内蒙古出入境边防检查总站采用竞价方式对内蒙古出入境边防检查总站测试评估认证服务（等级保护测评服务）定点采购进行采购，请入围测试评估认证服务品目并有能力响应下述需求的供应商在指定时间内响应采购需求。
一、项目概述
项目编号：NMGZFCG-DDFW-2023-264315
项目名称：内蒙古出入境边防检查总站测试评估认证服务（等级保护测评服务）定点采购
采购单位：内蒙古出入境边防检查总站
所属区域：内蒙古自治区本级
预算金额(元)：280,000.00
项目开始时间：2023-09-21 11:22:52
项目截止时间：2023-09-27 11:00:00
采购人联系方式：杨森晖 17614810315
采购计划备案书/批准书编号：
采购方式：电子卖场（定点服务）
二、报价要求
(一)报价须知
1.报价应包括对投标产品的运输、安装、售后服务、技术支持、保险、利润、税金及合同包含的所有风险、责任等各项应有费用。
2.供应商必须响应所有的需求。
(二)答疑与咨询
联系人：陈亦雯 电话：0471-5617263
三、成交原则
1.报价供应商不足三家时，作废标处理。
2.报价供应商满足三家的，报价不同时，以报价最低的供应商为成交供应商；报价相同时，以报价时间最早的供应商为成交供应商。
3.采购人选择非最低报价供应商为成交供应商的应说明理由，选择理由将在结果公示中进行公示。
四、需求明细

编号	项目需求	数量	计量单位
1	一、对总站一体化实战指挥平台进行验收和网络安全等级保护测评服务。包括但不限于一体化指挥调度门户、日常业务管理、应急管理、四级综合可视化展示、智能指挥调度、数据支撑、图上实战指挥系统、移动指挥调度APP、数据库等。 二、针对技术要求提供总体技术方案，内容包括不限于功能性、性能效率、信息安全性等专项测试方案，内容完整、合理,并包括时间安排、人员组织分工、风险规避等内容，进行综合评价，出具相关评测报告。 三、项目内容及服务要求 1、软件测评 对项目建设内容有深入了解，对项目特点有准确描述，测试目标明确；项目实施和管理方案具有完备性和科学性；提供质量控制措施，包括但不限于人员控制、设备工具控制、测试方法控制、测试环境控制；测试周期满足招标文件需求、测试进度控制措施详细具体且针对性强，工作进度安排合理，进度控制措施可靠、有效。 针对技术要求提供总体技术方案，内容包括不限于功能性、性能效率、信息安全性等专项测试方案，内容完整、合理,并包括时间安排、人员组织分工、风险规避等内容，进行综合评价，出具相关评测报告。 1）功能性 根据软件需求规格说明或用户说明书，对现有系统的功能是否满足进行验证。功能测试从系统的业务逻辑、功能逻辑、输入输出验证等三个方面对系统的功能进行分析，测试并发现系统中存在的缺陷，通过对缺陷的分析改进系统的整体质量。验证系统的各个功能模块是否正确实现，异常输入系统是否能够正确处理，客观全面的检查系统各项功能。该系统的功能测试包括以下几个方面: 功能完备性:软件应符合产品说明所引用的任何需求文档中的全部要求。 功能正确性:a.通过对软件功能设计执行测试用例，验证软件的正确性。b.软件不应自相矛盾，并且不与产品说明和用户文档集矛盾。 功能适合性:在给定的限制范围内，使用相应的环境设施、器材和数据,用户文档集中所陈述的所有功能应是可执行的。 回归测试 被测的软件系统包含回归测试。被测试软件在执行完测试后未能达到通过条件，允许对软件系统进行修改，修改后进行再次测试。 2）性能效率 使用测试工具，测试系统是否满足用户的性能需求，系统是否能够达到预期的系统响应时间以及业务处理时间，满足业务需求。监控平台数据库、中间件、应用服务器使用情况，分析数据库、中间件、服务器性能对软件运行效率的影响，提出优化建议。 系统上线前后性能测试及数据库调优，测试系统功能模块的稳定性，以应对大并发量的访问以找到目前系统的瓶颈、估算当前系统的最大并发业务处理能力，对系统整体进行性能测试与优化建议，验证稳定性和可靠性。识别系统性能瓶颈，给出优化建议。 3）信息安全性 对于用户权限限制、用户密码封闭性、数据备份与恢复手段、留痕功能等系统安全性的测试可以结合功能测试完成，验证系统是否具备安全保障能力。 2、网络安全等级保护测评 1）系统安全等级定级和备案 对所部署的网络系统参照《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）进行安全定级，并协助甲方进行备案。 2）网络安全等级保护测评服务供应商按照国家及行业信息安全等级保护管理规范和技术标准，判断信息系统的安全保护能力与国家及行业要求之间的符合程度的差距分析测评方案。测评技术方案应包括（但不限于）：对本次测评工作的说明、定级梳理、备案、采用的技术方案、测试方法、测试工具使用，测评过程中的风险控制，以及需要采购人了解的其它问题。针对本项目的等保服务技术方案。 A、安全物理和环境 物理安全测评通过访谈和检查的方式评测物理环境安全保障情况。 B、安全通信网络 安全通信网络测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以及网络安全设备等三大类。具体的测评内容如下所示： （1）网络架构；（2）通信传输；（3）可信验证。 C、全区域边界 （1）边界防护；（2）访问控制；（3）恶意代码防范；（4）安全审计；（5）入侵防范；（6）可信验证。 D、安全计算环境 主机系统安全测评通过访谈、检查和测试的方式，测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。具体测评内容包括： （1）身份鉴别；（2）访问控制；（3）安全审计；（4）入侵防范；（5）恶意代码防范；（6）可信验证；（7）数据完整性；（8）数据保密性；（9）数据备份恢复；（10）剩余信息保护；（11）个人信息保护 E、安全管理中心 （1）系统管理；（2）审计管理；（3）安全管理；（4）集中监控。 F、安全管理制度 安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。具体测评内容包括： （1）管理制度；（2）安全策略；（3）制定和发布；（4）评审和修订。 G、安全管理机构 安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。具体测评内容包括： （1）岗位设置；（2）人员配备；（3）授权和审批；（4）沟通和合作；（5）审核和检查。 （8）安全管理人员 （1）人员录用；（2）人员离岗；（3）安全意识教育和培训；（4）外部人员访问管理。 H、安全建设管理 系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。具体测评内容包括：（1）定级和备案；（2）安全方案设计；（3）产品采购和使用；（4）自行软件开发；（5）外包软件开发；（6）工程实施；（7）测试验收；（8）系统交付；（9）等级测评；（10）服务供应商选择I、安全运维管理 通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、各类运维人员，涉及内容有开发方的运维管理制度、信息中心关于运维服务团队的各类管理制度、操作规程文件、执行过程记录等对象。具体测评内容包括：（1）环境管理；（2）资产管理；（3）介质管理；（4）设备维护管理；（5）漏洞和风险管理；（6）网络和系统安全管理；（7）恶意代码防范管理；（8）配置管理；（9）密码管理；（10）变更管理；（11）备份与恢复管理；（12）安全事件处置；（13）应急预案管理；（14）外包运维管理。 3）渗透测试服务 通过多种方法，对信息系统主机、数据库、应用、网络和安全设施开展一次全方位的渗透测试，编制渗透测试报告，针对发现的问题制定加固方案。渗透测试内容应至少包括以下测试：弱口令测试、身份认证测试、SQL Injection 测试、Cross Site Script 测试、Web Services 测试、文件操作测试等。 4）安全咨询服务 安全咨询服务是针对用户安全管理中存在的问题，安全专家从管理、技术、体制、机制提出的解决方案，融合发现问题、分析问题、解决问题。从调查分析用户已有安全策略，从管理、制度、落实情况、物理安全、人员安全、第三方安全等等各方面来评估分析，协助用户识别信息资产及业务流程的信息安全弱点，并针对信息安全威胁提供信息安全风险处理规划建议。在用户实施信息安全管理之前的风险评估服务，可以帮助企业认识现状与信息安全标准及规范要求的差距，并可以协助客户制订改进规划，进一步提供信息安全保障体系或管理体系的咨询服务。 5）出具网络安全等级保护测评报告。按照《内蒙古自治区计算机信息系统安全保护办法》要求完成项目所在地盟市级以上公安机关备案。	1	次

五、商务需求

编号	需求内容
1	供应商应具有提供本地化的实施能力，测评服务工作需在合同签订后15日内完成。测评根据项目实施实际需要，如需随甲方人员或项目实施单位人员到公安厅或全区基层单位进行测评相关工作，食宿及交通费自理。测评人应诚实守信，提供服务承诺，签订保密协议。供应商在项目实施过程中，需对项目进行规范化管理，要有项目管理组织、项目管理计划、服务资产管理、项目进度计划、项目验收计划等方案，确保质量。中标人应成立相应的项目组，并指定一名专职的项目经理，主要负责人力资源调度、总体计划、与甲方协调和调度等工作。团队要求：测评服务团队不少于6人，中级测评师不少于2人。出具测评报告后，付合同金额100%款项。

采购单位：内蒙古出入境边防检查总站
2023年09月21日