扬州市智慧城管平台网络安全等级保护测评服务
预算金额：￥51000 元
采购方式：询比采购


项目需求详情
一、项目内容
依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019），对扬州市城市管理局的扬州市智慧城管平台开展第三级网络安全等级保护测评服务，验证信息系统是否具备相应等级的安全防护能力，提出安全问题处置建议，出具《网络安全等级测评报告》。
二、项目依据
本次等级测评项目的主要依据如下：
1.《中华人民共和国网络安全法》
2.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
3.《国家信息化领导小组关于加强信息安全保障工作的意见》(*[2003]27号)
4.《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
5.《信息安全等级保护管理办法》(公通字[2007]43号)
6.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
7.《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）
8.《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)
9.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
10.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
11.《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
12.《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
13.《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)
14.《网络安全等级保护测评高风险判定指引》（T/ISEAA 001-2020）。
三、项目工作内容
（一）网络安全等级保护测评
1.信息收集
对项目涉及的所有信息系统开展信息收集工作，明确所有系统的物理环境及机房基础设施情况，网络架构，网络设备、安全设备部署情况，服务器分布及操作系统、数据库系统使用情况，应用系统业务流程、数据流向、用户群体情况，数据传输及存储备份情况，系统的高可用性需求情况，安全管理制度建设及执行情况。
2.方案编制
根据收集的基础信息，识别各信息系统网络结构及其网络覆盖范围、系统构成，明确测评目的及流程、明确测评对象及指标、明确测评方法及工具扫描接入点、明确测评实施步骤及配合需求、明确测评实施计划，出具《测评方案》。
3.测评实施
依据《测评方案》，通过访谈、检查、测试、实地查看等方法开展测评实施工作，形成《现场测评记录表》。测评实施需包含以下测评内容：
1）安全物理环境测评
测评控制点包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2）安全通信网络
测评控制点包括：网络结构、通信传输、可信验证。
3）安全区域边界
测评控制点包括：边界防护、访问控制、入侵防范、恶意代码防范。
4）安全计算环境
测评控制点包括：身份鉴别、访问控制、安全审计、入侵防护、恶意代码防防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
5）安全管理中心
测评控制点包括：系统管理、审计管理、安全管理、集中管控。
6）安全管理制度
测评控制点包括：安全策略、管理制度、制定和发布、评审和修订。
7）安全管理机构
测评控制点包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8）安全管理人员
测评控制点包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
9）安全建设管理
测评控制点包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
10）安全运维管理
测评控制点包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
4.报告编制
根据现场测评结果和GB/T 28448-2019的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成《网络安全等级测评报告》。
（二）安全建设整改支持
针对被测系统提供安全建设整改支持服务，从技术和管理两方面指导扬州市城市管理局完成信息系统的安全建设整改工作。
四、项目实施原则
1.客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案开展。
2.保密原则：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。
3.最小影响原则：测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。
4.规范性原则：信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。
5.质量保障原则：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，保证项目的进度和质量。
6.系统安全原则：项目工作人员需遵守等保检测规定，采用符合标准的检测工具和检测方法实施检测，如因违规操作造成对检测系统的破坏，则应承担相应责任。
五、项目实施要求
1.项目配合：项目实施过程中，如需采购人配合，供应商需要详细描述需要配合的内容。如需要采购人填写各种表单，需要详细描述表单的名称、功能及主要表项等等。采购人有权利拒绝提供任何信息列表以外的资产信息。
2.人员配备：供应商配备的服务人员须具备信息安全等级测评师资质，且项目负责人须为高级测评师。
3.设备要求：本项目中可能需要的软硬件平台均由供应商提供，采购人可按照相关要求对设备进行必要的处理。供应商须保证所使用的所有工具和软件不具有所有权和知识产权纠纷，并保证工具和软件的可用性和可靠性，由此产生的一切责任由供应商负完全责任。
4.质量要求：供应商须向采购人提供详细的测评材料、各种表单及结果报告。测评服务的范围、内容、形式、标准等应符合国家及行业的有关标准及规范要求。
5.风险控制：所有服务工作必须保证不影响采购人业务系统的正常运行，供应商须制定科学、有效的风险分析与控制措施。
6.安全保密：供应商须与采购人签订保密协议，服务人员须遵循采购人的各项规章制度，服务中所接触到的各种资料、文档等一切信息，未经采购人同意，不得向任何第三方泄露。
7.工期要求：网络安全等级保护测评工作需在合同签定后20日内完成，最终《网络安全等级测评报告》需在采购人完成安全建设整改后 10日内出具。
六、其它说明
1.本项目采用总价包干的方式。包括收集资料费、调查费、会议费、评审费、人员费、培训费、交通费、办公设备费、食宿费、风险费、保险费、税金、利润等政策性文件规定及合同包含的所有风险、责任等各项应有费用。合同价格不因服务期延长、物价变动及规范性、指导性、政策性文件等发生变化等因素而调整。
2.供应商出具最终报告后10个工作日内，采购人一次性支付测评费用。
3.供应商应提供符合国家法律法规的合法有效的发票。
4.本项目应由供应商直接提供，不得由他人替代提供，即不得转包和分包。
 

服务周期：30天
报价方式：价格
类型：总价报价
评选方式：价格最低
服务实施地：江苏省扬州市
需求文件：
联系人：
报名结束时间：2023-11-20 00:00:00
发布时间：2023-11-13 17:43:54
采购编号：JSYZC020501Z20231515139
采购单位：扬州市城市管理局本级
供应商数量： 报名供应商不足2家流标。
允许1家中选
是否需要上传响应文件：是
供应商资格：（一）符合《中华人民共和国政府采购法》第二十二条规定，且已在扬州市政府采购服务商城注册的供应商：
1.具有独立承担民事责任的能力（提供法人或者其他组织的营业执照等证明文件，扫描件加盖公章）；
2.具有良好的商业信誉和健全的财务会计制度；
3.具有履行合同所必需的设备和专业技术能力；
4.有依法缴纳税收和社会保障资金的良好记录；
5.参加政府采购活动前三年内，在经营活动中没有重大违法记录；
6.法律、行政法规规定的其他条件。
（2-6由供应商自行提供承诺说明，加盖公章）
（二）本项目要求规定的特定条件
具有公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》。（提供证书扫描件加盖公章）
异议处理项：如有异议请电话咨询采购人，采购流程问题请咨询平台运营。
您尚不具备投标资格，报名需
完善资料