采购需求

一、采购内容

 二、依据标准

实施方应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

1.GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求；

2.GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南；

3.GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南；

4.GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求；

5.GB/T 28449-2012信息安全技术 信息系统安全等级保护测评过程指南。

国家标准若有更新，按最新标准执行。 

三、服务内容

服务内容包括：等级保护测评、差距分析以及风险评估。其中等级保护测评应全面分析应用系统的安全保护措施与等级保护相应级别之间的差距，进行合规性分析，为系统等级保护加固整改提供客观依据，测评的内容包括但不限于以下内容：

1.测评结束后，针对每个测评的系统提出可行的整改方案，出具一份整改建议书，并提供整改咨询，并配合招标方做好整改工作的服务。

2.提供安全渗透测试服务:针对三级系统采用完全模拟入侵者可能采用的攻击技术和漏洞发现技术，利用专家经验对用户系统进行非破坏性质的模拟攻击，发现系统的最脆弱的环节和弱点等安全问题，为进一步加固信息系统提供了依据，并出具渗透测试报告。

3.提供漏洞扫描服务：提供对系统进行全面的深度漏洞扫描服务，深度漏洞扫描覆盖的内容包括：WPB扫描（覆盖 OWASP TOP10）、WEB扫描覆盖安全测试检查、逐级扫描覆盖安全测试检查等，并出具漏洞扫描报告。

4.提供安全培训：开展至少一次网络安全培训，招标方根据工作需要，要求中标方派遣专家提供网络安全方面的培训，培训内容包括但不仅限于以下内容：网络安全法律法规解读；关键信息基础设施管理、防护和运维知识培训；网络安全意识培训；网络安全等级保护知识培训等。 

四、其他要求

1、采购项目相关内容及要求中所述的服务内容为最低要求标准，成交供应商应视具体情况优化服务。

2、供应商须承担本项目项下知识产权保护及保密义务, 未经采购人许可不得将因本次项目获得的信息向第三方外传。具体要求如下：

2.1、供应商须保障采购人在使用该项目工作成果或其任何一部分时不受到第三方关于侵犯知识产权的指控。如果任何第三方提出侵权指控与采购人无关，供应商须与第三方交涉并承担可能发生的责任与一切费用。如采购人因此而遭致损失的，成交供应商应赔偿该损失。

2.2、本项目所有涉及到的工作成果的知识产权归采购人所有，成交供应商在交付工作成果时，必须移交全部资料。

五、验收条件及标准

1、验收条件：服务过程中的每个阶段的成果完成后，成交供应商应及时通知采购人，进行查验，并根据采购人提出的整改意见及时整改。

2、验收依据：采购文件、谈判响应文件及国家、省、市有关的标准规定，均为验收依据。

3、采购人与成交供应商签订采购合同，根据采购文件规定和成交供应商的响应承诺约定具体事项和考核办法，成交供应商若发生违约行为或考核不合格，采购人有权终止合同的履行。

4、验收时成交供应商必须派代表参加。

5、验收过程所发生的一切费用由成交供应商承担。

六、服务期

合同签订生效后30天内完成财政专网和财政综合业务系统的复测评，合同签订生效后一年内进行4次漏扫服务、4次渗透测试。 

七、售后服务要求

成交供应商应按照本采购项目特点提供长期良好的售后服务，并在响应文件中提供详细具体的售后服务承诺条款及保证，包括售后服务流程、售后服务内容、售后服务方式、服务响应时间、免费服务范围及期限、优惠情况、项目应急方案等，其费用列入总报价。

 八、付款方式：合同签订后15日内支付合同总额的30%，完成信息安全等级保护测评服务工作并提交公安机关网监部门备案通过后支付剩余款项。