项目信息

项目名称	等保测评服务项目	项目编号	SDGP370000000202301018948_A
计划编号	37000000040200520230061_41990541	是否拆包	否
包号	A	预算总金额（元）	400000.00
联系人	王风祥	联系电话	请登录后前往项目内查看
服务方式	按项目
服务地址	山东省济南市历下区经十路3377号
付款条款	合同生效之日起10个工作日内甲方向乙方支付全部款项。
采购方式	定点竞价

需求信息

序号: 1	品目: 政务信息系统软件测试服务
	基本服务要求： 1.测试工作要求 投标人应依据项目委托合同、国家相关标准和规定、项目建设需求，协助建设单位全面地进行项目管理和技术监督，对软件系统的功能性、性能效率、安全性、易用性、可靠性、可维护性等质量的诸多因素进行检查、核验，对差异提出调整措施，当出现项目偏差及时予以调整；运用专业的信息化管理手段对信息系统建设进行软件测试管理，并采取相应的管理措施，确保软件建设质量，并达到建设合同规定的目标。信息工程项目软件测试服务商应通过专业的信息化项目安全管理经验及方法，为信息化项目提供便捷、高效、优质的软件测试服务，提高信息化项目的建设质量，并为信息化项目验收提供依据，保证项目按质保量建设完成。 2.安全保密要求 投标人须对工程技术文件以及由建设单位提供的所有内部资料、技术文档和信息予以保密。未经建设单位书面许可，投标人不得以任何形式向第三方透露本项目的任何内容。 3.文档交付要求 投标人应按照GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》输出相应的软件测试文档和过程记录文件。 4.测试实施方案要求（其中标*内容为必须项） 投标人须提交测试实施方案。测试实施方案应包含但不限于以下内容：*(1)本项目测试业务需求分析；*(2) 项目测试工作依据；* (3)项目测试范围；* (4) 项目测试内容；*（5）项目测试方法；(6)测试实施设备及工具；* (7)项目实施计划及进度流程；* (8)项目团队过程及人员安排；(9)确保项目质量的技术、组织保障措施。 5.测试服务工期要求 软件评测项目要求在软件系统开发完毕后按照服务周期约定的时间内完成。 6.测试服务的验收要求 投标人协助业主单位进行验收工作，促使信息系统工程项目最终的功能和性能等指标符合承建合同、法律、法规和标准的要求。投标人提供的测试服务应达到建设单位要求及以下主要标准及规范要求： （1）《GB/T 25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第 51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》 （2）《GB/T 25000.10-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第 10部分：系统与软件质量模型》 （3）《GB/T 18905：2002软件工程产品评价》 （4）《GB/T 8567-2006计算机软件文档编制规范》 （5）《GB/T 11457-2006信息技术软件工程术语》 （6）《GB/T 8567-2006计算机软件文档编制规范》 （7）《GB/T 11457-2006信息技术软件工程术语》 （8）软件需求规格说明书、设计文档等软件开发过程中所涉及的技术文档
	项目服务要求： 项目目标 根据信息安全主管部门的要求，结合本单位的实际情况，积极开展网络和信息系统等级保护测评相关工作，确立本次项目要实现的两个目标： 1.验证信息系统的安全性 通过等级保护测评、风险评估、渗透测试等工作，验证生态环境监测应用系统、生态环境数据应用系统、生态环境业务应用系统、生态环境服务应用系统、生态环境管理应用系统等信息系统的安全性。 2.安全加固、管理体系完善和安全运维机制 针对当前网络和信息系统存在的安全问题，从安全技术和安全管理两个方面制定切实可行的整改工作方案，落实整改措施，进一步梳理和完善信息安全管理制度，建立、健全网络安全管理体系、技术保障体系和安全运维机制。 项目内容 （一）网络安全等级保护测评 1.测评对象与范围 序号 信息系统名称 数量 网络安全保护等级 1 生态环境监测应用系统 1 三级 2 生态环境数据应用系统 1 三级 3 生态环境业务应用系统 1 三级 4 生态环境服务应用系统 1 三级 5 生态环境管理应用系统 1 三级 测评内容 测评主要包括但不限于以下内容： 安全技术测评主要包括安全物理环境、安全通信环境、安全区域边界、安全计算环境和安全管理中心五个方面的测评。 安全管理测评主要包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的测评。 重点测评对象种类主要考虑以下几个方面： （1）主机房（包括其环境、设备和设施等）和部分辅机房； （2）存储被测系统数据介质的存放环境； （3）办公场地； （4）整个系统的网络拓扑结构； （5）安全设备，包括防火墙、入侵检测设备和防病毒网关等； （6）边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等； （7）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等； （8）承载被测系统主要业务或数据服务器（包括操作系统和数据库）； （9）管理终端和主要业务应用系统终端； （10）能够完成被测系统不同业务使命的业务应用系统； （11）业务备份系统； （12）信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人； （13）涉及到信息系统安全的管理制度和记录； （14）制定系统应急预案并协助进行演练。 （二）信息系统风险评估 依据《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022）及 CNAS17020 风险评估体系的要求，对服务内容做资产评估、威胁识别、脆弱性识别、风险分析、漏洞扫描等工作，全面评估信息系统存在的安全隐患，系统地分析信息系统所面临的威胁，找出存在的风险和脆弱点，评估安全事件一旦发生可能造成的危害程度，并根据风险的严重级别来制定风险处理计划。风险评估过程按照CNAS相关要求实施，在最终交付的风险评估报告中加盖“CNAS检验机构”认证专用章。 （三）信息系统安全加固 在全面评估的基础上针对当前信息系统存在的重要问题，从技术和管理两个方面开展相关工作，根据安全现状测评结果协助制定信息安全加固方案，落实整改措施，保证加固效果。安全加固方案应对网络结构及设备部署情况进行整体规划，考虑物理安全、网络安全、主机安全、应用安全和数据备份与恢复整改等内容，加固内容包括但不限于：网络安全加固、主机安全加固、应用系统加固、应用中间件加固、数据库安全加固等。 （四）健全安全管理体系 按照网络安全等级保护的相关要求，协助采购人完成信息系统安全技术体系和安全管理体系建设，优化、完善信息系统安全相关管理制度。 （五）应急服务支撑 提供全面的应急响应服务，完善针对信息安全事件的应急工作机制。服务期内根据采购人需求组织应急预案演练和培训，并根据实际演练效果，提出相关建议和整改措施。提供7*24小时的安全事件应急响应服务，应急事件处置委派至少1名CISAW应急方向专业级专职工程师开展工作。 （六）渗透测试服务 提供专业渗透测试和漏洞挖掘服务。对信息系统进行渗透测试服务，出具《信息系统渗透测试报告》；渗透方式包括但不限于：目录测试、敏感文件测试、枚举测试、中间件漏洞、系统脆弱性测试、常见web框架漏洞脆弱性测试、服务器漏洞测试、权限测试、拒绝服务测试等。 本项目应当采用专业工具扫描（漏洞扫描、数据库扫描采用产品须为商业化产品）、人工评估、渗透测试三种方式相结合。使用工具查找服务器、网络设备、应用软件存在的安全漏洞，重点分析高风险漏洞产生原因和修复策略，通过调整安全策略、安装补丁程序、修改代码等方式修复安全漏洞，汇总未修复的安全漏洞。根据安全漏洞的扫描结果出具信息系统安全漏洞扫描报告。

成交供应商

成交供应商	山东维平信息安全测评技术有限公司
联系人	李建坤	联系电话	请登录后前往项目内查看
最终报价（元）	400000.00

供应商报价详情

序号	供应商	报价（元）
1	山东维平信息安全测评技术有限公司	400000.00
2	河南金盾信安检测评估中心有限公司	400000.00
3	内蒙古信息系统安全等级测评中心	400000.00
4	广东中科实数科技有限公司	400000.00
5	济南谷盾信息技术有限公司	400000.00
6	浪潮软件集团有限公司	未报价

系统内置意见

最低价成交。