的流程包含以下内容：故障诊断故障修复系统清理和系统防护，服务完成后，提
交完整的应急事件分析报告，详细说明事件原因经过和处理方式等，而且对以后整改的方向提
供适当的解决方案。
依据委托方应急演练工 作需求，提供应急演练服务，包括信息安全攻防演练业务中断应急演
练门户网站恶意篡改应急演练信息窃取事件应急演练计算机病毒事件应急演练等安全方面的
各类演练服务，出具应急演练方案。
4.2.5.3安全值守服务
服务供应商提供的 7 8现场值守服务，包括安全设备监控安全巡检安全日志分析应急处
置四项主要内容，按月出具日常巡检报告监测报告：
1.安全设备监控：通过部省态势感知平台等对安全设备运行进行监控和维护，对重要安全设
备的日志进行检测与分析，对告警事件进行分析排查处置，预防安全事件的发生 。
2.安全巡检：对安全设备进行健康状态检查，包括系统引擎 CPU 占用率内存占用率接口
状态证书授权状态等内容
3.安全日志分析：对安全设备产生的高中风险告警事件进行分析，包括事件类型分布事件
发展趋势事件频率源地址目的地址等内容，通过日志分析最新的安全态势，给出安全策略调
整建议
4.应急处置：对突发安全事件进行应急响应，阻止安全事件影响扩大，查找安全事件产生原因。
现场值守服务主要针对如下安全设备，包括防火墙入侵检测 /入侵防护系统态势感知系统
漏洞扫描系统 VPN设备等。
4.2.5.4 重大活动会议期间安全保障
为做好重大时期安全保障工作，通过 7 24 现场值守应急响应突发事件处理等方式，为委
托方提供重点保障期间强于日常值班值守的重要信息系统安全技术服务，提供 2-5 人的保障服务团
队，确保委托方在重点保障期间能够及时应对各类网络安全突发事件，保障网络与信息系统安全稳
定运行，提供重保服务报告。重保时段包括不限于以下时段：
1.元旦春节国庆等国家法定节假日
2.国家重要会议期间
3.上级单位公安等部门组织攻防演练期间。
工作内容除驻场安全值守服务外，包括不仅限于：
1) 应急响应服务 ：
当现场安全值守发现安全事件如外部非法入侵或恶意攻击，或接到委托方的通知，启动应急
响应，服务方应在 30 分钟内响应，在 2小时内到达现场进行处理工作，把事件控制在萌芽状态。
2) 安全事件分析及建议服务：
根据最新安全情况定期对委托方网络与信息系统进行安全威胁分析。
对各类安全事件进行分析和追踪，识别事件的蔓延方式，提出建议措施，以最小危害原则
保障招标方利益。
对已造成影响的系统要求尽快以最大程度消除影响，恢复系统正常状态，保证系统的连续
性和稳定性。
根据委托方要求对事件的原因进行调查，追溯攻击危害来源，并在符 合司法程序的前提下
进行取证提供给委托方。
4.3 等级保护测评服务
依据 GB/T22239-2019信息安全技术 网络安全等级保护基本要求等国家和行业相关信息系
统安全规范标准，对辽宁省人力资源和社会保障厅厅内部署的系统进行信息安全等级测评，测评内
容为：安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制
度安全管理机构安全管理人员安全建设管理和安全运维管理等 10 方面测评任务。
1详细要求
(1)单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括：安全物理环境 安全通信网络安
全区域边界安全计算环境安全管理中心等五个层面上的单元测评管理测评包括：安全管理制
度安全管理机构安全管理人员安全建设管理和安全运维管理等五个方面的单元测评。
1安全物理环境测评内容：
物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温
湿度控制电力供应电磁防护。
2安全通信网络测评内容：
网络架构通信传输可信验证。
3安全区域边界测评内容：
边界防护访问控制入侵防范恶意代码和垃圾邮件防范安全审计可信验证。
4安全计算环境测评内 容：
身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保
密性数据备份恢复剩余信息保护个人信息保护。
5安全管理中心测评内容：
系统管理审计管理安全管理集中管控。
6安全管理制度测评内容：
安全策略管理制度制定和发布评审和修订。
7安全管理机构测评内容：
岗位设置人员配备授权和审批沟通和合作审核和检查。
8安全管理人员测评内容：
人员录用人员离岗安全意识教育和培训外部人员访问管理。
9安全建设管理测评内容：
定级和备案安全方案设计产 品采购和使用自行软件开发外包软件开发工程实施测
试验收系统交付等级测评服务供应商选择。
10安全运维管理测评内容：
环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶
意代码防范管理配置管理密码管理变更管理备份与恢复管理安全事件处置应急预案管
理外包运维管理。
(2)整体测评
系统整体测评涉及到信息系统的整体拓扑局部结构，也关系到信息系统的具体安全功能实现
和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。
中标方测评人员应根据 特定信息系统的具体情况，确定系统整体测评的具体内容，在安全控制
测评的基础上，重点考虑安全控制间层面间以及区域间的相互关联关系，测评安全控制间层面
间和区域间是否存在安全功能上的增强补充和削弱作用以及信息系统整体结构安全性不同信息
系统之间整体安全性等。
系统整体测评主要包括四个部分：分别为安全控制间安全测评层面间安全测评区域间安全
测评验证测试。
1安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内同一层面上的不同安全控制间存在的功能增强
补充或削弱等关联作用。安全功能上的增强和补充可以 使两个不同强度不同等级的安全控制发挥
更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如，
可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全
控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如，应用安全层面的代码
安全与访问控制，如果代码安全没有做好，很可能会使应用系统的访问控制被旁路。
2层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强补充和削弱等关联作
用。安全功能上的增强和补充可以使两个 不同层面上的安全控制发挥更强的综合效能，可以使单个
低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上
的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
3区域间安全测评
区域间的安全测评主要考虑互连互通包括物理上和逻辑上的互连互通等的不同区域之间存
在的安全功能增强补充和削弱等关联作用，特别是有数据交换的两个不同区域。例如，流入某个
区域的所有网络数据都已经在另一个区域上做过网络安全审计，则可以认为该区域通过区域互连后
具备网络安全审计功能。安全功能上的 增强和补充可以使两个不同区域上的安全控制发挥更强的综
合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的
削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
4验证测试
验证测试包括对主机网络数据应用含移动应用的漏洞扫描和渗透测试等，验证测试
发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
4.4 数据安全风险评估
以数据资产为中心，以网络安全为基础，以辽宁省人力资源和社会保障厅重要数据为主要评估
对象，从数据全 生命周期及数据应用场景两个纬度进行数据安全风险评估，保障被评估业务的数据
资产包含不限于人社业务数据系统数据及个人信息的机密性完整性可用性及可控性。实
施内容分为技术和 管理两个层面，技术层面包括风险识别风险分析风险评价风险处置，管理
层面包括安全管理机构安全管理人员数据安全管理制度等。
1风险识别
基于数据全生命周期，梳理辽宁省人力资源和社会保障厅数据资产 ,建立数据资产清单根据人
社部数据分类分级相关要求，对数据进行分类分级，完善数据分类分级目录确定不同安全级别的
数据类型，进而形成业务 场景下的重要数据范围，制作人社重要数据图谱，实现业务流识别数据
流识别数据责任识别数据重要程度识别。
2风险分析
安全威胁分析：从数据生命周期与数据应用场景两个纬度去发现数据所面临的各种威胁，重点
关注数据流转中的动态安全风险，从数据合规数据泄露数据篡改数据不可用以及数据未授权
访问等层面分析数据流转各要素的安全威胁。
1数据访问账号和用户权限管理：通过账号专人专用账号独立账号授权审批最小授权
账号及时回收行为内部审计定期账号稽核等方式控制。
2数据使用过程的访问权限管理：批量操作审 批高敏感数据访问审批批量操作和高敏感数
据访问的过程内部审计记录开发测试访问模糊化访问行为定期稽核等方式控制。
3数据共享提取权限管理：通过最小共享和泛化共享提取审批最小使用范围责
任传递定期稽核等方式控制。
4定期权限稽核：通过数据安全合规检查操作监管或稽核数据访问账号和权限的监管与稽
核业务单位和运维的数据访问过程的合法性监管与稽核日志风险分析与数据安全性测试等方式
控制。
5数据存储管理：通过涉密数据存储的网络区隔敏感数据存储加密备份访问管理存储设
备的移动管理存储 设备的销毁管理等方式控制。
安全脆弱性分析：通过工具监测人工核查文档查阅等手段，分析基于业务场景的数据处理
活动存在的风险，包括管理以及技术层面在数据安全管理系统运维管理数据库数据应用各模
块具体内容的数据安全脆弱性节点，明确数据安全脆弱性分布，判断脆弱性可利用程度和脆弱性对
数据资产影响的严重程度。
1风险评价
将数据应用场景中的安全威胁和脆弱性与具体安全措施关联分析后，通过定性分析展现风险严
重程度以及分析可能性，通过定量计算得出数据全生命周期不同阶段所面临威胁的风险值及风险等
级，明确数据安全风险评 估结果。
4风险处置
根据数据安全风险评估结果，针对不同的风险容忍度采取不同的策略，制定不同的整改措施，
协助建设单位完成风险整改，提升数据安全防护能力，提升数据安全保障能力风险发现能力，确
保数据安全风险可控。
5安全管理人员评估
根据现场安全评估记录，针对辽宁省人力资源和社会保障厅重要数据承载系统在人员安全管理
方面的人员配备人员离岗外包运行维护人员管理安全 意识教育和培训以及外部
人员访问管理等评估指标，判断出与其相对应的各评估项的评估结果。
6安全管理机构评估
根据现场安全评 估记录，针对辽宁省人力资源和社会保障厅重要数据承载系统在安全管理机构
方面的岗位设置授权和审批等评估指标，判断出与其相对应的各评估项的评估结果。
7安全管理制度评估
根据数据安全监管单位的数据安全管理要求，分析制度方面的差距，协助完善相关数据安全管
理制度。具体包括：完善数据安全管理办法数据安全分类分级制度数据安全应急预案数据安
全防范实施细则等。
五 交付周期要求
三年，完成等级保护测评服务信息安全运维驻场服务数据安全风险评估工作。
六 付款方式：
1.中标方在完成第一年度等保测评和 风险评估工作，并交付等保报告和安全评估报告后，支付
合同总额的 50%
2.中标方在完成第二年等保测评工作，并交付等保报告后，支付合同总额的 25%
3.中标方在完成第三年等保测评工作，并交付等保报告后，支付合同总额的 25%
以上款项由辽宁省农村信用社联合社各法人机构按照实际发卡量分摊，发票发票形式及税率
按出资方要求由卖方分别开出。
三 评分细则
项目 分项名称 评分标准 满分
价格部分
30 分 投标报价
满足招标文件要求且投标报价中最低的投标报价为评标基准价其价格分为满
分其他投标人的价格分统一按照以 下公式计算：
投标报价得分 评标基准价 /投标报价价格权值 100
30
技术部分
35 分
总体方案
投标人的服务内容，满足招标文件技术需求：
方案完整详细，科学合理，技术先进，具备操作性强，得 5分
方案计较完善，比较合理，具有一般操作性，得 3 分
基本满足招标文件技术要求，得 1 分
未提供或内容存在严重缺陷，得 0 分。
5
安全咨询
方案
投标人的服务内容，满足招标文件技术需求：
安全咨询方案完整详细，科学合理，技术先进，具备操作性强，得 5 分
方案计较完善，比较合理，具有一般操作性，得 3 分
基本满足招标文件技术要求，得 1 分
未提供或内容存在严重缺陷，得 0 分。
5
安全运维
方案
投标人的服务内容，满足招标文件技术需求：
安全运维方案完整详细，科学合理，技术先进，具备操作性强，得 5 分
方案计较完善，比较合理，具有一般操作性，得 3 分
基本满足招标文件技术要求，得 1 分
未提供或内容存在严重缺陷，得 0 分。
5
等保测评
方案
投标人的服务内容，满足招标文件技术需求：
等级保护测评方案完整详细，科学合理，技术先进，具备操作性强，得 5 分
方案计较完善，比较合理，具有一般操作性，得 3 分
基本满足招标文件技术要求，得 1 分
未提供或内容存在严重缺陷，得 0 分。
5
数据风险评
估方案
投标人的服务内容，满足招标文件技术需求，数据风险评估方案完整详细，科
学合理，技术先进，具备操作性强的得 5 分。方案计较完善，比较合理，具有
一般操作性的得 3 分，基本满足招标文件技术要求的得 1 分，未提供或内容存
在严重缺陷，得 0 分。
5
培训方案
对辽宁省人力资源和社会保障局信息系统网络安全和商用密码应用的培训方
案：
提供的内容完整详实，符合项目要求，符合人社厅及所属单位实际情况并具
有可操作性，得 5 分
提供了 通用简单的培训方案，具有一定可行性，得 3 分
方案存在欠缺，得 1 分
未提供或方案存在严重缺陷，得 0 分。
5
实施工具
方案中包含测评需要的漏洞扫描密码和安全测试等仪器设备和工具，有 1 种，
得 1 分，最多得 5 分。
提供仪器一览表和购置设备工具的合同或发票复印件证明为投标人自有
5
商务部分
35 分 项目经理
实施技术方案中项目负责人具有 ：
注册网络安全渗透评估专业人员 NSATP-A高级证书得 2 分
人社部门颁发的信息系统项目管理师得 2 分
商用密码应用安全性评估人员测评能力考核证书得 2 分 。
需提供身份证复印件证书复印件开标前 6 个月任意一个月社保缴纳证明
复印件，以上材料加盖投标人公章。
6
团队成员
项目团队人员项目经理除外具有 ：
信息系统项目管理师系统分析师注册网络安全渗透评估专业人员 NSATP-A
高级证书网络或信息安全等级测评师高级 商用密码应用安全性评
估人员测评能力考核证书，每种证书，得 2 分，最多得 10 分。
需提供身份证复印件证书复印件开标前 6 个月任意一个月社保缴纳证明
复印件，以上材料加盖投标人公章。同一人取得多个证书的分值兼得。
10
企 业能力 1
投标人具有良好的测评服务体系和确保测试数据可信的服务能力：
具有检验检测机构资质认定证书，得 2 分，未提供不得分
具有中国合格评定国家认可委员会检验机构认可 CNAS 证书，得 2 分，未提供不
得分
具有中国合格评定国家认可委员会实验室认可 CNAS 证书，得 2 分，未提供不得
分。
提供相关证明材料并加盖投标人公章
6
企业能力 2
投标人具有良好的网络安全商用密码应用咨询服务体系和技术保障能力
具有 ITSS 信息技术服务咨询设计标准符合性证书，得 2 分
投标人具有自主密码测评能力，投标人须在国家密码 管理局发布的商用密码
应用安全性评估试点机构目录国家密码管理局公告第 42号内，须提供公
告截图或其他证明材料，得 2分
提供相关证明材料并加盖投标人公章
4
体系认证
投标人具有 有效的 信息系统安全运维服务资质认证证书得 1分
投标人具有 有效的 信息安全风险评估服务资质认证证书得 1分
供应商具有 有效的 信息安全应急处理服务资质认证证书得 1分。
3
类似业绩
近 3 年 2020年 1月 1 日 至投标文件递交之日止独立完成过网络安全技术保
障服务业绩，每 提供 一个 合格的业绩 ，得 2 分，最多得 6 分。
提供合同复 印件并加盖投标人公章
6
合计 100

四 联系方式
代理机构：辽宁工程招标有限公司
地 址：沈阳市和平区南九马路 47号
邮 编： 110005
联系人：李先生
电 话： 024-82612028
邮 箱： lngczbyxgs126.com
辽宁工程招标有限公司
二二 三 年 六 月 二十一 日

招标代理机构项目负责人： 签名

联系人：郝工
电话：010-68960698
邮箱：1049263697@qq.com