采购需求

注：1、以下《采购需求说明》及《采购需求一览表》所列内容为招标人（采购人）所提招标（采购）需求，投标人（供应商）应认真仔细研究，投标时应慎重选择相应符合要求的服务进行投标。

2、标有“*”的参数为实质性参数，必须满足，否则其投标无效。

3、本项目招标文件通用部分第四章中“投标文件格式”内容应根据项目需要和评标办法规定填写；如不需要，则填写无。

4、投标人对本项目免费维保期满后每年维护服务报价（年报价）不得超过投标报价的   %。（仅适用于 B4 类评标办法）

5、中标人和采购人签订的合同应与招标文件中的采购合同一致，不得另行签订与采购合同相背离的其他合同。

6、下列《采购需求一览表》中：标注▲的服务，投标供应商在投标文件《主要成交标 的承诺函》中填写服务项目名称、服务要求简述、数量、单价等信息，承诺函经评标委员会评审认可后随评审结果一并公示，如投标文件中未提供、提供不全将可能导致投标无效。采购人（采购代理机构）在编制招标文件时必须将采购的主要产品(包括核心产品)标注“▲”。按照招标文件要求，标注 “▲”号的产品，投标人必须在“主要成交标的承诺函中”填写该产品的名称规格、型号、数量、单价等具体信息。

 

采购清单说明

一、项目主要服务内容

随着《网络安全法》的正式实施，信息安全被推上了前所未有的重要地位。根据《网络安全法》第二十一条提到的“国家实行网络安全等级保护制度”这一明确规定，要求网络经营者应按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的体现。

为贯彻落实国家信息安全等级保护制度，进一步提高芜湖市统计局信息系统的整体安全防护能力，明确芜湖市统计局信息系统的安全防护水平与国家信息安全等级保护相关要求之间的差距以及存在的安全隐患，现需对芜湖市统计局六个信息系统项目采购信息安全等级保护 2.0 二级（以下简称“二级等保”）测评服务，出具等级测评报告，并协助完成系统定级报告。

六个信息系统分别为：

芜湖市统计信息网内部版系统（二级）； 服务业劳动工资网上直报系统（二级）；

数据芜湖 APP 应用（二级）；

芜湖市人才资源调查统计管理平台（二级）； 芜湖市统计局主干网（二级）；

芜湖市统计局部门统计联网直报系统（二级）。

二、服务模式

投标人组建专门的专家服务技术团队，开展芜湖市统计局六个信息系统“二级等保”测评的全方位技术服务。

三、具体服务内容和成果，包括但不限于下列

（一）提供待测系统定级与备案服务

系统定级

根据等级保护测评工作流程，协助对各待测系统进行定级（本次“二级等保”测评只需对芜湖市统计局部门统计联网直报系统进行定级，其余系统均已完成定级备案）：

1.      根据之前梳理出来的等级保护对象的有关资料、待测系统的实际情况编制定级报告、备案表；

2.      邀请相关专家，召开系统定级评审会，回答评审专家的问题，形成《芜湖市统计局部门统计联网直报系统网络安全保护等级定级评审意见》；

3.      取得主管部门的意见。

据上述材料形成“定级备案材料”。

系统备案

大力协助编制完成定级备案材料并送达属地网安部门审核，审核通过后取得待测系统备案号和（或）《备案证明》。

（二）提供六个信息系统“二级等保”测评服务

测评范围包括但不限于安全技术测评和安全管理测评：

1.      安全技术测评。对芜湖市统计局信息系统涉及的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术层面进行现场测评和差距分析，记录相关的测评结果。

2.      安全管理测评。对芜湖市统计局安全管理机构、安全管理制度、人员安全管理、安全建设管理、安全运维管理等管理层面进行现场测评和差距分析，记录相关的测评结果。

3.      形成差距分析报告。依据测评结果和测评标准，对芜湖市统计局信息系统进行安全现状分析，形成相应的差距分析报告，为下阶段开展整改工作提供依据。

4.      编制整改建议书。依据测评标准，结合差距分析结果，编制针对芜湖市统计局信息系统的整改建议书。

5.      编制和完善安全管理制度。依据测评标准，对涉及到安全管理差距部分的整改，协助制订和完善各项安全管理制度。

6.      协助等级保护整改。根据整改建议书中的建议，协助完成“二级等保”测评整改工作。整改完成后，再次对芜湖市统计局六个信息系统进行二级等保测评，以验证整改有效性。

7.      形成等级测评结论及测评报告提交。完成“二级等保”测评工作和整改后出具符合公安机关要求的《等级保护测评报告》并报市公安局网安支队。

（三）提供“二级等保”测评相关增值服务

包括但不限于下列：

（1）       漏洞扫描服务

（2）       渗透测试服务

（3）       安全巡检服务

（4）       安全加固服务

（5）       网络安全应急响应服务

（6）       网络安全漏洞跟踪与处置服务

（7）       重要时期安全保障服务

（8）       安全问题应急咨询服务

（9）       网络安全应急演练服务

（10）     网络及信息安全类技术培训服务

（11）     App 安全监测服务

• 四、测评服务准则

测评单位应遵循如下服务准则，实施并完成项目的测评任务。

（一）标准性原则

测评方案设计与实施应依据国家等级保护的相关标准进行

《信息安全技术  网络安全等级保护基本要求》 GB/T 22239-2019；

《信息安全技术  网络安全等级保护安全计技术要求》 GB/T 25070-2019；

《信息安全技术  网络安全等级保护测评要求》 GB/T 28448-2019；

《信息系统安全等级保护实施指南》。

（二）可控性原则

测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性。

（三）整体性原则

测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

（四）客观性和公正性原则

在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。

（五）保密原则

在测评过程中，需严格遵循保密原则，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购人利益。

（六）互动原则

在整个测评过程中，强调采购人的互动参与，每个阶段都能够及时根据采购人的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。

（七）最小影响原则

测评工作应该尽可能小地影响芜湖市统计局信息系统的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应预先做出说明并经采购人同意后实施。

（八）规范性原则

信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

（九）质量保障原则

在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由采项目协调小组从中监督，控制项目的进度和质量。

供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

五、实施要求

（一）投标人应保证投标项目在采购人条件成熟时应立即开展实施。

（二）投标人需根据自己的工程实施经验结合采购人的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件。

（三）投标人应根据采购人的工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成。

（四）投标人应负责配合采购人制定相关验收标准，并完成工程实施等验收工作。

六、测评时间要求

在合同签署且具备测试条件后四十个工作日内完成评测工作（问题整改时间除外）。

六、付款方式

合同签订后，付款中标价的20%；完成“二级等保”测评工作和整改并出具符合公安机关要求的《等级保护测评报告》后，付款中标价的70%；所有增值服务提供完成后，付款中标价的10%。

 

采购需求一览表

序号	名称	服务要求	数量	单位	单价	合计价	备注
1	芜湖市统计 局信息系统 “二级等保”测评服务	具体要求详见采购清单说明要 求。	6	个	5 万元	30 万元

备注：招标文件中该表必须用 Excel 工具制作，且不得修改表格格式。

                             

本项目核心服务项目一览表

 

序号	核心服务项目
1	芜湖市统计局信息系统“二级等保”测评服务

备注：1、本表序号为采购需求一览表中对应的序号；

   2、上表应根据具体项目和评标办法合理填写。