2.投标人资格要求1.2采购方式：根据《湖北省直机关政府集中采购目录实施方案（2021年版）》的通知（鄂公采发〔2020〕29号），信息技术服务中的信息化工程监理服务和测试评估认证服务，单项或批量采购60万元至400万元的，通过网上商城执行定点采购方式，本项目采用竞价采购方式进行采购。1.1预算金额：平台等级保护评测为二级，根据《湖北省省级信息化类项目支出预算编制标准（试行）》（鄂财预发〔2020〕43号）二级系统等级保护测评费用标准,信息安全等级保护测评服务采购预算金额为5.5万元。1.预算金额和采购方式：采购需求湖北省地质灾害防治管理平台等保测评

为满足公安机关的监管要求,拟对湖北省地质灾害防治管理平台开展等级保护测评工作。测评机构需要提供切实有效的整改方案、并提供整改咨询服务，对整改后的信息系统进行回归测评，出具正式等级保护测评报告，确保最终达到国家等级保护相关要求,通过公安机关备案手续。2019年，自然资源部办公厅印发《关于做好2019年地质灾害防治工作的通知》（自然资办函〔2019〕547号），要求“力争通过三年工程实施，显著提高地质灾害隐患识别与风险调查科技水平”，为此，湖北省自然资源厅启动湖北省地质灾害防治管理平台建设，在原有地质灾害信息化工作的基础上，基于《湖北省地质灾害综合防治管理体系建设》对信息化工程建设的总体要求，按照“整合、优化、提升”的工作总要求开展建设,打造“信息全、数据新、网络通、方便用”的省级地质灾害防治管理平台,“信息全”是指通过平台建设实现对地质灾害防治业务全覆盖，涉及地质灾害防治信息的全要素。“数据新”是指通过平台建设实现地质灾害防治数据调查、识别和更新及时，保障地质灾害防治数据鲜活。“网络通”是指确保平台实现网络纵向与自然资源部、市县联通，横向与省直部门联通，数据共享畅通。“方便用”是平台站在用户的角度进行设计、开发，功能易用、好用，形成一个地质灾害防治指挥中心、一套平台运行支撑环境、一个地质灾害防治数据库、一套应用软件平台和一套标准规范制度、运行保障和数据共享机制。湖北省地质灾害防治管理平台主要建设内容包括指挥中心建设、基础设施建设、数据资源建设、业务系统建设和标准规范建设五个主要部分。3.项目概述2.3具有公安部第三研究所（国家认证认可委员会批准的认证机构）认证发放的《网络安全等级测评与检测评估机构服务认证证书》;省外测评机构须提供湖北省网络安全等级保护工作协调小组办公室颁发的《等级测评机构异地测评项目备案表》。2.2未被列入“信用中国”或“中国政府采购网”中的失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。2.1应具备《政府采购法》第二十二条第一款规定的条件。

根据国家信息系统安全等级保护相关标准《GBT22239-2019网络安全等级保护基本要求》，对湖北省地质灾害防治管理平台安全保护等级进行测评和信息安全风险评估，内容包括但不限于以下内容：4.2.1测评内容4.2等保测评服务按照《GB/T22240-2020信息安全技术网络安全等级保护定级指南》的要求，确定湖北省地质灾害防治管理平台的安全等级，并协助采购人完成信息系统定级报告和定级材料的准备、整理，以及到公安部门办理备案手续。4.1定级备案服务4.服务内容及要求

（3）针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节，提供安全建设整改和安全加固方面的咨询。（2）依据《网络安全等级保护基本要求》，从安全技术和管理两个方面共十个层面对信息系统进行等级测评，出具等级测评报告；（1）协助开展信息系统的自查自评估工作，对存在的风险隐患和安全问题及时提供有针对性的安全整改建议，保障整改措施的落实，完成重要信息系统的定级、备案等相关工作；4.2.2具体服务内容：（2）安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。（1）安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

（2）安全通信网络对信息系统的机房和办公场所物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全状况进行测评。（1）安全物理环境4.2.3测评要求（4）提供安全服务，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作，及时、有效、正确的预防和阻止各种黑客攻击。

（5）安全管理中心对信息系统的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况进行测评。（4）安全计算环境对信息系统的边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面的安全状况进行测评。（3）安全区域边界对信息系统的网络系统安全防护情况进行测评，包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性测评、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。

（8）安全管理人员对信息系统的岗位设置、人员配备、授权与审批、沟通和合作、审核和检查等情况进行测评。（7）安全管理机构对信息系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。（6）安全管理制度对信息系统的系统管理、审计管理、安全管理、集中管控进行测评。

4.2.4测评风险规避要求对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。（10）安全运维管理对信息系统建设过程、测试验收、系统交付、等级测评服务供应商管理等情况进行测评。（9）安全建设管理对信息系统相关内部人员的人员录用、人员离岗安全意识教育和培训、外部人员访问管理等情况进行测评。

（2）操作时间控制在实施过程中必须遵守的相关操作章程，以防止敏感信息泄漏和确保及时处理意外事件。（1）操作的申请和监护安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法：指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文档和数据进行安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行控制。项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。

（5）关键业务系统风险控制根据测评范围界定的系统情况，在实施前制定应急预案。（4）制定应急预案必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。（3）人员与数据管理对测评直接影响系统工作时，尽可能避开敏感时期。

4.3整改咨询服务对业务系统和数据库主机，应对其上数据进行备份，防止测评过程中对设备与主机的损伤影响业务系统的正常运行。（7）数据备份与恢复分类扫描:对不同的主机和设备类型执行不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。（6）优化扫描策略对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和简单测试的方式进行。

5.3报价要求：5.2服务地点：按照采购人指定的地点。5.1工期要求：2022年12月15日前完成系统等保测评，并出具正式测评报告。5.商务要求等级保护整改实施具体内容包括安全管理制度修订、安全技术整改、形成安全配置基线、进行安全增强配置和调试工作、实施等保相关培训、安全风险管理工作落实等工作内容。协助采购人严格按照差距分析报告内容，落实相关等级保护建设整改工作，提升信息系统安全防护能力，确保信息系统满足国家等级保护相应等级要求。

5.3.3对本文件未列明，而投标人认为必需的费用也需列入总报价。在合同实施时，采购人将不予支付中标人没有列入的项目费用，并认为此项目的费用已包含在总报价中。5.3.2对在合同实施过程中可能发生的其他费用（如：增加耗材、材料涨价、人工、运输成本增加等因素），采购人概不负责。本文件所要求内容应视为保证系统测试所需最低要求，如有遗漏，投标人应予补充。否则，将不予以付款。5.3.1投标人的报价应包含为完成本文件提出的全部相关工作所有可能发生的费用，即总报价为“交钥匙”价。