项目采购需求

一、服务总体要求

1、项目概况

近年来，随着网络通讯技术的迅猛发展，信息系统在招标方的日常工作的起到了越来越关键的作用。随着各类业务应用与服务不断深入，网络安全工作显得愈加重要，尤其是一些重要信息系统的部署，对网络安全防护能力提出了更高的要求，必须着手加强相关系统的网络安全保障工作，以积极应对各种网络威胁。

等级保护是我国关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

2017年6月1日起，《网络安全法》正式实施，其中，第21条明确规定，“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。

2、测评目的

为落实《网络安全法》、其它相关法律法规和政策要求，招标方计划对其信息系统开展等级保护相关工作，通过对被测系统物理环境、网络设备、服务器群、应用软件系统以及管理制度实施等级保护测评，梳理被测系统的资产状况，明确被测系统的安全建设现状，找出存在的安全风险，提出安全整改建议，并以此为基础，进一步制定安全建设整改方案，完善保护措施。通过测评，可以提高招标方的安全意识，增强招标方网络的安全保障能力，保证重要信息系统的正常运转，使被测系统满足我国关于等级保护相应级别的具体要求。

3、涉及系统

本次招标涉及系统及定级情况如下：

信息系统名称	安全保护等级	业务信息安全（S）	系统服务安全(A)
“满意承德”城市综合服务平台	第三级	第三级	第三级
承德市“智慧政务”平台	第三级	第三级	第三级
公共资源市县一体化交易平台	第三级	第三级	第三级
“承心办”服务平台	第三级	第三级	第三级
公共信用信息共享平台(二期）	第三级	第三级	第三级
“信易+”应用和“信易贷”平台	第三级	第三级	第三级
承德市工程建设项目审批管理系统	第三级	第三级	第三级

4、参照标准

中标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）

《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全技术网络安全等级保护实施指南》（GB/T 25058-2019）

《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016）

《计算机信息系统安全等级保护通用技术要求》（GA/T 390-2002）

《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）

《信息安全技术信息系统安全工程管理要求》（GB/T 20282-2006）

《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）

5、测评内容与流程

5.1信息系统备案

协助招标方依据《网络安全等级保护定级指南》（GB/T 22240-2020）、《信息安全等级保护备案实施细则》（公信安[2007]1360号）等要求对被测信息系统现状进行调研。参照业务信息安全级别和系统服务安全级别，判定信息系统所属级别，编制等级保护定级备案表和信息系统定级报告，最后召开定级专家评审会议，确认该信息系统等级保护级别。材料准备完毕，提交到所属公安机关，完成定级备案，最终取得备案证明材料。

主要交付成果包括《信息系统定级报告》、《信息系统等级保护备案表》、《专家评审意见》、协助完善公安机关所需要的其他材料等。

5.2初次测评

检查招标方被测系统现状，依据《网络安全等级保护基本要求》（GB/T 22239-2019）从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理等层面对系统进行初次安全评估，通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，形成差距分析；基于差距提出安全整改建议，以指导后续安全整改工作。

该阶段的测评内容包括：

安全物理环境测评：包括物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。

安全通信网络测评：包括网络架构、通信传输、可信验证等内容。

安全区域边界测评：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。

安全计算环境测评：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。

安全管理中心测评：系统管理、审计管理、安全管理、集中管控等内容。

安全管理测评：涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。

交付成果包括：《测评方案》、《初次测评现场记录表》、《信息系统渗透测试报告》、《信息系统安全整改建议书》等。

5.3等保整改

招标方根据测评机构提供的整改建议，按照《网络安全等级保护条例》（征求意见稿）、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）、《网络安全等级保护设计技术要求》（GB/T 25070-2019）等有关管理规范和技术标准，完善或制定安全管理制度、落实安全责任，优化安全技术措施。通过安全建设整改，确保信息系统通过相应级别的安全等级测评。

交付成果包括《测评系统整改确认报告》等。

5.4二次测评

招标方完成整改后，通过对整改后的系统进行分析和梳理，再次实施等级测评，记录测评结果。

交付成果包括《终版测评现场记录表》、《信息系统渗透测试报告》等。

5.5报告编制

通过对现场测评获得的测评证据和资料，判定单项测评结果及单元测评结果，然后进行整体测评和风险分析，形成等级测评结论，按照《网络安全等级测评报告模版（2021年版）》编写等级测评报告。

交付成果包括《网络安全等级测评报告》等。

6、测评对象

本次安全保护等级测评的测评对象包括所涵盖测评系统范围的以下内容：

（1）主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；

（2）办公场地；

（3）整个系统的网络拓扑结构；

（4）安全设备，包括防火墙、入侵检测设备和防病毒网关等；

（5）边界网络设（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

（6）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；

（7）存储被测系统重要数据的介质的存放环境；

（8）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

（9）管理终端和主要业务应用系统终端；

（10）能够完成被测系统不同业务使命的业务应用系统；

（11）业务备份系统；

（12）信息安全主管人员、各方面负责人员、具体负责安全管理的当事人、业务负责人；

（13）涉及到信息系统安全的所有管理制度和记录。

7、安全保护培训

供应商结合测评内容和测评阶段，制定针对招标方技术人员、管理人员及相关工作人员的信息安全培训计划方案，配合招标方开展网络安全保护教育培训。培训内容包括网络安全基础知识、等保测评知识交流、网络安全法知识普及、安全意识培训。

（1）培训形式：包括针对招标方技术人员、管理人员的现场培训与集中培训，针对招标方全体工作人员的集中安全学习教育，其中每个服务期针对招标方技术人员、管理人员的集中培训不得少于10人次（或依据招标方实际情况确定人数）。

（2）供应商必须为所有被培训人员提供使用的中文文字资料和讲义等相关用品。

8、测评应满足的原则

本次等级保护测评实施方案设计与具体实施应满足以下原则：

1.保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标方的行为，否则招标方有权追究供应商的责任。

2.规范性原则：供应商工作中的过程和文档应具有规范性记录，以便于项目的跟踪和控制。

3.可控性原则：项目实施进度要按照进度表的安排，保证招标方对测评工作的可控性。

4.整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

5.最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内开展；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响，保证现有系统24小时的不间断、稳定、安全运行。

6.非高峰期原则：漏洞扫描及渗透测试时间，应尽量安排在夜间或法定节假日期间，制定切实可行的测试实施细则；对意外导致的宕机等，应提供应急保障方案，切实保证关键系统能正常工作。

供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

（二）商务要求

本项目安全保护等级测评服务包括本年度磋商文件要求相关系统的安全保护等级测评与备案服务，以及自项目合同签订之日起一个日历年度期间的安全保护等级建设技术售后服务。

1、中标方投标方案中项目负责人应同时为项目售后服务负责人。

2、电话支持。提供供应商承诺售后年限内7×24小时的免费电话支持服务。提供免费技术支持服务热线电话，通过电话了解情况并提供远程技术服务，30分钟以内做出反应、2小时内做出答复。

3、在线远程支持。提供供应商承诺售后年限内7×24小时的免费在线远程支持服务。提供免费在线远程支持服务，通过远程技术服务，保证7×24小时维护响应。

4、到场支持。如需要解决技术问题，需24小时到场（特殊情况根据公司驻地到招标方工作场地距离双方协商时间），问题解决后提交问题处理报告，说明问题种类、问题原因、问题解决方法等情况。

5、提供专业咨询顾问服务。范围包括系统诊断、故障恢复等。指定具有丰富经验的专业技术人员负责系统的技术支持。测评完成后一年内为招标方提供信息系统安全咨询服务，涵盖系统建设、运维、管理等相关的安全问题，提供信息安全检查咨询和整改建议等技术支持服务。

6、付款条件。自合同签订之日起两个月内完成全部测评工作，为各系统平台出具等保测评报告并经公安部门备案后，全额支付项目中标金额，在支付前乙方应首先开具等额发票给甲方，否则支付顺延引起的责任由乙方承担。