四川中志招标代理有限公司受成都农业科技职业学院的委托，就成都农业科技职业学院信息系统安全等级保护测评服务采购项目项目（项目编号：SCZZ17-2017-420）组织采购，评标工作已经结束，成交结果如下：

一、项目信息

项目编号：SCZZ17-2017-420

项目名称：成都农业科技职业学院信息系统安全等级保护测评服务采购项目

项目联系人：曹先生

联系方式：***-********

二、采购单位信息

采购单位名称：成都农业科技职业学院

采购单位地址：成都市温江区柳城街道德通桥路392号

采购单位联系方式：吴老师 ***-********

三、采购代理机构信息

采购代理机构全称：四川中志招标代理有限公司

采购代理机构地址：成都市高新区吉泰五路88号3栋7层1号(花样年·香年广场)

采购代理机构联系方式：曹先生 ***-********

四、成交信息

招标文件编号：SCZZ17-2017-420

本项目招标公告日期：2017年12月05日

成交日期：2017年12月12日

总成交金额：18.8万元（人民币）

成交供应商名称、地址及成交金额：

谈判小组、询价小组、磋商小组成员名单及单一来源采购人员名单：

刘放、刘雄、向模军

五、项目用途、简要技术要求及合同履行日期：

一、项目背景

为贯彻落实国家信息安全等级保护制度，保障我校信息系统安全、稳定、可靠、高效的运行，按照国家信息安全等级保护有关政策和标准规范，需要对我校信息系统开展信息系统安全等级保护测评工作，从而进一步完善信息安全管理体系和技术防护体系，提高信息系统整体安全保护能力。

二、项目技术要求

（一）信息系统技术安全性测评

（1）物理安全测评

物理安全检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。

（2）网络安全测评

网路安全测评应当包含：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。

（3）主机安全测评

主机安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

（4）应用安全测评

应用安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

（5）数据安全及备份恢复测评

数据安全及备份恢复测评应当包含：数据完整性、数据保密性、备份和恢复。

（二）信息系统管理安全测评

（1）安全管理制度测评

安全管理制度测评应当包含：管理制度、制定与发布、审批和修订。

（2）安全管理机构测评

安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（3）人员安全管理测评

人员安全管理测评应当包含：人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。

（4）系统建设管理测评

系统建设管理测评应当包含：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全供应商选择。

（5）系统运维管理测评

系统运维管理测评应当包含：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

（三）风险分析和评价

依据GB/T20984-2007《信息安全技术信息安全风险评估规范》，针对被测试信息系统采用风险分析方法，分析信息系统测评结果中存在的安全问题可能对信息系统安全造成的影响，并给出发现的安全问题以及风险分析及评价情况，同时出具相应的信息安全风险评估报告。

（四）专项测试评估

按照等级保护测评要求，测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试，采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障。

（1）渗透测试

验证防火墙策略正确性；保证用户登录窗体身份验证的安全性；非授权用户不能浏览到未授权内容；不存在跨站点脚本攻击漏洞；脚本不存在SQL、Cookie注入漏洞；安全的处理异常，没有出错页面泄露系统信息；应用和系统漏洞及其他。

（2）性能测试

通过模拟手段对网络（包括丢包、时延、带宽等）、软件系统（包括负载、响应）、负载下硬件占用（包含CPU、内存）等进行全面的测评评估验证系统的可靠性、可用性，通过对测试结果的分析，给出相应的整改建议。

（3）漏洞扫描

据GB/T 18336.1-2015《信息技术 安全技术 信息技术安全评估准则》等标准、规范要求对我单位重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞，指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。

三、实施依据

本次测评项目实施需遵循以下依据：

（1）中华人民共和国计算机信息系统安全保护条例（国务院第147号令）；

（2）信息安全等级保护管理办法(公通字[2007]43号)

（3）信息系统安全等级保护基本要求(GB/T 22239-2008)；

（4）信息系统安全等级保护测评要求(GB/T 28448-2012)；

（5）教育部关于加强教育行业网络与信息安全工作的指导意见（教技〔2014〕4号）；

（6）其它国家、省、行业等级保护有关要求及标准。

四、交付成果

（1）《信息系统安全等级保护备案证明》【每个系统一份】

（2）《信息系统安全等级保护定级报告》【每个系统一份】

（3）《信息系统安全等级保护测评报告》【每个系统一份】

（4）《信息安全整改建议》【每个系统一份】

（5）《信息安全风险评估报告》【每个系统一份】

★五、商务要求

（一）服务期限：

比选申请人必须保证本项目在合同签订后60个工作日之内完成。

比选人指定地点。

（三）合同价款支付方式和条件：

签约时，乙方向甲方缴纳合同金额5%的履约保证金。甲方收到乙方出具的符合监管部门要求的“信息系统安全等级保护测评报告”，以及由成都市公安局颁发的“信息系统安全等级保护定级备案证书”，7个工作日内，向乙方支付合同价款总额100%的款项，履约保证金无息退还。

★六、保密要求

（1） 比选申请人必须保证保守甲方工作秘密，比选申请人派遣到甲方的工作人员必须保证保守甲方工作秘密特别是具体负责工作秘密，不得泄露甲方工作秘密。（提供承诺函原件，格式自拟）

（2） 比选申请人须与甲方签订安全保密承诺书。如若比选申请人及其派遣到甲方的工作人员泄露甲方工作秘密，甲方有权依法依规追究供应商及相关人员的责任。（提供承诺函原件，格式自拟）

注：

以上打★号的内容为本项目的实质性要求，不允许有负偏离，否则作无效处理。

六、成交标的名称、规格型号、数量、单价、服务要求：

成交标的名称：成都农业科技职业学院信息系统安全等级保护测评服务采购项目

服务要求：学院门户网站测评、数字化学习平台测评、招生就业网站测评、电子图书资源平台测评

七、其它补充事宜

无