招标内容及要求

一、项目概况（采购标的）

福建省人力资源和社会保障信息中心信息系统等级保护咨询和测评服务项目。

二、技术和服务要求（以“★”标示的内容为不允许负偏离的实质性要求）

★1、服务对象：福建人社厅及其直属单位主管的20套三级等保信息系统（具体系统由省人社信息中心在服务期内确定）。

★2、服务目标：使得服务范围内的系统按网络安全等级保护相关标准级别通过等保测评，并获得测评报告。

★3、服务要求：投标人须配合辅助业主单位完成该信息系统等级保护安全测评，即获取正式等级保护测评报告，测评结论为“中”及以上。须提供承诺函，未提供视为无效投标。

4、测评机构须依据国家《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《信息安全等级保护管理办法》（公通字[2007]43号）、《信息安全技术网络安全等级保护基本要求GBT22239-2019》、《信息安全技术网络安全等级保护测评要求GBT28448-2019》等法规要求进行信息系统安全等级测评。（第1项）

5、对服务范围内信息系统相关的物理环境、网络结构、主机以及业务系统进行摸底调研，进行资产梳理，了解信息安全的状况。（第2项）

6、依据《网络安全等级保护定级指南》，灵活运用指南中所提出的确定信息系统安全保护等级的步骤和方法，在信息系统业务安全性分析的基础上，提出定级建议，根据采购人当地网安要求，协助用户进行系统定级和备案。（第3项）

7、根据系统的安全等级选择和确定系统基本安全要求指标，然后按照安全指标评估系统安全现状，找出系统现状与安全指标之间的差距，输出差距分析表。（第4项）

8、根据差距分析表，结合信息系统的具体情况，从两个方面进行规划整改：①从安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心五个层面进行安全技术加固工作；②从安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管五个层面做好安全管理整改工作。输出《等级保护整改方案》。（第5项）

9、等级测评在整个等级保护工作中是非常关键的一环，等级测评会对前期的安全建设工作给出一个量化的测评结果，是等级保护建设工作的成败关键。投标人需要配合采购人完成：测评前的准备工作、配合测评机构进行测评、与测评机构的沟通、配合用户进行整改实施、取得良好的测评结果。投标人须为本项目至少配备项目经理、质量监督员、实施负责人等管理岗位。（第6项）

10、技术要求部分测评须涉及安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全物理环境五个方面，须通过访谈、配置检查和工具测试的方式测评信息系统的技术安全保障情况。安全物理环境测评须通过访谈、文档审查和实地察看的方式测评信息系统的物理安全、通信网络保障、安全区域边界保障、安全计算环境保障、安全管理中心保障情况。（第7项）

11、管理要求部分测评须涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面，管理要求方面的测评对象主要为安全主管人员、安全管理人员等。（第8项）

12、安全管理制度：须针对管理制度、制定和发布、评审和修订等情况进行核查。（第9项）

13、安全管理机构：须针对岗位设置、人员配备、授权和审批、沟通和协作、审核和检查等情况进行审核。（第10项）

14、安全人员管理：须针对人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等进行核查。（第11项）

15、安全建设管理：须针对系统建设的全过程，系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发等进行核查。（第12项）

16、安全运维管理：须针对资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理进行核查。（第13项）

17、由于本项目系统资产数庞大、系统类别多、测评周期长，针对网络安全工作要求，应结合此次网络安全等级保护测评工作情况，投标人需为采购人提供网络安全等级保护测评工作态势总览服务，在服务期内，在采购人指定位置搭建服务平台，为采购人开展网络安全等级保护测评工作提供综合性方向和策略指导。全局把控各系统的网络安全等级保护工作的开展情况，全局落实各系统定级备案、建设整改、等级测评及日常安全监督检查工作情况。实时掌握系统初次测评及复测评的开展进度。通过对网络安全等级保护测评数据的分析，从基础测评数据角度分析，可以全面了解系统总体安全状况，深度挖掘网络安全共性问题，对总体提升安全防护措施有指导性意义，有利于推动单位的网络安全建设工作。（第14项）

★18、投标人需承诺在服务期内至少提供一套满足要求的服务平台支持本项目，并支持根据采购人需求定制开发。须提供承诺函，未提供视为无效投标。

19、通过该平台可呈现各个单位的相关数据，主要包含整体概况、测评动态、信息系统数量、安全通告、资产总数、制度总数、信息系统的基本信息、漏洞级别统计、资产类型、测评分数、资产高危漏洞统计、安全问题等数据。需提供相关截图证明。（第15项）

20、通过该平台可呈现当前用户相关的数据统计，主要包含等保分数排行、系统承载业务分布、信息系统数量统计、管理动作均值分析、管理动作统计，可展示近三年内下辖单位的数据统计情况。需提供相关截图证明。（第16项）

21、通过该平台可呈现当前系统测评相关的数据统计，主要包含各信息系统的基本信息、漏洞级别统计、资产类型、测评分数、资产高危漏洞统计、安全问题数据的统计。需提供相关截图证明。（第17项）

22、平台支持展示政策法规、管理规范、记录表单、操作规程和清单协议等五大类文件类型。列表内展示文档类型、文档名称、版本号、状态（待生效、有效、已废止）、制定依据、二级标签、所属单位和操作栏。操作栏可以自定义列。支持制度图谱和等保自查功能。需提供相关截图证明。（第18项）

23、平台支持展示文档类型、文档名称、标签集、标签类、标签、操作栏。支持对单位基本信息、信息系统基本信息收集，对已经完成编写的材料和审批意见等文件支持一键导出。支持预览和下载制度模板，支持自动生成功能，可以自动替换掉台账文件中关于网络安全领导小组、单位名称等内容，可以直接添加到选中单位的制度台账，也可以下载至本地，需提供相关截图证明。（第19项）

24、平台支持漏洞处置列表展示。列表处展示漏洞名称、所属单位、风险级别、IP、端口、是否修复、操作。可通过漏洞名称、IP、风险级别、修复状态进行精准或模糊查询。可对漏洞进行批量处置，也可以在统计页面查看各单位下漏洞数量情况。需提供相关截图证明。（第20项）

★25、投标人需承诺接受进行“服务平台”的功能测试，测试结果须满足应答要求，否则采购人有权取消投标人中标资格。须提供承诺函，未提供视为无效投标。

三、商务要求（以“★”标示的内容为不允许负偏离的实质性要求）

采购包1：