招标说明及要求

一、项目说明

潍坊市大数据局旨在通过本次网络安全等级测评，检验市电子政务外网、市协同统一办公平台、市政务服务平台、政务信息资源共享交换平台、市政府门户网站、潍事通客户端、视频监控共享平台、物联潍坊公共服务平台共 8 套三级系统和需要做二级等保的市政务数据资源辅助决策平台是否符合《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2019）等相关规定，指出被测系统存在的安全问题并提出相应的整改建议，进一步完善被测系统的安全管理体系，为加强被测系统的安全防护措施提供依据。

一标段为：对市政务服务平台、政务信息资源共享交换平台、视频监控共享平台、物联潍坊公共服务平台共 4 套三级系统和市政务数据资源辅助决策平台 1 套二级系统进行网络安全等级保护测评。

二标段为：对市电子政务外网、市协同统一办公平台、市政府门户网站、潍事通客户端,4 套三级系统进行网络安全等级保护测评。

注：每个标段均需要满足以下要求。

二、建设内容

（一）项目总述

根据等级保护 2.0 标准体系主动防御、积极防护和集中管控的要求，全面提高潍坊市大数据局各信息系统的网络安全系数。

（二）项目建设依据

执行但不限于下列标准规范，有最新替代标准规范的，优先执行最新标准或规范：

(1)中办[2003]27 号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知）。

(2)公通字[2004]66 号文件（关于印发《信息安全等级保护工作的实施意见》的通知）。

(3)公通字[2007]43 号文件（关于印发《信息安全等级保护管理办法》的通知）。

(4)《中华人民共和国网络安全法》。

(5)《潍坊市大数据局信息安全等级保护定级报告》。

(6)《潍坊市大数据局信息安全等级保护备案表》。

(7)《信息安全技术 信息系统安全等级保护实施指南》（GB/T 25058-2010）。

(8)《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T 28449-2012）。

(9)《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2019）。

(10)《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448-2012）。

(11)《中华人民共和国国家安全法》。

(12)《网络安全审查办法》。

(13)《计算机信息系统安全保护条例全文【2020 修订】》。

(14)《信息安全技术 防火墙安全技术要求和测试评价方法》GB/T 20281-2020。

(15)《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020。

(16)《信息安全技术 入侵检测和防御系统的选择、部署和操作》GB/T 28454-2020。

(17)《信息安全技术 可信计算体系结构》GB/T 38638-2020。

(18)《信息安全技术 网络安全事件应急演练指南》GB/T 38645-2020。

(19)《信息安全技术 政府网站云计算服务安全指南》GB/T 38249-2019。

(20)《信息安全技术 操作系统安全技术要求》GB/T 20272-2019。

(21)《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019。

(22)《信息安全技术 网络交换机安全技术要求》GB/T 21050-2019。

(23)《信息安全技术 数据库管理系统安全评估准则》 GB/T 20009-2019。

(24)《信息安全技术 路由器安全技术要求》GB/T 18018-2019。

(25)《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019。

(26)《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018。

(27)《信息安全技术 网络安全等级保护安全管理中心要求》GB/T 36958-2018。

（三）等级保护测评要求

1.网络安全等级保护测评服务

网络安全等级测评包括安全技术测评和安全管理测评：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、主机系统安全、应用安全和数据安全等五个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评。

1.1安全技术测评

1.1.1安全物理环境

针对安全物理环境的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”、“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。

1.1.2安全通讯网络

针对安全通讯网络的“网络架构”、“通信传输”、“可信验证”等测评指标，判断出与其相对应的各测评项的测评结果。

1.1.3安全区域边界

针对安全区域边界的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等测评指标，判断出与其相对应的各测评项的测评结果。

1.1.4安全计算环境

针对安全计算环境的“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等测评指标，判断出与其相对应的各测评项的测评结果。

1.1.5安全管理中心

针对安全管理中心的“系统管理”、“审计管理”、“安全管理”、“集中管控”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2安全管理测评

1.2.1安全管理制度

针对安全管理制度的“安全策略”、“管理制度”、“制定和发布”、“评审和修订” 等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.2安全管理机构

针对安全管理机构的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.3安全管理人员

针对安全管理人员的“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.4安全建设管理

针对安全教案设管理的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”、“服务投标人选择”等测评指标，判断出与其相对应的各测评项的测评结果。

1.2.5安全运维管理

针对安全运维管理的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”、“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。

2、用户培训：

重要信息系统保护人员（信息安全管理员 CIIPT）或 CISP 认证培训：以等级保护相关政策法规为指导，以重要信息系统保障为核心，基于等级保护相关岗位技能需求，以等级保护相关标准体系为主线，根据具体岗位工作任务系面向重要信息系统的运营使用人员开展。通过 CIIPT 或 CISP 培训熟悉国家信息安全政策、法规和标准，掌握和了解我国重要信息系统的规划设计、建设整改、运行维护、安全监管、测试、审核、技术支撑等相关要求，具备我国重要网络安全保护对相关人员的基本能力要求。

（四）其他要求：

1.总体要求:

（1）按照国家相关信息安全标准和要求，对市电子政务外网、市协同统一办公平台、市政务服务平台、政务信息资源共享交换平台、市政府门户网站、潍事通客户端、视频监控共享平台、物联潍坊公共服务平台共 8 套三级系统和市政务数据资源辅助决策平台 1 套二级系统进行网络安全等级保护现状测评，出具网络安全等级保护测评报告；

（2）根据等级测评、风险评估的结果，出具《安全加固整改建议书》，制订详细的安全整改实施计划，对必须新增安全软硬件产品才能解决相关安全问题，提出详细的风险规避措施和实施建议；

（3）如果通过测评后达不到要求，成交投标人要调查原因并免费指导直至满足等保的要求为止。

2.质量要求:

（1）服务原则

a.符合性原则：符合国家、公安部等信息安全评估/测评有关规范，指出防范的方针和保护的原则；

b.标准性原则：等级测评及风险分析发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行；

c.规范性原则：安全服务提供商在项目实施工作中的过程和文档，应具有很好的规范性，可以便于项目的跟踪和控制；

d.可控性原则：安全服务的方法和过程要在双方认可的范围之内，保证对于服务工作的可控性；

e.整体性原则：安全评估/测评及整改建议的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

f.最小影响原则：测试及扫描工作应尽可能小的影响系统和网络的正常运行，不能对各系统的运行和业务产生显著影响；

g.保密原则：应对服务过程中获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害利益的行为，否则有权追究其责任。

3.等保测评工作流程分为四个阶段：测评准备阶段、方案编制阶段、现场实施阶段以及报告分析编写阶段。

①测评准备阶段

测评准备阶段，测评组与潍坊市大数据局召开了现场项目启动会，明确了此次工作的任务与计划，双方签署了项目的《保密协议》与《现场测评授权书》，测评组对潍坊市大数据局潍坊市政务服务平台进行了现场详细调研，掌握了潍坊市大数据局潍坊市政务服务平台的基本情况。

②方案编制阶段

方案编制工作中，项目组主要对测评对象与测评指标进行了确定与识别，开发编制了符合本次项目的《测评指导书》与《测评方案》。方案编制工作的主要任务包括：测评对象制定、测评指标确定、测试工具接入点确定、测评内容确定、测评指导书开发及测评方案编 制。

③现场实施阶段

测评组首先与潍坊市大数据局就测评方案达成了一致意见，并进一步确定了测评配合人员，完成了测评指导书中各项测评工作内容，获取了足够的测评证据。现场测评活动的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。

④报告分析编写阶段

测评人员对现场测评获得的测评证据和资料进行了分析，判定了单项测评结果及单元测评结果，进行了整体测评分析和风险分析，最终形成《等级测评报告》。分析与报告编制工作的主要任务包括：单项测评结果判断、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。

4、根据等级保护 2.0 标准体系主动防御、积极防护和集中管控的要求，驻场专职人员协助采购人做好系统定级、公安备案、等级测评、建设整改以及全流程监督检查工作，加强随机检测和重要时间节点突击检测保障工作；做好网络安全等级保护相关资料的分类、整 理、统计、归档以及提出合理化建议等工作，全面提高潍坊市大数据局各信息系统的网络安全系数。驻场时间约项目验收后一年内免费的跟踪服务。

四、人员要求及后期服务要求

（一）项目实施和驻场人员要求需提供项目组成员信息，包含工作年限、项目经历及相关资质证书等。

1、项目团队不少于 4 人，项目组成员至少一人具有信息（网络）安全等级测评师等相关证书，项目组成员应包含通信网络、安全管理等方面的技术专家。

2、★长期驻场人员（至少 1 人）需要至少本科学历，具有丰富的等级保护专业工作经验和较强的撰写相关材料、报告的能力，驻场时间约项目验收后至少一年，做好甲方要求的各项工作，须在投标文件中做出承诺，否则视为不响应。

（二）投标人响应时间，若出现问题须承诺 7*24 小时内响应，1 小时到达现场解决问题，确保用户能够得到及时优质的后期服务。

五、建设周期

签订合同后 45 日内完成网络安全等级保护测评工作，提交网络安全定级备案测评报告和整改方案（针对每个标段）。（合同的签订，采取一年一签的形式（累计不超过三年），中标人服务满一年后，采购人验收合格后，如双方无异议，经财政部门批准后可对服务合同进行续签，续签第二年合同；若验收不合格采购人有权解除合作关系，采购人重新招标单位。中标人服务满两年后，采购人验收合格后，如双方无异议，经财政部门批准后可对服务合同进行续签，续签第三年合同，至服务期满；若验收不合格采购人有权解除合作关系，采购人重新招标单位。）

成果文件：《网络安全等级保护测评报告》、《安全加固整改建议书》的纸质文件（3 份）和电子文件（2 份）。

六、付款方式（针对每标段）

自合同签订生效后，支付付合同款的 80%作为预付款，剩余 20%作为质保金一年后付清（无息）。

七、其他要求

★1、直接或间接参与过本项目相应标段所涉及到系统建设（一标段为：对市政务服务平台、政务信息资源共享交换平台、视频监控共享平台、物联潍坊公共服务平台共 4 套三级系统和市政务数据资源辅助决策平台 1 套二级系统进行网络安全等级保护测评。二标段为： 对市电子政务外网、市协同统一办公平台、市政府门户网站、潍事通客户端,4 套三级系统进行网络安全等级保护测评。）的投标人以及有任何直接或间接关联交易或利益的投标人，不可以参加本项目相应标段的投标。

2、本项目兼投不兼中。评标时先评第一标段，第一标段的成交人在第二标段的评审中失去成交资格。

3、文件中带“★”为实质性条款，若不满足其投标文件做无效标书处理。