项目需求书

（一）本项目标的名称：重要信息系统等保测评服务；所属行业为：商务服务业。

（二）项目概况

为提高天津市教育委员会信息系统安全保护能力，深入贯彻《中华人民共和国网络安全法》等相关规定和管理要求，按照国家《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2019等标准规范，对天津市教育委员会重要信息系统开展2024年网络安全等级保护测评工作。

（三）技术要求

1.供应商应提供本项目相关技术人员简历(含各成员的姓名、职务、职称、专长、业绩等)原则上不允许更换，如需更换人员，应经采购人同意。

2.供应商能够把握和理解国家对该类项目的具体要求，对等级保护政策文件，如：《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术 网络安全等级保护测评过程指南》（GB/T28449-2018）、《信息安全技术 网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022）等内容有较深的认识。

3.供应商应具有完善的项目管理经验，包括制定项目汇报体系、项目问题管理体系等，建立信息安全测评服务质量体系。测评实施的质量要素包括：项目的进度，关键节点的服务成果，最终用户的服务反馈等。

4.供应商应具有完善的工作流程，有计划、按步骤地开展测评工作，保证测评活动的每个环节都得到有效的控制。测评流程包含测评准备过程、方案编制过程、现场测评过程、分析及报告编制过程。

5.供应商免费为采购人提供一年的新信息系统的等级保护定级、备案咨询等相关服务。

6.供应商应具有较强的漏洞发现能力和安全攻防实力，在项目实施期间可以根据现场测评实际情况，提出符合等级保护要求的完善建议。

（四）测评范围

根据《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护实施指南》等文件要求，协助天津市教育委员会进行等级保护测评技术服务工作。

系统列表如下：

（五）测评要求

1.等级保护测评的实施方案、工作计划等文档内容应与采购人被测评系统结构相符合，要求供应商熟悉采购人信息系统与应用现状，编写测评实施保障措施，应急处理预案等，应体现对采购人系统运行的理解能力，测评组人员要有三级系统的等保测评项目经验，可有效保障测评安全，及时有效处理测评中出现的问题。

2.供应商在现场测评环节过程中不能影响采购人的各项系统正常运行，针对工具测试等环节需要做好相应的应急预案以及操作规范。

（六）服务要求

1.测评服务供应商应具备后续服务支持能力，要对测评结论提出整改建议并提供整改设计方案。在测评实施期间要提供7×24小时技术支持，要指定专业工程师提供5×8小时现场运行技术保障。全部测评文档装订成册，建立测评档案，提供测评工具清单及技术资料。

2.测评项目组至少由一名高级测评师、一名中级测评师、两名初级测评师组成，并提供项目组成员资质证明材料、劳动合同以及在天津市缴纳社会保险证明材料。

3.供应商在等级保护项目中应提交国家规定格式的等级保护测评报告，且报告中测评单位名称与供应商名称一致，并以此作为验收标准。

4.供应商应具备完善的网络安全等级保护2.0测评方案，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理等。

说明：项目需求书中，带“★”标记的内容为实质性条款，供应商对标“★”内容不得有负偏离，否则做无效磋商处理。