（1）具有独立承担民事责任的能力；1.满足《中华人民共和国政府采购法》第二十二条规定，即：（一）基本资格条件资格要求网络安全等级保护测评招标需求湖南农业大学继续教育管理系统

（二）特定资格条件（6）法律、行政法规规定的其他条件。（5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；（4）有依法缴纳税收和社会保障资金的良好记录；（3）具有履行合同所必需的设备和专业技术能力；（2）具有良好的商业信誉和健全的财务会计制度；

二、项目概况（5）本项目不接受联合体形式参与报价。（4）项目负责人须同时具有NITS信息技术计算机网络安防技术高级科目证书、高级测评师、工业和信息化人才能力提升证书（DCA可信区块链人才）、中国信息安全测评中心颁发的CISP注册信息安全专业人员（CISE）、工业和信息化部教育与考试中心颁发的软件测评工程师、商用密码应用安全性评估人员测评能力考核通过荣誉证书。（3）投标人须同时持有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》、公安部第一研究所颁发的省网防安全服务中心、中国信息安全测评中心颁发的信息安全服务资质证书（安全工程类一级及以上）、第七届世界军人运动会网络安全保卫工作优秀技术支撑单位。（2）投标人须在中华人民共和国境内登记注册,具有独立法人的合法企业；（1）投标人应具备《政府采购法》第二十二条规定的相关条件；

1、工作内容根据相关文件及标准要求，对湖南农业大学需要进行测评的继续教育管理系统实施网络安全等级保护定级、备案、测评、协助整改等工作，根据《等级测评报告模版（2021年版）》，出具符合格式要求的等级测评报告。三、项目需求2、项目工期:合同签订后30个工作日内完成1、项目名称：湖南农业大学网络安全等级保护测评项目（继续教育管理系统）

（1）安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评；测评内容应包括但不限于以下内容：依据《GB/T22239-2019信息安全技术信息系统安全等级保护基本要求》、《GB/T28448-2019信息安全技术信息系统安全等级保护测评要求》、《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》、《GBT28449-2018信息安全技术网络安全等级保护测评过程指南》、《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/T22080-2008信息技术安全技术信息安全管理体系要求》、《GB/T22081-2008信息技术安全技术信息安全管理实用规则》等标准的要求，对湖南农业大学需要进行测评的信息系统进行等级测评，出具符合国家网络安全等级保护格式要求的等级测评报告。测评范围为项目目标所涉及的机房基础设施、网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。1.2信息系统安全等级保护测评服务协助湖南农业大学需要进行测评的继续教育管理系统进行定级、备案材料的编写，协助采购方到公安监管等部门办理备案手续，确保继续教育管理系统安全保护等级定级准确、备案完整。1.1定级备案服务

采购方完成信息系统安全整改后，对整改后的信息系统进行复测，出具正式的测评报告，送公安部门办理备案手续。1.4二次测评安全整改建设方案应严格依据《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全保护实施指南》、《信息系统安全管理要求》、《信息系统通用安全技术要求》、《信息系统等级保护安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求制定《湖南农业大学XX系统安全整改建设方案》，并在后续提供安全整改咨询服务，协助客户完善信息系统的安全防护措施，使系统达到等级保护相应级别的相关要求。1.3安全整改建设方案编制（3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。（2）安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评；

《信息安全等级保护管理办法》公通字[2007]43号《关于信息等级保护工作的实施意见》（公通字66号）《关于加强信息安全保障工作的意见》中办发[2003]27号《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号《中华人民共和国网络安全法》1.5标准和规范

《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2019）《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2020）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）《计算机信息系统安全保护等级划分准则》（GB17859-1999）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）

《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术信息系统安全等级保护测评准则》《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息安全等级保护信息系统物理安全技术要求》（GB/T21052-2007）

《信息技术信息安全管理实用规则》（GB/T19716-2005）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《信息安全技术服务器技术要求》《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）、

标准性原则：测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标方的行为。在项目实施过程中必须满足以下原则：1.6测评实施原则《信息安全技术信息安全风险评估规范》（GB/T20984-2007）《信息技术安全技术信息技术安全性评估准则》（GB/T18336）

（1）投标人应详细描述本次信息系统安全等级保护测评的整体实施方案，包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。1.7整体要求整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。可控性原则：项目安排工作进度要跟上进度表的安排，保证工作的可控性。规范性原则：投标方的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

本项目涉及工程实施和验收测试所需的工具，由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前，应对工具进行测评，如果需要则对工具进行软件或代码升级。1.8专用工具要求（5）信息系统安全等级保护测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。（4）本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件（包括测试工具和报告编写工具）应符合国家相关要求，报告编写工具应取得中关村测评联盟授权，经招标人确认后由投标人提供并在信息系统等级保护测评中使用。（3）供应商必须具备丰富的等级测评项目经验，参与项目的测评人员不少于3人；投标供应商应提供本项目的高级测评师的或NSATP-A国家网络安全应用检测专业测评人员证书；供应商应持有中国信息安全测评中心颁发的信息安全服务资质证书或质量管理体系认证证书（ISO9001）或软件企业证书。（2）投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。

（2）等级保护测评中2）签订安全保密协议。1）对等级保护测评人员要进行安全保密教育，制定安全保密措施；（1）等级保护测评前为做好全过程的安全保密工作，在等级保护测评前、中、后三个阶段都要做好安全保密工作。1.9安全管理要求

6）对进场人员遵守被测单位的相关管理规定。5）工作过程中对人员要实施封闭式集中管理；4）对测评设备、介质进行严格的保密管理；3）对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围；2）等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序；1）对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理；

项目验收后免费提供一年的安全服务，包括网站安全防护、漏洞修复、网络优化、配置加固、安全建设方案编写、安全管理制度完善、安全培训等安全咨询服务。1.10售后服务3）在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。2）现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何代码或可执行程序；1）认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏；（3）等级保护测评后

在实施过程中必须遵守的相关操作章程，以防止敏感信息泄漏和确保及时处理意外事件。1）操作的申请和监护安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法：指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文档和数据进行安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行控制。项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。2、测评风险规避要求

根据测评范围界定的系统情况，在实施前制定应急预案。4）制定应急预案必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。3）人员与数据管理对测评直接影响系统工作时，尽可能避开敏感时期。2）操作时间控制

对业务系统和数据库主机，应对其上数据进行备份，防止测评过程中对设备与主机的损伤影响业务系统的正常运行。7）数据备份与恢复分类扫描:对不同的主机和设备类型执行不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。6）优化扫描策略对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和简单测试的方式进行。5）关键业务系统风险控制

3、供应商的技术方案中应有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；2、供应商使用的技术装备、设施应当符合《信息安全等级保护管理办法》中对信息安全产品的要求；1、如成交供应商发生兼并、重组，由新组建的公司按投标文件承担相应售后服务；四、其它要求厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息，在测评之前，由三方共同分析测评对业务可能造成的风险，分析可能存在的问题。在测评过程中尽量规避这些风险。8）厂商协作

4、供应商需提供等级保护测评案例合同复印件备查；