采购需求

一、项目背景

为贯彻落实国家网络安全相关规定，杭州市财政局拟开展信息安全等级保护测评工作，以进一步完善杭州市财政局的信息系统安全管理体系和技术防护体系、增强信息安全保护意识、切实提高财政局信息系统安全防护能力。为提高源代码的安全性及规范性，提升信息系统的防御能力，对业务系统开展源代码审计。

二、项目内容

1.根据相关文件及标准要求，对财政办事E平台、网络系统、数据交换平台、财政分析平台、数字人事、政府投资管理系统进行分类和梳理、等级测评。具体如下：

序号	系统名称	自拟定级别	服务内容
1	财政办事E平台	三级	等保复测
2	网络系统	三级	等保复测
3	数据交换平台	三级	定级、备案、测评
4	财政分析平台	二级	定级、备案、测评
5	数字人事	二级	定级、备案、测评
6	政府投资管理系统	二级	定级、备案、测评

1.1依据标准

投标供应商应依据国家等级保护相关标准开展工作，依据标准（包括但不限于）如下国家标准：

（1）GB/T 22239-2019 信息安全技术 信息系统安全等级保护基本要求；

（2）GB/T 22240-2019 信息安全技术 信息系统安全等级保护定级指南；

（3）GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南；

（4）GB/T 28448-2019 信息安全技术 信息系统安全等级保护测评要求。

2.信息系统代码审计服务

对以下系统的源代码进行安全审计检测，源代码测试，缺陷类型检测，人工审计

序号	服务名称	系统名称	频率	交付物
1	代码审计	财政办事E平台	1次	《系统代码审计报告》

 

2.1依据标准

（1） 投标供应商应依据国家代码审计相关标准开展工作，依据标准（包括但不限于）如下国家标准：

GB-T 39412-2020 信息安全技术 代码安全审计规范。

三、采购服务内容及要求

1.业务系统分类及梳理、等级保护测评

1.1服务内容

根据国家信息安全等级保护相关标准，供应商对采购人的信息系统完成等级保护测评工作。要求对相关信息系统进行摸底、分析和梳理，提出测评方案，逐一对信息系统进行安全等级保护测评，进行差距分析以及风险评估。信息安全等级保护测评的内容包括但不限于以下内容：

1、安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。

2、安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评。

完成测评工作后，供应商提出整改意见并配合采购人进行整改，最后出具符合公安机关要求的信息系统安全保护等级测评报告，协助采购人完成信息安全等级保护测评结果备案工作。

1.2等保测评应满足的原则

本次安全等级保护测评实施方案设计与具体实施应满足以下原则：

1　 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究供应商的责任。

2　 标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

3　 规范性原则：供应商工作过程中的文档，应具有规范性，满足项目跟踪和控制要求。

4　 可控性原则：测评服务的进度要跟上进度表的安排，保证采购人 对于测评工作的可控性。

5　 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

6　 最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

1.3等保测评服务要求

1　 供应商应详细描述本次等级保护测评的整体实施方案，包括项目概述（解读）、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2　 供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有经验和相关资质的测评人员进行本次等级保护测评工作。

3　 本次等级保护测评实施过程中所使用到的各种工具软件由供应商推荐，经采购人确认后由供应商提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

4　 安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由供应商推荐，经采购人确认后由供应商提供并在测评中使用。

5　 安全测评需要的运行环境（如场地、网络环境等）由采购人提供，供应商应详细描述需要的运行环境的具体要求。

6　 供应商应对采购人的信息系统进行等级保护测评，形成相应的报告。

7　 供应商在测评后出具符合浙江省公安厅要求的系统安全保护等级测评报告；

8　 对信息系统中不符合信息安全等级保护有关管理规范和技术标准的，供应商出具可行整改方案并协助采购人整改和整改项的再次测评服务。

9　 供应商协助采购人办理信息系统安全保护等级备案手续。

10　 供应商实施过程中应具备安全保密措施、风险控制措施和规范的管理制度。

2.财政办事E平台代码审计服务

2.1代码审计服务内容

对杭州财政办事E平台系统进行源代码审计。源代码审计应检查源代码中的安全缺陷、程序源代码是否存在安全隐患、代码编写是否规范等。通过自动化工具及人工审查的方式，对系统源代码进行检查和分析，从而发现这些源代码中存在的缺陷及安全隐患，并提供代码修订措施和建议，输出《代码安全检测报告》，并协助开发商进行整改。

2.2代码审计服务要求

（1）供应商应详细描述本次代码审计的整体实施方案，包括项目概述、人员组成、时间安排等。

（2）供应商应对采购人的信息系统源代码进行代码审计，并形成相应的报告。

（3）对信息系统源代码审计发现相关安全漏洞或不符合代码编写规范的，供应商应提供整改建议并在采购人修复后进行复测。

（4）供应商实施过程中应具备安全保密措施。

四、项目验收

1.本项目的目标是输出《网络安全等级保护测评报告》及《系统代码审计报告》，并配合办理信息系统安全保护等级备案手续，该项目将产生一定数量的文档。包括且不仅仅包括以下成果:

1　 《信息系统整体测评实施方案》

2　 《网络安全等级保护测评报告》

3　 《网络安全等级保护整改建议书》

4　 《信息系统安全等级保护备案表》

5　 《系统代码审计报告》

2.中标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。

五、其他要求

1.中标人应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。

2.保密性要求：中标人必须和采购人签订网络安全与保密协议和非侵害性协议，中标人必须要与参加此次测评及测试项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给采购人。

3.中标人具体测评、测试工作和报告的编写，必须在采购人的指定地点进行。对于过程中的重要资料和结果，在测评期间和测评结束后，中标人不得带离该地点。

4.中标人对本需求中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论中标与否，各供应商对上述内容的保密责任将长期存在。

5.等级保护测评及代码审计的品质保证：承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的工具为客户作全面等级保护测评及代码审计。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。

6.测评及测试完成之后，协助采购人完成信息系统整改，中标人所提供的整改建议科学、合理、有效、并承诺及时跟进。

7.应根据采购人需要提供信息安全相关培训，提供的培训内容满足采购人的合理需求。

8.供应商自2019年1月1日（含）以来（以合同签订时间为准）应具有信息等级保护测评业务及代码审计业务的服务经验。

9.供应商拟派服务团队中应具有1名高级测评师，5名中级测评师，1名高级信息系统项目管理师，1名软件性能测试高级工程师，1名信息系统安全专业认证证书的成员，1名注册信息安全专业技术人员（具备CISP资质），1名信息安全保障人员（具备CISAW资质）。高级测评师证书和中级测评师证书不能由同一人提供，其余证书可以由同一人员提供。

六、商务相关要求

1.履约担保

1.1本项目无需缴纳投标保证金。

1.2如有违约情形，从应付合同款中扣除相应违约款项，或者由中标人支付相应违约金。

2.付款方式

2.1合同生效且具备实施条件后5个工作日内，采购人支付合同总价的50%作为预付款；（签订合同时，中标人提出不要求预付款或降低预付款比例的，可不适用该条款）

2.2项目完成全部测评和测试且正式验收合格后5个工作日内一次性支付剩余合同款。

2.3每次支付前成交供应商应提供有效等额发票，否则采购人可顺延付款。因成交供应商未及时提供发票造成的付款时间延误，由其自行负责。

3.实施周期要求

合同签订后3个月完成。供应商应对此作出合理的进度计划安排。

七、投标方案说明

投标人参与本项目应有完整的、可行的技术方案，对采购文件提出的技术要求予以响应。为了使项目顺利开展，投标方案应至少考虑如下内容：

（1）业务系统分类及梳理、等级保护测评服务方案。

（2）财政办事E平台代码审计服务方案。

（3）投入的人员方案。

（4）安全保密方案。

（5）风险控制方案。

（6）项目时间进度安排情况。

（7）售后服务方案。

（8）验收方案。

八、特别说明与规定

本部分内容均为采购人基本要求，如投标人无法响应，须在《关于对招标文件中有关条款的拒绝声明》中详细说明，未说明的，视为完全响应并接受所有条款。

1.本项目单独一个标项，标项是最小投标单位，投标人必须对标项内的所有内容发起投标响应。投标人在投标时缺漏的内容视为“未响应”按负偏离处理，如中标，须自行如数补齐并承担相应后果。

2.采购文件第三部分采购需求部分，是采购人需求的最基本描述，投标人不得擅自改动或删减。投标人如认为采购内容（清单）中缺少了满足采购需求所必需的产品或其他工作内容，投标人应在投标时自行补充并说明具体理由，所需费用包含在投标总价内。

3.采购人不接受投标人给予的任何赠品、回扣或者与采购无关的其他商品、服务，不接受任何形式的“0元报价”（“0元报价”一律视为无效报价，作无效标处理）。

4.投标人应当完整、明确的逐条对照采购要求作出投标响应，投标响应缺项或因复制粘贴采购要求导致投标响应不明确的，均按负偏离认定；投标响应前后矛盾导致评标委员会有疑问的，评标委员会认为必要时可以要求投标人在规定的时间（30分钟）内提供相关技术证明材料，投标人不能按时提供相关技术证明材料的视为“未响应”作负偏离处理。

5.投标人所提供的服务质量标准均须符合国家、行业相关标准要求，上述标准不一致的，以国家标准为准；没有国家标准、行业标准的，按照通常标准或者符合合同目的的特定标准确定。