服务需求一览表

标段

单分标

采购清单及服务参数

序号

采购服务名称

单位

数量

服务参数要求

分项预算合计（元）

中小企业划分标准所属行业名称（行业名称及划分见本章附件2）

1

“智慧人社”系统等级保护测评

项

1

一、总体要求

依照《网络安全等级保护基本要求》（GB/T22239-2019）、《信息系统安全等级保护测评准则》、自治区公安厅《关于开展全区政府信息系统安全等级保护检查工作的函》（桂公函[2009]429号）的要求，对南宁“智慧人社”信息系统按照网络安全等保2.0要求进行信息安全等级保护三级测评，出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。

二、项目基本原则

符合国家等级保护和国家相关法律，指出防范的方针和保护的原则；测评方案的设计与实施应依据国内、国际的相关标准进行；测评服务商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；测评的方法和过程要在双方认可的范围之内，安全咨询的进度要按照进度表进度的安排，保证采购人对于服务工作的可控性；安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；测评工作应尽可能小的影响系统和网络的正常运行，不能对采购人各系统的运行和业务的正常提供产生显著影响；对测评过程中获得的采购人数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人利益的行为。

三、等级保护测评标准

等级保护测评过程中，必须依照以下标准：

《计算机信息系统安全保护等级划分准则》（GB 17859-1999)《网络安全等级保护基本要求》（GB/T22239-2019）

《网络安全等级保护测评要求》（GB/T28448-2019）

《网络安全等级保护测评过程指南》（GB/T28449-2018)

《网络安全等级保护设计技术要求》（GB/T25070-2019）

《网络安全等级保护测试评估技术指南》（GB/T 36627-2018）。

四、测评主要内容

（1）安全通用要求

安全通用要求测评内容应包括安全技术和安全管理两大类，其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评，安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。

（2）安全扩展要求

应用了不同新技术的安全保护对象处于不同的应用场景中，面临不同的安全威胁，因此会有不同的安全需求，该保护对象涉及的安全扩展要求包括：

1）云计算

云计算安全测评内容包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等的测评。

2）移动互联

移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。

3)大数据

大数据安全测评包括对安全物理环境、安全通信网络、安全计算环境、安全运维管理等的测评。

五、测评方法

在测评实施过程中，应采用访谈、检查和测试、渗透测试等测评方法进行，并与国家相关规范及标准的要求相符。

  访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程；

  检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程；

测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程；

渗透测试是模拟黑客的攻击方法，对受保护对象的应用系统、主机、网络进行攻击，从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。

六、实施要求

本项目要求中标供应商，进行信息安全等级保护测评并提交信息安全等级保护测评报告，并作为项目业主验收的依据。

中标供应商应对整个系统进行安全功能验证、配置扫描、漏洞扫描、代码扫描等安全测评，对整个系统承载设备进行全方面扫描；应针对本项目制定完整的实施方案，包括但不限于进度安排、人力资源计划、质量保证、风险管理、沟通管理等内容。

（一）项目的资源配置

投标人须在其技术文件中清晰陈述对于该项目的资源配置情况，包括：

1、项目组配备人员的能力与资质

2、测评环境构建方案

投标人应在其技术文件中陈述拟安排的资源和可用性保障条件，明确拟投入项目人员的专业背景、项目实践经验、资质及技术能力说明、并提供相关人员资质证书复印件及原件备查。

安全评测应采用业界主流的测评工具进行测评，由投标人提供，如果出现知识产权问题，责任归投标人。

（二）工作流程

投标人的技术文件中须清晰描述其如何安排项目的工作流程，包含但不限于以下环节：

1. 测评调研：对被测系统进行调研，熟悉测评需求。

2. 测评准备：测评方案、测评脚本等的编制和准备。

3. 测评方案评审：中标供应商、采购人对测评方案进行评审。

4. 测评执行：完成测评方案中要求的所有内容，并填写详细测评记录。

5. 测评报告提交：提交正式信息安全等级保护评估报告。

（三）质量控制和保障

投标人技术文件中须清晰陈述其对项目实施质量控制和质量保障的方法、控制的目标、内容与流程、项目沟通制度、对于变更的管理等。

七、测评结果

（一）在测评结束时必须提供信息系统的《信息安全等级保护测评报告》，内容包括但不仅限于以下方面：

1、物理安全情况及问题分析；2、网络安全情况及问题分析；3、主机系统情况及问题分析；4、应用安全情况及问题分析；5、数据安全及备份恢复情况及问题分析；6、安全管理制度情况及问题分析；7、安全管理机构情况及问题分析；8、人员安全管理风险分析；9、系统建设管理情况及问题分析；10、系统运维管理情况及问题分析；11、数据安全情况及问题分析；12、安全建设整改建议。

（二）提交原始评估数据包括但不仅限于：

1、主机安全测评数据；2、网络安全测评数据。3、主机安全测评数据；4、应用安全测评数据；5、数据安全测评数据；6、安全管理测评数据。

  （三）提供所测评系统一式三份信息系统等级测评报告。

▲1、测评完成后，出具符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的网络安全等级保护测评报告，纸质版3份、电子版（docx格式）1份，扫描版（PDF格式）1份。

400,000.00

软件和信息技术服务业

商务条款

五、其他要求：

▲1、报价必须含以下部分，包括：

（1）服务的价格；

本项目投标报价为总额报价，即一次性报出本项目所需的所有费用，含派出工作人员的交通费、住宿费、伙食补助费及其他与评测服务有关的费用。本项目至验收结束，

采购人不另支付任何费用。

（2）必要的保险费用和各项税金；

★3、中标供应商在实施项目时，应向采购人提供该项目所涉及的各类国家、行业技术标准文件文本、数据材料，并就相关标准对采购人委派的现场监督人员进行培训、解释。

其他说明

一、进口产品说明本分标服务所涉及的货物不接受进口产品（即通过中国海关报关验放进入中国境内且产自关境外的产品）参与投标，如有进口产品参与投标的作无效标处理。