淄博师范高等专科学校信息系统网络安全等级保护测评项目竞争性磋商采购文件

(招标编号：********)

淄博师范高等专科学校（简称：淄博师专）拟对信息系统网络安全等级保护测评项目进行竞争性磋商采购，欢迎有实力、符合资质要求且信誉良好的公司参与，我们将本着“公开、公平、公正”的原则，严格按照规定程序组织磋商。

*、项目概况

（*）项目名称：信息系统网络安全等级保护测评项目

（*）项目概况

1.按照网络安全等级保护(等保2.0)标准和工作要求，通过系统定级梳理，协助完成淄博师专相应业务系统等级保护定级与备案工作；

2．针对信息系统提供正式的等级保护测评，出具公安主管单位认可的测评报告，并上报公安主管机关备案。

*、项目内容及需求

（*）技术要求

1．网络安全等级测评服务

Ø网络安全等级测评包括安全技术测评和安全管理测评：

Ø安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心*个方面的安全技术测评；

Ø安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理*个方面的安全管理测评。

Ø安全物理环境：针对物理环境安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全通信网络：针对通信网络安全方面的“网络架构”、“通信传输”、“可信验证”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全区域边界：针对边界安全方面的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全计算环境：针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“备份和恢复”、“剩余信息保护”、“个人信息保护”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全管理中心：针对安全管理中心方面的“系统管理”、“审计管理”、“安全管理”、“集中管控”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全管理制度：针对安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”、“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全管理机构：针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全管理人员：针对安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全建设管理：针对安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”、“服务供应商管理”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø安全运维管理：针对安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”、“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

Ø通过详细的系统调研，开展对信息系统（以现场调研系统为准）的等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，指导整改工作。最终完成等级保护测评报告。

Ø通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。

Ø待整改完毕后，进行结果确认，完成网络安全等级保护测评（等保2.0），出具测评报告。

2．测评技术先进性

为保障信息系统测评的先进性，要求中标方使用网络安全等级保护的新技术、新方法，依据等级保护2.0相关技术标准，对信息系统进行全面的安全测评。

（*）测评依据

Ø《信息安全技术网络安全等级保护基本要求》(**/T *****-****)

Ø《信息安全技术网络安全等级保护测评要求》(**/T *****-****)

Ø《信息安全技术信息系统安全等级保护定级指南》（**/T *****-****）

Ø《信息安全技术信息系统安全等级保护实施指南》

Ø《信息安全技术信息系统安全等级保护测评要求》

Ø《信息安全技术信息系统安全等级保护测评过程指南》

Ø公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[****]**号）；

Ø公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字[****]**号）。

Ø《计算机信息系统安全保护等级划分准则》（** *****-****）

Ø《信息安全技术信息系统通用安全技术要求》（**/******-****）

Ø《信息安全技术网络基础安全技术要求》（**/T *****-****）

Ø《信息安全技术操作系统安全技术要求》（**/T *****-****）

Ø《信息安全技术数据库管理系统安全技术要求》（**/******-****）

Ø《信息安全技术服务器技术要求》（**/T *****-****）

Ø《信息安全技术终端计算机系统安全等级技术要求》（**/T ***-****）

Ø《信息安全技术信息系统安全管理要求》（**/******-****）

Ø《信息安全技术信息系统安全工程管理要求》（**/******-****）

Ø**/T *****-**** 信息技术 安全技术 信息技术 安全性评估准则

Ø其他网络安全等级保护相关新标准等。

（*）项目内容

供应商要完成以下工作内容：

1.系统调研与定级梳理

依据《信息系统安全等级保护定级指南》（**/******-****）的要求，遵循规范的流程，形成定级建议书。

2.提供等级保护测评服务

根据定级梳理结果，按照《信息安全技术网络安全等级保护基本要求》（**/T *****-****）对上述系统进行信息安全等级保护现状测评。

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心*个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理*个方面的安全控制测评。

3.出具测评报告和整改方案

根据测评过程中发现的安全隐患，遵循适度安全原则，提出信息系统安全等级保护整改建议，出具测评报告和整改方案。根据测评报告和整改方案系统地进行整改，整改工作是对信息系统完善的过程，通过建立整改方案和有效的整改工作，使系统能够进*步完善，达到等级保护的要求。

（*）计划工期要求

供应商须从合同签订之日起**日内，科学、公平、公正的角度编制测评测试报告，最终协助用户完成定级、备案，并出具最终测评报告等。项目实施完成后，应提交包括但不限于以下交付物：

《信息系统等级保护备案表》；

《信息系统等级保护定级报告》；

《信息系统测评方案》；

《信息系统等级测评报告》；

项目实施过程中的其他材料等。

（*）项目报价方式

报价为系统建设完毕正常运行后的含税最终**，报价包含此项目产生的所有费用（*次报价）。

（*）付款方式

双方签定合同，完成对淄博师专上述系统信息安全等级保护测评，出具《系统信息安全等级保护测评报告》并经验收合格开具发票后，支付合同总价的***%，同时另收取合同金额的5%作为质保金，自验收合格之日起满*年无质量问题后无息退还。

（*）其他要求

1.服务原则:

a.符合性原则：符合国家信息安全测评有关规范，指出防范的方针和保护的原则；

b.标准性原则：等级测评发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行；

c.规范性原则：安全服务提供商在项目实施工作中的过程和文档，应具有很好的规范性，可以便于项目的跟踪和控制；

d.可控性原则：安全服务的方法和过程要在双方认可的范围之内，保证对于服务工作的可控性；

e.整体性原则：测评及整改建议的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

f.最小影响原则：测试及扫描工作应尽可能小的影响系统和网络的正常运行，不能对各系统的运行和业务产生显著影响；

g.保密原则：应对服务过程中获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害利益的行为，否则有权追究其责任。

2.保密要求:

供应商应提供保密承诺，并签订保密承诺书，自签订合同之日起至项目验收，采取必要的控制措施防止因项目实施造成的任何信息泄漏。

3.风险规避:

供应商应提供风险规避声明，自签订合同之日起至服务期结束，采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。

4.管理体系完善：

供应商应同时协助建立信息化领导小组，完善规章制度并协助完成问题整改，从而达到网络安全等级保护（等保2.0）标准。

*、磋商须知

（*）投标方资质要求：

1、持有《营业执照》、《税务登记证》、《组织机构代码证》或*证合*证件，且证件在有效期内。

2、认真贯彻顾客至上的经营理念、质量优良，具有良好的信誉和售后服务。

3、符合《中华人民共和国政府采购法》第***条的规定。

4、具备山东省级网络安全等级保护（等保2.0）工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书。

5、本项目不接受联合体报价。

6、根据需要提供商家售后承诺函和相关证书。

（*）投标书要求：

1、要求简易制作，*式*份，密封加盖单位公章。

2、投标书应包括如下内容：

（1）投标方基本信息；

（2）资质证明材料：各种证件、授权书等须加盖公章；

（3）投标报价表；

（4）项目实施方案；

（4）服务承诺；

（5）其他资料（证明技术实力的相关资料，如成功案例等）。

*、磋商工作安排

1、资质审查时间：****年**月4日上午9：**

2、开标时间：****年**月4日上午9：**

地点：淄博师专文津楼3楼网络中心（地点若有变动临时通知）。

3、报名和标书获取方式：现场报名，从学校网站自行下载标书。

报名截止时间：****年**月4日上午9：**

答疑咨询电话：****—*******（梁老师）。

招标办电话：****－*******（***）。

地址：淄博市淄川经济开发区唐骏欧铃路**号淄博师专文德楼***室。

*、磋商原则

（*）公开、公平、公正的原则。

（*）综合评比的原则。结合投标方资质、报价、质量与服务、响应标书能力、信誉、业绩等因素，由评标小组集体确定中标单位。坚持性价比优先，不保证最低价中标，中标结果不对投标方进行解释。招标现场满足招标文件要求的供应商不足2家时，可改为单*谈判采购。

（*）严肃招标纪律，遵守招标程序，严格保密，招标后严禁以任何形式将评标意见和商家投标信息透露给其他人员。