各有关供应商：

根据业务需要，我单位拟开展业务应用系统等级保护测评和相关服务工作，现就有关事宜进行公开询价，有意向单位可按要求进行书面报价。

一、 项目名称

业务应用系统网络安全等级保护测评和相关服务项目

二、 基本要求

（一）针对以下8个系统提供网络安全等级保护测评服务，以下系统含多个子系统或功能模块

1. 河北省文化和旅游厅官网（三级）

2. 河北省文化和旅游信用监管平台（含信用信息网）（三级）

3. 河北省文化和旅游产业信息管理服务平台（三级）

4. 河北省文化艺术科学规划和旅游项目管理系统（三级）

5. 第十三届中国艺术节河北省云上观摩系统（三级）

6. 河北省乡村旅游监测系统（三级）

7. 可阅读长域数字云平台（三级）

8. 河北省公共文化云（三级）

（二）对互联网系统提供EASM（外部攻击面管理）服务：针对本单位互联网资产提供一年的深度检测，包括20个资产或IP。

（三）售后服务内容

1. 提供免费售后服务期限：自合同签订之日起一年。

2. 服务期内，不定期的提供安全事件通告服务，提供最新的安全漏洞预警信息、病毒、入侵手法，并提供修补或临时性措施。

3. 服务期内，如遇网络安全事故，30分钟内做出响应，1个工作日内排除故障；提交问题处理报告，说明问题种类、问题原因、问题解决方法等情况。

4. 服务期内，提供信息安全建设咨询和整改建议等技术支持服务，涵盖系统建设、运维、管理、技术等相关安全问题。

5. 服务期内，在攻防比赛或者上级检查前，针对重要信息系统提供安全检查方案，参照相关标准和规范，对所有重要应用系统服务器进行漏洞扫描，并出具报告。

三、 有关资质要求

（一）具备公安部第三研究所颁发的从事网络安全等级保护测评资质《网络安全等级测评与检测评估机构服务认证证书》。

（二）具备良好的社会形象和商业信誉，具有等级保护测评和网络安全监测经验。

（三）遵守国家有关法律、法规制度，财务会计制度健全，经营活动中无重大违法违规记录。

（四）具备中国网络安全审查技术与认证中心颁发的CCRC信息安全服务资质认证证书（信息系统安全运维、信息安全应急处理、信息安全风险评估）。

（五）专业技术人员和管理人员要求

为保证项目质量，拟投入本项目的总测评师不少于6人，其中信息安全高级测评师不少于2人，信息安全中级测评师不少于2人（可从“中国网络安全等级保护网www.djbh.net”测评机构中查询，并提供相关截图）。

四、 服务要求

（一）等级保护测评

参照相关标准和规范，对甲方指定的系统开展等级保护测评相关工作，通过对被测系统的物理环境、网络设备、服务器群、应用软件系统平台以及管理制度实施等级保护测评，梳理被测系统的资产状况，明确被测系统的安全建设现状，找出存在的安全风险，提出安全整改建议，并以此为基础，进一步制定安全建设整改方案，完善保护措施。通过测评，可以提高招标方的安全意识，增强招标方网络的安全保障能力，保证重要信息系统的正常运转，使被测系统满足我国关于等级保护相应级别的具体要求，并出具网络安全等级测评报告。

（二）对互联网系统提供EASM（外部攻击面管理）服务

针对本单位互联网资产提供一年的深度检测，包括20个资产或IP。主要包括主机设备、WEB站点、数字暴露面、供应链等资产的发现并进行安全标记，支持漏洞、弱口令、文件/代码泄露、站点安全事件等风险的持续自动化测试和安全风险优先级评估，从攻击者的视角将多维安全情报与资产进行关联分析、将资产、风险变化等数据绘制为攻击面，进行可视化展示，破除资产和风险的孤岛效应，洞察风险形式，直观快速掌握风险点及风险等级，提供攻击面管理大屏可视化,实现安全挂图作战。提供包括漏洞验证、安全事件验证服务、热点漏洞应急扫描、专家深度检测、问题复查、报告输出等服务能力。

五、 报价须知

（一）供应商应按照本项目要求，编制报价单并附营业执照和资质证明；

（二）供应商应对所提供的全部资料的真实性、合法性承担法律责任。未按询价函的要求提供的报价单将被拒绝；

（三）供应商报价单须在本询价函规定的询价截止时间（2024年6月6日下午16:00）前，以电子版扫描形式（加盖单位公章）报送至邮箱。

联 系 人：刘特

联系电话：0311-********

邮 箱：wxgz@hebeitour.gov.cn

河北省文化和旅游厅

2024年6月4日