七、技术方案 1.1 等级保护测评工作概述 1.1.1网络安全等级保护工作背景 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息 以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对 网络中使用的网络安全产品实行按等级管理，对网络中发生的安全事件分等级响 应、处置。 网络安全等级保护制度是新时期国家网络安全的基本制度、基本策略。建立 网络安全等级保护制度，开展网络安全等级保护工作，有利于在信息化建设过程 中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系 统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息 安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法 人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全 产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。 1994 年，《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号 令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等 级保护的具体办法，由公安部会同有关部门制定”。该条明确了三个内容：一是 确立了等级保护是计算机信息系统安全保护的一项制度；二是出台配套的规章和 技术标准；三是明确了公安部的牵头地位。这之后等级保护工作不断推进，到 2007 年 6 月，公安部会同国家保密局、国家密码管理局和国务院信息办联合发 布了《信息安全等级保护管理办法》（公通字[2007]43 号），明确了网络安全等 级保护制度的基本内容、流程及工作要求，进一步明确了信息系统运营使用单位 和主管部门、监管部门在网络安全等级保护工作中的职责、任务，为开展网络安 全等级保护工作提供了规范保障。制定了包括《计算机信息系统安全保护等级划 分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》、《网络安全等级 保护基本要求》、《信息系统安全等级保护实施指南》、《网络安全等级保护测评要 107 求》等 50 多个国标和行标，初步形成了网络安全等级保护标准体系。2017 年 6 月 1 日起国家正式施行《中华人民共和国网络安全法》，明确国家实行等级保护 制度，网络运营者应当按照等级保护制度的要求，履行相应的安全保护义务，保 障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡 改。 1.1.2网络安全等级保护测评概述 依据《信息安全等级保护管理办法》（公通字[2007]43 号），信息系统运营、 使用单位在进行信息系统备案后，都应当选择测评机构进行等级测评。等级测评 是测评机构依据《网络安全等级保护测评要求》等管理规范和技术标准，检测评 估被测对象网络安全等级保护状况是否达到相应等级基本要求的过程，是落实网 络安全等级保护制度的重要环节。 在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状 分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整 改安全需求。 在信息系统运维过程中，信息系统运营、使用单位定期委托测评机构开展等 级测评，对信息系统安全等级保护状况进行安全测试，对信息安全管控能力进行 考察和评价，从而判定信息系统是否具备 GB/T 22239-2019 中相应等级安全保护 能力。而且，等级测评报告是信息系统开展整改加固的重要指导性文件，也是信 息系统备案的重要附件材料。等级测评结论为信息系统未达到相应等级的基本安 全保护能力的，运营、使用单位应当根据等级测评报告，制定方案进行整改，尽 快达到相应等级的安全保护能力。 等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场 测评活动、报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过 程。在方案编制活动中，测评对象确定和测评指标确定两个任务可以并行。 网络安全等级保护测评过程包括四个阶段： 1）测评准备阶段：本阶段是开展等级测评工作的前提和基础，是整个等级 测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开 展。目标是顺利启动测评项目，准备测评所需的相关资料，为顺利编制测评方案 打下良好的基础。主要任务是依据被测单位提出的测评申请，掌握被测等级保护 108 对象的详细情况，准备测试工具，为编制测评方案做好准备，包括项目启动、信 息收集和分析、工具和表单准备三项主要任务。同时，测评机构对被测单位的申 请材料进行审查，在双方达成共识的情况下，双方签定保密协议、合同。 2）方案编制阶段：本阶段是开展等级测评工作的关键阶段，为现场测评提 供最基本的文档和指导方案。主要任务是确定与被测等级保护对象相适应的测评 对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书， 形成测评方案。包括测评对象确定、测评指标确定、测评内容确定、测试工具接 入点确定、测评指导书测评指导书开发及测评方案编制六项主要任务。测评机构 成立项目组后，工作人员到被测评单位了解被测等级保护对象的信息，编写信息 系统业务调查报告，与被测评单位共同讨论测评方案、测评工作计划，达成共同 认可的测评方案和测评实施计划。 3）现场测评阶段：本阶段是开展等级测评工作的核心活动。主要任务是按 照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项 目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够 证据，发现系统存在的安全问题。包括现场测评准备、现场测评和结果记录、结 果确认和资料归还三项主要任务。进入本阶段，测评机构项目组成员在参照系统 体系建设相关资料（系统建设方案、技术资料、管理资料、日常维护资料）后， 对被测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、 技术要求落实情况测评、定期评估执行情况检查、应急响应、处理检查、培训和 考核检查、生成管理检查记录、技术检查记录和核查报告。 4）报告编制阶段：本阶段是给出等级测评工作结果的阶段，是总结被测等 级保护对象整体安全保护能力的综合评价阶段，主要任务是根据现场测评结果和 《测评要求》的有关要求，通过单项测评结果判定、单元测评结果判定、整体测 评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间 的差距，并分析这些差距导致被测等级保护对象面临的风险，从而给出等级测评 结论，形成测评报告文本。包括单项测评结果判定、单元测评结果判定、整体测 评、系统安全保障评估、安全问题风险分部分析、等级测评结论形成及测评报告 编制七项主要任务。 具体流程如下： 109 1.1.3网络安全等级保护测评目的 等级测评的目的是旨在以第三方立场，通过核查、测试、访谈等手段，对被 110 测等级保护对象安全技术、安全管理各个层面的安全控制进行整体性验证，以保 证被测等级保护对象的安全状况满足相其对应的安全级别的要求。 通过网络安全等级保护测评工作，使被测等级保护对象能够在统一安全策略 下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意 攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损 害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分 功能。 系统定级完成后，首要的工作是确定系统的安全需求，也就是系统的保护需 求。对于新建的系统和已建的系统，安全需求的确定方法不同，新建过程中的系 统由于在设计完成之前还没有系统实体，所以系统可以按照等级保护的要求进行 定级、设计和实施，系统的安全需求主要来源于国家政策性要求、机构使命性要 求和可能的系统环境影响；运行过程中的系统由于建设过程中并没有按照等级保 护的要求进行定级和设计，虽然采取了一定的安全保护措施，但是可能与国家等 级保护的要求存在差距，所以需要完成的工作是按照国家等级保护的要求进行安 全改造。 新建系统可以在信息系统生命周期的启动/准备、设计/开发阶段同步实施系 统定级和系统设计，根据信息系统承载的业务对信息系统合理分级之后，国家标 准《网络安全等级保护基本要求》就是对各个级别系统的明确安全需求，系统的 安全规划设计应以此为依据。 本章重点介绍已建系统，即运行过程中的系统如何在等级保护实施过程中的 规划设计阶段确定安全需求，新建系统确定安全需求的方法也可以借鉴这里介绍 的方法。关于运行过程中的系统如何定级参见有关信息系统安全保护等级确定的 教材，这里不再描述。 对于一个已建系统，在对系统进行划分，并确定了不同系统的安全保护等级 之后，关注的重点是不同安全保护等级的系统目前采取的安全保护措施与国家等 级保护要求之间的差距有多大，这种差距就是未来需要对系统进行安全改造的目 标，也就是安全改造设计方案的安全需求输入。 根据《信息系统安全等级保护实施指南》，总体安全规划阶段的第一个重要 活动是“安全需求分析”，对于一个已经确定了安全保护等级，并处于运行状态 的信息系统，“安全需求分析”实际要完成安全现状评估和安全需求确认两项主 111 要工作。 1.1.4网络安全等级保护测评的原则 网络安全等级保护测评主要遵循以下原则： 1）客观性和公正性原则 虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和 最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评 方法和过程，实施测评活动。 2）经济性和可重用性原则 基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括 商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应 基于这些结果还能适用于目前的系统，并且能够反映目前系统的安全状态的基础 之上。 3）可重复性和可再现性原则 不论谁执行测评，依照同样的要求，使用同样的测评方法，对每个测评实施 过程的重复执行应该得到同样的测评结果。可再现性体现在不同测评者执行相同 测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一 致性。 4）结果完善性原则 测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断 和对测评项的正确理解。测评实施过程应当使用正确的测评方法，以确保测评结 果能够真实反映定级对象针对相应测评项的实际实现水平。 1.1.5网络安全等级保护测评的依据 网络安全等级测评是测评机构依据国家信息安全等级保护制度规定，按照有 关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测 评估的活动。 根据公通字【2007】43 号令《信息安全等级保护管理办法》的规定，湖北 东方网盾信息安全技术有限公司（以下简称“我方”或“我公司”）将依据《网 络安全等级保护基本要求》、《网络安全等级保护测评要求》等国家标准或行业标 112 准规范进行等级测评，按照公安部统一制定的《等级测评报告模板（2019 版）》 格式出具测评报告。按照标准规范开展安全建设整改的网络，以国家标准或行业 标准规范为依据开展等级测评。 在网络安全等级保护测评服务过程中，我公司将严格参照国家等级保护相关 技术标准实施服务工作，并接受采购方和省等保办的监督和管理。 安全测评参照以下标准和指南实施： 《计算机信息系统安全保护等级划分准则》(GB17859-1999) 《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019) 《信息安全技术 信息系统安全等级保护定级指南》(GB/T22240-2008) 《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010) 《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019) 《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018) 《信息安全技术 信息系统安全通用技术要求》(GB/T20271-2006) 《信息安全技术 网络基础安全技术要求》(GB/T20270-2006) 《信息安全技术 信息系统物理安全技术要求》(GB/T21052-2007) 《信息安全技术 信息系统安全管理要求》(GB/T20269-2006) 《信息安全技术 信息系统安全管理测评》(GA/T713-2007) 《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006) 《信息安全技术 信息安全风险评估规范》(GB/T20984-2007) 《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息安全技术信息系统安全等级保护测评要求》（GB/T 28448-2012） 《信息安全技术信息系统安全等级保护测评过程指南》（GB/T 28449-2012） 《信息安全技术 操作系统安全技术要求》(GB/T20272-2006) 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006) 1.1.6网络安全等级保护测评范围 网络安全等级保护对象通常是由计算机或者其他信息终端及相关设备组成 的按照一定的规则和程序对信息进行收集、存储、交换、处理的系统，主要包括 基础信息网络、云计算平台/系统、大数据应用/平台/资源，物联网、工业控制 系统和采用移动互联网技术的系统等。由于业务的不同、使用技术的不同、应用 113 场景的不同等因素，不同的等级保护对象会以不同的形态出现，需要根据安全保 护等级和使用的特定技术或应用场景选择相应等级的安全通用要求和安全扩展 要求。 《测评要求》将等级测评分为单项测评和整体测评两部分，在保证相应安全 等级测评强度的基础上，先开展单项测评，再在单元测评的基础上开展整体测评。 单项测评是指针对各安全要求项的测评，支持测评结果的可重复性和可再现 性。现《测评要求》标准中测评指标、测评对象、测评实施和单元判定结果构成。 整体测评是指在单项测评基础上，对等级保护对象整体安全保护能力的判断。整 体安全保护能力从纵深防护和措施互补两个角度评判。整体测评内容由原标准的 安全控制点间、层面间、区域间测评等方面调整为现标准的安全控制点测评、安 全控制点间测评和区域间测评。 另外，为更好地使测评机构人员明确测评工作的测评对象，在测评单元中明 确测评对象。测评对象是指等级测评过程中不同测评方法作用的对象，主要涉及 相关配套制度文档、设备设施及人员等。 1.1.7网络安全等级保护测评方法与工具 1.1.7.1 测评方法 测评方法指测评人员在测评实施过程中所使用的方法，主要包括访谈、核查 和测试等测评方法。 ■访谈 interview 测评人员通过与被测对象相关人员（个人/群体）进行有针对性的交流、讨 论等活动，理解、分析获取的证据，以证明信息系统安全等级保护措施是否有效 的一种方法。可以使用各类调查问卷和访谈大纲。 ■核查 examine 测评人员通过对测评对象诸如管理制度、操作记录、安全配置等内容进行实 地查看、配置核查、文档审查等活动，理解、分析获取的证据，以证明被测对象 网络安全等级保护措施是否有效的一种方法。可以使用各种检查表和相应的安全 调查工具。 ■测试 test 测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动， 114 查看、分析输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一 种方法。包括渗透性测试和漏洞扫描等。 1）渗透性测试： 等级评估的一个重要内容是对评估对象进行脆弱性分析，探知产品或系统 安全脆弱性的存在，其主要目的是确定评估对象能够抵抗具有不同等级攻击潜能 的攻击者发起的穿透性攻击。因此，渗透性测试就是在评估对象预期使用环境下 进行的测试，以确定评估对象中潜在的脆弱性的可利用程度。 2）漏洞扫描： 主要是利用扫描工具对系统进行自动检查，根据漏洞库的描述对系统进行 模拟攻击测试，如果系统被成功入侵，说明存在漏洞。主要分为网络漏洞扫描和 主机漏洞扫描等方式。 1.1.7.2 测评工具 在等级保护测评中，使用的测评工具较多，我公司严格按照规范性要求，所 有使用的测评工具将事先提交采购方检查确认，确保双方认可，在采购方授权后 方可利用测评工具进行检查。以下为我公司使用的常用测评工具。其中主要使用 国内一线扫描工具，其制造厂商北京神州绿盟科技有限公司为国家信息安全漏洞 库一级技术支撑单位。具体工具的使用依据测评环境和具体情况确定，工具清单 以进场作业指导书为准。 1）漏扫工具 绿盟远程安全评估系统 绿盟远程安全评估系统（NSFOCUS Remote Security Assessment 简称： NSFOCUS RSAS）是绿盟科技结合多年的漏洞挖掘和安全服务实践经验，自主研发 的新一代漏洞管理产品，可高效、全方位的检测网络中的各类脆弱性风险，提供 专业、有效的安全分析和修补建议，并贴合安全管理流程对修补效果进行审计， 最大程度减少受攻击面，是专业的“漏洞管理专家”。NSFOCUS RSAS 能够全方位 检测信息系统存在的脆弱性，发现信息系统存在的安全漏洞、安全配置问题、应 用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、 端口，形成整体安全风险报告，帮助安全管理人员先于攻击者发现安全问题，及 时进行修补。依靠专业的 NSFOCUS 安全小组的研究积累，NSFOCUS RSAS 产品已 115 经有超过 12000 条系统漏洞信息，涵盖所有主流基础系统、应用系统、网络设备 等网元对象；知识库中还提供七大类四十余种产品上百个版本的系统的配置检查 库，提供专业加固修补建议，以及多个行业的安全配置检查标准。 产品要求取得中国人民共和国公安部的《计算机信息系统安全专用产品销售 许可证（增强级）》，中国国家信息安全产品测评认证中心的《国家信息安全认证 产品型号证书（增强级）》，中国人民解放军信息安全产品测评认证中心的《军用 信息安全产品认证证书》，国家保密局涉密信息系统安全保密测评中心《涉密信 息系统产品检测证书》，获得国家信息安全测评信息技术产品安全测评证书（EAL3 级）。 Xscan X-SCAN：国内著名组织安全焦点(X-Focus)出品的优秀的综合扫描工具,采用 多线程方式对指定 IP 地址段(或单机)进行安全漏洞检测,支持插件功能,提供了 图形界面和命令行两种操作方式,运行需要 Winpcap。 扫描内容包括：远程服务类型、操作系统类型及版本、标准端口状态及端口 BANNER 信息、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服 务漏洞等二十几个大类.对于多数已知漏洞给出了相应的漏洞描述、解决方案及 详细描述链接。 Nessus TenableNessus：Tanable 出品的功能强大而又易于使用的远程系统安全扫 116 描器，支持多种系统平台。安全扫描器的功能是对指定网络或主机进行安全检查， 找出该网络或主机是否存在有导致对手攻击的安全漏洞。该系统被设计为 client/sever 模式，服务器端负责进行安全检查，客户端用来配置管理服务器 端。在服务端还采用了 plug-in 的体系，允许用户加入执行特定功能的插件，这 插件可以进行更快速和更复杂的安全检查。在 Nessus 中还采用了一个共享的信 息接口，称之知识库，其中保存了前面进行检查的结果。检查的结果可以 HTML、 纯文本、LaTeX（一种文本文件格式）等几种格式保存。 Nmap Nmap 是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。 确定哪服务运行在那些连接端，并且推断哪个操作系统计算机运行(这是亦称 fingerprinting)。它是网络管理员必用的软件之一，以及用以评估网络系统安 全保护。 2）协议分析工具 Sniffer sniffer 中文翻译为嗅探器，也叫抓数据包软件，是一种基于被动侦听原理 的网络分析方式。使用这种技术方式，可以捕获主机之间通信过程中的数据包， 监视网络的状态、数据流动情况以及网络上传输的信息，并对报文及协议进行分 析。不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网 络监视、数据包捕获以及故障诊断分析能力。对于在现场运行快速的网络和应用 问题故障诊断，基于便携式软件的解决方案具备最高的性价比，能够让用户获得 强大的网管和应用故障诊断功能。 Wireshark Wireshark（之前称为 Ethereal）是一个网络封包分析软件。主要功能是撷 取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。Wireshark 是目前全世界最广泛的网 络封包分析软件之一。 3）渗透测试工具 NetCat Netcat 是一个简单而有用的工具，透过使用 TCP 或 UDP 协议的网络连接去 读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱 117 动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎 所有类型的网络连接。 Metasploit Metasploit 是一款安全漏洞检测工具，可以帮助安全和 IT 专业人士识别安 全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正 的安全风险情报。这些功能包括智能开发，代码审计，Web 应用程序扫描，社会 工程等，在 Metasploit 综合报告提供发现的安全问题。 1.1.8网络安全等级保护服务内容 1.1.8.1 定级 等级保护定级应确定如下要素，才能准确的界定测评对象的级别，包括如下 几点： 1）确定定级对象： 指导备案单位确定定级对象，应具有以下特征：一是具有确定的安全责任主 体；二是承载相对独立的业务应用；三是包含相互关联的多个资源。 定级对象的范围包括：起支撑、传输作用的信息系统（包括专网、内网、外 网、网管系统），用于生产、调度、管理、作业、指挥办公等目的的各类业务系 统、跨省或全国联网运行的信息系统的分支机构。 2）确定安全保护等级： 定级对象的安全保护等级是其客观属性，不以已采取或采取什么安全保护措 施为依据，而是以定级对象的重要性（业务信息和系统服务重要性）和定级对象 遭到破坏后对国家安全、社会秩序、公共利益、公民、法人和其他组织的合法权 益等侵害客体的侵害程度为依据，确定定级对象的安全保护等级。 侵害客体：可归纳为涉及到国家安全；社会秩序、公共利益；公民、法人和 其他组织的合法权益等客体。 侵害程度：可分为一般损害、严重损害、特别严重损害等方面。 具体可分为如下两大类： 确定被测等级保护对象业务信息安全保护等级 业务信息安全被破坏时 对相应客体的侵害程度 118 所侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 确定被测等级保护对象服务安全保护等级 系统服务安全被破坏时 对相应客体的侵害程度 所侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 3）定级原则： 定级过程中采用取高原则，依据《信息系统安全等级保护定级指南》被测等 级保护对象的安全包括业务信息安全和系统服务安全，被测等级保护对象保护等 级由业务信息安全等级和系统服务安全等级的较高者决定。 4）等级划分： 根据公通字【2004】66 号令《关于信息安全等级保护工作的实施意见》的 规定，将信息系统按其在国家安全、经济建设、社会生活中的重要程度，划分为 5个不同级别： 第五级:专控保护级（最高级，适用于国家重要领域、重要部门中的极端重 要系统） 第四级：强制保护级（适用于国家重要领域、重要部门中的特别重要系统以 及核心系统） 第三级：监督保护级（适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统） 第二级：指导保护级（适用于县级某些单位中的重要信息系统，地市级以上 国家机关、企事业单位内部一般的信息系统） 第一级：自主保护级（适用于小型私营、个体企业、中小学，乡镇所属信息 系统、县级单位中一般的信息系统。） 根据以上几个方面，依据相关行业指导意见和《信息系统安全等级保护定级 119 指南》中“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安 机关审核”的原则对定级对象进行定级。 1.1.8.2 备案 我方在测评工作中依据《信息安全等级保护管理办法》（公通字[2007]43 号）、 《关于开展全国重要信息系统安全等级保护工作定级的通知》（公信安[2007]861 号）、《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240- 2008），协 助采购方对需要进行测评的信息系统以“网络运营者确定定级对象、参照定级指 南初步确定等级、组织等级保护专家评审、主管部门审核、公安机关备案审核” 的原则，进行定级、备案材料的编写，并协助采购方到公安监管等部门办理备案 手续，确保信息系统安全保护等级定级准确、备案完整。 1.1.8.3 差距分析 被测评信息系统完成备案工作后，按照系统审定的安全保护级别，选取相应 的测评指标对被测评信息系统展开等级保护差距分析工作。 1.1.8.4 协助整改 被测等级保护对象安全等级保护差距分析工作完成后，我方将根据差距分析 结果，出具相应的整改方案，并协助整改。 1.1.8.5 等级测评 依据《基本要求》、《测评要求》对被测等级保护对象进行等级测评，通过单 项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估和安全问题 风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差 距，并分析这些差距导致被测等级保护对象面临的风险，从而给出等级测评结论， 形成测评报告文本。最终出具网络安全等级保护测评报告。 1.1.8.6 定期安全通报 我方提供安全漏洞通报服务，包括及时通知与用户信息系统相关的安全漏洞， 指导用户和系统开发方升级漏洞补丁，服务频率按采购方需求可分为每月、每季 度或不定期进行。 120 1.2 质量控制 1.2.1质量控制要求 1.2.1.1 保密管理控制措施 在测评过程中，贵单位信息系统状态信息，如网络拓扑、IP 地址、业务流 程、安全机制、安全隐患和有关文档信息均会被收集，为确保相关信息不被泄露， 我方将采取如下措施规避相关风险： （1）我方与贵单位签署完善的、合乎法律规范的保密协议，以约束测评双 方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工 作的成果属被测系统运营、使用单位所有，测评机构对其的引用与公开应得到被 测系统运营、使用单位的授权，否则被测系统运营、使用单位将按照保密协议的 要求追究测评机构的法律责任。 （2）我方测试人员均签署保密协议，确保在我司工作期间遵守相关法律条 款，切实有效的实行公司保密管理规定。 （3）我方测试人员为贵司提供测评服务时，将明确测评记录和测评报告要 求，明确测评过程中每一阶段需要产生的相关文档，使测评有章可循。 （4）我方与贵单位在签订测评协议、现场测评授权书和测评方案中，均会 明确双方的人员职责、测评对象、时间计划、测评内容要求等。 1.2.1.2 最小影响控制措施 在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至 抗渗透能力测试。测试可能会对系统的负载造成一定影响，漏洞扫描测试和渗透 测试可能对服务器和网络通信造成一定影响甚至伤害。我方在测评时，将按如下 步骤开展系统测评： （1）我方在进行验证测试和工具测试时，需要与贵单位充分的协调，安排 好测试时间，尽量避开业务高峰期，在系统资源处于空闲状态时进行，并需要被 测系统运营、使用单位对整个测试过程进行监督。 （2）在进行验证测试和工具测试前，需要对关键数据做好备份中作，并对 可能出现的影响制定相应的处理方案。 （3）上机验证测试原则上由被测系统运营、使用单位相应的技术人员进行 121 操作，测评人员根据情况提出需要操作的内容，并进行查看和验证，避免由于测 评人员对某些专用设备不熟悉造成误操作。 （4）我方使用的测试工具在使用前将事先告知被测系统运营、使用单位， 并详细介绍这些工具的用途以及可能对信息系统造成的影响，征得贵司同意。 1.2.1.3 规范性要求 信息安全安全测评服务的实施必须由专业的测评服务人员依照规范的操作 流程行,对操作过程和结果要有相应的记录,并提供完整的服务报告。 1.2.1.4 整体性要求 测评服务从采购方的实际需求出发，从业务角度进行测评，而不是局限于网 络、主机等单个的安全层面，涉及到安全管理和业务运营等，实现保障的整体性 和全面性。测评内容应当系统、全面，覆盖信息系统安全涉及的各个层面。 1.2.1.5 告知与授权要求 在整个安全测评过程中，将强调客户的互动参与。在进行各种有风险的检查 之前，应明确告知客户可能存在的风险，指导采购方做好应急措施，并填写风险 告知记录，签订授权书。每个阶段都能够及时根据客户的要求和实际情况对测评 的内容、方式做出相关调整,进而更好地进行安全测评工作。 1.2.1.6 监督配合要求 在整个安全测评过程中，我方将严格配合采购方开展测评工作。项目的实施 将严格按照项目实施方案和流程进行，并由采购方相关人员和项目协调小组负责 监督，控制项目的进度和质量。 1.2.2安全管理制度 1.2.2.1 测评保密管理制度 在项目实施过程中，我公司会严格按照公司制定的保密制度执行测评工作， 制度细则如下： 第一条保密对象及范围：秘密是关系公司权力和利益，依照特定程序确定， 在一定时间内只限一定范围的人员知悉的事项。为保护我公司和被测评用户单位 的秘密，维护公司和客户权益，特制定本制度。本公司所有员工在保密期限内需 122 严格按照相关保密制度的要求严守公司和客户机密，所有涉及公司测评的相关技 术方案、文档、用户信息、用户系统情况、用户相关制度均在保密范围内。 第二条人员保密职责：未经上级主管领导许可，所有公司人员禁止复制、外 传公司所有保密范围内的资料，如因工作需要调用相关资料须先向主管领导申请， 审批通过后才可复制，工作结束后所有资料必须交还综合管理部并归档，电子版 资料禁止带出办公场所。公司所有职员都有保守公司秘密的义务。 第三条公司保密工作，实行既确保秘密又便利工作的方针。 第四条对保守、保护公司秘密以及改进保密技术、措施等方面成绩显著的部 门或职员实行奖励。 第五条公司秘密的密级分为"保密"、"内部"两级。 保密是最重要的我公司和被测用户秘密，泄露会使我公司和被测用户的权益 遭受特别严重的损害；内部是一般的我公司和被测用户秘密，泄露会使公司和被 测用户的权力和利益遭受损害。 第六条公司秘级的确定： (一)公司经营发展中，直接影响公司权益和利益的重要决策文件资料为保密级； 被测评单位的信息系统情况、备案资料为保密级； (二)公司的规划、财务报表、统计资料、重要会议记录、公司经营情况为保密级； 被测评单位的会议记录、相关管理制度为内部级； (三)公司人事档案、合同、协议、职员工资性收入、尚未进入市场或尚未公开的 各类信息为保密级；被测评单位的组织架构、人员信息为内部级。 第七条属于我公司和被测评单位秘密的文件、资料均规定标明密级，并确定 保密期限。保密期限届满，自行解密。 保密措施 第八条属于我公司和被测评单位秘密的文件、资料和其它物品的制作、收发、 传递、使用、复制、摘抄、保存和销毁，由总经理办公室或主管副总经理委托专 人执行；采用电脑技术存取、处理、传递的秘密由综合管理部门负责保密。 第九条对于密级文件、资料和其他物品，必须采取以下保密措施： (一)非经总经理或主管副总批准，不得复制和摘抄； (二)收发、传递和外出携带，由指定人员担任，并采取必要的安全措施； (三)在设备完善的保险装置中保存。 123 第十条属于公司秘密的设备或者产品的研制、生产、运输、使用、保存、维 修和销毁，由公司指定专门部门负责执行，并采用相应的保密措施。 第十一条在对外交往与合作中需要提供公司秘密事项的，应当事先经总经理 批准。 第十二条具有属于公司秘密内容的会议和其他活动，主办部门应采取下列保 密措施： (一)选择具备保密条件的会议场所； (二)根据工作需要，限定参加会议人员的范围，对参加涉及密级事项会议的人员 予以指定； (三)依照保密规定使用会议设备和管理会议文件。 (四)确定会议内容是否传达及传达范围。 第十三条不准在私人交往和通信中泄露公司秘密，不准在公共场所谈论公司 秘密，不准通过其他方式传递公司秘密。 第十四条我公司工作人员发现公司秘密已经泄露或者可能泄露时，应当立即 采取补救措施并及时报告总经理办公室；总经理办公室接到报告，应立即作出处 理。 责任与处罚 第十五条出现下列情况之一者，给予警告，并扣发工资 10 元以上 500 元以 下： (一)泄露我公司和被测评单位秘密，尚未造成严重后果或经济损失的； (二)已泄露我公司和被测评单位秘密但采取补救措施的。 第十六条出现下列情况之一的，予以辞退并酌情赔偿经济损失，情节严重者 追究其法律责任。 (一)故意或过失泄露我公司和被测评单位秘密，造成严重后果或重大经济损失的； (二)违反本保密制度规定，为他人窃取、刺探、收买或违章提供我公司和被测评 单位秘密的； (三)利用职权强制他人违反保密规定的。 1.2.2.2 测评项目管理制度 我公司依据《网络安全等级保护测评过程指南》等技术标准制定如下测评项 124 目管理制度： 测评过程 信息系统等级保护测评是网络安全等级保护工作的重要环节之一，它是通过 信息安全等级测评机构，对已经完成等级保护建设的信息系统定期进行等级测评， 以确保信息系统的安全保护措施符合相应等级的安全要求。 本次网络安全等级保护测评过程包括四个阶段： 1）测评申请阶段：被测单位提出测评申请，我公司对被测单位的申请材料 进行审查，在双方达成共识的情况下，双方签定保密协议、合同。 2）测评准备阶段：我公司成立项目组后，工作人员到被测评单位了解被测 等级保护对象的信息，写信息系统业务调查报告，与被测评单位共同讨论测评方 案，测评工作计划，达成共同认可的测评方案和测评实施计划。 3）测评访谈、核查、测试阶段：进入现场检测测试阶段，项目组成员在参 照系统体系建设相关资料（系统建设方案、技术资料、管理资料、日常维护资料） 后，对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、 技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、培训和 考核检查、生成管理检查记录、技术检查记录和核查报告。 4）测评综合分析阶段：我公司最后进行核查结果分析，等级符合性分析、 专家评审，生成等级测评报告和安全建议报告。 测评各阶段的工作时间及内容： 本次测评工作周期为 XXX 个工作日，具体工作时间及内容安排参见下表： 阶段 时间 被测评单位 任务名称 测评小组 名称 安排 人员 信息中心负责人 测评交流 项目领导组 各科室负责人 X工作日 测评 被测评单位相关 测评目标环境勘察 测评实施组 准备 测评人员 阶段 测评实施技术准备 测评实施组 无 X工作日 测评目标原始材料收集 测评实施组 各科室管理人员 完成确定测评实施方案 X工作日 测评实施组 信息中心负责人 125 各科室 安全管理员 网络管理员 主机管理员 测评 测评现场实施 X工作日 测评实施组 数据库管理员 实施 审计员 阶段 系统开发人员 其他系统运行操 作人员 测评各单元初步成果总结 X工作日 结果判定组 无 系统测评结果综合分析 X工作日 结果判定组 无 测评实施组 完成测评分析报告 X工作日 无 测评 结果判定组 报告 测评实施组 测评报告专家评审审批 X工作日 无 阶段 结果判定组 正式提交测评报告 X工作日 测评项目组织机构主要描绘在整个项目进行过程中各方的责任，包括项目领 导机构、协调机构、执行和配合机构等之间的功能关系。信息安全等级测评工作 中，项目组织机构主要由等保测评工作实施领导组、项目工作组及专家组成。每 组分别履行各自的职能；项目工作组根据等保测评的需要，分为测评实施组、结 果判定组。主要职责是根据拟定的实施方案按时按质地完成测评工作。本次信息 安全等级测评工作中，测评工作实施小组由如下主要成员组成： 被测评单 主要职责 小组名称 测评人员 位人员 （测评人员） 组织领导测评项目的实施及总体协 调、监督审查项目执行情况，负责测 测评领导组 评项目实施的人员分工与职责确定； 负责项目的实施进度； 126 与被测评单位的沟通。 负责测评项目实施的人员分工与职 责确定； 测评实施组负责 负责项目的实施进度； 与被测评单位的沟通。 核查系统相关安全管理文档、实际管 安全管理 理方面的问题进行访谈和检查，进行 核查 风险分析、结果判定。 安全物理 对被测对象的物理环境进行访谈、核 环境 查和测试，进行风险分析、结果判定。 安全通信 对被测对象的通信网络进行访谈、核 网络 查和测试，进行风险分析、结果判定。 测评 安全区域 对被测对象的区域边界进行访谈、核 实施 边界 查和测试，进行风险分析、结果判定。 安全计算 对被测对象的计算环境进行访谈、核 环境 查和测试，进行风险分析、结果判定。 对被测对象的安全管理中心进行访 安全管理 谈、核查和测试，进行风险分析、结 中心 果判定。 对测评所有文档、数据资料归类管 资料文档 理。 收集被测方提供的系统相关技术文 档和管理文档、根据单元测评的情况 结果判定组 对被测等级保护对象区域和层面进 行全面安全分析、完成测评分析报 告。 127 1.2.2.3 测评质量管理制度 第一条目的 为推行本公司质量管理制度，并能发现测评质量问题，并予以迅速处理，来 确保及提高测评质量使之符合管理及市场需要，特制定本细则。 第二条范围 本细则包括： 1．实施方案质量审核； 2．安全管理类检查表质量审核； 3．安全物理环境类检查表质量审核； 4．安全通信网络类检查表质量审核； 5．安全区域边界类检查表质量审核； 6．安全计算环境类检查表质量审核； 7．安全管理中心类检查表质量审核； 8．安全管理类检查和测试作指导书业质量审核； 9．安全物理环境类检查和测试作指导书业质量审核； 10．安全通信网络类检查和测试作指导书业质量审核； 11．安全区域边界类检查和测试作指导书业质量审核； 12．安全计算环境类检查和测试作指导书业质量审核； 13．安全管理中心类检查和测试作指导书业质量审核； 14．测试方案质量审核； 15．等级测评报告质量审核。 各单元质量检查表按照附表“质量管理组工作记录表”进行检查，记录检查 结果。 第三条测评质量检查 测评质量检查工作，应以自检为主，自检、互检与专职检查相结合的原则， 按照现行的测评质量验收规范执行。 1、自检：各测评小组在操作过程中，应进行自检，完成一定量的测评以后， 由质量员会同项目测评师进行自检工作。 2、互检：测评工作交接，不同测评项交接时，应进行之间的交接检查，发 128 现问题及时解决，通过互检以促进队组之间提高测评质量意识，并弄清各自的责 任。 3、检验的质量检查：应由测评项目质量员进行检查和实测，对存在的问题 进行处理，并填写质量验收记录。 4、分项测评的检查：应由项目经理、项目测评师、项目质量员进行检查和 实测，发现问题及时处理，并填写分项测评质量验收记录。 5、专职检查：公司专职质量员根据项目部的分项测评评定，每月组织复查， 核定分项测评等级。 6、定期的质量检查：技术中心组织各级质量管理人员开展定期的质量检查， 交流经验，开展评比活动，促进测评质量不断提高。 129 附表质量管理组工作记录表 质量管理组工作记录表 日期： 项目名称 部门 工作人员 工作内容 项目组评审情况： 项目组长签字： 质量管理部评审情况： 质量管理部负责人签字： 领导批示： 总经理签字： 130 1.2.2.4 测评人员管理制度 为加强规范化管理，完善各项工作制度，促进我公司发展壮大，提高经济效 益，根据国家有关法律、法规及公司章程的规定，特制订本管理制度。 全体员工必须遵守公司章程，遵守公司的各项规章制度和决定。 一、测评人员录用：测评人员进入公司须经过专业技能考核和无犯罪记录考 核，专业技能由用人部门主管负责，综合管理部对待录用人员进行无犯罪记录考 核，考核通过后报分管副总审核方可办理入职手续，综合管理部建立测评人员档 案，聘用人员入职前签署《保密协议》，然后试用，试用所任岗位合格且期满后， 转入正式职工。 二、测评人员考核：公司每季度对测评人员进行一次专业考核，考核范围包 括专业技能测试、保密考核、安全意识考核。专业技能考核有用人部门负责，保 密考核、安全意识考核由综合管理部负责。对于考核不合格者，公司予以降职、 降薪处理，考核优秀者予以升职、加薪处理。连续 3个季度考核不合格者公司予 以辞退。 三、测评人员日常管理：涉密人员在岗期间,其所在部门的保密要加强管理, 对其工作态度、思想状况和工作表现定期进行考察,有针对性地进行保密教育, 对不符合保密要求的要及时调离,并报告保密管理部门。保密工作领导小组要按 照《公司保密宣传教育规定》，定期组织在岗涉密人员培训，确保涉密人员知悉 其必须承担的保密义务和责任以及应当享有的权利；熟悉中心保密法规和中心的 各项保密管理制度；掌握与其工作相关的保密知识和技能。 四、测评人员离职：测评人员合同期满，且双方无意续约，离职人员办理离 职手续，交还办公用品及资料，综合管理部对离职人员进行保密检查，同时离职 人员离职后承担保密义务的期限为自离职之日后的两年。 1.2.2.5 测评文档管理制度 一 总 则 第一条 为加强公司测评文档的保密管理，确保公司秘密安全，根据《中华 人民共和国保守中心秘密法》及其实施办法、《秘密文件、资料和其他物品标志 的规定》，结合公司实际，制定本规定。 第二条 本规定所称测评文档是以文字、数据、符号、图形、图像、声音等 131 方式记载中心秘密信息的纸介质、磁介质和光盘等各类物品。磁介质载体：包括 计算机硬盘、软盘、U盘、移动硬盘、磁带、录音带、录像带等。 第三条 本规定适用于负责制作、收发、传递、使用、保存和销毁测评文档 的各部门。 第四条 测评文档的保密管理实行“业务谁主管、保密谁负责”责任制，遵 循“严格标准、严密防范、确保安全、方便工作”的原则。 公司各级领导及涉密项目负责人对职权范围内的测评文档的管理工作负有 领导责任。经批准以任何形式使用测评文档的公司员工，对测评文档的安全负有 直接责任。 第五条 各涉密部门和担负涉密任务的项目组，要明确专人负责本部门测评 文档的制作、收发、传递、归档、保存、移交和销毁等日常管理工作。 二 测评文档密级、保密期限的确定及标志办法 第一节 测评文档密级的确定 第六条 测评文档的密级，应为其所承载的中心秘密的最高密级。 第七条 秘密的分为“保密”、“内部”两个等级。 第八条 内部在研发、管理工作中产生的，属于秘密范围内的事项，以及承 载这一事项相关信息的各类测评文档，应按照本规定标注。 第九条 内部产生的测评文档密级的确定方法： 依据新产生载体参照的背景确定。新产生载体参照的背景为中心秘密，并包 含全部或部分背景信息的，该载体应确定为测评文档，其密级根据参照的背景信 息的密级确定。一般情况下，背景信息的密级即为新产生测评文档的密级。 如新产生的测评文档只包含部分背景内容，且非核心部分，该测评文档可降 低一级确定密级。 如新产生的测评文档包含多个中心秘密，按该测评文档所包含中心秘密的最 高密级确定密级。 依据产生载体业务领域的保密范围确定。新产生的载体对照主管相应业务的 有关部门制定的中心秘密及其密级的具体范围，属于该保密范围内的载体应确定 为测评文档，其密级属于哪一级的范围就应确定为哪一级的测评文档。 第十条 公司内部产生的测评文档密级，按照以下程序确定： 一、承办人或制作人依据公司内部产生的测评文档密级的确定方法，提出初 132 步确定意见，并根据产生的测评文档所属的业务范围及载体形式，填写相应的呈 批表格，报单位领导审核。 二、确定为保密级的测评文档，各部门审核，经主管相应业务的领导审批后 生效。 第二节 测评文档保密期限的确定 第十一条 测评文档的保密期限，原则上应为其所承载的保密期限的最高期 限。 第十二条 内部产生的测评文档在确定密级时，应同时确定保密期限。 第十三条 确定测评文档的保密期限的程序，参照本规定第十条进行。 第三节 测评文档的标志办法 第十四条 测评文档需标明文档名称、保密期限等。 第十五条 收发测评文档时，各部门测评文档管理人员应当严格履行清点、 登记、编号、签收等手续，填写《收文登记》（附件 3）或《发文登记》（附件 4）。 第十六条 要严格按照限定的接触范围发放测评文档，不能随意扩大知悉范 围；因工作需要增发的，须经主管领导批准。 发放测评文档的各种登记清单要保存一定的时限，一般为 3至 5年；涉密项 目的发放登记清单应保留至该任务结束，以备查询。 第十七条 禁止委托无关人员捎带密件。 第十八条 执行测评文档传递任务的人员，在执行任务时，不能携带密件出 入无关场所或办理与任务无关的事项。 部门之间传递需阅办的测评文档，接收部门阅办后，应及时退回发放部门， 禁止向第三方部门横向传递。 第十九条 传递密件，应当包装密封；密件的信袋上应标明收发件单位的名 称和接收人。 第二十条 采用现代通信及计算机网络等手段传输秘密信息，应当遵守有关 保密规定。 第三节 测评文档的使用 第二十一条 各部门收到测评文档后，由部门主管领导根据测评文档的密级 的要求及工作实际需要，确定本单位知悉测评文档的范围。 133 收到密件后，必须按照密级规定的范围使用，并对接触和知悉密件内容的人 员做出文字记载。 第二十二条 各部门要建立测评文档传阅、借阅等审批登记制度，借阅和使 用测评文档，需填写《涉密文件资料借阅审批单》（附件 5），对使用人、使用 时间、使用目的、归还时间等做出明确记载。 第二十三条 传阅和使用测评文档应当在符合保密要求的办公场所或指定地 点进行。传阅和使用密件时，使用者不得擅自抽出、留存和随意抄录密件内容， 更不能私自复印。 第二十四条 借阅和使用测评文档，管理人员需填写《公司涉密文件资料借 阅登记》、《公司涉密移动存储介质借用登记》，办理登记、签收手续，并且要 随时掌握密件的去向。 第二十五条 测评文档必须在指定的符合保密要求的办公场所阅批和使用， 密件须经各部门主管领导批准，并履行审批、登记手续，方可借阅。 第二十六条 摘录、引用中心秘密内容形成的测评文档，应当按原件的密级、 保密期限和知悉范围管理。 第二十七条 因工作确需携带测评文档外出，应当符合下列要求： 一、采取保护措施，使测评文档始终处于携带人的有效控制之下，严防测评 文档丢失、被盗。 二、测评文档原则上禁止带出办公场所，如有特殊情况需携带测评文档需报 综合管理部、技术部负责人审批，并报保密员备案。 第四节 测评文档的复制 第二十八条 测评文档原则上不得复制。确因工作需要复制测评文档，需经 部门、综合管理部审核，并报保密管理员备案。 第五节 测评文档的保存 第二十九条 测评文档必须存放在安全保密的场所。集中存放测评文档的部 位应当配备专门的文件柜。 第三十条 测评文档禁止带出办公场所。 第三十一条 每年要定期对当年所存测评文档进行清查、核对，发现问题及 时向上级报告。 第三十二条 密件的清退、阅办应遵守以下时限规定： 134 （一）保密类应在当日清退； （二）内部类应在 1个月内清退； 第三十三条 各部门应按规定及时、如数清退密件，不得自行销毁。文档管 理部门每年三月底前应将密件清退情况及时书面报保密办公室备案。 第三十四条 涉密人员离岗、离职前，应当将所保管的测评文档和内部文件 全部清退，并办理移交手续。 第三十五条 因工作需要由个人暂时使用的测评文档，在工作任务完成后， 应及时交还。 未按机要渠道携带的测评文档，返回部门应及时到管理部门办理登记、签收 手续。 第六节 测评文档的归档 第三十六条 测评文档应按归档管理规定，向中心档案处移交归档。 第三十七条 立卷归档的密件，在立卷归档时经过鉴定仍然属于秘密的，应 当在档案卷宗封面或者首页上做出与卷内相同的密级和保密期限的标志，卷内有 多份密件的，卷宗封面或者首页按其最高密级和最长保密期限做出标志。 第三十八条 应严格控制涉密档案的接触范围。查阅涉密档案，应办理批准 手续，并在批准的接触范围查阅。 第七节 测评文档的销毁 第三十九条 销毁密件必须填报《公司销毁涉密文件、资料登记表》（附件 10），履行清点、登记手续。销毁密件的清点单应经部门主管领导审核，批准。 第四十条 销毁密件，应当确保秘密信息无法还原。销毁纸介质密件，应当 采用焚毁等方法处理；使用碎纸机销毁的，应当使用符合保密要求的碎纸机。 第四十一条 销毁测评文档或押运销毁应执行两人以上监销制度，个人不得 自行销毁密件。销毁工作完毕后，应对销毁现场进行认真清理，并填写工作记录。 第四十二条 批准销毁的测评文档，应及时实施销毁。因特殊原因不能及时 销毁的，应按有关保密管理规定进行保管，不得随意搁置、堆放，不得私自留用， 保密办公室对密件的销毁情况进行监督、检查。 第四十三条 禁止将测评文档作为废品出售。 135 1.2.2.6 培训教育制度 第一条为加强公司培训教育管理,使公司培训教育工作制度化、经常化、规 范化,提高全体员工保密意识和专业技能,制定本规定。 第二条教育培训是公司管理工作的一项基础性、长期性的工作。结合业务工 作实际,组织开展保密宣传教育是整个各部门必须履行的职责。 第三条公司保密宣传教育的对象是全体员工,重点是公司测评工作人员。 第四条公司教育培训的主要内容 一、公司有关保密工作的政策和规定。 二、公司的保密法律、法规。 三、公司各项保密管理工作规章制度。 四、专业测评技术 第五条教育培训计划：公司每两月至少进行一次教育培训，培训内容参见第 四条。培训采用内部培训和第三方专业培训相结合的方式。 每次培训完成后组织培训考核，考核成绩记入人员档案。 第六条培训考核：每次培训完成后组织考核，考核成绩记入人员档案，并作 为季度考核的依据。 附件： 1、《公司教育培训工作记录》 2、《公司教育培训签到簿》 136 附件 公司教育培训工作记录 主办部门 培训时间 培训地点 授课人 参加人范围 培训内容： 137 附件 公司教育培训签到簿 培训时间：培训地点： 主办部门：参加人总数： 序号 姓名 部门 职务 备注 1 2 3 4 5 6 7 8 9 10 11 138 1.2.3质量控制措施 1.2.3.1 技术力量 1.2.3.1.1 项目负责人 姓 名 张琪 性 别 男 年 龄 42 职 务 质控总监 职 称 高级 学 历 硕士 参加工作 从事本行业 个人专业资 2001 年 18 年 高级测评师 时间 工作年限 质及证书 类似服务经验 单位名称 项目简介 投入服务人员数量 服务时间 湖北省国土资 湖北省国土资源厅等级测评及服务 9 4个月 源厅 长江水利委员 重要信息系统等级测评及咨询服务 15 18个月 会 长江证券有限 集中交易系统提供等级测评及服务 8 1个月 公司 湖北省地税局 信息系统提供等级测评服务 9 2个月 武钢集团 产销系统等级测评服务 15 3个月 城市视频监控信息系统等级测评服 武汉市公安局 8 3个月 务 ……. 1.2.3.1.2 项目班子成员 任职 在本项目中承 个人专业 序号 姓名 专业 所在单位 时间 担的工作 资质 1 张琪 电子工程 东方网盾 2006 年 项目负责人 高级测评师 2 李荣 网络工程 东方网盾 2007 年 项目经理 中级测评师 计算机科 3 袁文涛 东方网盾 2015 年 技术工程师 中级测评师 学与技术 计算机科 4 曾鹏 东方网盾 2016 年 技术工程师 初级测评师 学与技术 5 王凯 计算机科 东方网盾 2016 年 技术工程师 初级测评师 139 学与技术 计算机科 6 龚建华 东方网盾 2014 年 技术工程师 初级测评师 学与技术 1.2.3.2 技术措施 我方将选派资深专业技术人员，配备专业检测设备为采购方进行安全等级测 评工作。 1.2.4工期控制 1.2.4.1 工作时间安排 项目工期：合同签订生效后一年 1.2.4.2 工作进度保证 合同签订后，经与采购方协商确定工作开展时间，我方将严格按照工作时间 安排配合采购方进行工作安排，并随时保证至少 2名后备工作人员处理工作中出 现的突发问题及给予相应的技术支持。 1.2.5流程保障 严格项目实施的客观性和公正性，除安排独立的服务质量管理员定期检查服 务质量之外，现场测评的数据经用户单位签字确认，以确保测评数据的客观性和 真实性。 140 1.3.2中标承诺 我方承诺，如中标后： 一、我方将严格遵循国家网络安全等级保护相关要求，开展“公正、权威、 客观”的第三方网络安全等级保护测评和软件测评服务。严格遵守用户相关管理 规定，在项目实施过程中确保采购方信息系统的正常运行，将测评所带来的影响 降至最低； 二、保密承诺：在项目实施过程和保密期限内严格履行保密义务，未经采购 方书面许可，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方 泄露（监管部门除外），以及不利用这些信息损害用户利益。测评实施前，对相 关人员开展保密教育，增强员工的保密意识，与采购方签署保密协议；测评实施 过程中在采购方的监督下开展测评工作，未经采购方书面许可，不复制、拷贝甲 方数据和资料；测评实施完成后销毁、清退相关资料，确保用户敏感数据不被泄 露； 三、最小影响承诺：项目实施过程中严格保障用户信息系统的正常运行，未 经用户方书面许可，不擅自进行有可能影响用户系统正常运行的操作（如渗透、 技术测试等），凡有危害性操作，必须书面申请，告知操作方式、可能的后果、 应对措施等；测评过程中和测评完成后，不在采购方系统驻留任何程序； 1.3.3合理化建议 由于等保测评工作是一项涉及部门多，项目分类细，牵涉人员广的复杂综合 性项目，故我方在项目中标后，建议采购方抽调专人总体负责整个测评项目的实 施沟通工作，并成立相应的工作小组，以利于配合我方快速便捷的完成测评任务， 尽最大限度减少因测评工作给日常工作带来的影响。 142 1.4 安全管理要求 1、我方在服务开始前对参与项目的技术服务人员进行安全和保密教育，制 定安全服务规范和保密措施，同时与采购人签订保密协议。 2、我方使用的相关检测工具应经过严格测试和检验，确保不对系统造成影 响，工作结束后不驻留任何程序。 3、我方在服务过程中应接受采购人的严格监督，特别是调阅系统配置、接 触系统数据等，不得擅自删除、转移、复制采购人系统中的信息和数据，不得擅 自关停、终止、影响采购人信息系统的正常运行。 4、我方应在服务完成后清退各种文档、销毁相关资料和数据，确保采购人 的敏感数据不被泄漏。 5、我方派驻的技术服务人员严格遵守采购人的相关管理规定。 1.5 新上线信息系统等级保护检测服务 1.5.1工作目的 在前期漏洞扫描过程中，如果发现系统层高危漏洞，包括业务主机、数据库、 中间件的多处安全弱点,为降低这些弱点所带来的安全风险，需要针对上述设备 进行相应的安全加固工作，修复已发现的安全弱点，进一步提高系统层的整体安 全性。 1.5.2处置流程 为验证和完善主机系统漏洞处置方案中的内容，尽早规避漏洞处置工作中存 在的风险，最终保证主机系统顺利完成漏洞修复。漏洞修复流程如下 1) 对漏洞进行分类。 2) 确认漏洞修复方法。 3) 准备虚拟环境。 4) 虚拟环境下修复漏洞。 5) 验证虚拟环境下漏洞修复结果。 6) 真实环境下数据备份。 143 1.6 安全巡检服务 1.6.1安全巡检的作用 安全巡检通过人工的定期检查工作，来提高对服务器及网络设备安全的管理。 定期的巡检工作不但可以及时发现一些安全漏洞和异常，还可以及时发现一些日 常管理的问题，为服务器的安全和管理措施的整改做好基础。巡检可以做为一项 例行的工作来做，具有非常重要的作用。 1.6.2日常安全巡检服务内容 根据建立的安全巡检服务流程对客户的服务器及网络设备进行定期的巡检 管理，针对湖北省交通运输厅通信信息中心信息系统安全软、硬件提供全面的安 全巡检服务。 1.6.2.1人工巡检 人工定期巡检是指安全专家定期登录主机，数据库等设备，根据巡检列表对 服务器、网络设备及安全设备进行逐项检查，根据巡检结果反应的问题及时通知 省社保厅解决。人工巡检作为人工实施的安全评估手段可以弥补由于在放火墙策 略等安全措施下，安全扫描无法发现系统内部存在的安全隐患。通过安全专家在 主机、网络等设备上的实际操作，可以更深程度地发现系统存在的问题及需要安 全增强的脆弱点。 人工检查是信息系统脆弱性发掘的一种有效措施，可以发现系统内部帐号策 略、权限管理、日志审核、网络服务等诸多问题。对服务器及网络系统来说人工 检查是安全巡检的必要步骤。 1.6.2.2风险规避 为保证用户业务系统的正常运行，安全巡检过程中对客户业务系统造成的异 常情况降到最低点，对加固对象运行的操作系统和应用系统进行调研，制定合理 的、复合系统特性的加固方案，并且加固方案应通过可行性论证并得到具体的验 证，实施严格按照加固方案所确定内容和步骤进行，确保每一个操作步骤都对客 户在线系统没有损害。 145 另外为了防止在加固过程中出现异常情况，防止加固对系统造成损害，保证 业务系统在诸如此类的灾难发生后能及时的恢复与运转，确保客户业务系统的正 常运行或异常情况的发生降到最低点，采用以下几点规避措施： 1.6.2.2.1 模拟环境 客户所提供的模拟环境，可以对加固方案进行验证，证明此次加固方案对 客户在线业务系统是没有损害。模拟环境要求系统环境（操作系统、数据库系统） 与在线系统完全一样，应用系统也同在线系统版本相同，数据可以是最近一次的 全备份。 1.6.2.2.2 系统备份  全备份：用一盘磁带对整个系统进行完全备份，包括系统和数据。这种备份 方式的好处就是很直观，容易被人理解。而且当发生数据丢失时，只要用一 盘磁带（即灾难发生前的备份磁带），就可以恢复丢失的数据。不足之处： 如果需要备份的数据量相当大，备份所需时间较长。  增量备份：就是每次备份的数据只是相对于上一次备份后新增加的和修改过 的数据。这种备份的优点很明显：没有重复的备份数据，即节省了磁带空间， 又缩短了备份的时间。但它的缺点在于当发生灾难时，恢复数据比较麻烦。 并且这种备份的可靠性也最差。  差分备份：每次备份的数据是相对于上一次全备份之后增加的和修改过的数 据。差分备份在避免了另外两种策略缺陷的同时，又具有了它们的所有优点。  文件系统备份：对主机系统而言，要进行文件系统的备份。客户应根据具体 需求对此次加固过程中可能所产生的不稳定情况制定良好的备份策略，从而 确保业务系统的正常稳定运行。 无论采用何种备份方式，系统备份的数据已进行了有效验证和妥善保管。 1.6.2.2.3 系统恢复 恢复总是与一定类型的失效相对应的。在系统加固过程中如果出现被加固系 统没有响应的情况，安全顾问立即停止加固工作，与客户配合工作人员一起分析 情况，在确定原因后，由客户或客户系统提供商对系统进行正确恢复。 按照以下的步骤进行恢复：  记录系统故障现象和信息，以备分析。  根据客户所采用的备份方式进行系统恢复，保证系统最短时间内恢复运行。 146 1.7 安全加固服务 1.7.1日志分析 对于日志分析，东方网盾将提供关键服务器、防火墙、路由器、交换机、应 用软件、中间件产品的日志审计服务。东方网盾安全专家从应用系统各结点获得 日志文件，采取人工+工具的分析分析方法，形成日志分析报告。该报告与定期 评估结果、定期策略分析结果进行综合分析，找到当前的系统及网络设备中存在 的问题和隐患，并给客户提供专业的增强建议。 1.7.1.1日志分析流程  日志服务器搭建。我们将为客户建立日志服务器，将路由器、交换机通过 syslog 协议，将 Windows 系统的日志通过 eventlog 的方式集中转存到日 志服务器上。  分析日志。跟据客户设备的具体情况，分析关键服务器、防火墙、路由器、 交换机等设备的日志, 采取人工加工具的审计分析方法对日志信息进行综 合分析,找到当前的系统及网络设备中存在的隐患和被攻击痕迹。  生成报告。根据以上评估，生成具体的日志分析报告，东方网盾专家将会人 工结合用户网络的构成及业务流程等，为客户量身定制出专业又极具可读性 的报告，并会针对报告中的各项问题，为客户提供修补建议，使发现的问题 能尽可能早的得到解决，避免引起更大范围的影响和损失。  其它支持。客户得到东方网盾提交的日志审计报告后，可以根据报告的内容 对系统进行检查和修补，在此过程中的所有疑问都可以通过客服热线与东方 网盾安全专家取得联系，获得在线咨询和指导。 1.7.1.2日志分析内容 东方网盾日志分析服务的内容主要包括： 类型 内容 方式 网络层 网络设备日志 工具、手工 通用的 windows 和 unix 系统日 主机层 工具、手工 志，包括：应用程序日志、系统日 148 志、安全日志等。 Web 系统，包括：IIS、Apache； 应用 工具、手工 数据库等 1.7.2漏洞加固服务 漏洞加固服务是根据漏洞扫描、人工验证、对比渗透结果，制定漏洞加固报 告，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，指 导采购人修复安全漏洞，范围如下：  安装、配置不符合安全需求  使用、维护不符合安全需求  系统完整性被破坏  被植入木马程序  帐户、口令策略问题；  安全漏洞没有及时修补  应用服务和应用程序滥用 同时，我司通过广泛的采集途径，完善的漏洞信息收集系统，及时的将最 新最严重的网络安全问题以最快的速度通报给采购人，并提供相应的解决办法。 包括实时安全漏洞通知、病毒预警、补丁升级、定期安全通告汇总和安全知识库 更新等。 具体安全通告服务有： 1) 厂商安全通告：提供主流厂商的安全通告，包括 Windows、AIX、HP-UX、 Solaris、Linux、CISCO 等。 2) 针对用户安全通告：本公司针对用户发现的安全问题通告和其他有必 要预警的重要安全问题通告。 3) 其他安全通告：其他安全组织（如 CERT）的安全通告。 我司将通过电子邮件和电话、短信的方式，有针对性的向采购人提供安全通 告服务和相应回访服务，协助采购人在大规模安全事件爆发前做好预防和处理工 作。 149 1.8 安全制度优化 1.8.1网络安全管理制度编制依据 按照网络安全的有关法律、法规规定和用户相关工作要求，依据《关于开展 信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429 号）、《信 息安全等级保护管理办法》和《信息安全技术 网络安全等级保护基本要求》，参 照《信息安全技术 网络安全保护实施指南》、《信息安全技术 办公信息系统安全 管理要求》、《信息安全技术 网络安全事件应急演练指南》、《信息安全技术 网络 安全管理支撑系统技术要求》等标准规范要求，结合行业特点和安全需求，协助 用户制定符合相应等级要求的网络安全管理制度，开展网络安全等级保护安全管 理制度建设、安全技术措施建设，依据等级保护制度的各项要求，落实信息安全 责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系 统运维管理等工作，落实安全物理环境、安全通信网络、安全区域边界、安全计 算环境等安全保护技术措施，建立并完善安全策略、管理制度、操作规程、记录 表单等构成的全面的安全管理制度体系，提高信息系统的安全防护能力和水平。 1.8.2优化网络安全管理制度 按照网络安全的有关法律、法规规定和用户相关工作要求，制定并协助用户 组织实施、优化其网络与网络安全管理规章制度，并明确网络安全工作中的责任， 规范计算机信息网络系统内部控制及管理制度。切实配合用户做好其网络安全保 障工作。 我司的专业网络安全咨询管理团队，会对用户现有网络安全管理组织架构及 管理制度进行梳理，根据网络安全等级保护基本要求，对其中安全管理制度、安 全管理机构、安全管理人员、安全建设管理和安全运维管理五个层面中涉及到的 安全策略、管理制度、制定和发布、评审和修订、岗位设置、人员配备、授权和 审批、沟通和合作、审核和检查、人员录用、人员离岗、安全意识教育和培训、 外部人员访问管理、定级和备案、安全方案设计、产品采购和使用、自行软件开 发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选 择、环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和 151 系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢 复管理、安全事件处置、应急预案管理、外包运维管理等共 37 个控制点进行针 对性的差距分析，并根据分析结果，协助用户完善相应的网络安全管理架构体系 及网络安全管理制度体系，对信息系统建设、开发、运维、升级和改造等各个阶 段和环节所应当遵循的行为规范，覆盖信息系统的生命周期中的重要活动，每个 制度文档中明确该制度的使用范围、目的、需要规范的管理活动、具体的规范方 式和要求等，以保障采购方能在信息系统日常安全运行、管理中有明确的工作要 求和依据，形成标准、完整和安全的系统运行管理机制。 152 1.9 安全应急服务 1.9.1应急响应方案的意义 导致服务器或网络出现故障的问题是一个庞大的集合，可以分成很多种导致 服务器或网络出现故障的原因，根据服务器或网络故障出现的状况进行分类，确 定故障属于哪一个级别，根据相应的故障级别对故障做对应的处理，确保故障的 处理流程是标准化的。 如果没有一套故障处理的标准，工程师只能靠经验去判断，但是依靠经验判 断并不是不可以，有时候这种处理方式会很高效，但是大多数这种处理方式都是 不太合理的，如果更换了运维工程师，显然每一个工程师通过经验去判断故障原 因的方式都不尽相同，这样的差异将会使故障处理事后不能够得到很好的记录与 存档，以供其他工程师以后借鉴故障处理案例。 1.9.2应急服务标准化的优点  根据流程可以确定哪些故障应该立即汇报上级，哪些可以自行解决后，再写 故  障处理报告汇报上级，这样做有助于提高故障处理效率。  对于工程师经验判断，可能出现判断失误的情况，根据故障判断流程，可以 不遗漏任何可能的情况对服务器故障进行排除。  有时候工程师处理了故障之后只是简单的做了一下汇报，并没有一些故障处 理过程的记录，以及故障处理的详细时间记录，这样对需要追溯以前的具体 情况的时候就束手无策了。 1.9.3应急服务故障级别划分 故障级别 故障说明 故障处理第一步 当系统出现下列相当严重的现象时，属一级故 Ⅰ级 障： 立即汇报上级 （紧急）  系统整体瘫痪，全部操作失去响应； 154  系统崩溃，关键硬件或文件系统损坏无法自 动修复；  发生间歇性、随机性、重复性的启动或应用 退出，无法保障公司业务的正常处理。  关键网站无法正常访问 当系统出现下列比较严重的现象时，属二级故 障：  关键部件（含软、硬件）停止工作，导致系 Ⅱ级 统降低运行状态，客户业务受到严重影响； 立即汇报上级 （重要）  系统整体性能严重下降，无法自动恢复正常 运行状态；  重要数据、参数和配置信息损坏，无恢复， 导致客户数据及业务记录严重损失； 当系统出现下列现象时，属三级故障：  部分设备或软件异常，局部功能受限，系统 整体仍可正常工作，对客户业务影响不大或 存在隐患； Ⅲ级  关键备用设施因故障离线，主用设施仍能正 立即汇报上级 （关键） 常工作；  系统运行指标（例如： I/O 效率、 CPU 效 率）受到直接或间接影响，客户业务处理缓 慢； 当系统出现下列情况而不影响客户业务时，属四 级故障：  不在运行状态的线路、端口损坏； Ⅳ级  出于安全考虑并且是受保护的软件降级或应 故障排错判断 （告警） 用重启；  因存储空间不足导致的性能下降；  系统硬件、软件产品功能、安装、或配置方 155 面的支援；  业务仍然可以正常运作，但是服务器报出故 障信息的； 1.9.4应急处理流程 出现故障 判断故障级别 Ⅰ级（紧急） Ⅱ级（重要） Ⅲ级（关键） Ⅳ级（警告） 汇报上级 汇报上级 汇报上级 记录发生时间 记录发生时间 记录发生时间 记录发生时间 故障排错流程 故障排错流程 故障排错流程 故障排错流程 问题处理完成 故障处理报告 发送邮件给相关人员 故障处理完毕 156 1.9.5故障处理报告 1.9.5.1故障处理报告文件命名规则 文件名前缀 故障级别 服务器或网络名 故障类型 称 Ⅰ级—紧急 服务器名称 Ⅱ级—重要 故障处理报告 网站名称 故障分类—详细内容 Ⅲ级—关键 网络设备名称 Ⅳ级—告警 例如：故障处理报告_Ⅰ级—紧急_squid-chendu_系统崩溃 1.9.5.2故障处理报告内容 故障发现时间 Xxxx 年 xx 月 xx 日 xx：xx （24 小时制） 处理完成时间 如果处理一次就解决的直接写： Xxxx 年 xx 月 xx 日 xx：xx （24 小时制） 如果多次处理后才解决，按下面格式写： 1 Xxxx 年 xx 月 xx 日 xx：xx （24 小时制） 2 Xxxx 年 xx 月 xx 日 xx：xx （24 小时制） 3 Xxxx 年 xx 月 xx 日 xx：xx （24 小时制） 故障处理人员 故障描述 根据故障等级划分的说明加上一些详细的内容 故障处理过程 故障排错的详细过程，可以用图表形式表达 故障原因 导致故障发送的原因 解决方法 写上最终用什么方式解决故障问题 157 目录 法定代表人身份证明书… 二、法人授权委托书…… 报价一览表…… 四、资格证明文件…… 1.营业执照(三证合一) 8 2.具有良好的商业信誉和健全的财务会计制度 2.1.AAA级资信等级证书 2.2.2019年财务审计报告…… 10 3.具有履行合同所必需的设备和专业技术能力………29 3.1.具有履行合同所须的设备(绿盟远程安全评估系统) 3.2.具有履行合同所须的专业技术能力(中国网络安全等级保护网推 荐目录)……………… 39 4.依法缴纳税收的证明材料 40 5.依法缴纳社会保障资金证明材料… 43 6.“信用中国”网站查询截图 7.“中国政府采购”网站查询截图… 8.《网络安全等级保护测评机构推荐证书》 9.IS09001质量管理认证体系证书……… 10.IS020000信息技术服务管理体系认证证书 11.Is027001信息安全管理体系认证证书…… 55 12.Is014001环境管理体系认证证书……… 3. OHSAS18001职业健康安全管理体系认证证书…… 59 14.固定服务网点(房屋租赁合同)… 61 15.CNAS能力验证成绩为满意………… ··…··““ 72 15.1.2017年度CNAS能力验证成绩为满意……… 72 15.2.2018年度CNAS能力验证成绩为满意… 73 15.3.2019年度CNAS能力验证成绩为满意 74 16.中国网络安全审查技术与认证中心(CCRC)信息安全风险评估服务资质 1.2.3质量控制措施… 139 1.2.4工期控制. .140 1.2.5流程保障 140 1.3服务承诺 ……141 1.3.1服务承诺 141 1.3.2中标承诺… 142 1.3.3合理化建议 142 1.4安全管理要求… 143 1.5新上线信息系统等级保护检测服务 ∴143 1.5.1工作目的 ∴,143 1.5.2处置流程. 143 1.5.3风险规避措施 144 1.5.4服务承诺 ∴144 1.6安全巡检服务 145 1.6.1安全巡检的作用……… 145 1.6.2日常安全巡检服务内容…… 145 1.6.3服务承诺 ….147 1.7安全加固服务… 148 1.7.1日志分析 148 1.7.2漏洞加固服务 149 1.7.3服务承诺 150 1.8安全制度优化 151 1.8.1网络安全管理制度编制依据…… 151 1.8.2优化网络安全管理制度…… 151 1.8.3服务承诺… 153 1.9安全应急服务… 154 1.9.1应急响应方案的意义 154 1.9.2应急服务标准化的优点 154 1.9.3应急服务故障级别划分… 154 法人授权委托书 本人_夏天勇(姓名)系(湖北东方网盾信息安全技术有限公司)的法定代 表人,现委托_徐仕杰(姓名)为我方代理人。代理人根据授权,以本公司名义 参加信息网络安全运维服务项目的投标,代理人在开标、评标、合同谈判过程中 所签署的一切文件和与之有关的一切事务,我均予以承认。 委托期限:从_2020年7月24日起至_2020年10月24日止 代理人无转让委托权。附:代理人有效身份证复印件 授权委托人身份证(复印件): 书杰 中华人民共和国 居民身份证 1909310 傲说汉者出氢老雪09後 机关“汉市公安陆青山分属 公就新必形函420107199903100512 南娘期20181202081x0 请人湖北东方风盾信盒客全技术有限公司(盖单位章) 令法是代表 校委拍代理尽术 (签字) (签字) 书日期:2020年7月24日 、报价一览表 项目名称 信息网络安全运维服务 供应商名称 湖北东方网盾信息安全技术有限公司 供应商地址 武汉市武昌区友谊大道999号武钢大厦B座10楼 项目工期 合同签订生效后一年 总报价(人民币元) 大写:人民币壹拾叁万玖仟捌佰元整 小写:￥139800.00元 服务对象 湖北省人力资源和社会保障信息厅数据中心网络及信息系统 磁商供应前法速代表人成 磋商供应商名称(签章)我东方网盾信息安全技术有限公司 时 间:12020年⑦月熟4 四、资格证明文件 营业执照(三证合 8s8二号 纽签 按 球中撼 计 牛 点 串 图 苎 木 市 钟沛种 2.具有良好的商业信誉和健全的财务会计制度 21.AA级资信等级证书 资信等级证书 CREDIT GRADING CERTIFICATE 不作货救使用 金银评字ZT8【2020】181号 【2020】181 湖北东方网盾信息安全技术有限公司 THIS IS TO CERTIFY THAT THE CREDIT 被评审为AAA资信等级 GRADING OF THE ORGANIZATION DEFINED HEREOF IS GRADED CLASS 特发此证 AAAN CORDANCE WITH ASSESSMENT MADE BY 有效期至2021年5月的日 THE, CREDIT GRADING COMMITTEE. PErioD OF VALIDITY TO: May. 13h, 2021 湖北金银评企业信用管理 HUBEI JINYINPING CREDIT RATING CONSULTING 202 月14可 COMPANY LIMITED Mny14,20 N)@ooN减a⊙D 22.2019年财务审计报告 审计报告 鄂中恒审字2020第Z-198号 湖北东方网盾信息安全技术有限公司: 我们审计了后附的湖北东方网盾信息安全技术有限公司(以下简称贵 公司)财务报表,包括截止2019年12月31日的资产负债表、2019年度 利润表、所有者权益变动表、现金流量表以及财务报表附注。 ,管理层对财务报表的责任 编制和公允列报财务报表是贵公司管理层的责任,这种責任包括:(1) 按照企业会计准则和《企业会计准则》的规定编制财务报表,并使其实现 公允反映;(2)设计、执行和维护必要的内部控制,以使财务报表不存在 由于舞弊或错误导致的重大错报。 、注册会计师的责任 我们的责任是在执行审计工作的基础上对财务报表发表审计意见。我 们按照中国注册会计师审计准则的规定执行了审计工作。中注骨 审计准则要求我们遵守中国注册会计师职业道德守则,行审 作以对财务报表是否不存在重大错报获取合理保证。 审计工作涉及实施审计程序,以获取有关财务投者敏和技的审计 证撂。选择的审计程序取决于注册会计师的判断,包膨舞弊或错 导致的财务报表重大错报风险的评估。在进行风险评估时注册会计师考 虑与财务报表编制和公允列报相关的内部控制,以设计恰当的审计程序, 但冒的井非对内部控制的有效性发表意見。审计工作还包括评价管理层选 用会计政策的恰当性和作出会计估计的合理性,以及评价财务报表的总体 列报。 我们相信,我们获取的审计证据是充分、适当的,为发表审计意见提 供了基础。 三、审计意见 我们认为,湖北东方网盾信息安全技术有限公司财务报表在所有重大 方面按照《企业会计准则》的规定编制,公允反映了贵公司2019年12月 31日的财务状况以及2019年的经营成果和现金流量。 附件 1、2019年12月31日资产负债表; 2、2019年利润表; 3、2019年所有者权益变动表 4、2019年现金流量表 5、2019年财务报表附注; 附送 1、审计机构营业执照复印件; 2、审计机构执业证书复印件; 息安 3、注册会计师执业资格证复印件 ★ 计师 湖北中恒会计师事有限公 中国注册会计师 中国注册会计师 中国.武汉 2020年5月9 日 11 gg8s 8888 g 8 8 g o 888 888 9 但图 图里图国 标江 白世 而e g的 88 9盈 8个 oo5的 哥学民 导 之气 利润表 编制单位:;湖北东方网盾信息安全技术有限公司2019年 会企心2表 项日 本年累计 营业收入 14947,67902 减?营业成本 2,899,77758 营业税金及附加 74,57990 销售费用 1.274.97867 管理费用 837501480 财务费用 59684.74 资产减值损失 加:公允价值变动收益(损失以“”号填列) 投资收益(失以“一”号填列) 其中:对联营企业和合营企业的投资收益 、营业利润(亏损以“一”号填列) 2263.6433 加:营业外收入 安A 减:营业外支出 其中;非流动资产处置损失 、利润总额〔亏损总额以“一”号填列) E20093321 减:所得税费用 159333 定 四、狰利润(挣亏损以“一“号填列) 185983989 五、每股收益 (一)基本每殷收益 (二)稀释每股收益 13 督难路严 m3二 三改 还文★畅级但 图到BR 吃气了集 晔 的地 國团 -r2 固中目 兽图 7指甲普自国用:国相 日 好类 图 湖北东方网盾信息安全技术有限公司 2019年会计报表附注 、公司基本情况 湖北东方网盾信息安全技术有限公码(以下简称“本公司”)于2006年1月18 日经武汉市武昌区行政审批局批准成立 统一社会信用代码:914201067819898854: 公司住所:武昌区水果湖东一路19号B座910号; 法定代表人;夏天男 注资本:人民币壹仟伍僑万元整 公司美型:有限責任公司; 业务范围:网络安全测试与评估服务;网络安全风险评伂、应急处理、安全运维 安全审计、安全监理服务;软睫件测试、安全评服务;信息技术服务;信悲安全谬询 依法须经审批的項目,经相关部门审批后方可开展经营活动) 二、公可乘用的主要会计政策 1、会计制度:本公司扰行《企业会计准则》。 2、会计期间;本公司会计年度即自公历1月1日起至12月31日止 3、记愍本位币:本公司以人民币为记账本位币。 4、会计要素计量属性 息 本公司在对会计要素进行计量时,用历史成本法。 5、现金等价物的确定标准 本公司所持有的期限短(持有时闻不超过三个月的)、流幼性强、易砖擾为已知 盒顓现盒、价值动风险很小的授資視为现金等价物。 6、國定资产及其折旧 (1)國定资产标准 本公司对于使用年很在一年以上的运输设备、办公设备、电子设备;不属于生产经 當主要设备的物品,单位价值在1000元以上,使用年限超过1年的;威批购人的价值在 1000元以上的物品,使用年根超过1年并且在使用过程中保持原有实物形态的資产作为 因定責产进行核舁 (2)园定橐产计价 固定賣产按实邸成本汁价 ③3)折旧方法、年根、折旧率 固定貴产用直线法计提柝囯,并按圊定资产的使用年限和估计残值率,确定其分 类折旧率,分类折旧率如下 固定资产奧别 预计净残值 预计使用年限年折旧车(% 家具 3-5年 20%-33.33% 设备 00000 3-5年 20%33,3% 办公类 3-5年 20%-33.33% 电子类 3-5年 20%-33.33% 交通工具 3-5年 20%-33.33% 7、在建工程的核算方法 1〉本公司的在建工程包括建筑工程、安装工程、在安装设备、持摊支出以及单 項工程等。 2)在建工程的计:按尖际发生的支出嘀定工程成本,在建工程成本还包括应 当糞本化的倩款费用和汇梵損益。 3)本公司在在建工程达到预定可使用状态叶,将在建工程转入固定貴产,所建 定产,并计视析田;待办理了境工决其手块后,再按实胩成本调整原来的估的色启自 造的已达到预定可使閂状态、但尚未办理竣工决葺的因定賁产,按照估计价值嘀认为 但不调整原已计提的折旧额。 4)在建工程的减值。按颿本公司制定的“資产减伍”会计政执行 本公可本期无在建工程事项。 ★ 8、无彤囊产的嘀认和计量 本公司无舴资产是指本公司所拥有或者拉轲肭没有实物形态的可瓣认非赁币蚀 (1)无形产的确认 A、本公司在无形资产同时满足下列条件时,予以确认: ①与该无形资产有关的经济利益根可能流入企业; ②该无形資产的成本能够可靠地计量, B、内部研究开发項日研究阶段的支岀,于发生时计入当期楓益。内部研究开发项 目开发阶段的支出,同时满足下列条件的,确认为无形产: ①咒成该无形責产以使其能够使用或出售在技末上具有可行性 ②2具有究成该无形資产并俊用或出售的愈图 ⑧无彩貴产产生经济利益的方式,包括能够讧明运用该无形貴产生产的产品存在市 场或无形資产自身存在市场,无资产將在内部使用的,能证明其有禺性; ④有足够的技术、财务賣源和其他貴源支神,以完成该无形資产的开发,并有能力 使用或出售谪无形贤产; ③归属于该无形资产开发阶段的支出能够可靠地计量, (2)无形資产的计量 ①本公司无形資产按照成本逊行初始计量 ②无形貴产的后续计量 A、对于使用寿命有限的无形資产本公司在取得时判定其使用寿命外在以后期间在 使用寿命内按使用年限采用直法摊销,摊销全頷受益項目计入相关成本、費用核算 使用寿命不墒定的无彩貴产不摊销 B、无形资产的减值,按驪本公司制定的“貴产减值”会计政策扰行, 9、收入确认原则 1、与交易枓关的经济利益能够流入企业; 2、相关的收入和成本能够可靠的计量 3、产品的所有权上的主要风险和报酬已轉移给买方,本公司不再对该产品买 管理杈和实际控制权 10、税项 税費按税法及有关政策挑行,以主管税务机关汇算清墩为准。 企业所得税采用应付税款法核算。 ★ 三、财务报表主要项目注释 1、赁币资全 期初余额 期末余顥 现金 506.30 银行款 2,784,878.06 2,447,042.20 合计 2,785,384.36 2.44,042.20 2、症收账软期末余籟1,049,800.00元, 应收账主要单位: 欠款单位 期末余额 期初余额 本期增加本期减少|期木余額 务器 13,390.90 移动空調 2,598,00 2.598.00 计折旧合计381255366561.15 0.00447,816.51 办公家具 378026823,750.16 61,552.84 扫仪 3.200 3,200.00 电脑 294.000.00 294.000.00 网络设备 40322640.128.41 80.451.09 打印机 4,600.00 4,600.00 务器 133000 2,682.58 4.012.58 移动空调 0.0 三、國定产减值准备累 计金颖合计 四、國定资产账面净值合 211,43381 0.9 0.00161,371.55 办公家其 66,16682 50.476.84 扫描仪 000 电脑 0.00 网络设备 1332%6,99 打印机 0.00 务器 ll97000 267.42 移动空调 0,00 598.00 6、应付账款期木涂额1,254,532.74元 期末应付账款主要单位 单位名称 期末余额 式汊新討遘信悲技术有限公司 750,000.00 武汉中恒凯捷企业管理谬询有限公司 180,000.00 武汉天宇科恐信悲技术有限公司 100,000.00 7、预账款期末余额1,484,000.00元 期末预收账款主要单位 单位名称 期末余颖 广发银行殷份有限公司或汉分行 272,000.00 荆州市第一人民医院 259000.00 中国民用航空中南地区空中交遘蕾理局潮北分局 127,500.00 大冶尖峰水泥有限公司 91.500.00 阳新娲石术泥有隈公司 82,000.00 湖北省交通适輸厅世界銀行貸款曛日办公室 76.000.00 8、应交税費期末余额197,642.94元 期末余断 未交增值税 133,383.0 应交城市维护建设税及教育費附加 13.383.00 企业所得税 48,374.43 地方教育发展费 2,000.75 其地税金及附加 501.75 合 197,642.94 9、长期借投 项日 期末念额 农商行贤款本金 8,000, 合 8,000,000.00 10、实收资本 息 股东名称 期末余颖 持股比闶 夏天勇 719,950.00 汤萄 2,780,050.00 合计 3500001009 11、未分配利润 全 上期期末余顫 7,183,444.19 加:期初未分配科润调整数 其中:执行《企业会计准则》進溯调整 重大会计差错 其他调墼国素 本期期初余 本期增加数 其中:本年净利润转入 1,B59,839.89 21 福利费 61,31900 招待费 175,221.26 办公費 40,910.13 广告宣传費 296.000.00 合计 1,274,978.67 16、管理費用 2019年 工贤 2,818,302.60 通试费 1,509.20 交通费 112.550.60 差旅费 456,16895 误餐费 5.600.86 汽车曹用 109,247.94 办公費用 2,016,039.70 折旧费 18,079.65 职工教育经费 277,187.49 ②安分 福利势 202,574.15 招持费 138,089.09 填日 2019年 印花税 3.205.02 社会保栓 831.090.56 房楓 55,204.49 快递费 4.812.00 招标费用 102.315.00 住房公枳叁 174,520.00 保险費 660.24 研完费用 577,991.11 存貴盘亏 469,866.15 8,375,014.80 17、财务费用 2019年 手牍費 137.23 转息支出 5B.547.51 合计 59,684.74 18、蕾业外收人 2019年 政府补助 223,290.39 223.290.39 19、营业外支出 2019年 资产处直損失 476,000.50 合计 476,000.50 四、或有事项 戲至期初余顓止,本公司没有对外担保、資产抵押以及诉讼等或有事項 息安 五、其他事项 本公司2019年度蚋税事宣以税务机关汇算清墩仝額确认为湟, 湖北东方网酒信息安全技率有展公司 年4月 24 营业执照 (副本) 统一社会倩用代码914291117146713593 称湖北中恒会计师事务有限公司 类 型有限责任公司 住 所洪山区珞狮南路147号D幢29层2906号 法定代表人李金意 注册资本叁拾万元整 成立日期2000901月18日 公 营业期限2000年01月24日至*幸 经营范围 会计咨询:商务信易咨询资木验,条审计犭建 开展经营活动)掌 经相关部门批准启 登记机关 11月 智水泰统网:ht2:1有n 中华人民共和国国家工商行及管理总号W 燃本 8寸 定 R 9 速 |」 .=a ”4 3.具有履行合同所必需的设备和专业技术能力 31.具有履行合同所须的设备(绿盟远程安全评估系统) 名称 规格 数量 主要性能 备注 远程安全评估系统绿盟 等级保护测评 V6.0 RSASNX3-S 等级保护测评软件 V2.0 1等级保护测评 模拟安全测试平台 / 等级保护测评 购销合同 甲方(需方);湖北东方网盾信息安全技术有限公司 乙方〔供方):北京汇志凌云数据技术有限责任公司 甲乙双方经充分协商,就甲方购买乙方产品和服务一事达成如下协议,以便共同遵守: 第一条:甲方购买产品的名称、型号,价款及数量,见下表(明细兒附件) 息安 产品名 产品型号 单位单价(元)数量金椰小计(元)令 远程安全评估紧统绿盟RsA53-s V6.0 合 ★ 最终用户:湖北东方國履信息安全技术有限公司 第二条:货款的结算方式 1.本合同总成交价为:￥ 大写 ,此价格为设备 送到甲方指定地点的含税价格 2.合同签订5天内,甲方向乙方付全部货款的100%,人民币小写,￥圈元,(大 写:人民币圈 货物交付前,乙方向甲方递交税率为17%的全额增值税专 用发 第三条:产品交(提)货方式、地点和时简 1.交货方式:乙方送货至甲方指定地点 2.交货时间:甲方付款后了个工作日内 四条,硼件保 1.合同项下所有产品均享受绿盟原厂提供的三年免费质保 2.以下情况之一忽不保修 因保管、维护不当造成的损坏 人为或自然灾害所造成的故障或损坏 自行更换备件,或经非乙方授权的维修商维修造成的损坏 擅自拆机修理或越权改裝或溋用造成的故障或损坏 第五条:违约责任 如甲方未按合同规定按期支村货款,甲方应补齐所欠货款,并每逾期一周按迟交货款的1% 支付违约金。所有违约金额共计最多不超过迟交货款的10 乙方途期交货或交货少子合同规定的,乙方应如数补交,并每途期一周向甲方支付所欠货 物金额的1%6作为违约金,所有违约金额共计最多不超过迟交货款的10% 第六条;知识产权和保密条款 乙方为甲方所提供的设备,软件及技术资料的知识产权,属乙方及声明人所有,甲方仅享 有合同许可范围内的零独占的一般使用权。未经乙方书面许可,甲方不得揸自修改、抹去产品 界面上的任何标识。甲、乙双方应为本合国的所有内容进行保密 第七条:争议解决的方式 因执行本合同所发生的或与本合同有关的一切争执,由签约双方友好协商解决。如双方经 协商后仍不能解决时,可诉至武汉人民法綻:争议金粒不得追越合同总金额 第八条:合同的生效、终止及其它 1.合同于双方授权代理签字,盖章之日起生效 2.合同双方同意附件是合同不可分割的部分,与合正文具有问等法律效力 3.本合同壹式贰份,双方各执壹份。对合同内容做出的任何修改和补充应由双方共同确 认并采用书面形式 L台同中未尽事宜另行协商, 5.遇不可抗力,双方均不承担责任 甲方:游北东方州四何发金技术有媒公司乙方:北京江志凌云数技术有限责任公司 章 授权代表 授权代表 地址:武这武吕区友度大道9为武钢大覆B地址:北京市海淀区画 蕨 座合同专用章 北理工下 开户行:兴业银行诚汉武 开户行:招商银行武有限念动比京解 ★ 账号:4161401001000582 号:1 话:027-889】9936 日期:2018年2月26日 日期:2018年2月26 ★ 第2页共3页 附件1:设备明细 项目 产品型号 品单价数量合 1、绿盟远程安全评估系统: RSASNX3-sc 1-01 RSNX3-S-C-NOS0-1引系 RSAS N3-SC引擎系统 1-02| RSNX3-S-C-NDE-0l引擎模1*]45串口,1彬E管理口,6/气单电源 RSAS NX3-S-C引擎模块-1,含交 块 10M/10w100自适应以太网电口扫描口, 1个接口扩展槽位,标准配置提供1路授权 扫描端口 RSNX3-S-C-AL-IPL-06 RSAS NX3-SC授权许可-P点授权(IP点 1-03 授权 数量),授权可扫描总数量为无限的IP地 址或域名 RSAS N>3-5C功能模块-Web应用扫描模块, 1-01RSNX3-S-C-VF-FAS 对Web应用提供专业的漏洞、挂马检测和分 RSAS NX3-SC产品服务一白银服务包,包含 1-05 RSNX3-S-C-NSPs-SIL 软件更新服务(包含漏洞库升级)、产品保 白银服务包 服务、远程支持服务:本次报价含三年白 3套/年 银服务,此后需要单独购买 3、安装实施及售后服务 2-01售后服务 现场安装服务,每年7*24小时电话支持服 务,2小时远程支持服务 ￥0.00 第4-5年: RSAS N3-SC产品服务-白银 202售后服务 服务包,包含软件更新服务(包含漏洞库升 1套/年 级)、产品保修服务、远程支持服务 第6年及以后,SSS产品展务自预估价为 2-03 售后服务 根服务包包含状件更服务(包言漏两元,1 什级)、产晶保修服务、远程支持服务 (不 含硬件 4、报价总计 合计价格: 附件2:原厂售后服务承诺书 第3页共3页 附件3 设备功能描述 本次采购设备远程安全评估系统V6.0绿盟 RSASNX-S,应包括但不限于如下功能: l、产品应保证其数据安全性,系统配置文件和扫描结果文件保存在本地,加密保存 只有授权用户才可使用,数据传输过程经过加密。 2、能够扫描主流虛拟机管理系统的安全漏洞,如; MWareESX esXi,要求能够扫描大 于200相关漏洞,并提供详细的漏洞列表 3、系统内置不同的策略模板如针对Inix、 Windows操作系统等模板,同时允许用户定 制扫描策略:用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。 4、漏泂知识库从设备类型、应用服务、信息收集、威胁等缦、威胁利用情况等多个视 角进行分类,攴持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞 信息。 5、产品支持通过多种维度对漏洞进行检索,包括: CVE IL、 BUGTRAQ ID、 CACVE ID、 CND、ONN邗D、S編号、风险等级,漏洞描述、是否为危险插件、漏洞发布曰期等信 6、报表中对综述、主机、漏洞、配置、状态等信息进行分类显示:;综述报表中应对风 险类别和操作系统分布进行定量统计分析并展示;主机报表中应提供单主机的漏洞分布风 险值和风险等级信息,并能列出单主机的详细漏洞描述和解决建议,同时提供详细的安装A 件信息、端口信息等,方便统一查看,了解资产信息;漏涧中应提供漏洞详细信息行 误报修正。 7、产品攴持对漏涧扫描结果、web扫描结果进行综合分析,并输出包含漏洞扫揣、W 扫描的报表。 8、澜洞知识库漏洞信息大于12000条,提供详细的漏洞描述和对应的解决方案描述 漏洞知识库与CvE、 CAVE、CNN、CⅦ、 Bugtraq等主流标准兼容,并提供 CVE Compatible 9、具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、 TELNET、FTP sH、POP3、TAC、SL. SERVER、WYs、 ORACLE、 SYBASE、DB2、SNP等协议进行口令猜 测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。 10、产品要求取得中国人民共和国公安部的《计算机信息系统安全专用产品销售许可证 (増强级)》,中国国家信息安全产品测评认证中心的《国家信息安全认证产品型号证书(增 强级》,中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》,国 家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》,获得国家信息安 全测评信息技术产品安全测评证书(EA3级),并提供上述产品有效证书的复印件。 原厂盖章; 1.1销售许可证 计算机恼息系筑安全专用产品 北京神州绿盟科技有公司 销售许可证 息安 书日:XKC41257 绿如积父全评系A(A 有被期:自201081 终圆编性扫描(增强级) 2G190821 币5共,发北 中华人民共和国公安部監制 33 13军用信息安全产品认证证书 军用信臭安全产品 队书 军密认字第1624号 产品名称:绿盟远程安全评估系统NX3V60 研制单位:北京神州绿盟科技有限公司 认证等级: 军B+级 有效期:2016年6月至2018年6月 中调人民解故 信急金评认诞中心 /全 2016年10月31H 问画开 35 14涉密信息系统产品检测证书 涉密信息系统 产品检测证书 编号:国保测20fC05033 最证明:北京神州绿科技公司 制生产的绿盟两格安全罐扫撤系统NX上sY豆 经国家保密科技测评中心检测,符合国家保图标准BMB12290 《涉及国家秘密的计算机信息系统凝洞插户技术要果》的要枣 本证书有效测白2016年10月25日全2019年10月241 息安 批推人 继货时中心 老章 ★ 闲正书件应曲严品研制生产最位加公意 证书信语WWN5SC0RGCN 15信息技术产品安全测评证书 国家信息安全測评 信胤技术产品安全测评证书 证书②:0I80a1t%m031 级别:EAL3+ 北京神州绿毁科技有屜公司 (北京市海淀区李道沟一号4号楼几层部编:10009) 盟远捏安全评系Ω 测评标准:品183208《息挂木安技术息技术安性评 Kies ISO/IEC 1543: 2005) 评方法:国7形为13《倒息技术安技术俯息技术安全性评信方A t1s0/187005 评张编号:落0920180400毛3 测评机构:中信息安全测评中心信息安全实检家 指信息 此证书仅适用于该产品的上述质木或型号 发阻期:2016年12月14日 有效至:201912月3日 朱帐南 批准人 37 国家信息安全漏洞库官网截图 (www.cnnvd.orgcn/web/xxk/gyhzhb.tag) 技术支撑单位排名按公司名称关键字的前字母排序) DBAPP 安恒信息 ecur ANTIY 安天 江天安 林州安任售技术制限公司 北京专天网安全技术有公司 北惠离天安料技有限公可 猎豹移动 企业安全 启明星辰 阿福感授术[北原)股份有限公可 北京启明型民信息安全技术有公司 了否傯 腾讯电脑管家 NSFOCUS 北班神洲爆慧科技有限公司 国闪含术有限公吧 讯被(叫)有陨公司 快速导航 关于我们 关注我们 洞提交 CNNVD介绍言方微 ★ CNNVD 常见问 国家信息安金遥洞库 供应商法定代表人或委括代签字这k 水 供应商名称(盖章):湖北东方网盾信息安全技术有限公司 时间:2020年7月24 32.具有履行合同所须的专业技术能力(中国网络安全等级保护 网推荐目录 申国网络全等级护网 测评骚改 雄實理 政标准 评机构 等误门户网:售息蛋》而评机称介媚 湖北东方网盾傧思安全技术有限公司 号cPz。1l2011s 名称湛北水方网安金技术有 她址北武汉市武区水果澡东一19号91g 即编号 联系人 夏天 联系电话19128 传真a2751752 推荐时间 推荐机构家网络安全辱最保护工作袋小蕴办公 相关资 黄名 416 9oo61420411041 不测后 190204200120314 中测所 1901937421011 s06654255970316 少中段测渐药 文 9232421s140314 是冬 190232011204N°315 中欲测评 m 中设测评 9o474271 19052064210130115 19052084245320114 初欲测评牙 初段测开万 级测好 190521142901111 初测 24560114 初测评师 90521424916111 初级测评 101 初段测 冻博昏 952104212720113 13099242410 12 初测# 120424243821 初级测坪所 1100492420052019 初级测评 190521542553101 初测好 曾凡凡 19052124275160119 初测好 友 初测好 180901422814115 初测奸 4.依法缴纳税收的证明材料 中华人民共和国 税收完税证明 2071542证明50005738 税务机关国家税务总局武汉市山区税务局 纳铤人名称澌北东方网盾信息专全技术有限公司 纳人识尉号914201067819898854 税种 税款所属时 入()库日期 20200601至20200630202007-15 地方教育加 20200601至20200630202007-15 教育加 200601至202006530202007-15 20204601至20200630202007-15￥5885868 20200601至20200630202007-154120.11 以上情况,特此证明 息安 金画合计(型伍玖始元分 * 本凭证不作纳乱人记帐、抵扣凭证 中华人民共和 税收完税证明 20061542证600005 乾务机关国稅务总局武汉市洪山区税务局 填发日期2020-0615 纳锐人名称湖北东方网盾信息专全技木有限公司 纳税人识别号914201067819898854 税款所属时期 入(库日期放()金额 20200531至20200531 2020-06-15￥923 以上情况,特此证明 息安分 ★ 金新合计(大就补元参 业专 填柔人 凭证不作纳羲人记惟、抵和凭证 中华人民共和国 税收完税证明 20052542证明60001971 税舞机关国叙税务总局武汉市山区税务局 填友日期202005-25 纳税人名称湖东方网盾信息安全技术有限公司 纳人识别号91420106781989885 税种 税所属时期 入)库日期缴(金额 地方教育跗加 20200401至202004302020-05-22￥35097 城市雄护建设税 20200401至2020-04-30202005-22￥163787 增值貌 20200401至2020-04-302020-05-22￥23392 教育费附加 0200401至202004-30202005-22￥70195 以上情况,特此证明 金额合计(双就陆仟指抬捌元玖角玖分 填票人 本凭证不作纳税人记帐、抵扣凭证 5.依法缴纳社会保障资金证明材料 中华人民共和国 税收完税证明 税务机关国家税务总局武汉市洪山区税务局 填友日期202007-15 纳人本北东方同信息安全饮术有殿公司“人识料号940T1999 税款所属时 入〔库日期卖退金额 企业职工基本养老保捡费 20200701至202007-31202007-1524187 基本医疗保脸费 20207-01至202007-31202007-15￥3168815 20200701至202007-3120200715￥907.02 以上情况,特此证明 自安 金合计A网汉陆辣销能元意角分 〔肉到 车凭证不作蚋税人记、扣凭证 43 中华人民共和国 税收完税证明 20061542证明60007957 税务机关国家税务总局武汉市淇山区税务局 填发日期202006-15 纳税人名称湖北东方网盾信息安全技术有殿公可 纳税人识别号914201067819898855 税种 税款所属时期 入库日期实退)金额 企业取工基本养老保控费 20200601至202006-30202006-15￥197831 基本医疗保睑贵 20200601至20200630202006-15￥1691069 失业屎费 202040601至20200630202006+15￥741.84 以上情况,特此近明 急安 金额合计大柒肆佰垫拾元角肆分 套 本凭证不作蚋穊人记帐、抓扣凭证 6.“信用中国”网站查询截图 信用中国 信 用信息 统一社会信用代码 站内文章 潮北东方网盾信息安全技术有限公司 首页信用动态戏策法期标准规范信息公示信用服A联合装娃专理 减信文化行业信用城市信用校园诚信信用研究信用刊物个人信用网站导航 湖北东方网盾信息安全技术有限公司存续守信激励对象 下载信提這异议由诉 统一社会信用代码:914201067819898854 重要提1、如需开属行政处罚信用修复请查看行政处罚信用修复流程指引 2、因筒幅有限,单羹数据仅展示前100条信息 基础信息 法定代表夏天勇 企业类 有限责任公司(自然人投 人顶负责人 资或控殷 执行事务合 伙人 成立日期 2006-01-18 庄所 武昌区水果湖东一路19 号B座910号 行政处罚守信激勋失信惩戒重点关注资质资格风险提示其他 第1条 行政许可决定武洪稅)许准字t2020第(1781:号 文书号 行政许可决定对纳税人延期申报的核准 文书名称 许可证书名称 许可类别 法人及非法人组织 许可编号 许可决定日期2020-04-15 自安公 有效期自 2020-04-15 有效期至 2099-12-31 许可内容 根据《中华人民共和国行政许可法》第三十八条第一款的规定麦是 准予你(单位延期申报 许可机关 国家税务总局武汉市洪山区税务局 许可机关统一 11420111MB196977×W 社会信用代码 数据来源单位国家税务总局武汉市税务局 数据来源单位11420100MB1524885X 统一社会信用 代码 网站声明 魯信用中国 信用信息 统一社会信用代码 站内文章 请入主体名称或者统一社会信用代码 信用动态政策法规标准规范信息公示信用服务 联合奖惩 专项治理 诚信文化 城市信用校园诚信信用研究信用刊物 用 网站导航 您所在的位置:首页>信用服务>政府采胸严重违法失信名单 政府采购严重违法失信名单查询 湖北东方网盾信息安全技术有限公司 记录次效 Q 很抱歉,没有找到恕搜索的数据 息安 7.“中国政府采购”网站查询截图 财政部唯一指主政府采则信网络发布粼体国级政府平购专业网站 山国政府财网 山国政府购实服务信息平台 www.ccgp.gov.cn 首页 购买服务 监督检查 信息公告 GPA专栏 PPP频道 政采法规 当位置:首页*政府采购严重违法失信行为记录名单 政府采购严重违法失信行为信息记录 企业名称:谢东方风售息安全技术有限公司 处罚日期; 晚杜会用代 处罚果 处罚依据 处罚日雨 设有该企业的相关记录 本的企业:湖北东方雪氢安全技术有限公司 本次到时间;2020年0?月20日14824分 息安A 是示:本平台信息依据《关于报送政府釆购严重法失傳行为信息配天 财办库2014]526号) 请联系具体执法单位 8.《网络安全等级保护测评机构推荐证书》 DIP 网络安全等级保护测评机构 推荐证书 ∠证书编号:DJCP201420118 湖北东方网盾信息安全技术有限公司: 经审核,你单位符合网络安全等级保护测评机构有规 范要求,具备从事网络安全等级保护测评工作能力,现予以 推荐。 证书有效期:2020年4月至2023年4月 国家网络安全等级得小组办公室(代章) 9赫内月 感>》>>》>>K 9.IS09001质量管理认证体系证书 EACCC 认证证书 证书号:USA8Q47305R0S 兹证明 湖北东方网盾信息安全技术有限公司 统一社会信用代码:914201067819898854 注册地址武昌区水果湖东一路19号B座90号 办公地址:湖北省武汉市友谊大道99号武钢大厦B座10楼0708室 质量管理体系符合标准 ISO9001:2015 质量管理体系适用范围 信息安全咨淘服务(网络安全等级保护测评 初次发证日舞28年即月25日 证书颁发日期28年1月25日 原认证少 证书有效期至3年1月24B 签发: 美茹 北京东方纵横证中心有限公 (EACC IAE ANAB 获证织必须定期接受监市核并经审核合格此涯书方继续有效本证节信息可在北京 东方纵认证中心有限公叫阿站 t wwwe2cAxncn)和国家认涯认可暂委员会官方阿 站( www,cheapo.n上查淘,也可打描右下角的二维码查润 人证机构地址:北京市通州区中关村样技园区通州国金续科技产业基地盛病四向号 12号传一层1m1 51 合同编 (Q-CES/R00121s-W 北京点认证心包限会 认证资格保持通知书 尊敬的湖北东方网盾信息安全技术有限公司 我中心于2019年10月12日对贵单位进行了■质量管理体系第 次年度监督审核,经认证决定小组评定并报领导批准,同意保持贵 单位认证资格 证书有效时间2018年10月25日至2021年10月24日 贵单位应在2020年10月11日之前接受第二次监督审 一核,迎期不接受监督审核,贵单位的认证资格将被暂停。∥ 息 有关认证证书和认证标志的信息和使用说明及其认证相关内容 请贵单位从EAC网站(hp/Wwab下载查阅, 横认 北京东级横训中心有限公司 Q9年10月) 10.IS020000信息技术服务管理体系认证证书 ec 信息技术服务管理体集认证证书 证书编号:0012018ITSM07ROAG/46500 兹证明 湖北东方网盾信息安全技术有限公司 注册地址:中国湖北省武汉市武昌区水果湖东一路19号B座910号 运营地址:中国湖北省武汉市友谊大道999号武钢大厦B座10楼1007室 建立的信息技术服务管理体系符合标准: ISO/IEC20000-1:2011 通过的认证范围如下 向外部客户提供信息系统测试服务、信息系统咨询规划服务的信息技术服务管理体系 首次发证日期,2018年9月27日本次发证日期:2018年9月27日有效期至20219月26日 在一个监督周期后,本证书必须与ca签发的监誉审核合格通知书合并使用方可有效,查询证书有效状态请c.cam CNAS MAHAOEME E:Net Jang Kejiao 国质量诡证 中国·北京·南四环西路188 100070 10001450 2015年版 53 监督申核合格遁知书 湖北东方网盾信息安全技术有限公司 No.465001951Q0076 我中心于2019年9月14日至2019年9月16日上 午对贵方进行了年度监督审核,证实贵方的信息技术服 务管理体系持续有效运行,经评定决定,准予继续 使用证书号为_0 01208TSM007 7ROAG/46500管理体系 认证书,证节所载的名称、地址认证慈围、发证日 期、有效日期、适用性声明的版本和发布日期等均无变 化 下次审核日期为2020年9月8日之前。 感谢贵方对我中心工作的一贯支持 息交 ERTI 我们将 如既往的为您提供增值的认证服 量4 特此通知。 冷到 25日 面国质量i证 11.IS027001信息安全管理体系认证证书 倌息安全管理体無认证证书。 证书编号:001181S20182R0s6100 兹证明 湖北东方网盾信息安全技术有限公司 注册地址:湖北省武汉市武昌区水果湖东一路19号B座910 运营地址:中国湖北省武汉市友谊大道999号武钢大厦B座10楼1007室 建立的信息安全体系符合标准 GB/T22080-2016/ISO/EC27001:2013 通过认证范围如下: s6计算机照务(信交等健结安念服务,风险评安测线 的信息安全管理活动 及适用性声明(版本:A0,2018年02月1日发布 首次发证日期:2018年10月8日本次发证日期:2018年10月8日有效期至2021年1 在一个监督周期后,本证书必须与C签发的监督审核合格粗知书合井使用方可有效,查询证书有受肺w, cec.ctm IAF)CNAS 动-NE CNAS CO01-M signed by wang Kejia 质量i证面叫 北京·南四环西路188号9区100 http://www.cqc.com.cn Q0128052 2015年版 12.IS014001环境管理体系认证证书 EACC 认证证书 证书号:11419E40359R0S 兹证明 湖北东方网盾信息安全技术有限公司 统一社会信用代码:9-01089854 太道大量B重0楼g之 环境管理体系符合标准 GB/T24001-201601400:2015 ★ 环境管理体系适用范围 信息安全咨询服务(网络安全等级保护测评) 及其所涉及场所的相关环境管理活动 初次发证日期29年0月z3日 原认证 证书颁发日期19年01月z3日 证书有效期至22年01月2日 ★ 能发:郑 北京东方纵横认证中心有限公司 中固认可 足具GG) IAD CNAS CNAS C114-M 获证组织必定期接受监督审核并经审核合格此证书方继续有效本证书信息可在北京 东方级横认证中心限公司网站(www.eatsanmen)和家认证认可监管理委员会官方网 站( ww cnca euv n)上查淘,也可打描右下角的推码查 认证机构地址:北京市通州区中关材科技回区通州回全桥科技产业基地景盛南四街17号 楼一层11 合同编号 C/ES/RO01215-WH2 ACC 认证资格保持通知书 尊敬的湖北东方区盾信息安全技术有限公司 我中心于2019年10月12日对贵单位进行了■环境管理体系第 一次年度监督审核,经认证决定小组评定并报领导批准,同意保持贵 单位认证资格。 证书有效时间_209年01月23日至2022年01月22。 单位应在20D日一之前接受第二次纸息好 核,逾期不接受监督审核,贵单位的认证资格将被暂停。 有关认证证书和认证标志的信息和使用说明及其认证相关内, 请贵单位从EAC网站(hp/www.eacc.comcn/)下载查阅 核认 北京东横训中心到公司 年10月 合同编号: EACCAOCE/R0swH2 EACh 北新制证史心恩公 认证资格保持通知书 尊敬的湖北东方网盾信息安全技术有限公司 我中心于2019年10月12日对贵单位进行了■职业健康安全管 理体系第一次年度监督审核,经认证决定小组评定并报领导批准,同 意保持贵单位认证资格。 证书有效时间2019年01月23至2021年03月11日 贵单位应在2020年10月11日之前接受第二次监督审 核,逾期不接受监督审核,贵单位的认证资格将被暂停。 有关认证证书和认证标志的信息和使用说明及其认证相关内容 请贵单位从EAC网站(9wo下救查阅, ☆ 横以 北京东药绣横认中心有公司 09年10月 14.固定服务网点(房屋租赁合同) 编号:MTzx2016070 租赁服务协议 息安多 ★ 出租方:武汉市摩天之星加速器有限公司 承租方:湖北东方网盾信息安全技术有限公司 租赁服务协议 出租方:武汉市摩天之星加速器有限公司 (以下简称甲方) 法定代表人:周贞 地址:武汉市友谊大道99号 电话: 传真: 承租方:湖北东方网盾信息安全技术有限公司 (以下简称乙方) 法定代表人: 地址: 电话 传真: 本协议依据《中华人民共和国合同法》及《城市房屋租赁管理办法》和武汉 市人民政府有关规章规定并经甲、乙双方友好协商,遵循自愿、公平、诚实信用 的原则而制定,以供双方共同遵守 承租区域,用途及租赁物业交付 现甲方将拥有武汉市友谊大道99号武钢大厦使用权的武钢大座1 摸07、08宣共计租赁面积为23426平方米物业出租给起积该物匙 营范围只限乙方在签约时营业执照规定的经营范围内办公不得作它用 乙方应在本合同签订前向甲方提供其现有的营业执照复印件织机輪代码 证复印件、税务登记证复印件, 、租赁期限 本协议的租赁期限为三年,从2017年月20日至2020年8月 日止 三、租金、押金及付款方式 3.1租金 甲、乙双方商定出租物业月租金为87元/月·平方米,租赁面积为 23426平方米,月应付租金2038062元(人民币:贰万零叁佰掘抬亓陆角貳 分)。 程金递增:从租赁期第三年,即自2019年B月14日起,月租金在上 年度月租金的基础上每年递增B%直至合同租赁期限结束。 备注;上述租金是含税价,并包含物业管理费和公共能耗费。 32押金 321乙方向甲方支付两个月租金金额作为租赁物业押金,即*4076124 元(人民币:建万零佰陆拾聋亓貳角肆分),甲方应出具等额的收据给乙方。 32.2合同期满,如乙方在承租期内未违反本协议规定,且全额缴清租金、 滞纳金、违约金及其它应付费用,并将工商注册地址迁出租赁物业,则甲方于租 赁期终止日起30个工作日内将押金全额无息退还给乙方。 323除经甲方书面同意,在租赁期内,乙方不得要求将支付甲方的押金, 作为因乙方拖欠甲方租金、滞纳金等费用或因乙方责任造成他人损失赔偿损失方 的赔偿金的抵扣、冲抵或赔偿费用, 3.24若乙方提前解除协议或因乙方违约解除本协议时,所付押金不退 3.3公共能耗费 公共能耗费11元/月·平方米人民币,租赁面积为23426平方米,月应付公 共能耗费257686元(人民币:贰任伍佰柴拾陆元捌角陆分)。 3.4物业管理费 息安 物业管理费.元月·平方米人民币,租赁面积为2342千米 业管理费14056元(人民币:煮任躔佰零伍元伍角陆分 3.5室内自用电费 室内自用电费按独立电表每月实际计量由武钢物业管理中心代收 3.6装修免租期 361经甲乙双方协商,乙方享有25天装修免租期,即2017年2月 20日至2017年8月13日止。 3.62装修免租期内,乙方应缴纳物业管理费、公共能耗费、室内自用电费。 3.6.3自《房屋租赁协议》签定之日起,乙方按6元/月·平方米一次性向 甲方缴纳?5天的物业管理费,合计11713元(大写:煮任聋佰然抢聋亓叁 角) 64自《房屋租赁协议》签定之日起,乙方按_11元/月·平方米一次性向甲方 缴纳?5天的公共能耗费,合计:214738元(大写:贰仟壹佰肆拾亓 角捌分) 3.7租金付款方式 3.7.1租金支付方式为每季度支付一次首期乙方须支付三个月租金、两个 月押金及装修免租期的公共能耗费、物业管理费,共计:10522178元 (人民币:煮拾万零伍仟貳佰貳抢元慰角捌分),应于《房屋租赁协议》签 订之日起3个工作日内支付。其后每季度支付一次,乙方应在上季度租期满 的前了个工作日(法定节假日顺延)内,向甲方全额缴付下一季度的租金 及公共能耗费和物业管理费,甲方收到上述费用后按月开具合法的增值税发票给 乙方。乙方应按下列甲方指定的银行账户支付到期应付的租金 开户行:招商银行股份有限公司武汉市徐东支行 帐号名:武汉市摩天之星加速器有限公司 银行账号:127909084310902 3.7.2以汇款方式缴纳租金、公共能耗费、押金及物业管理费等过程中产生 的手续费,均由乙方承担。 373乙方若逾期不微纳租金,每逾期一日需按月租金的2%罚滞纳金(即按 实际拖欠租金的自然天数计算,直至向甲方全数付清其所应付的程金之日止)。 374如乙方逾期超过应付租金日7天,仍未支付所欠租金及滞纳金,甲方 除有权停止乙方使用并收回租赁物业外,乙方还须支付应付租金日至退回租姨物 业日止的租金并承担违约责任。 总息安8 375除本协议约定外,租赁有效期限内因市场变动、物价变动、经风险 等不可预料的因素引起的房屋楼内附属物租赁的贬值、升值,不影响房屋及楼内 附属物租赁费的支付及双方对协议所约定的其它权利义务。 四、房屋製修及维护 41本协议签订后,且乙方按约定按时足额向甲方缴纳租金,押金及相关费 用后,甲方协助乙方前往物业管理中心办理入住手续 4.2乙方对物业进行装修必须经甲方书面同意,并按要求提供物业所需装修 申请书、保证书及平面图、安装峻工图、国家有关部门批件,提交给物业管理中 心备案。 43乙方对租赁物业进行装修时所产生的一切费用由乙方自行承担,该房屋 交还时,乙方不得要求甲方给予装修补偿。 4.4乙方在办理入住手续或申请进行租赁物业装修时,应按物业管理中心要 求客户入住、装修的规定,完善审批备案手续,并须认真阅读与大厦装修有关的 技术要求,遵守大厦《装修手册》、《用户手册》的规定。 45乙方的装修方案未获得物业管理中心正式批准前,不得在租赁物业内进 行任何内部装修、设备安装和经营用品的安裝及摆放(如乙方需要存放装修材料 的,乙方须声明对装修材料的安全性负责,井得到甲方同意,方可存放)。 46乙方应确保其装修工程不会对租赁物业和大厦结构以及设备设施等造 成任何破坏,且不会影响其它用户正常使用大厦或正常使用单元房屋。如因乙方 委托的装修公司违反规定,乙方应赔偿由此所造成的全部损失 47若由于乙方的原因而对租赁物业的玻璃幕墙、建筑结构或中央空调系 统、消防系统等造成损坏的:或因乙方自行安装设备及管道、线路使用不当、维 修不善;或因装修产生各种污染而造成损失、索赔或法律诉讼等相关损失,均由 乙方负责和承担。 48租赁物业的内部装修及由乙方安装的各种设备由乙方自行维修保养,并 由乙方承担有关费用,若由于乙方非正常使用原因造成租赁物业内甲方权属的各 种设备设施发生损坏,甲方可以代为维修,但必须由乙方承担维修费用 4.9对于乙方租赁物业及其附属公共设施因自然属性或合理使用而导致的 损耗,乙方不承担责任及费用由于乙方原因应承担的公共设施设备和甲方权属 的设施设备维修费用,必须由乙方承担维修费用。 人说息 五、租赁物业交还 51在租赁期届满或提前解除协议时,乙方有权对其租赁物白行加装的 附加装置进行处置,但不得损坏与大楼原空调、消防系统有联的设备设施:否 则,甲方有权处置该附加装置,移走或拆除所发生的费用由乙方承担 5.2在粗赁期届满或提前解除协议时,乙方应搬走属于自己的物品,保证房 屋的清洁。否则,该物品的遗失、损坏的责任由乙方自行承担,且甲方有权自行 处理租赁物业内的留置物品及由保洁公司对该租赁物业进行保洁,处理留置物品 所发生的费用及房屋清洁费由乙方承担。 53在程赁期届满或提前解除协议退房时,经甲方同意,乙方可将租赁物业 内的任何内部装修、装饰或附属物移交甲方,甲方无须向乙方支付任何补偿 六、双方责任及保证条款 6.1甲方是出租物业的合法使用者,有权签署本协议。甲方保证出租物业的 合法使用并且有权转租该物业,乙方必须遵守物业管理中心制定的管理公约和维 护大厦运行的其它制度和规定。甲方有责任监督、检查、督促物业管理中心向乙 方提供良好的服务 62在租赁期内,甲方应监督物业管理中心为租赁物业提供正常使用的能源 及其它应具备功能服务,使公共设备、设施保持良好的运行状况。 63在承租期内,除本租赁协议所述乙方违约情况外(或不可抗拒事件的发 生),甲方不得无故收回租赁物业 64乙方不得在任何公共区域设置广告宜传物 65乙方注册公司,甲方应协助乙方提供注册公司必要的租用办公场所证明。 乙方应保证甲方所提供的证明不作它用,并承担因挪为它用的相关法律责任和由 此给甲方所造成的相关经济损失 66乙方租赁物业期间,必须严格遵守及遵从中华人民共和国的有关法律、 规章和各级政府的相关管理规定及大厦物业管理方面的相关规约制度依法经营, 管理承租场所,严格按照本协议的约定和营业执照所规定的经营范围经营。乙方 严禁利用租赁物业进行违反国家法律法规及不道德的行为:若乙方(或其雇员等 相关者)违反国家相关法律、法规或规定以及本协议约定而给甲方及第三方造成 损失,则乙方应承担全部损失的最终赔偿责任。 6.7乙方须依据本协议约定时限和方式及时支付租金、公共能耗费、物业管 理费和各项应缴纳费用。若乙方违约,甲方或其委托的物业管理中心有权在向乙 方发出最后书面通告7天后的情况下,停止承租场所电力、空调、水及其设娃自公 的服务或供应等,由此引起的全部损失和所有费用(包括重新接通启用费用均由 乙方承担 68乙方不得将租赁物业转租或部分转租给第三方,乙方擅自转租的转租 ★ 合同无效,甲方有权单方面终止租赁合同,对于乙方已激纳的租金、租货保饼金 均不予以退还,若给甲方造成损失的,乙方还应当赔偿甲方的损失 69乙方须遵守中国政府有关防火、卫生等方面的法律、法规及物业管理 心制定的相关管理规则,乙方不得在租赁物业或大厦的任何地方进行烹煮或燃烧 任何物品,也不得在租赁物业内存放任何具有放射性、易燃、易爆、有毒等危险 的物品,以及影响房屋使用安全的重型设备或物品。违者,甲方有权制止井责令 勿 整改,情节严重的,甲方有权单方面终止租赁合同,对于乙方已经缴纳的租金 租赁保证金均不予退还 610在承租期内,乙方发现该租赁物业内属甲方维护的附属设施有损坏或 故障时,应当及时通知甲方或物业管理中心进行修复。甲方或物业管理中心在约 定期限内如未及时修复,乙方可自行或委托修复,费用由甲方负担,并从下月租 金中直接扣除。若乙方已发现损坏或故障而未在合理期间未予通知甲方或物业管 理中心,造成涉及乙方损失或不能正常办公,其损失和责任甲方不予承担。 611乙方不得使用或允许在其租赁物业内开展或从事对大厦环境产生噪 声、气味等污染或引起反感的活动和行为:不得在使用租赁物业时对甲方或其它 租户利益构成损害或危险。 612除经甲方及物业管理中心同意,乙方不得在大厦公共区域和租赁物业 内大厦外立面显示、设置或展示的任何广告宣传、灯箱、招牌标记、装饰、旗帜、 海报或其他物件。甲方及物业管理中心有权拆除乙方违反本条款而设置或展示的 广告宣传、灯箱、招牌标记、装饰、旗帜、海报或其他物件,所发生的费用由乙 方承担。 613本协议其它条款中规定的义务、责任 七、协议续约、终止 71协议续约 711乙方应于租赁期届满之日将租赁物业交还甲方。乙方如有意续租,须 在本协议期满前_3个月向甲方提出书面商洽要求函,乙方享有对本协议约定的 租赁物业的优先续租权,在双方达成共识后,甲乙双方重新签订房屋租提这 712如乙方未在承租期终止日前3个月向甲方发出正式描面致中 可视为乙方不再续租,在此种情况下,甲方或其代表、授权人有权在事先通知乙 方的前提下,陪同有承租意向的第三方在进入租赁物业参看,且甲方你权在程赁 期满后立即将租货物业租赁给第三方,由此造成的相关损失由乙万百分承担 7.2协议解除、终止 721双方已履行完成本协议项下双方责任和义务,且协议到期自然终止 22因不可抗力致使本协议无法继续履行时,双方确认本协议可以终正 7.23甲乙双方协商一致达成共识,可以解除本协议 724甲方有下列情形之一的,乙方有权单方解除协议: )未按约定时间交付该房屋逾期达30日的。 2)交房时房屋不符合协议约定,严重影响乙方使用的。 7.2.5乙方有下列情形之一的,甲方有权单方解除协议,收回该租赁物业, 没收乙方的租赁保证金,租赁保证金不足以弥补甲方损失的,甲方有权另行向乙 91由于进行必要的或例行的建筑物维护保养而致公共设施停止使用的,甲 方对此不承担责任,前提是甲方必须提前24小时以书面形式通知乙方 92本协议项下的“不可抗力”系指协议双方不能合理控制、不可预见或即使 预见亦无法避免的事件。该事件妨碍、影响或延误任何一方根据协议履行其全部 或部分义务,包括但不限于政府行为、自然灾害、战争或任何其它类似事件。 9.3如发生“不可抗力”事件致使本协议约定的某条款不能执行,双方均应积 极采取补救措施,减少双方的损失,需免责一方应向另一方提供免责书面函(需 提供证明材料),在其证明得到证实后,可不计违约责任 94在承租期内,如因不可抗力或非甲方单方面可控制的原因,造成租赁物 业发生全部或部分损坏而不能使用,在上述损坏发生后的30日内,经双方协商 可以选择: 1)宣布由于上述损坏而终止本协议 2)修繕租赁物业确定修缮所需的时间。在修镨期间,乙方不需支付租金直至 重建或重修结束之日,修缮完毕,甲方书面通知乙方使用之日起,乙方开始支付 租金 95本协议的相关税费应依据中华人民共和国的法律、法规和武汉市政府的 有关规定由甲、乙双方各自支付 息 十、通知、变更 10与本协议有关的通知或要求均须采用书面形式发出,并由挂号或专人送 至对方最后书面通知的营业地点挂号寄出第7日或送达日(以警早准 视为文件已被送达 102甲方对乙方发出的通知可送至租赁物业。 103双方同意除本协议有约定以外,如再发生变史之内容,须经双为商同 意并达成书面协议后方可生效,任何口头通知或电话、传真件均不作为本协议变 更之依据。 十一、纠纷解决及适用法律 111凡因执行本协议所发生的,或与本协议有关的一切争议,应首先通过友 好协商加以解决,若协商不能达成共识,任何一方可向租赁物业所在地人民法院 提起诉讼 11.2在争议解决过程中,除有争议部分外,本协议其他条款和内容的效力、 履行及依法修订不受影响 〔以下无正文,为签字页 乙方: 甲方:武汉市摩天之星加速器有限公司 法定代表入星 法定知 法定委托人 台同专用章 法过长 月日 日期: 愚 15CNAS能力验证成绩为满意 15.1.2017年度CNAS能力验证成绩为满意 CNAS CNAS T0832能力验证计划结果证书 证书编于: IISTEC-P2017154 机构名称!湖北东方网盾信息安金技术有限公司 测评都准:GBT29200信息安全技求信息系統卖全等蜮护选 测评项:网絡安全、主机安全、庄用变全 参与时闯:2017年11月11日 现场人員:厚安李荣陈刚 评价结果:满意 息安 认可 实祧机构 奴机构:,望 信惠产业食思贵金制评史心 中国格评国掌认厅要翼会 15.2.2018年度CNAS能力验证成绩为满意 管发家区家 CNAS cNAS20220能力验证计划结果证书 证书鳊号: ITSTEC-PT2018121 机构名称:朝北东方网庸信息安全技术参限公安升 测评标准:GB/T2900信惠安全技术信息系统安全等保扩基本要求 测评项目:网络安全、主机安全、应用安全 参与时间:2018年10月21日 网络与主机安全测评人员:廖安、张锦文、缫建华 应用安全渗透测试人员:李荣、王智玮、廖安 评价结果:满意 这家认可 卖袖执构:人息安 组织机构: 信惠产业信息安全测评中心 中国合格评定国家认可委员会 15.3.2019年度CNAS能力验证成绩为满意 中国认可 cNAS畔 能力验证 ROFICIENCY TESTNG CNAS PTO076 IISTEC-PTP062019能力验证计划结果证书 证书編号: ITSTEC-P 机构名称:潮北东方网盾信嘉安全技术有限公司 测评标准:GB22392019信息安金技术网络金等保护基本要求 测评项目:安全通信网蜷、安金区城边界安金计算环境 参与时间:2019年11月3日 减8安 评价墙果:满究所 实礼机构: 华北计算故术城克斯计我测评小(忙惠产业信金测评中 能力验证专用身 17.中国网络安全审查技术与认证中心(CCRC)信息安全 应急处理服务资质 CCR C 信息安全服务资质认证证书 证书编号:ccRC-2018- ISV-ER-207 兹证明 湖北东方网盾信息安全技术有限公司 统一社会信用代码:914201067819898854 元的信息金血急理服务资质符合 e. ElL CCRC-ISV-CO1:2018《信息安全服务规范》 办公地址:湖北背武汉市友沉大道999号武钢大厦球107家 r 颁证目期:2018年11月5日 有效期华020 CCR C 中国认可 CNAS PRODUCT 魏吳 CNAS C066-P 中国网络安全审查技术与认证中心 中国·北京·朝外大街甲10号(100020) www.isccc.gov,cn证书通过此网站童询 18.中国网络安全审查技术与认证中心(CCRC)信息安全 安全运维服务资质 CCRC 信息安全服务资质认证证书 证书编号:CcRc-2020-svSM903 兹证明 湖北东方网盾信息安全技术有限公司 统一社会信用代码:914201067819898854 的信息系统安金置维服务资质符合 CCRC-ISV-c01:2018《信息安全服务规范》 三级服务资质要求。 后册地址:湖北省式议市武A区水果东路19形B米 3念 1办公地址:北宵武汉市友大道9式解00 颁证期:2020年2月28 4:297 CCRC 中国认可 CNASPRO CNAS CD66-P 魏吴 中国网络安全申查技术与认证中心 中国·北京,朝外大街甲10号(100020) www.isccc.gov.cn证书通过此网站查询 S004869 20.非联合体投标声明 湖北省人力资源和社会保障信息中心 我方在此声明,本次参加项目名称:信息网络安全运维服务项目为独立投标, 非联合体投标。 特此声明! 总安 供应商名称:湖北东方网盾信全援术有公包(盖单位章) 法定代表人或其委托代理人(爱 时间:20年1月2日命 合同双方 甲方:武汉中卫慧通科技有限公司(以下简称“甲方”) 乙方:湖北东方网盾信息安全技术有限公司(以下简称“乙方”) 根据《中华人民共和国合同法》,武汉中卫慧通科技有限公司(甲方) 聘请并委托湖北东方网盾信息安全技术有限公司(乙方),对“居保通” 披乡居民社保服务平台系统开展安全漏洞检测工作。经双方协商,签订本合 同,共同执行。 二、合作目的 甲乙双方本着平等互信原则,在遵守国家相关政策、法律、法规前提下, 经友好协商,甲方借助乙方信息安全专业检测技术力量,委托乙方开展上述 平台的安全漏洞检测工作,乙方将对甲方信息系统提供客观公正的安务检测 报告。 三、双方责任 ★ (一)甲方贵任 1.甲方委托乙方全权负责上述平台的安全漏洞检测工作,相关技术、安全人 员将全力协助乙方开展检测。 2.根据乙方的检测工作进程,甲方将安排专人同步跟进并监督乙方开展检测 工作,并对检测情况进行审核确认。 3.合同价格:甲方聘请和委托乙方对上述系统进行安全漏洞检测工作,甲方 向乙方支付_3万元(大写:人民币叁万元整)的服务费,乙方需提供增 81 通知对方,后由双方协商相应解决方案并善后。 十、其他 本合同的任何一方未能及时行使本合同项下的权利不应被视为放弃该权 利,也不影响该方在将来行使该权利 如果本合同中的任何条款无论因何种原因完全或部分无效或不具有执行 力,或违反任何现适用的法律,则该条款被视为无效。但本合同的其余条款 仍有效并且有约束力。 4 本合同对每一方的合作方、继承人、受让人均有约束力;本合同未尽事 宜,双方另行协商;本合同一式陆份,甲方执伍份,乙方执壹份,具有同等 法律效力。 、附件: (下无正文,为签名栏) 十二、双方签暑署 通那 甲方:武汉中卫鸞通科技有必司 授权代表(签字):∠(局用 日期:A)年b月l4 息安 息安 乙方:湖北东方网感字全把未限公司( 授权代表〔签字)做 日期:1076入用 、合同双方 甲方:湖北省人力资源和社会保障信息中心(以下简称“甲方”) 乙方:湖北东方网盾信息安全技术有限公司(以下简称“乙方”) 根据《中华人民共和国合同法》,湖北省人力资源和社会保障信息中心 甲方)聘请并委托湖北东方网盾信息安全技术有限公司(乙方),对现 有信息系统提供安全服务,服务内容包括新系统上线安全检测服务、安全巡 检服务、安全漏洞处置服务、制定网络安全应急预案、应急响应支持服务。 经双方协商,签订本合同,共同执行。 合作目的 甲乙双方本着平等互信原则,在遵守国家相关政策、法律、法规前提下, 经友好协商,甲方借助乙方信息安全专业技术力量,委托乙方开展上述信息 安全服务工作。乙方将对甲方信息系统提供客观公正的安全服务报告,为甲 方开展信息安全工作提供技术支持。 三、合作前提 白 甲方委托乙方全权负责上述信息安全服务工作并提供楨关费用和系统 资料以全力配合乙方进行信息安全服务工作:4方以科学规革、观公正 的原则,为甲方提供优质的信息安全服务,同时在服务过程中严格保护甲方 信息系统的正常运行,对系统的正常运行不产生负面影响。 力,或违反任何现适用的法律,则该条款被视为无效。但本合同的其余条款 仍有效并且有约束力。 本合同对每一方的合作方、继承人、受让人均有约東力:本合同尽事 宜,双方另行协商;本合同一式伍份,甲方执肆份,乙方执壹份,具有同等 法律效力。 十二、双方签暑 甲方:湖北省及源和社分保障信息中心(益章) 地址:武汉市喜区型号 投权代表(签转:华 日期:门年8月日 安 乙方:湖北东方网盾信惠安全技术限公司(盖章 地址:武汉市武昌区东路1号11 投权代表(签字) 日期:1218月2个 10 3.湖北省交通运输厅通信信息中心数据中心网络安全技术 服务2017年9月 湖北省交通运输厅通信信息中心数据中心 网络安全技术服务项目 合同书 息安 甲方: 湖北省交通运输厅通信信息中心 ☆ 乙方: 湖北东方网盾信息安全技术有限公司 签订时间: 二○一七年九月 签订地点: 湖北省武汉市 项目合同书 甲方:湖北省交通运输厅通信信息中心 乙方:湖北东方四重信息安全技术有限公司 根据《中华人民共和国合同法》,甲方委托乙方提供数据中心网络安 全技术服务工作,经双方友好协商,签订本合同,以共同执行。 合作目的 甲乙双方本着平等互信原则,在遵守国家相关政策、法律、法规前提 下,经友好协商,甲方委托乙方对数据中心网络提供网络安全技术服务 服务内容包括安全巡检服务、日志分析、安全检测服务。透测试服务 安全加固服务、安全信息通告服务、安全培训服条应意预案优化与演练、 安全检查技术服务等。 二、合作前提 甲方委托乙方全权负责上述网络安全技术服务工作,并提供相关费用 和资料以全力配合乙方工作;乙方将本着科学规范、客观公正为原则,为 甲方提供高效、优质的网络安全技术服务,并严格保证甲方信息系统的正 常运行 同等法律效力。 甲方:湖北省交通运输厅通信值息中心 地址:武汉市建设大道428号 授权代表(签字)x八 a饼 日期:97年7月8 乙方,湖北东方网盾修患安余找有限公司最寒安 地址:武汉市武昌区东一路17号 投权代表(签字): 专用 日期:年月日 4.优质服务系统软件安全测评项目技术服务2018年11月 优质服务系统 软件安全测评项目技术服务合同 合同编号(甲方): 全 合同编号(乙方): 甲方:湖北华中电力科技开发有限责任公司 乙方:湖北东方网盾信息安全技术有限公司 签订日期;2018年10月 签订地点:湖北武汉 此处的签订日期应与签署页中的最迟签订日期保持一致 技术服务合同 甲方:湖北华中电力科技开发有限责任公司 乙方:湖北东方网盾信息安全技术有限公司 鉴于本合同为甲方委托乙方就优质服务系统的安全测评进行的 专项技术服务,并支付相应的技术服务报酬。为明确各自的权利和义 务,双方经过平等协商,根据《中华人民共和国合同法》等有关法律 法规的规定,订立本合同。 1.技术服务项目概要 1,1技术服务的目标:完成优质服务系统软件安全测评。 1.2技术服务的内容:为优质服务系统提供安全测评技术服务、技 术文档及安全测评报告 2.乙方的责任和义务 信息系统软件安全测评服务 参照《GBT22239-2008信息安全技术信息系统安全等级保护基本 要求》、《GBT28482012信惠安全技术信惠系统岁全级保护 评要求》072094207倍息安全技术信安全丸险评估规 OWASP(Open Web Application Security Project.式We应用 程序安全项目》《 CSTCQBXAJBO14《信息系统安全刚评规范120)每标 准规范,对湖北华中电力科技开发有限责任公司本次委托的需要进行 测评的信息系统开展软件安全测评工作,并在湖北华中龟力科技开发 有限责任公司完善信息系统安全防护措施的过程中,提供咨询业务 最后出具符合格式要求的安全测评报告。 3.甲方的责任和义务 3.1提供技术资料: 此次应于合同名称一致 5.水资源监控平台2019年度系统测评及安全服务2019年 6月 长江委网络与信息中心业务委托合同 合同名称:水资源监控平台2019年度系统测评及安全服务 委托方(甲方):长江水利委员会网络与信息中心一 受托方(乙方):湖北东方网盾信息安全技术有公司一 息安 签订时间: 2019年6且 签订地点: 武汉 根据《中华人民共和国合同法》,甲、乙双方在平等、自愿、互 利的基础上,达成以下协议,并由双方共同恪守 第一条甲方委托乙方承担长江流域水资源监控信息平台2019 年度系统测评及安全服务事项 第二条甲方委托事项的主要内容 1、实施地点: 湖北省武汉市解放大道1863号,长江水利委员会机关大院,行 政楼3楼中心机房 2、主要内容 对长江流域水资源监控信息平台及其相关信息系统开展2019年 度等级测评服务工作和安全服务,服务内容如下表所示; 序号 系统名称 级别 备注 1长江流域水资源监控信息平台等级测评|三級 水资源监控信息平台被集成 2长江委防汛抗旱指挥系统等级测评 三级 应用 长江流城水利综合管理信服务平台等三 与水资游监控信息平台存在 级测评 数据共 安全服务 桦三机厉内秀斯设备 具体服务内容与要求参见《附件一系统测评胶务要求》 第三条建设工期 1、本合同自双方法定代表人或其委托代理人签字之日起生效。 2、项目建设工期为_6个日历月,自合同生效之日起计算。工期 在正常情况下均连续计算,中间不得中断;如遇合同第十一条规定的 (本页无正文) 签署页 甲方 长江水利委员会网经与信惠中心 (盖章) 法定代表人/委托代理人: (签名) +b月 乙方: 湖北东方网盾信息全技术有眼公司(盖章) 法定代表人/委托代理人: (签名 年 六、拟投入技术服务团队(应急保障团队) 览表 执业或职业资格证明 职务姓名 职称 「证书名称级别证号 专业 高级测评师/ 项目负责人张琪 认证书南级测评高级10161电子工程 中级测评师 / CISSP/CISP/程序员 19020024200 项目经理李荣高级信息系统项目管中级测评师中级 网络工程 130314 理师/中级信息安全工 程师/网络规划设计师 服务人员袁文涛中级测评师/安全运维 中级测评师中级 902323421计算机科学 认证证书 140314 与技术 服务人员曾鹏 初级测评师 初级测评师初级19052164255计算机科学 310114 与技术 服务人员王凯 初级测评师 初级测评师初级19052074249计算机科学 560114 与技术 服务人员龚建华 初级测评师 初级测评师初级180399427计算机科学 100112 与技术 供应商法定代表人或授权代表签字 钱众 供应商名称(签章):湖北东方网盾信息安全技术有限公司 间:2020年率_24日 网络安全等级测评师证书 张琪 身份证号:22019771030011 持有人参加网络安全等级测评师培训 证书編号 9o6184204110116 1及考核,成绩合格,特颁发此证书 证书等级: 证书询网址ehttp://vaw,djbh.net 发证日期:2019年9月15日 批准人 公》88882288888888A Cr CISAW 信息安全保障人员认证证书 Information Security Assurance worker Certification Certificate 兹证明 张琪 This is to cer tify that F-lrZHANGQI 认证考试成绩合格,并通过了认证评价,符合《信息安全保障 人员认证准则》的要求,特颁此证 has passed the ex amination certification assessment. F certificat stn Cri terla for tnformatirem sets ty le Assurance Worker and is hereby award 下认证方肉 Certification field:o 证书编号/celo.xowo下 序列号/ serial No 发证日期/ Date of Issue:2018年11月14日 有效期/ Term of volidity:201年1月日 癞胃热足 通过 wwwsccc.gov.cn扫描二维码验证本证书的真实性、有效燧, 本证书仅授放电子证书 96 国国召国国国召国召召国召怪召召 lille 目排 鞋鞋鞋鞋1里 冒目下图图 o lo ooo d||||o 图图圈|P 阳阳阳国阳 图图 97 注册信息安全工程师 CERTIFIED INFORMATION SECURITY ENGINEER 证书编号: CNITSEC2018CsE00n 信息安全测评中心 建证明 注册信息安全专业人员(c|sP 李荣 Certified Infarmation Security Professlonal 证件号 经中国信息安全测评中心的考试和审定,符 《注册信息安全专业人员资质评估准则》 for certification and is hereby awarded this professional designation. 的要求,获准注册 信息安全工程师(c|s资质 2018年1月8日 有效期:2018年1月8日至2021年1月7日 米圈 一 计算机技术与软件专业技术资格 本证书由中华人民共和国人力資源 和社会保障部、工业和信息化部批准颁 姓名 李荣 发,表明持证人通过国家统一组织的考 证件号码:421126198010280013 试,取得计算机技术与软件专业技术资 性别:男 出生年月 1980年10月 级别: 高级 力资 国工 专业:信息系统项目管理师 准日期:201年05月20日 管理号:17101420091 人民共 计算机技术款悴专业技术资格 alification ofC 本证书由中华人民共和国人力資源 和社会保障部、工业和信息化部批准颁 姓名 李蒙 发,表明持证人通过国家统一组织的考 证件号码:421126198010280013 试,取得计算机技术与软件专业技术資 性别;男 格 出生年月:1980年10月 级别: 中级」 人力资 回工 专业:怙息受全工程师 批准日期:2018年05月26日 管理号:20181424200021 多 安 人民 人力 部工 姓名险种型鱼 缴类型效方 刻入然金舰贾迟位号早位 2226湖北东方网盾信息安全技术有裂公 421121010201李來工伤2000420200月核定下月台帐1000 x北 方网盾信息安全技 [220620200L月室 4211261901028013李太医[20200520205月定下月台帐7 226劃北水方判盾伯息玄全技术们裂 2112198010280013裳生育2020020200月线下月血能1000 0232湖太方网信息安全技术有限公 421190111基本养料20042000月植定下月台蝶[1 0023226L影北东方阿盾信息安全技术有限公可 2119501028001基本2020052020 10Q32北东力盾信安全技术有公可 1c222北东方网盾信息安全技术有限公司 2020051202005月定下月台1000 022北东方网质皇安全技术有界公可 421121901001李款失数x00120200月下月台100 1023226L洗北东方盾信安含技术有公司 42112619010280013李大医疗[202005202005D携定下月台 1002326北东方盾信变全技术有限公司 326湖北东方阿盾信鸟交全技心在限公的 10231湖北东方息交全技术有公 42112198010280013李基本养名220020200聊馍定下月台帐[10080 4212619801078003李大额医疗20020204D下月台 102226湖北东力网盾信鸟安会技术公司 13李失业[220042024L几核 0000 2329北东力鬥盾信息玄全技 技术有限公司 提北东方网作安全技术有限公司 1980102001李基本医疗[2200420204圆月下月"10080 122湖北水力网信息卖全技水有公的 6Q1028013李照医疗20200320703阻 IEA 21131901028013李基本养2203129200具台能[1000 业20200220几泉国几帐[10 102322湖北东方网质信息安全技术有限公司 42161010141李燕本民疗2020010200定下月台蝶10 326湖北表方网雁信息安全技术有展公叫 21196010250013荣 220032020月正月红帐[100 106北方网质信息安全技术有限公司 21126198010280013李荣 2200220200D月下月台100 102326北东方质信息安全挂术有裂公 4211619010201李失业202001120202月下月代帐100 已1023223北东方阿盾信真安含技术有限公司 421261901280013李基本养【2000120200几月台■1000 022留湖北东方质信息安全技水有限公司 4211219010201半医202002209定月 己■00321北方网信息会技术真公团 基本民疗20200220200月定下月全1000 325游北东力后信息合技术有限公 0200220200L月拽 26北东方阿雁熙安全技术有熙公司 42116198010280013 322北东方网盾信息安全技术有限公司 02001202001几下月台帐100 70己费国1003226_北东方阵信息安全技术们限公团 北寡力网盾值息安全技术有限公司 13]李整生育2020011202001阻定下几帐1000 4211219010280013李大医广202001202001阻定下月帐 421126198010280013李荣基本养判202001202001月定下月台帐1002400 101 K< DC 网络安全等级测评师证书 持有人参加络安全等级测评师培训 公 证书编号: 证书意询网址 测 金的 查技 信息安全保障人员认证证书 Information Security Assurance Worker Certification certificate 效证明袁文涛 This is to certify that UAN WENTAO F 认证考试成绩合格,并通过了认证评价,符合《值息安全保障 人员认证准则》的要求,待颁此证,乐 需霜H Certification Criter ia for information Security As level in op peration management field. c 认证方内/ Certification field:安 OM/PL 证书编号/ Certificate No.:201 asAWOM1787 品期m 序列号 y:2021年 F1月18日 通过www.isccc.gov.cn或扫描二维码验证本证书的真实性、有效性, 本证书仅激电书 102 s2 网络安全等级测评师证书 身份证号: 421125199409134956 持有人参加网络安全等级测评师培训 证书编号: 9052074249560114 及考核,成绩合格,特颁发此证书。 证书等级 初级 安会 村息安 证书查询网址:http://www.djhh.net 测联盟批准人: 发证日期:2019年9月15日 金 烈型邀华几f账年月应热型撒费方 缴费金入 24藏北养力测盾你全有限公以 公民身份埏母阻 照北东方判盾信剧索全技术有照公司 3n核 意」 活值安全技术有限公叫 421519918本222人几b帐40 20200肌技皇 2已上水力安全执本红众 211519401349561凯生直 1002北东方盾信易安全技术凰会 已整103北力息安全技术名限公 t东方料盾信影女全技术有公叫 全技术有公可 023226北东方盾热息安全技术有限公团 网盾信息安全技术有限公 人2类力照是技公组 盾伯息全技术有 质值女全技术有限公呵 02004 网盾信息支全技 12020月携度 全技术有照公可 月整5 124北东方变全技术有公司 42112519941145剂养2020031[2020拨影下月白 202003 2020 已1002221影北东方盾信息安全技术有限公 老北态力位金技直 息安全技术有限公 421 t方再质影女全技本有公司 制北东力网值影安全技术在 0913495El 2020021202002月核定下月台剪 [20201120201 医x120294魏/∞4 122北系力质信安全技术有公 方因质息安全技术有公司 信玄找术有限公 基本图疗[202001 120200L肌核度 1023239北方质信剧交会术有公司 42151919基春养20010月下几c∞g 网络安全等级测评师证书 龚建华 身份证号 持有人参加网络安全等级测评师培训 12112619920418471 公公公公公公公公 证书编号: 18039924247100112 及考核,成绩合格,特颁发此证书。 证书等级 初级(技术) 不安全 证书查询网址:http://www.djbh.net 村息 测评联批准人: 发证日期:2018年7月16日 公2>>>222》》》》》8N 含挂素在 农全挂术有製 1241261992040710比垫「基2】02线 藏北力是 工作启动 测评准备阶段 信息收集与分析 工具和表单准备 测评对象确定 测评指标确定 测评内容确定 方案编制阶段 工具测试方法确定 测评指导书开发 测评方案编制 现场测评准备 沟通与洽 现场测评阶段 现场测评和结果记录 结果确认和资料归还 单项测评结果判定 单元测评结果判定 报告编制阶段 整体测评 系统安全保障评估 安全问题风险分析 等级测评结论形成 测评报告编制 1.3服务承诺 1.3.1服务承诺 湖北省人力资源和社会保障信息中心: 测评完成后,为采购方提供售后服务,服务内容包括: 1、安全咨询服务:协助用户开展信息化项目的安全规划,提供安全相关的 咨询服务 2、投标总报价是交钥匙工程(包括办理相关手续费用、设备运输、安装、 调试、割接、培训、验收、服务等费用等全部内容)的最终优惠总价。在合同实 施时,湖北省人力资源和社会保障信息中心将不予支付我方没有列入的项目费用, 并认为此项目的费用已包括在总报价中,湖北省人力资源和社会保障信息中心提 出的设计变更除外 3、我方将按国家有关财税规定开具发票; 4、我方未借用资质,如发现借用或假冒资质投标的,湖北省人力资源和社 会保障信息中心有权随时取消我方中标资格或终止合同,并按照有关法律法规规 定处理 5、如我方发生兼并、重组等,由新组建的公司按投标文件承担相应售后服 务 6、我公司具备相应的信息安全服务能力,技术需成体系,具备相关工作的 管理经验; 7、我公司省内具有固定的服务网点、技术服务团队及应急保障团队。其中 本地应急服务人员为6人,且已提供有效证明材料,详见响应文件第六章拟投入 技术服务团队(应急保障团队)一览表、响应文件第四章13固定服务网点(房 屋租赁合同)。 供应商法定代表人或委托代理人片 供应商名称(盖章):湖北东方网盾信息安金技术有限公司 时 间:20年月21 141 7)真实环境下漏洞修复。 8)验证真实环境下漏洞修复结果。 1.5.3风险规避措施 1)为防止在修复过程中出现的异常状况,所有被修复系统均应在修复操作开始 前进行完整的数据备份。 2)安全修复时间应尽量选择业务可中止的时段 3)修复过程中,涉及修改文件等内容时,将备份源文件在同级目录中,以便回 退操作, 4)安全修复完成后,需重启主机进行,因此需要业务所有方提前申请业务停机 时间并进行相应的人员安排。 5)在修复完成后,如果出现被修复系统无法正常工作,应立即恢复所做各项配 置变更,待业务应用正常运行后,再行协商后续修复工作的进行方式。 1.5.4服务承诺 我方承诺,如中标后: 我方参照网络安全等级保护等技术标准对服务期内湖北省人力资源和社会 保障信息中心新上线的信息系统进行安全功能、安全漏洞、部署环境等检测,检 测完成后协助湖北省人力资源和社会保障信息中心进行安全整改,并出具检测报 告 服务频率:不定期,根据服务期内湖北省人力资源和社会保障信息中心新上 线的信息系统确定服务频率。 供应商名称盖章]:湖北东方网盾信慰安全技木有眼公司 供应商授权代表签字:4 日期:2020年7月24日 1.8.3服务承诺 我方承诺,如中标后: 我方参照网络安全等级保护2.0技术标准,协助湖北省人力资源和社会保障 信息中心对安全管理体系进行调整和优化,并出具报告形成新的网络安全管制制 度体系。 服务频率:1次/年。 供应商名称[盖章]:湖北东方网盾信息安余技术有限公司 供应商授权代表签字: k 日期:2020年7月24日 153