采购需求

前注：

本采购需求中提出的服务方案仅为参考，如无明确限制，投标人可以进行优化，提供满足采购人实际需要的更优（或者性能实质上不低于的）服务方案，且此方案须经评标委员会评审认可。

一、采购需求前附表

二、项目概况

2.1项目背景

随着网络与信息技术的迅猛发展，信息技术已融入到政府机关工作和人民生活的方方面面，网络安全的重要性日益凸显。根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》规定，网络安全等级保护制度已经成为我国网络安全领域的基本制度。公安部、保密局、国密局、国信办联合印发《信息系统安全等级保护管理办法》（公通字〔2007〕43 号）等相关文件，要求在全国范围的政府机关、企事业单位、教育机构开展信息安全等级保护建设工作。根据《关键信息基础设施安全保护条例》规定，电子政务领域信息系统在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

安徽省级预算单位建设、使用的信息系统众多、结构复杂、分布区域广泛， 信息系统所承载的业务和数据涉及公民、法人或其他组织的合法权益、公共利益， 以及社会秩序和国家安全等，安全性要求高。

为全面贯彻落实网络安全等级保护制度，统筹做好省级预算单位网络安全等级保护测评工作，发挥集中采购优势，提升财政资金使用绩效，安徽省数据资源管理局、安徽省公安厅、安徽省财政厅在征求省级预算单位意见建议基础上，2022年 2 月联合印发《省级预算单位网络安全等级保护测评服务集中统一采购工作实施方案（试行）（皖数资〔2022〕6 号），由安徽省数据资源管理局组织实施集中统一采购工作，按照“统招分签统付”方式公开招标，由安徽省数据资源管理局统一采购测评服务，与等保测评供应商签订采购合同，参与网络安全等级保护测评集中统一采购工作的省级预算单位与等保测评供应商签订测评服务合同。

2022 年 3 月，安徽省数据资源管理局、安徽省公安厅、安徽省财政厅联合印发《关于报送 2022 年度需开展等级保护测评的等级保护对象情况的函》，调研摸排安徽省级预算单位需开展等级保护测评的等级保护对象情况。经过调研梳理及确认，现需要对安徽省级预算单位 328 个网络安全等级保护测评对象（以下简称“等保对象”）进行等级保护测评，提升省级预算单位网络安全整体水平。

2.2项目目标

深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等法律法规，全面落实《党委（党组）网络安全工作责任制实施办法》，按照国家有关网络安全等级保护标准要求，完成省级预算单位网络安全等级保护测评（以下简称“ 等保测评”）服务工作，确保国家网络安全等级保护制度和关键信息基础设施安全保护制度落到实处。完成安徽省级预算单位 328 个等保对象的等保测评工作，包括测评准备、定级与备案支撑、测评实施、安全培训和安全风险排查等内容。

2.3测评范围

本次测评范围涉及互联网、省政务外网、等保对象所属单位业务专网，部署环境涉及云平台、虚拟化、传统服务器等多种架构，设备类型涉及 PC 服务器、小型机、各类专用网络和安全设备等。

鉴于本项目服务对象范围广、测评任务重，经过调研梳理，为保证项目顺利完成，确保公平公正，采购人根据等保对象部署方式、规模大小、数量等情况将本项目划分 8 包进行公开招标采购。按照《安徽省财政厅关于进一步优化政府采购营商环境的通知》（皖财购〔2022〕556 号）要求，将第 3、5、6 包专门面向小微企业采购，限定小型或微型企业投标；第 8 包专门面向中小微企业采购，限定中型、小型或微型企业投标；第 1、2、4、7 包非专门面向中小企业采购，不限定投标人类型。每包情况如下：

2.4测评依据

投标人应依据但不限于以下标准中相应级别安全要求，开展安全评估和等级测评。如发布最新标准，应按照国家有关要求，依据最新标准开展评估测评工作。

1.《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令)；

2.《国家信息化领导小组关于加强信息安全保障工作的意见》（中办〔2003〕27 号文件）；

3.《信息安全等级保护管理办法》（公通字〔2007〕43 号）；

4.关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安〔2015〕2866 号）

5.《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）；

6.《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）；

7.《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）；

8.《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）； GB/T 25058-2019《信息安全技术网络安全等级保护实施指南》；

9.《信息安全技术网络安全等级保护测试评估技术指南》（GB/T 36627-2018）；

10.《关键信息基础设施安全保护条例》；

11.《中华人民共和国网络安全法》；

12.《中华人民共和国数据安全法》；

13.《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（ 公信安〔2010〕303 号）；

14.《省级预算单位网络安全等级保护测评服务集中统一采购工作实施方案（试行）》（皖数资〔2022〕6 号）。

三、服务需求

3.1需求总概

本项目是对安徽省级预算单位 328 个等保对象开展等保测评工作，项目主要内容包括：测评准备、定级与备案支撑、测评实施、安全培训和安全风险排查四大项。

3.2第 1-8 包详细需求

3.2.1测评准备

包括前期调研、数据分析、测评方案编制等。具体包括编制和配合填报信息系统基本情况调查表，开展面对面访谈进一步了解等保对象情况；准备评估工具， 汇总和分析调研数据，完成测评工作方案编制。

3.2.2定级与备案支撑

对未定级备案的各等保对象的定级、备案以及材料准备等工作提供咨询和指导服务，协助等保对象所属单位完成系统定级备案工作。

1.协助定级

协助等保对象所属单位对等保对象情况进行分析，通过分析等保对象所属类型、所属信息类别、服务范围，了解系统的可用性、完整性、保密性需求，清晰确定保护对象，确定受侵害的客体、客体受侵害的程度，最终确定等保对象的系统服务保护等级和业务信息保护等级，协助等保对象所属单位编制定级报告等。

2.协助备案

协助等保对象所属单位填写《信息系统安全等级保护备案表》，并到公安部门完成系统备案工作，协助等保对象所属单位取得《备案证明》。

3.2.3测评实施

包括现场测评、提出安全整改建议、配合安全整改、出具测评报告。具体内容如下：

1.现场测评。中标人需到现场开展测评工作，对信息系统的物理环境、网络和通信、计算环境、应用和数据、管理制度、管理机构和人员、建设运维等方面进行全面评估分析，开展漏洞扫描和渗透测试，查找与等级保护基本要求之间的差距。

1）安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全测评。

2）安全管理测评：安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理五个方面的安全测评。

3)工具测试：对等保对象开展漏洞扫描、渗透测试等安全服务工作。

2.提出安全整改建议。中标人现场测评后要对等保对象的安全现状和风险进行分析，形成相应的安全问题列表和整改建议，并协助制订和完善符合相应等级的等保对象安全整改技术方案。

3.配合安全整改。若经过现场测评存在安全风险，中标人需配合等保对象所属单位进行安全整改。针对等保对象，提供与等级保护标准存在差异的相关网络安全配置加固、高危风险修复、安全策略制定等技术整改指导服务；提供针对网络安全制度的整改，包括但不局限于：各项信息安全管理制度的制定、修订、落实，及相关记录完善等，规范信息安全日常管理工作，提高信息安全基础管理水平。

4.出具测评报告。上述所有工作完成后，中标人出具符合公安机关要求的（年度）信息系统安全保护等级测评报告，并将报告提交到属地公安机关网安部门审核。

3.2.4安全培训和安全风险排查

1.安全培训

1）中标人须为采购人和等保对象所属单位提供不少于 1 次的网络与信息安全培训服务，培训内容包括国家等级保护制度、系统定级原则方法、等级保护测评工作流程、信息安全策略、信息保密制度信息安全管理制度等。培训所涉及费用包含在本次报价中，并由供应商承担。

2）中标人须提供培训计划，包括培训内容、课时安排等。

2.安全风险排查

2022 年 12 月 31 日前，按照采购人要求针对此次开展测评的等保对象提供 1 次安全风险排查服务。

3.3服务要求

3.3.1技术服务总则

1.工作优先原则。中标人提供的服务将以顺利推进项目工作优先为原则；

2.人员稳定原则。中标人需为此项目成立专门的管理和实施团队，并提供了统一、专有和固定的服务管理接口，包括专有的项目经理接口和服务工程师接口， 保持人员稳定，确保沟通顺畅；

3.及时汇报原则。中标人应定期向采购人和等保对象所属单位汇报项目和服务工作情况、存在问题，紧急问题应当天当时及时汇报；

4.安全保密原则。中标人应严格遵循安全保密原则，对服务过程中涉及到的任何用户及等保对象信息，未经允许不得向其他任何第三方泄漏，以及不得利用这些信息损害采购人及等保对象所属单位利益；

5.记录规范原则。服务人员应做好工作记录，以便采购人和等保对象所属单位跟踪监督、统计考核，确保能提供完整的服务清单。

3.3.2实施要求

1.合同签订后，中标人应根据项目的具体情况，向等保对象所属单位提交等保测评服务工作方案，经等保对象所属单位审核同意后实施。工作方案应满足以下要求：

（1）工作方案实施内容要响应招标文件需求内容，包括但不限于测评准备、定级与备案支撑、现场测评、安全培训和安全风险排查等内容；

（2）针对关键节点，制定项目目标、实施方式、质量控制措施、风险防范措施、保密措施；

（3）针对测评过程中可能遇到的重大问题，制定反应机制（包括反应路径和反应时间等）和解决方案；

（4）制定项目工作计划，包括如何合理分配时间、人员等资源，保证在规定时间内完成项目任务。

2.相关承诺（此项作为符合性审查）

（1）投标人承诺中标后，制定应急预案，提供应急响应服务。在项目服务期内，若等保对象所属单位因实施测评工作发生安全事件，中标人在接到采购人或等保对象所属单位通知后及时响应。投标文件中须提供应急响应承诺函（格式自拟），否则投标无效。

（2）投标人承诺在 2022 年 12 月 31 日前，按照采购人要求针对此次开展测评的等保对象提供一次安全风险排查服务。投标文件中须提供安全风险排查服务承诺函（格式自拟），否则投标无效。

3.提供咨询服务。在项目服务期间，中标人须为等保对象所属单位提供对标差距分析、职位职责梳理、管理体系建设等咨询服务，服务期限从合同签订至项目验收通过。

4.中标人应具备完善的项目质量管理能力和沟通解决问题能力，确保测评实施流程规范合理，测评结果准确有效；具备在项目实施过程中的风险控制能力， 保证等保对象所属单位信息系统正常稳定运行，对于信息系统突发安全事件有应急处置方案。

5.为确保本项目顺利完成，中标人为本项目配备的成员需符合本招标文件要求，服务期间采购人和等保对象所属单位将对配备人员进行严格管理。

6.中标人在项目期间规定严格执行安全管理规定，如因中标人原因发生重大安全事件，采购人将此类情况通报供应商主管单位/部门、相关监管单位，并根据事件性质，酌情追究相关人员责任，并不予支付费用。

7.所有等保对象测评及正式报告出具交付工作，须于合同签订后 100 个日历日内完成。

3.3.3保密要求

中标人必须与等保对象所属单位签订保密协议，对项目实施过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。

3.3.4测评人员要求（除人员配备名单及评分标准中要求提供的人员证明材料  外，投标文件中无须另外提供人员的其他证明材料，相关证明材料在合同签订  后由中标人向采购人提供原件核查。）

1.测评人员数量要求。中标人需根据等保对象数量，合理评估测评工作量， 为保障项目顺利完成，每包除配备一名项目经理外，还需要配备满足项目需求的测评团队，具体要求为：包一配备不少于 19 名测评师，包二和包三分别配备不少于 17 名测评师，包四和包五分别配备不少于 15 名测评师，包六、包七和包八分别配备不少于 14 名测评师，测评师均具备测评师资质证书。测评实施团队在合同签定后 5 个工作日内进驻到等保对象所属单位或等保对象部署地实施测评工作。

2.项目经理须具有一定的技术管理知识和经验，能够有效的与采购人、等保对象所属单位沟通，能按照采购人和等保对象所属单位的要求完成与本项目相关人员的沟通协调，能够很好地执行并完成测评服务工作，并能根据一些特殊的情况可以适当增加测评服务人员，接受采购人和等保对象所属单位的统一管理。

3.3.5验收及付款

中标人在合同签定后的 100 个日历日内完成项目服务内容和所承诺事项，出具符合公安机关要求的（年度）信息系统安全保护等级测评报告后，由等保对象所属单位组织验收工作，并将验收结果报采购人。

四、报价要求

本项目每包报总价，报价须包含完成各包所有服务所需的全部费用（包含所投货物安装、保险、税费、包装、加工及加工损耗、运输、现场落地、验收等工作所发生的一切应有费用），采购人在标后不追加任何费用。报价不得高于最高限价，否则投标无效。

五、其他要求

1.中标人出具虚假测评报告，导致等保对象漏洞隐患未被及时发现处理，造成等保对象发生重大网络安全事件的，或经发现出具的测评报告质量差的，采购人和等保对象所属单位有权追究相关责任。

2.测评服务完成后，采购人对中标人实行服务质量考核，若考核不合格，采购人将向中标人追究相关违约责任。