一、项目名称：阳泉冀东水泥有限责任公司网络安全等级保护测评项目

二、资格要求

1、投标单位必须是在中国国内正式注册，具有有效的营业执照。报价人应具有《网络安全等级测评与检测评估机构服务认证证书》，可在全国网络安全等级测评与检测评估机构目录查询；异地测评机构须在山西省网络安全等级保护工作协调小组办公室备案后方可参与本项目（需提供备案材料)。

2、报价人应具有工业信息安全测试评估机构能力认定证书。

3、报价人近3年内须具有等级保护测评项目至少1个合同业绩。

4、报价人针对本项目拟派的项目经理须具有高级网络（信息）安全等级测评师证书（须提供测评师证书及本单位社保缴纳证明材料）。

5、本项目不接受联合体报价。

三、项目要求：

1、服务期限：合同签订后，被测信息系统满足测评条件30日内完成相关工作。

2、服务地点：阳泉冀东水泥有限责任公司指定地点。

3、服务要求：

1）为保证项目如期完成，项目实施方需设立项目团队，并合理配备项目人员，并接受当地监管部门的监督检查。人员保持相对稳定，其中项目经理须全程现场参与本项目，不得随意更换，项目团队如有人员变更须经采购人对应业务部门同意。

2）测评人员人数不得少于4名，其中项目经理须具有高级网络（信息）安全等级测评师证书，其他测评人员须具有网络（信息）安全等级测评师证书（须提供测评师证书及本单位社保缴纳证明材料）。

3）测评人员在入场前须提供身份证、网络（信息）安全等级测评师证书、社保缴纳证明等原件供采购人进行核对，并签订保密协议，如发现人证不一致，对投标人按虚假应标处理，采购人有权终止合同。由于本次测评涉及的业务系统服务不可中断，测评期间需提供7*8小时驻场服务，直至测评工作结束。

4）中标方协助甲方定级备案工作。

5）负责甲方监管单位各种关系协调处理。

6）协助甲方完成应急联络机制、技术支援队伍建设、应急预案的建立。

4、技术要求

为贯彻落实国家网络安全等级保护制度，阳泉冀东水泥有限责任公司决定对本单位开展网络安全等级保护测评工作，并进一步完善阳泉冀东水泥有限责任公司的信息系统安全管理体系和技术防护体系，增强网络安全保护意识，切实提高阳泉冀东水泥有限责任公司网络安全防护能力。

依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发（2003）27号）、《关于信息安全等级保护工作的实施意见》（公通字（2004）66号）和《信息安全等级保护管理办法》（公通字（2007）43号）等相关文件及标准要求，对阳泉冀东水泥有限责任公司的信息系统进行等级保护测评。

（一）等级保护测评服务

本次测评的系统为NCS系统（二级）、电力监控系统（二级），测评内容涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等网络安全的各个层面。

1）测评依据

（1）《中华人民共和国网络安全法》

（2）《中华人民共和国计算机信息系统安全保护条例》(国务院147号令）

（3）《计算机信息系统安全保护等级划分准则》（GB 17859—1999）

（4）《信息安全等级保护管理办法》(公通字[2007]43号令)

（5）《信息安全技术  网络安全等级保护基本要求》（GB/T 22239—2019）

（6）《信息安全技术  网络安全等级保护测评要求》（GB/T 28448—2019）

（7）《信息安全技术  网络安全等级保护测评过程指南》（GB/T 28449—2018）

2）测评内容和方法

网络安全等级保护测评内容主要包括安全技术测评和安全管理测评。其中安全技术测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心；安全管理测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。

（1）安全物理环境测评包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面；

（2）安全通信网络测评主要验证对象为广域网、城域网和局域网等；包括网络架构、通信传输和可信验证等方面；

（3）安全区域边界测评主要对象为系统边界和区域边界等；包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证等方面；

（4）安全计算环境测评主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面；

（5）安全管理中心测评主要对象为集中管控平台、集中运维平台、日志审计系统等，包括系统管理、审计管理、安全管理和集中管控等方面；

（6）安全管理制度测评主要对象为信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等；

（7）安全管理机构测评主要对象为安全管理机构设立文档、信息安全小组名单、岗位说明书等文档及执行记录；

（8）安全管理人员测评主要对象为人事管理制度、外部人员访问要求等安全管理制度及执行记录；

（9）安全建设管理测评将主要对象为系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录；

（10）安全运维管理测评主要对象为系统运维过程中涉及的安全管理制度及执行记录；

3）测评过程

根据国家标准《信息安全技术 网络安全等级保护测评过程指南》（GB∕T 28449-2018）的规定，测评过程分为四个阶段：

（1）测评准备活动：掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

（2）方案编制活动：整理测评准备活动中获取的定级对象相关资料，为现场测评活动提供最基本的文档和指导方案。

（3）现场测评活动：依据测评方案实施现场测评工作，将测评方案和测评方法等内容具体落实到现场测评活动中。

（4）报告编制活动：在现场测评工作结束后，测评机构应对现场测评获得的测评结果（或称测评证据）进行汇总分析，形成等级测评结论，并编制测评报告。

4）等保测评文件输出

测评机构需依据最新《网络安全等级保护测评报告模板》，出具规范的，并加盖等级测评专用章的测评报告。

（二）安全防护评估服务

对阳泉冀东水泥有限责任公司的信息系统进行安全防护评估服务，并出具安全防护评估报告。

1）评估依据

GB/Z 24364-2009《信息安全风险管理指南》

GB/T 18336-2015《信息技术 安全技术 信息技术安全性评估准则》

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》

2）评估方法

人员访谈、实地勘察、实际操作、技术检测或验证。

3）评估内容

从技术和管理层面上对系统进行综合安全状态进行全面评估，包括识别信息系统的所有资产、对资产进行威胁分析、脆弱性分析，对信息系统进行配置核查、漏洞扫描工作。

安全防护评估工作主要包括以下几个环节：

（1）信息资产的识别和赋值

确定信息资产的范围，对信息资产进行识别、分组和分类，并根据其安全特性（机密性、完整性、可用性）进行赋值，建立信息资产列表。

（2）威胁评估

对资产引起不期望事件而造成的损害的潜在可能性进行分析。包括潜在威胁分析、威胁审计和日志分析，得到信息系统的安全威胁综合分析。

（3）脆弱性评估

通过技术检测，实验和审计等方式寻找用户的信息资产中可能存在的弱点，并对弱点的严重性进行估值。包括技术性弱点检测、网络架构和业务流程分析、策略与安全控制审计，得到信息系统的安全弱点综合分析。

（4）已有安全措施评估

对目前已经采取的用于控制风险的技术和管理手段效果的评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等方面进行评价，得到对组织信息系统的现有安全措施综合分析。

（5）风险分析

依据前面的评估结果，对信息系统的风险进行评价和评级，得到对信息系统的安全防护评估报告。

4）安全防护评估文件输出

安全防护评估服务结束后，需出具规范的《安全防护评估报告》。

（6）现场踏勘：

阳泉冀东水泥有限责任公司于2024年8月26日14：00统一组织踏勘，报名单位可以参与现场勘察，未进行现场勘察，其相关责任自行承担，定标后不签署合同的，列入黑名单；踏勘地点：阳泉冀东水泥有限责任公司；踏勘现场联系人：涂保懂  18635310090

四、付款方式：

付款条件：乙方向甲方提交正式的报告并协助我方备案完成后，乙方出具有效增值税发票后10个工作日内，甲方向乙方支付全部费用。

发票类型：增值税专用发票。

付款形式：电汇支付。

特别说明：报价供应商应当提交书面报价文件并加盖公章，提交报价时以附件形式上传；报价文件作为评判依据，询价开标后不得修改或再次报价，未上传报价单或报价单未加盖公章的以平台报价为准，上传报价单报价与平台报价不一致的以盖章报价单为准。