一、项目名称

恩施州食品安全追溯系统三级等保测评

二、招标内容

恩施州食品安全追溯系统三级等保测评具体详见招标文件《采购清单》

三、采购预算

7.5万元整（投标人报价超出最高限价视为投标无效）

四、投标人资格要求

（一）应具备《中华人民共和国政府采购法》第二十二条规定的条件；

（二）未被“信用中国”网站（www.creditchina.gov.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单；

（三）具有公安部第三研究所（国家认证认可委员会批准的认证机构）认证发放的《网络安全等级测评与检测评估机构服务认证证书》。湖北省外测评机构必须具备湖北省公安厅认定的《等级测评机构异地测评项目备案表》。

（四）不接受联合体形式的投标。

五、投标信息

凡有意向参与此次询价的供应商，请于2024年9月13日12时前将营业执照、税务登记证、组织机构代码证（已办理三证合一的只需提供营业执照）原件（现场查验后归还）、骑缝加盖公司印章的封存询价响应文件送至恩施州市场监督管理局406室，并现场确认是否能完全满足恩施州食品安全追溯系统三级等保测评要求，确认满足相关要求后方可提交询价响应文件，逾期报名将不予受理。

询价响应文件的具体要求：

（一）供应商资格要求中所需要的证明材料原件或复印件（以上所有资料的复印件须清晰可辨并加盖公章一套）；

（二）加盖公章的报价单；

（三）供应商所报价的产品必须和采购清单匹配。

六、竞价方式

恩施州市场监督管理局相关询价小组成员共同开启询价相应文件，在资质合格的供应商中由总价报价最低的投标人提供三级等保测评服务。

七、发布公告的媒介及联系方式

发布网址：恩施土家族苗族自治州市场监督管理局官网

联系人：曾力

联系电话：0718-*******

地址：湖北省恩施市施州大道18号

一、项目名称

恩施州食品安全追溯系统三级等保测评

二、项目概况

我单位高度重视网络安全保障工作，为满足公安机关的监管要求，拟对恩施州食品安全追溯系统开展三级等保测评工作，测评机构需要提供切实有效的整改方案并提供整改咨询方案；对整改后的信息系统进行回归测评，并出具正式等级保护测评报告，最终达到国家等级保护相关要求，通过公安机关备案手续。

三、服务内容及范围

等级保护测评服务：

参照《GBT*****-2019 网络安全等级保护基本要求》《GB/T*****-2019 网络安全等级保护测评要求》等标准规范要求，开展信息系统等级保护测评及整改工作。测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。

四、标准和规范

《GB *****—1999 计算机信息系统 安全等级保护划分准则》

《GBT *****—2006 信息安全技术 信息系统安全管理要求》

《GBT *****—2006 信息安全技术 网络系统安全通用技术要求》

《GBT *****—2019 信息安全技术 操作系统安全技术要求》

《GBT *****—2019 信息安全技术 数据库管理系统安全技术要求》

《GB/T *****-2020 信息安全技术 网络安全等级保护定级指南》

《GBT *****—2019 信息安全技术 网络安全等级保护基本要求》

《GB/T*****—2019 信息安全技术 网络安全等级保护设计技术要求》

《GB/T*****—2019 信息安全技术 网络安全等级保护测评要求》

《信息安全等级保护备案实施细则》（公信安[2007]1360 号）

《GB/T *****-2019 信息安全技术网络安全等级保护实施指南》

《GB-T*****-2018信息安全技术网络安全等级保护测评过程指南》

《信息安全等级保护管理办法》（公通字〔2007〕43号）

本项目实施方案设计与具体实施必须满足以下原则：

（一）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标方的行为。

（二）标准性原则：测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。

（三）规范性原则：投标方工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

（四）可控性原则：项目安排工作进度要跟上进度表的安排，保证工作的可控性。

（五）最小影响原则：测评工作应尽可能小地影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

（六）整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

五、整体要求

（一）投标人应详细描述本次信息系统安全等级保护测评的整体实施方案，包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。

（二）投标人应完成信息系统定级报告及定级材料的准备、整理，完成信息系统去公安机关的备案工作。

（三）投标人应详细描述测评人员的组成、资质，投标人参与测评人员不少于4人，其中须提供至少一名高级测评师或信息安全管理工程师。

（四）本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在信息系统等级保护测评中使用。

（五）信息系统安全等级保护测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

（六）投标人应提供本次信息系统安全等级保护整改的整体实施方案，包括项目时间安排、阶段性文档提交等，并负责实施整改。

六、专用工具要求

本项目涉及工程实施和验收测试所需的工具，由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前，应对工具进行测评，如果需要则对工具进行软件或代码升级。

七、安全管理要求

为做好全过程的安全保密工作，在等级保护测评前、中、后三个阶段都要做好安全保密工作。

（一）等级保护测评前

1.对等级保护测评人员要进行安全保密教育，制定安全保密措施；

2.签订安全保密协议。

（二）等级保护测评中

1.对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理；

2.等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序；

3.对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围；

4.对测评设备、介质进行严格的保密管理；

5.工作过程中对人员要实施封闭式集中管理；

6.对进场人员遵守被测单位的相关管理规定。

（三）等级保护测评后

1.认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏；

2.现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何代码或可执行程序；

3.在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。

八、售后服务

投标方承诺能按要求实现本技术规范规定的所有条款及功能要求，配合完成相关政府部门的信息安全等级保护相关（登记、整改等）工作要求。