4、采购内容：确定一家供应商，为采购人提供信息化项目网络安全等级保护测评服务。3、采购数量：1项2、采购项目预算金额：人民币50000.00元1、采购项目名称：广州市城市建设职业学校2022年度Interlib图书馆集群管理软件V3.0网络安全等级保护测评项目一、项目概况采购需求

（一）项目背景三、项目需求二、服务采购清单要求整个项目在合同签订后三十个工作日（整改时间除外）内完成。供应商需按照《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）要求对广州市城市建设职业学校2022年度Interlib图书馆集群管理软件V3.0网络安全等级保护测评项目开展安全等级保护测评工作，出具符合管理机构要求的网络安全等级保护测评报告。5、项目工期

《信息安全技术网络安全风险评估规范》（GB/T20984-2007）《信息安全技术网络安全等级保护实施指南》（GB/T25058-2019）《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）（二）测评依据根据2017年6月1日实施的《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。为符合法律规定，规范网络安全等级保护管理，切实提高我校网络与信息安全防护与管控能力，保障和促进我中心信息化建设，依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》（等级保护2.0）文件和标准的具体要求，需通过具备网络安全等级保护测评资质的第三方测评机构对相关系统开展信息安全等级保护测评。根据广州市财政投资信息化项目建设和验收的相关要求，项目终验前需组织安全测评报告机构对财政投资信息化项目进行安全等级保护测评，及时发现工程项目中存在的问题并进行整改，提高项目建设质量，规范项目验收流程，从而达到加强信息化项目管理的目的。项目建设单位在完成项目合同所有工程并达到要求后，应委托具有相关资质的网络安全等级保护测评机构项目实施安全等级保护测评并出具相应的报告，结果作为信息工程验收的依据。

1.测评对象安全测评要求《广州市电子政务信息安全测评指南》《广州市财政投资信息化项目管理办法》《广州市电子政务信息安全管理办法》《信息安全技术信息安全风险评估实施指南》（GB/T31509-2015）

（2）工具严格遵循可控性原则。过程中所使用的工具需具有正版证明。（1）工作所需的工具需由成交人提供。3.工具要求2.测评内容Interlib图书馆集群管理软件V3.0。

（1）《网络安全等级保护测评报告》（每个被测项目一份）项目交付成果清单包括但不限于以下：4.交付成果要求（5）采购人按照项目实施的内容，提供部分工作场所、网络、电力等方面的便利。（4）工具应支持系统漏洞扫描模块、WEB漏洞扫描模块、数据库漏洞扫描模块、基线配置核查模块、工控漏洞扫描模块、大数据漏洞扫描模块、Docker漏洞扫描模块、自动渗透测试模块、网络流量分析模块、源代码安全审计模块、网站安全监测模块、APP安全扫描模块、等保测评报告模块、WIFI安全监测模块等功能。（3）所使用的渗透测试工具应支持智能渗透测试和手工渗透测试，工具支持超过统漏洞知识库的检测脚本大于120000条，所有的检测脚本都能够在产品中随机进行浏览和多维度检索等功能

2.测评要求依据国家相关文件、标准、系统安全保护等级和《信息系统安全等级保护测评要求》，对下表中系统进行等级保护测评。1.测评对象（五）安全等级保护测评要求备注：每一个被测网络或信息系统形成安全整改建议书和等级保护测评报告，其中安全整改建议书应包括安全问题清单及整改建议。网络安全等级保护测评报告的内容应包括依据、过程、内容、结果及结论。

第四步∶成交人再次对信息系统进行测试评估、输出等级测评报告。为此，成交人的测评师需要通过规范的等级保护测试评估，对上述信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。第三步∶采购人根据差距评估报告与安全整改协调、指导、督促有关使用单位、运营单位、运维单位等实施安全整改;第二步∶成交人对信息系统进行测试评估、分析差距、输出差距评估报告和安全整改建议;第一步∶通过前期调研，成交人开展《信息系统定级材料》整理（包含备案单位表、备案系统表、信息系统定级报告等），提交至相关主管部门审批，取得相关系统的《信息系统安全等级保护备案证明》;按照等级保护相关标准的要求，项目总体工作思路如下∶（1）服务总体要求

安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括∶安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个层面上的安全控制测评;安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全控制测评。具体见下图：网络安全等级保护测评包括两个方面的内容∶一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。为了保证信息系统能够成功通过公安机关的备案与检查，差距评估采用与等级测评完全一致的测评标准。为了表述的方便，本方案不再区分差距评估和等级测评。后文中除非特别说明，均适用于差距评估和等级测评。（2）测评内容要求

网络安全等级保护测评

安全控制测评系统整体测评

安全技术测评安全管理测评安全控制点间层面间

安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理系统安全保障评估

安全问题风险分析

2、安全通信网络安全测评安全物理环境安全测评检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。1、安全物理环境安全测评（3）测评具体要求综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行，由此而获得信息系统对应安全等级保护级别的符合性结论。系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关。在安全控制测评的基础上，重点考虑安全控制点间、层面间、区域间的相互关联关系，分析评估安全控制点间、层面间、区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。

5、安全管理中心测评安全计算环境安全测评应当包含：身份鉴别、访问控制、安全审计、入侵防范、可信验证、数据完整性、数据保密性、数据备份恢复等；测评对象包括但不限于网络设备、安全设备、服务器主机设备、数据库、应用系统等。4、安全计算环境安全测评安全区域边界安全测评应当包含：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。3、安全区域边界安全测评安全通信网络安全测评应当包含：网络架构、通信传输、可信验证等。

8、安全管理人员测评安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。7、安全管理机构测评安全管理制度测评应当包含：安全策略、管理制度、制定和发布、评审和修订。6、安全管理制度测评安全管理中心测评应当包含：系统管理、审计管理、安全管理、集中管控等。

（4）风险分析与评价安全运维管理测评应当包含：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复、安全事件处置、应急预案管理、外包运维管理。10、安全运维管理测评安全建设管理测评应当包含：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。9、安全建设管理测评安全管理人员测评应当包含：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

3.实施成果交付物要求渗透测试行为将在采购人的书面明确授权和监督下进行。评估要求覆盖当前重要的应用层漏洞，例如∶跨站脚本、SQL注入、文件上传等，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。渗透测试服务通过利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法，以人工渗透为主，以漏洞扫描工具为辅，需保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息。由于其重要性，需要针对信息系统进行渗透测试，通过模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给采购人，通过渗透测试发现逻辑性更强、更深层次的弱点，找出所存在的安全威胁和风险，帮助采购人及时完善安全策略。（5）渗透测试要求依据《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等国家及行业标准，采用风险分析方法，分析信息系统等级测评结果中存在的安全问题（等级测评结果中部分符合项或不符合项的汇总结果）可能对信息系统安全造成的影响。

中标供应商直接跟踪服务，承诺中标后本项目实施地区设有长期稳定的服务机构，服务便捷。组织实施要求：中标供应商需要成立本项目服务团队，制定相应的工作组织方案，做好项目服务的组织协调工作，确保项目质量，按计划实施完成。为满足本项目实施需要，中标供应商投入本项目的团队人数不得低于5人，其中参与本项目安全等级保护测评的人员不得低于2人，所有安全等级保护测评师必须取得公安部信息安全等级保护评估中心颁发的网络安全或信息安全等级测评师证书。五、人员要求《网络安全等级保护【被测评对象】等级测评报告》1份《问题汇总及安全整改建议书》1份《信息系统安全等级保护备案证明》1份

（2）严格限制接触保密信息的范围，约束接触项目保密信息的员工遵守保密义务并签订保密协议。（1）严格遵守国家及地方有关保密规定，严格保守项目涉及的技术秘密、商业秘密、工作机密。成交人须对本项目实施中所获得任何资料和信息严格保密，并与采购人签订保密责任书。成交人及其工作人员对网络安全等级保护测评项目的资料应尽到管理人的保密义务，保密条款包括但不限于以下：（一）保密要求中标供应商负责整理参加本项目的人员资料（管理、技术人员一览表等）交给采购人。成交人必须为本项目成立本地化等级保护定级备案与测评服务项目组，由组长统一负责，组长具有一定的管理经验，能根据一些特殊的情况可以适当增加服务人员，接受采购人的统一管理。成交人派驻本项目的人员必须固定，如有变更，必须经采购人同意并签字确认。成交人必须提供人员管理及配备方案，并确保项目组的稳定性。项目经理必须取得公安部信息安全等级保护评估中心颁发的网络安全或信息安全等级测评师证书，注册信息安全专业人员（CISP）证书，且项目经理需具有3年或3年以上信息安全等级保护测评项目管理经验（需中标供应商提供毕业证等证明材料）。

六、售后服务要求（7）成交人及其工作人员违反保密条款造成项目资料、数据泄露，成交人须负全部责任、承担由此造成的所有损失，采购人可依据有关规定追究成交人的责任。（6）项目完结后，成交人必须严格按照档案管理有关规定对项目材料建宗归档，不得私自作项目任何资料、数据保留和备份，更不得将资料、数据泄漏给第三方。（5）未经采购人或承建单位书面同意，不得擅自对外(包括成交人的上下级单位)复制、传播、转让采购人或承建单位提供的资料、数据。（4）在对外技术交流中，不得泄露和发表涉及项目中的保密信息。（3）测评过程中获取的项目资料仅作为本项目服务使用，不得挪作它用。

（4）服务提供商应提供ISO27001信息安全管理体系认证。（3）供应商未被列入“信用中国"网站(www.creditchina.gov.cn)“记录失信被执行人或重大税收违法案件当事人名单或政府釆购严重违法失信行为”记录名单；不处于中国政府釆购网(www.ccgp.gov.cn)“政府釆购严重违法失信行为信息记录”中的禁止参加政府釆购活动期间。（2）服务提供商须提供广东省电子政务协会颁发的广东省电子政务服务能力等级证书。（1）服务供应商需要提供中国网络安全审查技术与认证中心颁发的信息安全服务资质认证证书七、供应商资质要求成交人提供对本次测评范围内的问题提供远程技术咨询，对于漏洞的修补、问题的排除给出建议和指导，提供7×24小时技术热线支持，专职服务人员提供即时技术问题解答；在收到采购人通知的4小时内派员上门服务。

（9）服务提供商应提供ISO22301业务连续性管理体系认证证书（8）服务提供商应提供ISO45001职业健康安全管理体系国际标准认证证书（7）服务提供商应提供ISO14001环境管理体系国际标准认证证书（6）服务提供商应提供ISO9001质量管理体系国际标准认证证书。（5）服务提供商应提供ISO/IEC27001信息安全管理体系认证证书。