采购需求

一、项目概况：

项目属性：服务类

1、项目概述

项目背景

广州市人民检察院位于广州市天河区商务中心区珠江新城。2019年10月10日开始，广州市人民检察院按照机构改革内设机构试运行，分别是办公室、第一检察部、第二检察部、第三检察部、第四检察部、第五检察部、第六检察部、第七检察部、第八检察部、法律政策研究室、案件管理室、检务督察部、检察技术信息处、计划财务装备处、司法警察支队、干部处、组织处、离退休人员服务处。下辖越秀、海珠、荔湾、天河、白云、黄埔、花都、番禺、南沙、从化、增城11个区检察院。南沙区院同时加挂“南沙自贸区检察院”的牌子。

目前，海珠、天河、白云区院为全国模范检察院，海珠、天河区院为全国十佳检察院，海珠、天河、白云、黄埔、番禺、越秀区院为全国先进基层检察院，越秀、海珠、荔湾、天河、白云、黄埔、花都、番禺等为全省先进基层检察院。

近年来，全市检察机关坚持以新时代中国特色社会主义思想为指导，坚持“讲政治、顾大局、谋发展、重自强”的检察工作总体要求，忠实履行宪法和法律赋予的职责，大力推进司法体制综合配套改革和检察改革，着力锻造“四个铁一般”队伍，在护航广州高质量发展、促进平安广州建设、维护社会公平正义、维护国家和社会公共利益等方面取得新成效，主要办案质效指标继续保持全省最前列，多项工作形成经验向全省全国推广。

项目目标

为贯彻落实《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等的文件要求，规范项目实施及管理工作，保证各项指标符合设计标准和建设规范，广州市人民检察院采购等级保护测评服务，满足公安机关对广州市人民检察院信息系统的安全保护要求及监督检查要求，通过测评，实现以下目标：

一是掌握系统的安全状况，排查系统安全隐患和薄弱环节，明确系统安全建设整改需求；

二是衡量系统的安全保护技术措施和管理措施是否符合等级保护的基本要求，是否具备了相应的安全保护能力；

三是增强网络安全等级保护的整体性、针对性和实效性，系统平台安全管理更加突出重点、统一规范、科学合理，提高安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

在此基础上，广州市人民检察院按照国家有关规定和标准规范要求对信息系统进行安全建设，并达到国家信息安全等级保护相关要求，通过公安等级保护主管部门的备案审核。切实提高采购人的信息安全防护水平，增强信息安全防护能力。

采购预算

广东省广州市人民检察院2024-2025年度信息化项目等级保护测评服务（第一部分）采购明细如下表：

序号	服务内容	系统名称	预算金额
1	广东省广州市人民检察院2024-2025年度信息化项目等级保护测评服务（第一部分）	三级：智慧案管综合管理服务平台、检务数据资源池二期（工作网）、全市统一指挥系统、公益诉讼大数据智能服务平台、检察机关刑事案件场景化分析平台、检察机关控告申诉一站式服务智能平台、内控系统、电子数据综合应用管理平台、检务通、智慧执检辅助办案平台	40万元

备注：供应商的报价为整体报价。相关测评内容以采购人通知为准，最终服务结算价格不得超过报价。

 

2、等级保护测评服务需求

根据相关国家法律法规和标准，供应商为广东省广州市人民检察院开展网络安全等级保护测评工作：

（1）基于广东省广州市人民检察院的信息化建设现状，结合相关国家网络安全法律法规，供应商向采购人提供应用系统、网络等方面的安全咨询服务；

（2）供应商协助采购人完成系统定级备案工作；

（3）差距测评服务，编制进度方案、漏洞扫描方案、渗透测试方案、网络安全等级保护测评实施方案（包括：安全管理机构、安全管理人员、安全区域边界、安全通信网络、安全物理环境、安全运维管理）。供应商应该自行配备相关测评工具，以满足测评工作的需求，工具包括但不仅限于：网络安全自动化渗透测试工具、脆弱性扫描系统、基线合规评估系统、安全配置核查系统、主机端口安全探测工具、服务器资源监控系统、通信协议安全监测系统、网络资源监控及测试系统、源代码检测工具、恶意文件分析软件等。对广州市人民检察院的信息系统进行测试评估、分析差距和提出整改建议。根据等级保护2.0的标准对采购人相关信息系统实施差距测评，按需开展漏洞扫描和渗透测试工作，并提出整改建议。

网络安全等级保护2.0差距测评应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面的安全控制测评；安全管理测评包括；安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。

根据被测系统信息系统的具体情况，结合标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

（3）安全整改协助服务

协助采购人制定并落实安全管理制度，落实安全责任，建设安全设施，落实安全技术措施，提供无偿的咨询服务，指导采购人完成相关信息系统的安全整改，达到国家规定的信息安全要求。供应商需协助采购人按照等级保护相关标准完善安全管理制度。

（4）测评验收服务

待采购人完成整改后，供应商再次对采购人相关信息系统进行测评验收，并根据实际测评结论出具符合2.0标准的《网络安全等级保护等级测评报告》，并协助采购人通过公安机关的备案与检查。

 

3、供应商人员要求

供应商投标文件应明确本项目配备的服务人员的职务、资质等。项目实施过程中，供应商未经采购人书面同意，不允许更换实施人员。实施团队的核心实施人员构成及资质能力不得低于如下要求：

人员类别	数量	岗位职责
项目经理	1名	对本项目所涉及所有服务内容进行统筹管理、对重大技术问题进行决策。负责日常技术指导，提供针对项目重点、难点、业务特点制定的全过程安全服务测试服务的质量、成本、进度控制的方法和措施方案。
技术负责人	1名	对本项目测评工作做出具体安排，严格管理流程，制定出详细的差距评估方案和时间计划，并就建立规范的测评流程、科学的测评方法、全面的测评内容、完善的测评工具、完备的测评指标体系和测评结果、有效的安全保密控制措施做出说明。严格落实人员安排，控制实施进度和项目质量，并能根据建设单位要求合理调整实施安排。
网络安全专家	1名	对本项目所涉及的安全技术问题进行把关。从广州市人民检察整体网络架构出发，结合实际业务系统的建设情况，提供安全、可靠、实际的网络及信息系统方面的安全建议，从本质上提升广州市人民检察的信息化安全水平。
质量控制专家	1名	对本项目所涉及的所有服务质量进行整体规划、把控，对项目质量进行及时跟踪、纠偏，保证项目整体服务质量达到预期目标。
等保测评工程师	3名	负责根据相关技术标准开展等级保护测评工作，包括等保测评的安全物理环境、安全通信网络、安全区域边界，安全计算环境、安全管理中心、安全管理制度、安全机构管理、安全管理人员、安全建设管理、安全运维管理等测评工作，并根据测评结果编写测评报告。

4、报价要求

供应商报价必须包括本项目规定的工作所承担的全部费用、利润、税金、政策性文件规定及合同包含内的所有风险、责任等各项应有费用，不论其在招标文件中是否有提及。供应商的投标报价为签订合同价格，合同价包干结算。在合同有效期内，合同价不受市场价格变化的影响。本项目中标价一次性不变价，产生的一切费用由供应商承担。

5、项目保密要求

供应商安排的人员须和采购人签订保密协议，供应商对项目下的保密资料应尽到管理人的义务，保密义务最低不得低于其对自己保密信息应尽的审慎态度。如保密资料涉及国家机密，供应商应当遵守国家有关国家机密的保密规定。采购人应与供应商签订保密协议，以厘清供应商保密职责与义务。保密条款包括但不限于以下：

（一）供应商对于保密资料仅可为本项目服务使用，不得挪作它用。

（二）未经采购人及建设单位书面同意，供应商不得利用连接互联网的电脑设备存储及处理保密资料。

（三）双方均须把保密资料的接触范围严格限制在因本项目规定目的而需接触保密资料的各自负责任的代表的范围内。

（四）在对外技术交流中，不得泄露和发表涉及本项目合作中保密资料。

（五）在未经采购人书面同意，供应商不得擅自对外(包括供应商的上下级单位)复制、转让采购人及建设单位提供的数据。

（六）供应商应当约束接触本次合作保密信息的员工遵守保密义务并签订保密协议。

（七）合作完成后，供应商须彻底删除与本次合作中有关的所有资料数据，不得私自作任何资料数据保留和备份，不得将资料数据泄漏给第三方。

（八）违约责任

供应商违反本协议的约定，造成数据泄露，给国家的安全和利益造成损害的，供应商须负全部责任，且采购人可依据有关规定追究供应商的责任，并视情况作出处理，给采购人造成的损失由供应商承担。

6、项目验收要求

投标人应按照要求进行测评，每个系统完成测评后出具网络安全等级测评问题清单和整改建议内容、网络安全等级保护等级测评报告。

7、售后要求

投标人应提供项目验收后一年内免费的售后服务，对本次测评范围内的问题提供技术咨询和漏洞的修补指导服务。

8、付款方式

合同签订后支付合同总额的50%，提交所有测评报告支付合同总额的50%。

9、方案设计需求

（1）对本项目的目标、任务、内容、要求的理解：详细描述项目的背景、目的、预期成果以及具体实施步骤。例如，明确指出项目旨在提高系统的安全防护能力，减少潜在的安全威胁。设定具体的指标如提升系统安全性至某个标准（如等保三级），或是在特定时间内完成的阶段性目标。

（2）检察业务系统网络安全等级保护测评实施方案：安全管理机构、安全管理人员、安全区域边界、安全通信网络、安全物理环境、安全运维管理。明确组织架构及其职责，比如设立专门的信息安全管理小组，负责监督整个安全管理体系的运行。为每一项制定具体的安全策略和技术措施，并量化其效果。

（3）测评进度：将整个测评过程分阶段，明确每个阶段的具体任务，规定每个阶段的时间节点。

（4）漏洞扫描：确定使用的工具、方法以及扫描的频率。

（5）渗透测试：渗透测试的范围、使用的工具和技术手段，提供修复建议和改进方案。

10、服务工具需求

1、具有网络安全自动化渗透测试工具； 2、具有脆弱性扫描系统；3、具有基线合规评估系统；4、具有安全配置核查系统； 5、具有主机端口安全探测工具；6、具有服务器资源监控系统；7、具有通信协议安全监测系统；8、具有网络资源监控及测试系统；9、具有源代码检测工具；10、具有恶意文件分析软件。