武汉市特种设备监督检验所电梯地理信息系统等保评测项目询价公告

为规范软件系统等保评测工作，我所现对我所《武汉市电梯地理信息系统》等保评测项目进行公开询价，欢迎符合要求的企业进行报价，现将有关事项告知如下：

一、供应商报价须知

（一）资格条件和相应要求

1、具有独立法人资格，具有相应经营范围。

2、具有软件系统安全等级保护评测资质。

3、本次询价采购接受经销商或生产企业报价。供应商在报价时应提供：服务项目、价格、服务周期等相关信息。

4、询价文件的更正和答疑

如供应商对本询价文件有疑问或质疑，请通过电子邮件提出，电子邮箱为********@qq.com。如询价文件有任何修改，将电话及邮件通知。

5、潜在的供应商，请于2023年11月27日10时至2023年12月4日11时向本单位递交报价书。逾期送达，采购人不予接收。

6、报价书请递交至武汉市特种设备监督检验所405（武汉东西湖区金银潭现代企业城A6栋）质量科研部，联系电话：027-********，邮编：******。

（二）报价书编制

1、供应商在制作报价书时，提供完整报价明细。

2、供应商提供的文件或其复印件，必须清晰、完整，复印件要求加盖公章。

3、报价书在其重要内容方面须有签章。

4、报价书一份正本即可。

5、货物需求如有参考品牌，仅作为说明没有限制性，被询价供应商可以在报价书中选用替代标准，但这些替代标准要优于或相当于技术规格中要求的标准。

二、采购需求：

1、项目目标

按照《信息安全技术网络安全等级保护基本要求》（GB/T *****-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T *****-2019）、《信息安全技术网络安全等级保护定级指南》（GB/T *****-2020）和有关规定及要求，协助采购方进行系统定级、备案工作。完成对平台的安全等级保护测评工作，指导采购方对系统测评中提出的不符合项进行整改，提出安全整改建议，编制整改方案。最终出具符合要求的安全等级保护测评报告，协助采购方取得公安机关颁发的备案证明。

投标人需提供现场安全服务，设立网络安全服务站，并提供安全监测、建设咨询等安全服务，提供7*24小时安全服务和实时安全态势、威胁情报服务，及时通报网络安全状况，协助用户防范安全事故的发生。

2、参考标准

《GB/T*****-2019信息安全技术 网络安全等级保护基本要求》

《GB/T*****-2019信息安全技术 网络安全等级保护设计技术要求》

《GB/T*****-2019信息安全技术 网络安全等级保护测评要求》

《GB/T*****-2018信息安全技术 网络安全等级保护测评过程指南》

《GB/T*****-2019信息安全技术 信息系统安全等级保护实施指南》

？《GB/T*****-2020信息安全技术 网络安全等级保护定级指南》

3、测评内容

依据等级保护政策要求、技术标准和管理规范以及行业要求开展测评，内容包括但不限于以下内容：

（1）安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评；

（2）安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评；

（3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。

安全物理环境

针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等；涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

安全通信网络

针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证。

安全区域边界

针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

安全计算环境

针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

安全管理中心

针对整个系统提出的安全管理方面的技术控制要求，通过技术手段实现集中管理；涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

安全管理制度

针对整个管理制度体系提出的安全控制要求，涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

安全管理机构

针对整个管理组织架构提出的安全控制要求，涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

安全管理人员

针对人员管理提出的安全控制要求，涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

安全建设管理

针对安全建设过程提出的安全控制要求，涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务投标人管理。

安全运维管理

针对安全运维过程提出的安全控制要求，涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

4、人员要求

投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。项目实施团队不得少于4人；测评实施的人员必须具有等级保护测评师资质，项目负责人应具有高级测评师资质。

5、工作要求

（1）投标人应详细描述本次项目的整体实施方案，包括项目概述、技术方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

（2）安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

（3）投标人应提供针对本项目的工期要求和人员要求进行详细解读，提供详实、可行进度计划及保障措施。

（4）投标人应具有专业服务团队，并可提供网络安全服务站或攻防演练实验室平台，确保提供高效、精准的安全风险检测结果。

（5）投标人应具有良好的资信状况，提供企业资信等级证书和近一年财务审计报告。

（6）投标人应提供近三年从事网络安全等级保护测评项目的业绩（项目名称、客户名称、项目内容、合同金额等）介绍。

（7）投标人应具有本地化服务能力，提供相关证明文件。

（8）投标人应按照国家标准和行业要求提供规范化、标准化的服务，近1年没有发生被主管部门责令停业或整改的情况（提供承诺书）。

6、工具要求

本项目实施和验收测试所需的工具，由投标人负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前，应对工具进行测评，如果需要则对工具进行软件或代码升级。投标人须提供测评所使用工具的合同或证明文件。

7、保密要求

（1）投标人必须和采购人签订保密协议，投标人必须要与参加此次项目的所有项目组成员签订保密协议，在合同签订时一并提供给采购人。

（2）投标人具体实施项目中的重要资料和结果，在项目实施期间和实施结束后，投标人不得带离该地点。

（3）投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。

（4）投标人应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险。

（5）投标人应对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

8、测评质量要求

项目管理是贯穿整个项目的一项任务。通过实施有效的项目管理，保证本项目能够按工作范围要求、按时间、按质量完成。投标人应提供质量控制及保证措施方案，包含项目质量控制及保证措施等。

9、测评风险规避要求

项目开展工作涉及到单位重要信息系统和数据，投标人在测评过程中必须加强安全保密管理与风险控制，制定相关方案和应急措施。

10、验收要求

（1）中标人和采购人双方依据项目内容和进度共同实施验收工作，验收结果和验收报告经双方确认后生效。

（2）中标人必须提交《网络安全等级保护测评报告》，中标人协助采购人办理信息系统定级备案手续，并取得备案证书。该项目过程中产生的文档，归采购人所有。

11、售后服务要求

（1）投标人承诺提供1年咨询服务，服务方式包括电话技术支持、远程技术支持、现场技术支持等。

（2）投标人应提供本地化服务，具有专业化服务团队。（提供常驻售后服务机构或合作企业资料复印件、营业场所租赁或购买合同复印件、人员社保证明资料等其他证明材料）。

武汉市特种设备监督检验所

2023年11月24日

电梯地理信息系统等保评测项目询价公告.docx