一、项目要求及技术需求

项号

服务名称

数量

服务内容及要求

1

南宁市“智慧人社”信息化项目信息安全等级测评服务

1项

一、总体要求

依照《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、自治区公安厅《关于开展全区政府信息系统安全等级保护检查工作的函》（桂公函[2009]429号）的要求，对南宁“智慧人社”信息系统进行信息安全等级保护三级测评。

二、项目基本原则

符合国家等级保护和国家相关法律，指出防范的方针和保护的原则；测评方案的设计与实施应依据国内、国际的相关标准进行；测评服务商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；测评的方法和过程要在双方认可的范围之内，安全咨询的进度要按照进度表进度的安排，保证采购方对于服务工作的可控性；安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；测评工作应尽可能小的影响系统和网络的正常运行，不能对招标方各系统的运行和业务的正常提供产生显著影响；对测评过程中获得的采购方数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购方利益的行为。

三、等级保护测评标准

等级保护测评过程中，必须依照以下标准：《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）等。

四、测评主要内容

1、安全管理评估；2、网络安全评估；3、主机系统评估；4、应用系统安全评估；5、数据安全评估；6、物理安全评估。

五、实施要求

本项目要求中标测评方，进行信息安全等级保护测评并信息安全等级保护评估报告，并作为项目业主验收的依据。

中标供应商应对整个系统进行安全功能验证、配置扫描、漏洞扫描、代码扫描等安全测评，对整个系统承载设备进行全方面扫描；应针对本项目制定完整的实施方案，包括但不限于进度安排、人力资源计划、质量保证、风险管理、沟通管理等内容。

（一）项目的资源配置

投标人须在其技术文件中清晰陈述对于该项目的资源配置情况，包括：

1、项目组配备人员的能力与资质

2、测评环境构建方案

投标人应在其技术文件中陈述拟安排的资源和可用性保障条件，明确拟投入项目人员的专业背景、项目实践经验、资质及技术能力说明、并提供相关人员资质证书复印件及原件备查。

安全评测应采用业界主流的测评工具进行测评，由投标人提供，如果出现知识产权问题，责任归投标人。

（二）工作流程

投标人的技术文件中须清晰描述其如何安排项目的工作流程，包含但不限于以下环节：

1、测评调研：对被测系统进行调研，熟悉测评需求。

2、测评准备：测评方案、测评脚本等的编制和准备。

3、测评方案评审：中标供应商、招标单位对测评方案进行评审。

4、测评执行：完成测评方案中要求的所有内容，并填写详细测评记录。

5、测评报告提交：提交正式信息安全等级保护评估报告。

（三）质量控制和保障

投标人技术文件中须清晰陈述其对项目实施质量控制和质量保障的方法、控制的目标、内容与流程、项目沟通制度、对于变更的管理等。

六、测评结果

（一）在测评结束时必须提供信息系统的《信息安全等级保护测评报告》，内容包括但不仅限于以下方面：

1、物理安全情况及问题分析；2、网络安全情况及问题分析；3、主机系统情况及问题分析；4、应用安全情况及问题分析；5、数据安全及备份恢复情况及问题分析；6、安全管理制度情况及问题分析；7、安全管理机构情况及问题分析；8、人员安全管理风险分析；9、系统建设管理情况及问题分析；10、系统运维管理情况及问题分析；11、数据安全情况及问题分析；12、安全建设整改建议。

（二）提交原始评估数据包括但不仅限于：

1、主机安全测评数据；2、网络安全测评数据。3、主机安全测评数据；4、应用安全测评数据；5、数据安全测评数据；6、安全管理测评数据。

（三）提供所测评系统一式三份信息系统等级测评报告。

★投标人必须协助采购人完成信息系统定级、编写定级备案材料、协助组织专家进行定级评审、办理备案手续等，确保信息系统安全保护等级定级准确、备案完整；对上述所有项目信息系统安全等级保护测评的信息系统逐一出具符合国家信息安全等级保护管理部门规范要求、公安网安部门认可的信息系统安全等级测评报告。

二、商务要求表

一、合同签订期：自成交通知书发出之日起  7  个工作日内

★二、提交服务成果时间：服务至南宁“智慧人社”信息系统验收完成止

三、提交服务成果地点：采购人指定地点

四、售后服务要求：

★1、质量保证期 1 年（自服务验收合格之日起计）

五、其他要求：

★1、报价必须含以下部分，包括：

（1）服务的价格，本项目投标报价为总额报价，即一次性报出本项目所需的所有费用，含派出工作人员的交通费、住宿费、伙食补助费及其他与评测服务有关的费用。本项目至验收结束，采购人不另支付任何费用；

（2）必要的保险费用和各项税金；

（3）履行合同所可能产生的其他费用，如技术支持、售后服务等；

（4）验收费用；

★2、付款方式：本项目无预付款，中标供应商所提交的服务经采购人书面验收合格后，一次性支付合同款。

★3、拟投入的测评人员须是本公司正式员工，以对应本人的近一个季度或连续6个月社保缴纳有效证明文件为准，投标人拟投入的测评人员必须具有公安部信息安全等级保护评估中心颁发的《信息安全等级测评师证书》；其中项目经理不少于1人，测评项目成员不少于5人，并且为企业本单位人员。（项目经理,项目成员不得兼任）。

4、投标人必须承诺中标后对负责本项目的测评项目经理和专业测评成员不得随意更换，若要换人，须经采购人同意认可。

5、由于目前国家或自治区没有明确的相关收费依据，本项目只能根据市场报价，为了确保采购质量和维护公平的竞争，根据《中华人民共和国政府采购法》第七十七条和中华人民共和国反不正当竞争法第十一条，经营者不得以排挤对手为目的，以低于成本的价格销售商品（服务）。采购人不能接受供应商的恶意低价的竞争。如果供应商的报价低于采购预算价的 80% (不含 80%)以下的，供应商必须提供本项目成本分析报告。同时提供（包括但不限于）以下证明材料：

① 行政机构税务部门开具的拟派项目组人员的《依法缴纳个人所得税或依法免缴个人所得税的凭证(与本次招标所提供社保同月份)》；

② 提供项目成本组成明细，其中：人力成本必须根据供应商所在省、自治区、直辖市政府部门或者人力资源社会保障部门公布的关于2017年或2018年供应商所在地最低工资标准相关文件要求编制，税务成本必须提供近一年不少于 3 个项目或公司的公司年度税务缴纳凭证作为参考依据；项目成本组成明细需经第三方造价咨询单位出具的招标报价审核文件复印件，如不提供或评委认定其资料不能详尽合理说明其成本的，则视为低于供应商成本价报价，报价无效。

★4、中标人在工程项目施工时，应向采购人提供该项目所涉及的设备、工程、施工等的国家、行业技术标准文件文本、数据材料，并就相关标准对采购人委派的现场监督人员进行培训、解释。

5、中标人必须与采购人签订保密协议，中标人不得以任何形式向与本项目无关的其他单位或人员提供项目相关文件及所附的有关资料,如违反,必须赔偿采购人的所有损失，且采购人保留追究法律责任的权力。