河南省地震局信息系统网络安全等级保护测评服务项目（商务谈判-2022-8）于2022年7月13日15时整，在河南省地震局606会议室召开商务谈判，现就本次谈判结果公布如下：

一、参加投标单位

河南金鑫信息安全等级技术测评有限公司

河南金盾信安检测评估中心有限公司

河南省鼎信信息安全等级测评有限公司

联通数字科技有限公司

二、评标信息

此次采购采用局内商务谈判进行，谈判公告于2022年7月8日在河南省地震局官网发布。谈判小组根据采购方案要求，对4家参与谈判单位提交的谈判文件进行仔细审核。

谈判小组按照“最低价中标”对谈判文件进行了评审，确定了最终成交单位。

评审专家名单：宋代宪、孟斐、谢恒义、李晓阳、韩艳杰

三、采购内容

详见附件。

四、成交信息

中标公司：河南金鑫信息安全等级技术测评有限公司。

中标金额：大写：柒万捌仟元整。

小写：7.80万元。

中标人地址：郑州市金水区优胜南路26号国奥大厦13层8号。

五、采购人信息

单位名称：河南省地震局

地址：郑州市郑东新区正光路10号

采购人联系方式：韩艳杰；0371-********

公示时间：2022年7月14日至7月15日

监督电话：0371-********

在公示期间，各谈判单位对本采购的谈判结果有异议的，请谈判单位法人携带法人证明、身份证原件或授权委托人携带委托书、身份证原件及营业执照副本原件以书面形式并加盖公章到相关部门提出质疑，逾期将不再受理。

河南省地震局

2022年7月14日

附件：

服务需求及技术要求

1.项目范围

河南省地震局4个信息系统（二级）等级保护测评：门户网站、公共信息服务平台、政事办公系统、地震综合业务系统。

2．具体要求

项目总体管理和技术要求：总体要求与《信息安全等级保护管理办法》（公通字[2007]43号）、《信息系统安全等级保护实施指南》（信安字[2007]10号）和《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号）等信息安全等级保护系列文件要求保持一致，开展信息安全等级测评工作。具体信息安全技术标准以文件相应部分提及的为准。

(1)等级测评要求

1）项目内容

本项目按照信息安全等级保护2.0测评标准进行安全等级测评。具体项目测评内容如下：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。

安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评。

2）具体要求

在安全等级测评过程中，每个工作阶段、流程、内容及成果交付严格遵循《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护测评过程指南》文件，根据本项目信息系统已完成的定级备案安全等级，开展相应级别的安全等级测评工作，根据测评结果出具相应的单项和整体测评报告，测评报告需得到项目单位的确认，并报送网安部门审核、批复。测评报告编制的内容及格式严格遵照《网络安全等级保护测评报告模版（最新版）》进行。

测评技术团队符合《网络安全等级保护测评机构管理办法》对测评机构和测评人员管理的要求，项目负责人由公安部培训考核认证通过的信息安全高级等级测评师承担，通过注册信息安全专业认证、具备良好的教育背景、受过专业的技术培训、拥有丰富的行业信息安全及等级测评安全服务工作经验，对用户在信息系统安全等级测评过程中可能会面临的各类技术问题提供及时解决方案。

3）项目交付成果

项目阶段各阶段的测评过程文档（参照《信息安全技术网络安全等级保护测评过程指南》）编制。详见下表（包括但不限于）

(2)整改建议要求

1）具体要求

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统测评工作的基础上，对信息系统总体信息安全管理和技术方面现状进行全面的分析，提供安全风险评估、安全需求分析、安全方案设计、安全集成、安全监控和运维等安全工程类信息安全服务咨询，并制订信息安全等级保护安全建设整改方案，方案内容包含但不限于：信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算，整改后可能存在的其他问题。

2）工作过程文件及项目交付成果（包括但不限于）

安全等级测评整改技术方案，方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。

3）提交要求

需包含如下内容：

(3)安全咨询要求

安全服务机构建立专业团队对网络安全现状进行调研、梳理，按照国家等级保护要求、行业网络安全要求及信息安全规划，以ISO*****、ITIL系列标准以及国际、国内最佳实践为指导，提供信息安全等级保护等相关安全咨询服务，保证本项目建设期内持续性、连续性安全需求。咨询服务内容包括：安全风险评估、安全需求分析、安全方案设计、安全集成、安全监控和运维等安全工程类信息安全服务咨询；系统定级、备案、测评、建设整改等咨询；信息技术服务管理体系、信息安全管理体系认证等合规咨询。

服务要求

依据前期等保测评结果，结合监管部门要求、国家等级保护制度要求以及信息安全发展方向，为本项目提供满足未来三至五年信息安全管理体系建设规划。

安全管理体系建设规划要求能够落地，明确信息安全管理的方针、目标和对象。在信息安全管理标准框架下，通过制订各项信息安全管理制度，规范信息安全日常管理工作，切实提高本项目的信息安全基础管理水平，实现制度化、流程化、体系化的管理思想。

(4)渗透测试要求

对信息系统中的主机操作系统、数据库系统、应用系统等进行模拟攻击测试，在保证整个渗透测试过程都在可以控制和调整的范围之内，尽可能的获取目标信息系统的管理权限以及敏感信息，以查找和分析安全漏洞和隐患。每次渗透测试后出具正式的分析报告和解决方案。

服务要求

由具备注册渗透测试资质和专业能力认证的工程师现场部署渗透环境，通过真实模拟黑客使用的工具、分析方法来对网站进行模拟攻击，并结合智能工具扫描结果，进行深入的人工测试和分析，识别工具弱点扫描无法发现的问题，主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析。

渗透测试后出具正式的分析报告和解决方案，针对渗透测试出的问题、漏洞、缺陷等，完成整改及后续验证工作，每项渗透内容报告需要包括问题整改和验证的过程记录及详细的解决方案。

(5)应急响应要求

为本项目建立安全应急预案，遇到重大安全事件如网络入侵、大规模病毒爆发、遭受拒绝服务攻击等，无法及时对该事件进行处理或解决时，需供应商安排专业技术人员以7*24小时远程、电话、邮件及现场等方式提供应急响应支持，快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重性影响，查明安全事件原因，确定安全事件的威胁和破坏的严重程度，并根据对事件的分析及原因提供相应的解决方案。

服务要求

在发现安全事件时，须及时判断安全事件的级别。针对严重的安全事件，对安全事件进行紧急分析处理、灾难恢复和和入侵追踪和取证，并出具应急响应报告（含加固建议）。

建立长期稳定的本地专业安全服务团队，并通过专业认证，在发生重大安全事件时，1.5小时内提供现场应急响应；在发生一般安全事件时，3小时内提供现场应急响应。

服务期发生技术问题解决方案提交的期限为卖方收到买方通知后2天内。

(6)安全培训要求

面向全员的安全意识培训：结合企业信息安全保障的重点，着重提高所有人员的信息安全意识和技能，对人员理解信息安全对机构的意义，开展信息安全工作，在机构内逐步建立和融入信息安全文化，提高整体信息安全防护水平。

面向技术人员的安全技术培训：对信息化技术人员培训重点是熟悉网络安全技术、了解各种常用安全产品的原理，能正确使用解决方案中的各种安全产品，以达到最佳的安全保障效果。主要的培训内容包括安全域培训、入侵检测技术、漏洞发现技术，安全产品管理、用户管理策略、日志分析方法、故障诊断和维护等。

面向技术主管与管理层的管理体系培训：对技术主管和管理层的培训重点是信息安全知识体系和安全意识的，目的是使管理人员在了解了信息安全知识体系的基础之上，注意到使用信息系统的风险，并使他们关注降低风险的对策。

网络攻防实训：针对常见的网络攻防技术手段，组织用户动手实践，使用户深刻理解网络攻防的基本理论，掌握常用的网络攻防技术手段和工具软件，具备能够科学合理地提升单位网络安全水平、独立处理日常信息系统运维过程中可能出现的安全事件的能力。

培训师资要求：讲师需具备良好的教育背景、受过专业的技术培训、拥有丰富的行业信息安全等级测评工作经验。

3．项目服务期

1年

4．项目成果

（1）《网络安全等级测评报告》

（2）《网络安全等级测评整改建议》

（3）系统定级材料编制

（4）交付项目涉及的所有业务系统的安全等级测评整改技术方案对应的文档，及其对应的安全等级测评报告原件（附Word电子版文件），可根据整改和规划内容的重要性和复杂程度采用分册方式编写。

（责任校对：赵璇）