一、项目概况

******资源局等保测评咨询项目询价

　　2．建设内容：我局自建的3个二级系统和1个三级系统测评工作，其中3个二级系统需开展网络安全等级测评定级和备案工作。（具体要求参见附件）

　　二、合格供应商必须符合下列条件

　　合格的供应商除具备政府采购法规定的条件外还应具备的资格条件：

　　1．在中华人民共和国境内注册，遵守有关的中国法律和规章条例，具有相应的经营范围；

　　2．本项目不接受联合体投标。

　　三、报价要求

　　按有关会议议定，总费用不超过38.7万元。

　　三、项目实施完成日期

　　合同签订后，1个月内完成。

　　四、询价文件递交截止时间、地点

　　供应商请于202******资源局505室。

　　五、报价文件包含的内容（包括但不限于以下具体内容，并装订成册）

　　1．报价一览表：人民币报价，单位为元。

　　2．资格证明文件，包含法人营业执照、税务登记证、组织机构代码证书（复印件，必须加盖单位公章方为有效）。投标人或所委托的第三方测评机构须具有由公安部第三研究所认定的《网络安全等级测评与检测评估机构服务认证证书》，提供证书复印件。

　　3．报价文件必须包含法定代表人授权书，授权代表个人身份证复印件以及单位商务资料（地址、联系人、电话、传真、邮箱等）。

　　六、联系方式

******资源局

　　联 系 人：陈先生

　　联系电话：******

******资源局????

2025年8月11日????

　　附件1

内容及要求

　　一、项目需求

  （一）项目内容

　　我局自建的3个二级系统和1个三级系统测评工作，其中3个二级系统需开展网络安全等级测评定级和备案工作。（具体要求参见附件1）。

  （二）项目目标

　　完成我局自建的3个二级系统和1个三级系统的网络安全等级保护测评与咨询服务工作(包含定级备案)，对系统不符合网络安全等级保护的有关管理规范和技术标准的，提出可行性整改方案并协助整改，在整改完成后对整改项进行再次测评，测评后经用户单位确认，出具符合要求的系统安全等级保护测评报告。

  （三）网络安全等保咨询服务

　　1.等保资产分析服务

　　根据等级保护范围内的资产组成，对服务范围内各个测评对象整理的网络结构拓扑以及相关联******管理中心以及安全管理制度进行调研和梳理，编制《信息系统等级保护基本情况调研表》，并通过系统实现资产管理，包含网络拓扑、机房管理、设备管理、应用管理、数据管理等。

　　所采用的服务工具能对用户单位中各类网络设备、安全设备、服务器设备、终端设备等各类资产进行录入、编辑维护。支持以模板方式快速导入与导出资产信息，并在相关的界面上展示总体信息完整度、安全漏洞、指标差距符合等信息。

　　2.等保风险分析服务

******管理中心的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制《等级保护安全评估与整改建议报告》。

　　3.等保差距评估服务

　　在安全评估和信息系统定级的基础上，根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析，并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、10大层面指标符合情况、自评得分变化趋势。

　　4.等保加固辅导服务

　　根据等级保护基本要求以及风险和差距分析结果，对服务范围内信息系统的关键资产编制安全整改实施方案，实施方案中应包括加固风险分析及风险规避说明。派遣专业工程师到现场根据安全整改实施方案实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。安全整改实施后，根据整改实施情况提交《等级保护安全加固报告》。

　　对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。

　　5.等保制度建设服务

　　协助客户建设安全管理制度，为测评对象建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。

　　提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5大类安全管理要求的方针、制度、各类记录表格模板，达到等级保护测评要求。提交《等级保护安全管理制度》模板。

　　6、等保定级咨询服务

　　了解信息系统（包括信息网络）的业务类型、应用或服务范围、数量、系统结构、部署方式、安全策略、内控制度等信息，协助业主完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级。

　　7、等保备案辅助服务

　　根据《信息安全等级保护管理办法》，提供备案咨询服务，协助业主完成等保测评备案服务。

　　8.等保测评辅助服务

　　协助用户准备测评材料，指导用户单位配合第三方测评机构开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。在测评阶段通过等级保护综合管理系统提实现等级测评管理，展示本单位各定级对象测评情况，包括定级对象测评状态、测评报告及测评相关文档信息；批量下载测评所需材料、填写测评结果，支持自定义编辑测评所需的各类文档，辅助等级测评工作。

　　9.等保台账管理服务

　　通过服务工具等级保护综合管理系统提供等保台账管理服务，服务过程中提供各个定级对象等保咨询服务涉及的各个环节产生的资料归档，支持对单个定级对象的定级、备案、自评、测评、管理制度五大维度的单独归档文件管理，并支持全部下载、按时间搜索按定级对象搜索等功能，服务结束后提供台账管理光盘，后续服务中可直接导入等保综合管理系统实现服务的延续。

  （四）等级保护测评服务内容

　　根据信息系统的保护等级，并依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、《信息系统安全等级保护测评准则》等相关标准的条款要求，对信息系统的安全保护等级进行测评，测评的内容包括但不限于以下内容：

******管理中心等五个方面的安全测评；

　　2.安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

　　①安全物理环境

　　根据信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

　　②安全通信网络

　　根据信息系统安全通信网络现场测评记录，针对安全通信网络方面在“网络结构”、“通信传输”、“可信验证”等安全通信网络方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

　　③安全区域边界

　　根据信息系统安全区域边界现场测评记录，针对安全区域边界方面在“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等安全区域边界方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

　　④安全计算环境

　　根据信息系统安全计算环境现场测评记录，针对安全计算环境方面在“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等安全计算环境方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

******管理中心

******管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控”几个方面的测评。

　　⑥安全管理制度

　　根据现场安全测评记录，针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

　　⑦安全管理机构

　　根据现场安全测评记录，针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

　　⑧安全管理人员

　　根据现场安全测评记录，针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

　　⑨安全建设管理

　　根据现场安全测评记录，针对信息系统在系统建设管理方面的“定级和备案”、“人员配备”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

　　⑩安全运维管理

　　根据现场安全测评记录，针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

　　3.服务交付物

　　等级保护测评提交的文档至少包括如下文件：《网络安全等级保护测评报告》、《系统安全整改建议书》。

  （五）服务实施要求

　　1.为保证项目高效实施，投标人只能自行或只能委托一家第三方测评机构进行本项目测评服务，不接受多家测评机构服务实施。

　　2.投标人在项目实施过程中应配合采购人的统一领导和协调，协助解决测评过程中可能发生的问题；

　　3.为保障测评的系统和数据安全，本项目要求中标人在测评前需根据采购人要求对相关生产系统及数据库进行全面迁移及备份，如涉及需要提供迁移备份工具，需由投标人提供。

　　4.因日常安全自检工作需要，投标人须为每个被服务系统在采购人指定本地位置部署提供一套正式无限制IP授权的安全检查软件工具 (投标人需提供相关的漏扫扫描软件著作权登记证书复印件)，作为采购人日常系统检查和服务的专用工具使用，未经采购人允许，投标人不得撤回安全检查软件工具。安全检查软件工具具备以下产品功能：（1）包含系统漏洞扫描、web应用漏洞扫描、数据库漏洞扫描、基线配置核查以及弱口令检测等安全检测能力，并提供无限制IP数的正式版授权；（2）web应用漏洞扫描应支持主动与被动扫描，解决逻辑复杂业务系统的漏洞检测；（3）产品应支持漏洞一键验证功能，便于漏洞验证；（4）产品应支持渗透测试工具。投标人须为每个功能须提供相关截图证明，同时须承诺提供的安全检查软件工具为正式无限制授权许可并提供承诺函，承诺函格式自拟。

　　5.投标人需根据自己的工程实施经验，结合采购人的实际需求进一步细化和完善实施方案，作为工程实施的指导性文件。

　　6.投标人应根据采购人工作需求和进度要求制定详细的项目实施管理规范和项目实施计划，对项目目标、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保项目实施按时保质地完成。

  （六）安全原则

　　等保测评实施方案设计与具体实施应满足以下原则：

　　1.标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

　　2.规范性原则：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

　　3.可控性原则：测评服务的进度要跟上进度表的安排，保证谈判人对于测评工作的可控性。

　　4.整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

　　5.最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

　　6.应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

　　附件2资格证明文件

　　1、各类证照复印件，包括：如营业执照、税务登记证。（复印件加盖公章）

　　2、根据要求还需提供的其他证明文件