竞争性磋商公告
 
广西建设工程机电设备招标中心有限公司（以下简称“本中心”）受广西壮族自治区宏观经济研究院（以下简称“采购人”）的委托，拟对能耗在线监测系统安全等级保护测评和风险评估服务采购项目进行竞争性磋商采购，欢迎符合资格条件的供应商参加。
一、采购项目编号：FW（4）2020036C
二、采购项目名称：能耗在线监测系统安全等级保护测评和风险评估服务采购
三、采购预算价：人民币壹拾陆万元整（￥16.00万元）
四、采购需求：
 

服务名称	数量	服务内容及要求
能耗在线监测系统安全等级保护测评和风险评估服务采购	1	（一）网络安全等级保护测评 1、总体要求 依据《网络安全等级保护基本要求》（GB/T 22239-2019）对能耗在线监测系统（能耗监测云）省级平台（二级）开展网络安全等级保护测评工作，并出具网络安全等级保护测评报告。 2、标准依据 《计算机信息系统安全保护等级划分准则》（GB 17859-1999) 《网络安全等级保护基本要求》（GB/T 22239-2019） 《网络安全等级保护测评要求》（GB/T 28448-2019） 《网络安全等级保护测评过程指南》（GB/T 28449-2018) 《网络安全等级保护设计技术要求》（GB/T 25070-2019） 《网络安全等级保护测试评估技术指南》（GB/T 36627-2018） 3、测评内容 （1）安全通用要求 安全通用要求测评内容应包括安全技术和安全管理两大类，其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评，安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。 系统不涉及安全扩展要求 4、测评方法 在测评实施过程中，应采用访谈、检查和测试、渗透测试等测评方法进行，并与国家相关规范及标准的要求相符。     访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程；    检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程； 测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程； 渗透测试是模拟黑客的攻击方法，对受保护对象的应用系统、主机、网络进行攻击，从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。 5、服务成果 测评完成后，出具符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。 （二）风险评估 1、总体要求 依据《信息安全风险评估规范》(GB/T 20984—2007)的要求对能耗在线监测系统（能耗监测云）省级平台开展信息系统安全风险评估工作，并出具本项目符合相关标准的《信息安全风险评估报告》。 2、本次信息系统风险评估服务项目的实施流程、技术方法必须严格执行国家相关标准规范。请按以下标准依据执行: （1）适用的法律法规； （2）现有国际标准、国家标准、行业标准； （3）《信息安全风险评估规范》(GB/T 20984-2007)； （4）《信息技术安全性评估准则》(GB/T 18336.3-2008)； （5）《信息系统安全等级保护实施指南》（GB/T 25058-2010）； （6）《信息系统安全等级保护基本要求》（GB/T 22239-2008）； （7）《信息系统安全等级保护测评要求》（GB/T 28448-2012）； （8）《信息系统安全等级保护测评过程指南》（GB/T 28449-2012）。 3、评估范围 包括：能耗在线监测系统（能耗监测云）省级平台所涉及的物理环境、网络、主机、系统软件、应用软件、管理制度、人员等。 4、评估内容 （1）信息系统安全管理状况检查      评估各种安全制度的建立情况。包括：终端计算机访问互联网的相关制度；终端计算机接入内网的相关制度；使用移动存储介质的制度；系统业务应用人员、系统的开发、维护、管理人员、维护人员相关的安全管理制度等。 （2）网络结构、网络安全设备 评估范围包括：分析网络拓扑结构是否清晰划分网络边界；评估网络的访问控制、入侵防范、设备防护等措施。 （3）对资产的脆弱性进行收集和整理 1）物理环境，包括机房环境，空调，消防系统、防雷接地等； 2）检查交换机，路由器的口令设置和管理，配置文件的备份等； 3）检查路由器操作系统是否存在安全漏洞；检查端口开放、管理员口令设置和管理、访问控制表；关键路由设备是否有冗余配置等。 4）防火墙、入侵检测系统、防病毒、桌面管理、审计等，评估安全配置的有效性。 5）服务器：用户口令、共享资源、系统服务安全、系统安全补丁、日志记录审计、木马检测等。 6）数据库系统、操作系统、中间件等软件安全漏洞。 7）应用系统口令安全、访问权限控制、安全漏洞、数据安全等。 （4）评估流程 按照规范流程开展信息安全风险评估工作。 （5）服务成果：提交针对本项目符合相关标准的信息安全风险评估报告。（电子版1份，纸质版3份）
商务条款	1、完成期限： （1）完成期限： 1）项目现场测评计划：自甲方出具项目进场通知书之日起10个工作日内完成该项目现场测评工作。 2）项目出具测评报告计划：现场测评结束后20个工作日内提供该项目的初次测评报告。 3）若甲方初次测评结论不为“差”，乙方不提供复测服务。 4）若甲方初次测评结论为“差”，经甲方整改完成后再与乙方确定复测日期（整改应在出具初测报告之日起一个月内完成，若一个月内无法完成整改乙方不提供复测服务）。 5）自甲方出具项目复测通知书之日起10个工作日内完成该项目现场复测，复测完成后20个工作日内提供该项目的最终测评报告。 （2）服务地点：广西区采购人指定地点。  ★2、供应商提供的项目人员必须具有公安部信息安全等级保护评估中心（或中关村信息安全测评联盟）颁发的《信息/网络安全等级测评师证书》，项目组成不少于5人，至少包括一名高级测评师、一名中级测评师，两名初级测评师和一名具有等级测评师资质的质量监督人员；派驻现场测评人员不少于三名等级测评师，至少包括一名中级测评师，两名初级测评师。 3、供应商如在南宁设有常驻的机构提供本地化服务，请提供相关证明文件。 4、成交供应商必须签署相关保密协议，严格遵守协议要求。 5、供应商在广西有同行业项目服务案例，如有请提供。 6、供应商必须针对本项目提供技术、实施、售后服务方案。

五、供应商资格：
1、国内注册的供应商，具有独立承担民事责任的能力；
2、经营范围包括本次服务采购的内容；
3、供应商必须具备国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》；
4、没有处于被责令停业，竞标资格被取消，财产被接管、冻结，破产状态；在最近三年内（2017年1月1日至今）没有骗取中标、严重违约或重大质量安全责任事故的情况；
5、单位负责人为同一人或存在控股、管理关系的不同单位，不得参加本项目竞标。法定代表人为同一人的两名或两名以上法人、或者具有直接管理和被管理关系的母子公司，不得同时参加本项目的竞标；
6、本项目不接受联合体竞标，也不接受未购买本采购文件的供应商竞标。
六、获取采购文件方式：
1、本项目只发售电子版采购文件，请潜在供应商于2020年10月26日9时00分起至2020年10月30日18时00分止，登陆广西招标网（http://www.guangxibid.com.cn/）供应商入口，在广西国资交易电子招标采购平台注册会员后，在线完成购买及下载采购文件（招标文件以PDF版为准），未办理网上购买采购文件的，竞标无效。（注：广西国资交易电子招标采购平台注册会员具体流程请访问广西招标网（http://www.guangxibid.com.cn/）首页的常用下载窗口进行查看。平台技术交流QQ群：286811625）
2、竞争性磋商采购文件每套300元/家，平台服务费150元/家，共450元/家，售后不退。
七、磋商保证金：人民币贰仟伍佰元整（￥2500.00）
八、磋商响应文件提交截止时间及磋商时间：2020年11月5日9:30分
九、磋商响应文件提交地点及磋商地点：南宁市青秀区金湖路52-1号东方曼哈顿三楼广西国资招投标中心开标室（具体以电子屏幕场地安排为准）。
十、网上查询：中国采购与招标网（http://www.chinabidding.com.cn/）、广西招标网（http://www.guangxibid.com.cn/）。
十一、联系人及联系方式：
采购代理机构联系人：张嘉莉   联系电话：0771-2810302   邮箱：3318482376@qq.com
联系地址：南宁市纬武路165号308室 
 
 
广西建设工程机电设备招标中心有限公司
2020年10月26日