广州市轻工技师学院采用定点竞价方式实施本次采购，现邀请合格的供应商参与竞价。
一、项目基本信息
（一）项目名称：广州市轻工技师学院信息技术服务（广州集采）服务采购
（二）项目编号：DDJJ-2022-370705
（三）预算金额：180,000.00
（四）采购需求：

编号	服务描述	需求描述	数量	计量单位
1	服务内容：一、项目需求 （一）项目背景 根据信息化项目建设和验收的相关要求，项目上线前需组织安全评估机构对信息化项目进行安全评估，及时发现工程项目中存在的漏洞并进行整改，提高项目建设质量，规范项目验收流程，从而达到加强信息化项目管理的目的。项目建设单位在完成项目合同所有工程并达到评估要求后，应委托具有相关资质的安全评估机构对项目实施安全评估并出具相应的报告，评估结果作为信息工程验收的依据。 （二）评估依据 《信息安全技术网络安全等级保护基本要求》（GBT22239-2019） 《信息安全技术网络安全等级保护实施指南》（GB/T25058-2019） 《信息安全技术 网络安全风险评估规范》（GB/T 20984-2007） 《信息安全技术信息安全风险评估实施指南》（GB/T 31509-2015） （三）评估对象 表一 广州市轻工高级技工学校2021年信息化建设项目情况表 序号 项目名称 主要建设内容 1 南校区监控更新改造及北校区监控扩容项目 南校区视频监控系统升级改造，新建一套具有400万全高清监控系统，前端监控点共有144个，包括整个南校区的监控系统设备更换、监控系统线路更换改造、门卫室监控拼接屏建设。 北校区监控扩容包括北校区人脸抓拍、视频模块化处理、轨迹追踪系统增加完善、全景摄像机的增加，完善人脸识别子系统功能，在学校宿舍楼入口、饭堂入口、体育场主要活动场所等区域增加12台具有人脸识别及模块化处理摄像机。 2 南校区无线网络改造及网络安全相关设备采购项目 学校计划采购使用最新WiFi6技术的无线ap，安装在课室提供给学生使用，根据参数设计，WiFi6技术将允许ap同时与多个设备通信，符合课室学生高密度使用需求，同时能够提供的带宽也得到极大的提升，支持的传输带宽可达5.6Gbps。 学校现有的网络交换设备已经超过了40台，路由设备4台，安全设备4台，可以通过堡垒机进行网络设备的管理。通过堡垒机，将网络交换设备、路由设备以及安全设备与管理员进行隔离，让管理员通过堡垒机对设备进行操作。学校信息化应用发展迅速，北校区核心交换机板卡已经满载，扩容万兆板卡及配套的万兆sfp模块是承载现有与未来应用的基础。 3 智慧校园软件平台二期更新建设项目 实习生管理系统更新改造 人事考勤管理系统更新改造 综合数据服务平台是我校2019年采购的业务平台，该平台将我校现有的业务系统用户身份进行了一次大梳理，目前，我校新项目组织架构信息、基础数据支撑以及移动端应用，都是基于综合数据服务平台进行数据对接。综合数据服务平台承载着学校组织架构信息、教职工信息、临聘教师、学生信息的统一管理和维护，通过提供安全的服务接口，为学校新业务系统，提供统一数据支撑。 1.服务内容 1.1等保测评服务： 该项目实施需要投标人通过调研、分析、评估后，按照网络安全法和等级保护2.0要求对我校实习小匠（实习生管理系统）（二级）、人事考勤管理系统（人力资源管理系统）（二级）两套系统的定级备案、差距分析、整改加固、等保测评各流程全覆盖服务，对两套系统存在问题提出整改建议，并完成整改加固，提交系统的最终测评报告并协助我校到广州市公安局对本次定级的信息系统进行备案，并通过二级等保测评，取得回执。 序号 安全服务内容 服务要求 1 等保测评服务 定级：协助客户确定系统或者子系统的安全等级，准备定级报告（三级协调组织专家评审）。 备案：辅导客户准备备案材料和备案，引导客户至到当地公安网监递交备案。 整改建设：帮助客户进行等保差距分析，给出整改建议，提供符合等保相关要求的安全产品和服务。等保测评：提供云平台相关通过等保的证明材料，协调等保测评机构对系统等级符合性状况进行测评，并出具测评报告。 监督检查：引导客户接受公安网监定期的检查，开展每年的定期测评。 完成智慧校园软件平台二期更新建设项目系统的等保2.0测评服务 2 等保整改服务 依据等级保护基本要求，对客户的系统现状进行评估，分析与等级保护基本要求之间的差距，通过对甲方信息系统的进行的差距分析，提出具有针对性的安全整改建议并协助用户完成技术要求整改以及完善安全管理制度及流程，包括管理制度体系建设、人员管理制度建设、系统建设制度、系统运维制度 1.1.1等保2.0测评整改服务对象 序号 系统名称 系统安全等级 1 实习小匠（实习生管理系统） 二级 2 人事考勤管理系统（人力资源管理系统） 二级 1.1.2等保测评内容： 序号 安全层面 评估项 1 安全物理环境 物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护 2 安全通信网络 网络架构、通信传输、可信验证 3 安全区域边界 边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证 4 安全计算环境 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护 5 安全管理中心 系统管理、审计管理 6 安全管理制度 安全策略、管理制度、制定和发布、评审和修订 7 安全管理制度 岗位设置、人员配备、授权和审批,沟通和合作、审核和检查 8 安全管理人员 人员录用、人员离岗、安全意识教育和培训,外部人员访问管理 9 安全建设管理 定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择 10 安全运维管理 环境管理、资产管理、介质管理、设备维护、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理 1.1.3等级保护2.0相关标准 本项目按照等级保护2.0相关标准的要求： 第一步：测评方协助采购人完成系统定级备案工作； 第二步：测评方对采购人的信息系统进行测试评估、分析差距、输出差距测评报告和安全整改建议； 第三步：采购人根据差距测评报告与安全整改建议实施安全整改；测评方需协助我方按照等级保护相关标准完善安全管理制度； 第四步：测评方再次对采购人的信息系统进行测试评估、输出2.0验收测评报告，并协助用户方通过公安机关的备案与检查。 为此，测评方专业测评师需要通过规范的等级保护测试评估，对采购人信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。 1.1.4 等级保护测评服务需求 1. 等保测评服务目标 等级保护工作的目的是建立健全信息安全等级保护机制，对已有已建信息系统进行定级备案，作安全状况测试，找出差距并进行安全整改与验收，使信息系统信息安全在技术和管理上达到等级保护的要求，进一步提升信息安全工作水平。本项目将达到如下目标： （1）完成信息系统安全等级保护定级备案工作：编制信息系统安全等级保护定级报告及备案资料，并取得国家信息安全等级保护主管部门出具的信息系统等级保护备案证明； （2）网络安全等级测评工作：第一次测评后，根据系统现状与等级测评要求出具《整改问题建议清单》，第二次测评后，提交符合国家信息安全等级保护主管部门要求的信息系统等级测评报告，并完成等级测评报告到相关网络安全主管单位的备案。 2. 定级备案需求 根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后，到当地公安机关网监部门办理备案手续。  信息系统定级原则 信息系统作为保护对象，《管理办法》中将信息系统分为五级，分别为： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成 严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。  信息系统业务安全性分析 通过对信息系统所承载业务及业务流程的分析，分析信息系统内信息资产和信息系统所提供服务的重要性，协助用户判断信息系统中业务信息和所提供的服务机密性、完整性或可用性等安全属性遭到破坏后，对国家安全利益、经济建设、公共利益或单位利益所造成的影响程度。为子系统划分和信息系统定级打下扎实基础。  系统划分 对于承载多项业务的用户信息系统，深入分析各项业务性质、特点及信息系统的实际情况基础上，对信息系统按业务子系统进行合理划分。  系统辅助定级 依据《信息系统安全保护等级定级指南》所提出的4个定级要素，灵活运用指南中所提出的确定信息系统安全保护等级的步骤和方法，在信息系统业务安全性分析的基础上，提出等级建议，协助进行系统定级。  协助学校完成等级备案 根据公安部等级保护相关备案要求，协助学校完成等级保护备案相关工作，直至获得信息系统安全等级保护备案证明。 3. 安全等级测评内容需求 （1）安全物理环境测评需求 安全物理环境测评中，测评人员将以文档查阅与分析和现场观测等检查方法为主，访谈为辅来获取测评证据（如机房的温湿度情况），用于评测机房的安全保护能力。 安全物理环境测评涉及的测评对象主要为机房和相关的安全文档。 安全物理环境测评实施过程涉及10个方面的安全保护能力。 （2）安全通信网络测评 安全通信网络测评中，测评人员将以配置核查和文档查阅为主，访谈和分析为辅来获取证据（如相关措施的部署和配置情况），用于测评信息系统的网络安全保护。 安全通信网络测评涉及的测评对象主要为网络设备和安全。 安全通信网络测评实施过程涉及3个方面的安全保护能力。 （3）安全区域边界测评 安全区域边界测评主要涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证6个方面的安全保护能力。 （4）安全计算环境测评 安全计算环境测评主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意 代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11个方面的安全保护能力。 （5）安全管理中心测评 安全管理中心测评主要涉及系统管理、审计管理、安全管理、集中管控4个方面的安全保护能力。 （6）安全管理制度测评 安全管理制度测评主要涉及安全策略、管理制度、制定和发布、评审和修订4个方面的安全保护能力。 （7）安全管理机构测评 安全管理制度测评主要涉及岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的安全保护能力。 （8）安全管理人员测评 安全管理人员测评主要涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的安全保护能力。 （9）安全建设管理测评 安全建设管理测评主要涉及定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10个方面的安全保护能力。 （10）安全运维管理测评 安全管理人员测评主要涉及环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的安全保护能力。 1.2安全测评服务： 1.2.1 安全测评服务内容： 序号 安全层面 评估项 1 网络安全 结构安全、访问控制、安全审计、边界完整性、入侵防范、网络设备防护 2 主机安全 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制 3 应用安全 身份鉴别、访问控制、安全审计、通信完整性、通信保密性、资源控制 4 数据安全 数据完整性、数据保密性、备份和恢复 5 系统安全 漏洞扫描、渗透测试 6 安全管理制度 管理制度、制定和发布、评审和修订 7 安全管理机构 岗位设置、人员配置、授权和审批、沟通和合作、审核和检查 8 人员安全管理 人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理 9 系统建设管理 安全方案设计、产品采购和使用、自行软件开发、外部软件开发、工程实施、系统交付、安全服务商选择 10 系统运维管理 环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急管理 1.3 等保整改服务 序号 服务项目 服务内容 1 等保整改服务 依据等级保护基本要求，对客户的系统现状进行评估，分析与等级保护基本要求之间的差距，通过对甲方信息系统的进行的差距分析，提出具有针对性的安全整改建议并协助用户完成技术要求整改以及完善安全管理制度及流程，包括管理制度体系建设、人员管理制度建设、系统建设制度、系统运维制度。 2.评估工具要求 （1）评估工作所需的评估工具需由成交人提供。 （2）评估工具严格遵循可控性原则。评估过程中所使用的评估工具需具有正版证明，成交人需要使用2 种以上脆弱性扫描工具，脆弱性扫描工具需要符合上述要求。 （3）评估所使用的渗透测试工具应支持智能渗透测试和手工渗透测试，漏洞利用模块超过1300 个，总模块数量超过1900 个，能够支持渗透测试报告自动生成、自动网络发现、能够进行漏洞自动验证、脚本重放等功能。 （4）评估所使用的漏洞扫描工具的漏洞库数量大于4 万，检查项至少为12 万个，漏洞分为至少超过160 个，同时扫描引擎数量无限制，能够支持操作系统、数据库、中间件、浏览器、路由器、交换机等，同时能够兼容渗透测试工具。 （5）采购人按照项目实施的内容，提供部分评估工作场所、网络、电力等方面的便利。 3.交付成果要求 项目交付成果清单包括但不限于以下： （1）《信息系统安全评估报告》（每个被测信息系统一份） （2）《信息系统安全评估整改建议》（每个被测网络系统一份） （3）《信息安全技术网络安全等级保护测评报告》（每个被测信息系统一份） （4）《信息安全技术网络安全等级保护测评整改建议》（每个被测网络系统一份） 备注：每一个被测网络或信息系统形成安全整改建议书和安全评估报告，其中安全整改建议书应包括安全问题清单及整改建议。安全评估报告的内容应包括评估依据、评估过程、评估内容、评估结果及评估结论。 二、服务要求 1.服务期 合同生效且接到采购单位通知之日起10个工作日完成本项目的所有应用系统的现场评估服务并出具安全评估报告。 2.响应时间要求 （1）采购单位向成交人正式提出评估需求后1 个工作日内，成交人应将系统调研表发给采购单位，了解系统基本情况等。 （2）采购单位反馈调研信息3 个工作日内，成交人应安排系统的初次评估任务，并在初次评估完成后3 个工作日内给出整改建议。 （3）采购单位依据整改建议完成相应的整改并正式提出回归评估后2 个工作日内，成交人应安排系统的回归评估。每个系统回归评估原则上进行一次，最多不超过两次。回归评估两次仍存在高风险项的，成交人可出具结果为不通过的评估报告。 3.组织实施要求 1).成交人应安排专职项目经理负责本次项目的实施。 2).成交人应保证项目团队成员的稳定，以保证服务的质量和连贯性。 4.成交人资质及安排要求 1). 本项目投标人企业资质 成交人须提供未被列入“信用中国”网站中“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”的记录名单； 成交人须提供同类型测评案例不少于10个； 成交人须具备: 信息安全风险评估服务资质； 具有信息安全管理体系认证证书； 具有信息技术服务管理体系认证证书； 具有质量管理体系认证证书； 具有计算机信息系统安全服务等级证； 具有广东省电子政务服务能力等级证； 2). 本项目主要技术人员资质 拟投入本项目的安全评估技术服务人员不少于5人，需具有信息安全服务工作经验，参加过信息安全评估项目并取得信息安全方面资质证书，提供人员管理及配备方案，并确保人员的稳定。如更换技术服务人员，须由采购人同意并签字确认。 本项目项目经理的资质：应同时具有CISSP证书、PMP证书、CompTIA Security+证书、网络工程师证书； 本项目技术服务人员资质：具有网络工程师证书、 具有信息安全保障人员认证证书、具有Cisp 证书； 5.保密要求 成交人须对本项目实施中所获得任何资料和信息严格保密，并与采购人签订保密责任书。成交人及其工作人员对安全评估项目的资料应尽到管理人的保密义务，保密条款包括但不限于以下： （1）严格遵守国家及地方有关保密规定，严格保守项目涉及的技术秘密、商业秘密、工作机密。 （2）严格限制接触保密信息的范围，约束接触项目保密信息的员工遵守保密义务并签订保密协议。 （3）评估过程中获取的项目资料仅作为本项目服务使用，不得挪作它用。 （4）在对外技术交流中，不得泄露和发表涉及项目中的保密信息。 （5）未经采购人或承建单位书面同意，不得擅自对外(包括成交人的上下级单位)复制、传播、转让采购人或承建单位提供的资料、数据。 （6）项目完结后，成交人必须严格按照档案管理有关规定对项目材料建宗归档，不得私自作项目任何资料、数据保留和备份，更不得将资料、数据泄漏给第三方。 （7）成交人及其工作人员违反保密条款造成项目资料、数据泄露，成交人须负全部责任、承担由此造成的所有损失，采购人可依据有关规定追究成交人的责任。 6.验收要求 （1）根据本项目工作内容与特点，本项目验收可直接进行终验。验收由成交人提出验收申请，准备验收材料，采购人在收到成交人验收申请后5 个工作日内答复成交人并组织验收。 （2）验收时间由采购人和成交人共同协商确定。 （3）所有系统评估服务成果须满足采购需求对交付成果的要求。 7.售后服务要求 成交人提供安全服务专家团队值守评估服务，提供7×24小时技术热线支持，专职服务人员提供即时技术问题解答；采购人在重大活动及特殊安保期前需临时安全检查的、出现重要安全预警需排查的，成交人应安排人员配合。 需求详细说明:查看附件	1、广州市轻工高级技工学校2021年信息化建设项目安全测评；2、实习小匠（实习生管理系统）、人事考勤管理系统（人力资源管理系统）信息安全技术网络安全等级保护测评；3、实习小匠（实习生管理系统）、人事考勤管理系统（人力资源管理系统）网络安全等级保护整改服务	1	项

商务需求

编号	需求内容
1	1). 本项目投标人企业资质 成交人须提供未被列入“信用中国”网站中“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”的记录名单； 成交人须提供同类型测评案例不少于10个； 成交人须具备: 信息安全风险评估服务资质； 具有信息安全管理体系认证证书； 具有信息技术服务管理体系认证证书； 具有质量管理体系认证证书； 具有计算机信息系统安全服务等级证； 具有广东省电子政务服务能力等级证； 2). 本项目主要技术人员资质 拟投入本项目的安全评估技术服务人员不少于5人，见需求附件

（五）竞价公告时间：2022-03-07 12:16:39 ~ 2022-03-11 00:00:00
（六）供应商报价时间：2022-03-11 09:00～16:00
二、供应商报价须知
（一）本项目的供应商，采购人选择的有3家，随机抽取的有3家。
（二）供应商应完整、真实、准确的填写采购需求中规定的所有内容。供应商没有对采购需求在各方面都作出实质性响应是供应商的风险，有可能导致其报价被认定为无效报价。
（三）如果因为供应商报价时填报的内容不详，或没有提供采购需求中所要求的全部资料及数据，由此造成的后果，其责任由供应商承担。
（四）供应商应认真核对报价信息，确保符合采购需求，并对其真实性负责。若与实际不符，一经查实，将视为弄虚作假，当次报价无效，并按政府采购相关规定给予处理。
三、定点竞价规则
（一）报价规则
（1）供应商的报价应是总价。
（2）供应商的报价应不高于最高限价。
（3）在报价时间截止前，供应商可以多次报价，最后1次报价为最终报价。
（二）实质性响应审核
报价时间截止后，采购人应当组成评审小组，对参与报价供应商的响应情况进行审核，推荐3家以上实质性响应采购需求的供应商。认定供应商未实质性响应采购需求的，应当说明不能实质性响应采购需求的理由。
（三）成交规则、终止规则
（1）成交规则：报价时间截止后，采购人推荐的实质响应采购需求的供应商有3家以上，系统按照报价由低到高的顺序，确定最低报价供应商为成交供应商。
（2）终止规则：在定点竞价公告期间，采购人因故取消采购任务、变更采购需求；或者在报价时间截止后，参与报价或者实质响应采购需求的供应商不足3家的，竞价终止。
四、项目联系方式
联系方式：郭老师 32446328
采购单位：广州市轻工技师学院
2022年03月07日