*******网络安全等级保护测评服务项目（招标编号：****-****-**）

项目所在地区：河南省,漯河市,市辖区
*、招标条件

本*******网络安全等级保护测评服务项目已由项目审批/核准/备案机 关批准，项目资金来源为自筹资金***元，招标人为*******。本项目 已具备招标条件，现招标方式为其它方式。

*、项目概况和招标范围
规模：项目地点：采购人指定地点。服务标准：达到磋商文件的服务要求，达到相关标准要求。服务期限：等级保护测评工期为**个日历天，服务周期 为测评结束后1年。

范围：本招标项目划分为1个标段，本次招标为其中的：(***)*******网络安全等级保护测评服务项目; *、投标人资格要求

(**********网络安全等级保护测评服务项目)的投标人资格能力要求：1、满足《中华人民共和国政府采购法》第***条规定；
2、落实政府采购政策需满足的资格要求：
项目执行支持中小微企业、支持监狱企业发展政策，强制优化采购节能产品、环境标志产品等政府采购政策。

注：同*供应商，中小微企业产品和监狱企业产品**扣除优惠只享受*次，不得重复享受。

3、本项目的特定资格要求：
3.1响应人须具有公安部第*研究所颁发的“网络安全等级测评与检测评估机构 服务认证证书”，且响应人必须在中国信息安全等级保护网可查。（提供证书 复印件、网络截图）；
3.2满足《中华人民共和国政府采购法》第***条规定（注：以下材料供应商

无需在响应文件中提供，只需按照规定提供信用承诺函，信用承诺函格式详见 第*章响应文件格式，供应商在成交后，应将上述要求由信用承诺函替代的证 明材料提交采购人、代理机构核验，经核验无误后，由采购人、代理机构发出 成交通知书）；
（1)具有独立承担民事责任的能力；【提供营业执照（或组织机构代码证或事 业单位法人证书或其它组织证明材料），且经营范围包含本次采购内容】； （2)具有良好的商业信誉和健全的财务会计制度；【提供****年或****年财务 审计报告或基本户银行出具的资信证明（****年新成立的公司，提供最近*月 的财务报表）】；
（3)具有履行合同所必须的设备和专业技术能力；【提供具备履行合同所必需 的设备和专业技术能力的证明材料或承诺书】；
（4)有依法缴纳税收和社会保障资金的良好记录；【提供近*个月内任意1个月 的缴纳税收和社会保障资金的证明材料】；
注：依法免税或不需要缴纳社会保障资金的响应人，应提供相应文件证明其依 法免税或不需要缴纳社会保障资金。

（5）参加政府采购活动前*年内，在经营活动中没有重大违法记录；【提供参 加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明函】； （6）法律、行政法规规定的其他条件。

（7）根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财 库[****]***号)
的规定，响应人须提供在“信用中国”网站（***.***********.***.**）和中 国政府采购网（***.****.***.**）等渠道查询相关主体信用记录，查询范围（响应人）。对列入失信被执行人、税收违法黑名单、政府采购严重违法失信行 为记录名单的响应人，采购人、采购代理机构应当拒绝其参与本项目的采购活 动；;
本项目不允许联合体投标。

*、招标文件的获取
获取时间：从****年**月**日 **时**分到****年**月**日 **时**分

获取方式：1.获取磋商文件时间、地点：请于****年**月**日至****年1月 2日（法定假日除外），每日上午8：**时至**：**,下午**：**时至**：**时（北京时间），在************（漯河市祁山路南段与黄河西路交 叉口向南**米路东*巷**号）携带相关材料领取磋商文件。2.领取磋商文件时 携带的资料：法定代表人授权委托书及受托人有效身份证件、公司营业执照和 本公告“*、供应商资格要求”所要求的内容（以上资料报名时验原件并留存 加盖单位公章复印件*套）。3.磋商文件每份售价 ***
元人民币（售后不退）。

*、投标文件的递交
递交截止时间：****年**月**日 **时**分
递交方式：************会议室。纸质文件递交 *、开标时间及地点
开标时间：****年**月**日 **时**分
开标地点：************会议室。

*、其他
*、项目基本情况：
1.采购项目名称： *******网络安全等级保护测评服务项目
2.项目编号：****-****-**
3.采购方式：竞争性磋商
4.预算金额：***元
项目最高限价:***元
5.采购需求：
5.1采购内容：主要内容是*******网络安全等级保护测评服务（具体要 求详见采购需求）。

5.2项目地点：采购人指定地点。

5.3服务标准：达到磋商文件的服务要求，达到相关标准要求。

5.4服务期限：等级保护测评工期为**个日历天，服务周期为测评结束后1年。6.本项目不接受联合体投标。

*、申请人的资格要求：
2.1、满足《中华人民共和国政府采购法》第***条规定；

2.2、落实政府采购政策需满足的资格要求：
项目执行支持中小微企业、支持监狱企业发展政策，强制优化采购节能产品、环境标志产品等政府采购政策。

注：同*供应商，中小微企业产品和监狱企业产品**扣除优惠只享受*次，不得重复享受。

2.3、本项目的特定资格要求：
2.3.1响应人须具有公安部第*研究所颁发的“网络安全等级测评与检测评估机 构服务认证证书”，且响应人必须在中国信息安全等级保护网可查。（提供证 书复印件、网络截图）；
2.3.2满足《中华人民共和国政府采购法》第***条规定（注：以下材料供应 商无需在响应文件中提供，只需按照规定提供信用承诺函，信用承诺函格式详 见第*章响应文件格式，供应商在成交后，应将上述要求由信用承诺函替代的 证明材料提交采购人、代理机构核验，经核验无误后，由采购人、代理机构发 出成交通知书）；
（1)具有独立承担民事责任的能力；【提供营业执照（或组织机构代码证或事 业单位法人证书或其它组织证明材料），且经营范围包含本次采购内容】； （2)具有良好的商业信誉和健全的财务会计制度；【提供****年或****年财务 审计报告或基本户银行出具的资信证明（****年新成立的公司，提供最近*月 的财务报表）】；
（3)具有履行合同所必须的设备和专业技术能力；【提供具备履行合同所必需 的设备和专业技术能力的证明材料或承诺书】；
（4)有依法缴纳税收和社会保障资金的良好记录；【提供近*个月内任意1个月 的缴纳税收和社会保障资金的证明材料】；
注：依法免税或不需要缴纳社会保障资金的响应人，应提供相应文件证明其依 法免税或不需要缴纳社会保障资金。

（5）参加政府采购活动前*年内，在经营活动中没有重大违法记录；【提供参 加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明函】； （6）法律、行政法规规定的其他条件。

（7）根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财

库[****]***号)
的规定，响应人须提供在“信用中国”网站（***.***********.***.**）和中 国政府采购网（***.****.***.**）等渠道查询相关主体信用记录，查询范围（响应人）。对列入失信被执行人、税收违法黑名单、政府采购严重违法失信行 为记录名单的响应人，采购人、采购代理机构应当拒绝其参与本项目的采购活 动；
*、获取采购文件：
3.1获取磋商文件时间、地点：请于****年**月**日至****年1月2日（法定假日 除外），每日上午8：**时至**：**,下午**：**时至**：**时（北京时间），在************（漯河市祁山路南段与黄河西路交叉口向南**米 路东*巷**号）携带相关材料领取磋商文件。

3.2领取磋商文件时携带的资料：法定代表人授权委托书及受托人有效身份证件、公司营业执照和本公告“*、供应商资格要求”所要求的内容（以上资料报 名时验原件并留存加盖单位公章复印件*套）。

3.3 磋商文件每份售价 *** 元人民币（售后不退）。

*、响应文件提交及开启：
4.1.响应文件递交截止时间：****年1月4日**时**分；4.2.地点：************会议室。

*.发布公告的媒介及公告期限
本次磋商公告在《中国招标投标公共服务平台》、《河南电子招标投标公共服 务平台》同时发布，其他网站转载只供参考，采购人、采购代理机构不承担任 何责任。公告期限为3个工作日。

*、其他补充事宜：
6.1.代理费用的收取
6.1收取方式：由成交供应商支付，通过单位基本账户以转账方式支付，不接受 现金结算。

6.2收取标准：参照豫招协【****】***号文的规定。

2.开标方式详见磋商文件。

*、监督部门
本招标项目的监督部门为/。

*、联系方式
招 标 人：*******
地 址：漯河市人民东路**号
联 系 人：付先生
电 话：****-*******
电子邮件：/

招标代理机构：************
地 址： 河南省平顶山市卫东区建设路街道碧桂园天玺1号楼**** 联 系 人： ***
电 话： ***********

电子邮件： **********@**.***

招标人或其招标代理机构主要负责人（项目负责人）： （签名）

招标人或其招标代理机构： （盖章）

采购需求

1.1项目背景
根据《中华人民共和国网络安全法》要求，为认真贯彻国家相关部（局）委精神及文件要求，落实信息安全等级保护制度，切实提高我单位信息系统安 全保护能力和信息安全管理水平，本项目将按照国家相关要求开展信息安全等 级保护测评工作。

1.2项目内容及要求

（1）按照等级保护2.0标准完成以上信息系统的等级保护测评工作（最终 以甲方专家定级评审意见为准），根据测评结果出具整改建议和测 评报告，并协助完成信息系统安全整改工作。

（2）协助完成在当地公安部门的备案工作，取得备案证明。

（3）为医院提供*年的安全咨询、安全培训等售后服务。（售后服务内容 不作为项目验收内容）

1.3实施基本要求
鉴于测评工作实施的复杂性，投标人必须逐条予以明确以下承诺：

7

（1）在测评过程中，当与其它应用系统（含硬件、集成平台、应用系统、数据库系统等）发生任何矛盾时（如协作冲突、技术分歧等），均应服从招标 人的协调或裁决。

（2）投标人实行项目总负责人制，在项目验收前，投标人不得随意更换；如确需更换，需事先向招标人提交书面更换意见函，征得招标人同意答复后进 行更换。

（3）项目实施过程中，由招标人召集的现场协调会，通知投标人项目总负 责人、各子系统技术复责人到场的，投标人项目总负责人、各子系统技术复责 人必须到场，进行沟通、协调及裁决，并形成书面备忘录，项目总负责人签字 并执行，不得以任何理由推诿。

1.4项目总体管理和技术要求
总体要求与《信息安全等级保护管理办法》（公通字[****]**号）、《信息 系统安全等级保护实施指南》（信安字[****]**号）和《信息安全等级保护安 全建设整改工作指导意见》（公信安[****]****号）（含附件）等公安部信息 安全等级保护系列文件要求保持*致，具体信息安全技术标准以文件相应部分 提及的为准，国家标准和国际标准不*致的地方则参照国家标准。

1.4.1需遵循的政策法规

1.《中华人民共和国保守国家秘密法》（****年9月5日中华人民共和国主 席令第6号公布）

2.《中华人民共和国保守国家秘密法实施办法》（国家保密局文件国保发[ ****]1号）

3.《中华人民共和国国家安全法》（主席令**号，****年2月**日第*届 全国人民代表大会常务委员会第**次会议通过）

4.《中华人民共和国计算机信息系统安全保护条例》（国务院令***号）

5.《计算机信息系统保密管理暂行规定》（国家保密局文件国保发[****]1 号）

8

6.《计算机信息系统国际联网保密管理规定》（国家保密局文件国保发[** **]1号）
7.《中华人民共和国计算机信息网络国际联网管理暂行规定》（国务院令 ***号）
8.《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》（****年**月8日国务院信息化工作领导小组审定）
9.《计算机病毒防治管理办法》（****年4月**日中华人民共和国公安部 第**号令）
**.《计算机信息网络国际联网安全保护管理办法》（****年**月**日国 务院批准，****年**月**日公安部发布）
**.《计算机信息系统安全专用产品分类原则》（****年4月公安部发布）**.《计算机信息系统安全保护等级划分准则》（****年9月国家技术监督 局发布）
**.《互联网电子公告服务管理规定》（信息产业部****年**月8日第4次 部务会议通过）
**.《互联网站从事登载新闻业务管理暂行规定》（国务院新闻办公室和 信息产业部**月7日联合发布）
**.《计算机信息系统安全等级保护划分准则》（**/******-****）**.《计算机信息系统安全等级保护网络技术要求》（**/****-****）**.《计算机信息系统安全等级保护操作系统技术要求》（**/****-****）
**.《计算机信息系统安全等级保护数据库管理系统技术要求》（**/*** 9-****）
**.《计算机信息系统安全等级保护通用技术要求》（**/****-****）**.《计算机信息系统安全等级保护管理要求》（**/****-****）

9

**.《计算机机房场地安全要求》（******-**）
**.《国家信息化领导小组关于加强信息安全保障工作的意见》（中央** 号文件）
1.4.2行业规范
1.《信息安全等级保护管理办法》(公通字[****]**号)
2.《信息安全技术网络安全等级保护实施指南》(**/T *****-****) 3.《信息安全等级保护安全建设整改工作指导意见》(公信安[****]****号 )(含附件)
4.《信息安全技术网络安全等级保护定级指南》（**/T ****-****）
5.《信息安全技术网络安全等级保护基本要求》（**/T *****-****）6.《信息安全技术网络安全等级保护测评要求》（**/T *****-****）7.《信息安全技术网络安全等级保护测评过程指南》（**/T *****-****）

1.5项目内容
1.5.1等级测评
本项目按照信息安全等级的测评2.0标准进行安全等级测评。

1.5.1.1等级测评内容
本项目按照信息安全等级保护测评标准进行安全等级测评。测评内容主要 包括两个方面：*是单元测评，测评指标与《信息安全技术网络安全等级保护 基本要求》（**/T *****-
****）相应等级的基本要求完全*致；*是系统整体测评，主要测评分析信息 系统的整体安全性。

单元测评包括安全技术测评和安全管理测评两大部分，其中安全技术测评 层面主要包含：安全物理环境、安全通信网络、安全区域边界、安全计算环境

**

、安全管理中心。安全管理测评层面主要包含：安全管理制度、安全管理人员

、安全管理机构、安全建设管理、安全运维管理。

整体测评在单元测评的基础上进行进*步测评分析，在内容上主要包括安

全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。

1. 安全物理环境：主要包含物理位置选择、物理访问控制、防盗窃和防破 坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护1 0个方面的内容。

2)安全通信网络：主要包含网络架构、通信传输、可信验证3个方面的内容。

3)安全区域边界：主要包含边界防护、访问控制、入侵防范、恶意代码和 垃圾邮件防范、安全审计、可信验证等6个方面的内容。

4)安全计算环境：主要包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信 息保护、个人信息保护**方面的内容。

5)安全管理中心：主要包含系统管理、审计管理、安全管理、集中管控4个 方面的内容。

6)安全管理制度：主要包含岗位设置、人员配备、授权和审批、沟通和合 作、审核和检查5个方面的内容。

7)安全管理人员：主要包含人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的内容。

8)安全管理制度：主要包含岗位设置、人员配备、授权和审批、沟通和合 作、审核和检查5个方面的内容。

9)安全建设管理：主要包含定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择**个方面的内容。

**)安全运维管理：主要包含环境管理、资产管理、介质管理、设备维护管 理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、

密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包 运维管理**个方面的内容。

**

系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统 的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系 统的具体情况，结合本标准要求，确定系统整体测评的具体内容，在安全控制 测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测 评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用 以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

1.5.1.2测评具体要求
在安全等级测评过程中，每个工作阶段、流程、内容、及成果交付严格遵 循《信息安全技术网络安全等级保护测评要求》（**/T *****-
****）和《信息安全技术网络安全等级保护测评过程指南》（**/T *****-****）文件，根据本项目信息系统已完成的定级备案安全等级，开展相应级别 的安全等级测评工作，根据测评结果出具相应的单项和整体测评报告，测评报 告需得到我院的确认，并协助我院报备案地网监部门备案。测评报告编制的内 容及格式严格遵照《网络安全等级保护等级测评报告模板》（****版）进行。

1.5.1.3测评交付成果
项目阶段各阶段的测评过程文档（参照《信息安全技术
信息系统安全等级保护测评过程指南》）编制。详见下表（包括但不限于）：

**

1.5.2安全整改
依据信息系统安全等级测评的相关报告，编制并提交相关的信息安全整改 建议方案，并全程协助完成整改工作。

1.5.2.1具体要求
依照《信息安全等级保护安全建设整改工作指导意见》（公信安[****]****号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统 测评工作的基础上，对单位信息系统总体信息安全管理和技术方面现状进行全 面的分析，制订信息安全等级保护安全建设整改方案，方案内容包含但不限于：信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体 安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系 统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算，整 改后可能存在的其他问题。

1.5.2.2过程文档及交付成果
过程文档及交付成果（包括但不限于）要求如下：
安全等级测评整改技术方案，方案可根据整改和规划内容的重要性和复杂 程度采用分册方式编写。

提交要求：涉及所有被测评系统的安全整改方案，需包含如下内容：

1.5.3安全咨询要求
安全服务机构建立专业团队对网络安全现状进行调研、梳理，按照国家等 级保护*级要求、行业网络安全要求及信息安全规划，以********、****系列

**

标准以及国际、国内最佳实践为指导，提供信息安全等级保护等相关安全咨询 服务，保证本项目建设期内持续性、连续性安全需求。咨询服务内容包括：安 全风险评估、安全需求分析、安全方案设计和运维等安全工程类信息安全服务 咨询；系统定级、备案、测评、建设整改等咨询；
信息技术服务管理体系、信息安全管理体系认证等合规咨询。

1.5.4安全培训要求
面向全员的安全意识培训（*年内至少开展*次）：结合单位信息安全保 障的重点，着重提高所有人员的信息安全意识和技能，对人员理解信息安全对 机构的意义，开展信息安全工作，在机构内逐步建立和融入信息安全文化，提 高整体信息安全防护水平。

面向技术人员的安全技术培训（*年内至少开展*次）：对信息化技术人 员培训重点是熟悉网络安全技术、了解各种常用安全产品的原理，能正确使用 解决方案中的各种安全产品，以达到最佳的安全保障效果。主要的培训内容包 括安全域培训、入侵检测技术、漏洞发现技术，安全产品管理、用户管理策略、日志分析方法、故障诊断和维护等。

面向技术主管与管理层的管理体系培训（*年内至少开展两次）：对技术 主管和管理层的培训重点是信息安全知识体系和安全意识的，目的是使管理人 员在了解了信息安全知识体系的基础之上，注意到使用信息系统的风险，并使 他们关注降低风险的对策。

*培训师资要求：培训讲师需具备良好的教育背景，受过专业的技术培训，具有 中国信息安全测评中心颁发的注册信息安全讲师（****-****）证书。

1.5.5应急服务要求
为单位建立安全应急预案，遇到重大安全事件如网络入侵、大规模病毒爆 发、遭受拒绝服务攻击等，无法及时对该事件进行处理或解决时，需供应商安 排专业技术人员以7***小时远程、电话、邮件及现场等方式提供应急响应支持，快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的 严重性影响，查明安全事件原因，确定安全事件的威胁和破坏的严重程度，并 根据对事件的分析及原因提供相应的解决方案。

**

在发现安全事件时，须及时判断安全事件的级别。针对严重的安全事件，对安全事件进行紧急分析处理、灾难恢复和和入侵追踪和取证，并出具应急响 应报告（含加固建议）。

*服务能力要求：供应商需具有中国网络安全审查技术与认证中心颁发的信 息安全服务资质认证证书（信息安全应急处理*级或以上）。

1.5.6重要时期威胁监测与响应服务要求
在重要时期或重点活动期间（如**行动、大型会议、重要活动、重大节 日等），以远程安全运营的方式，为招标人提供日志与流量分析、威胁监测、事件响应与处置、安全专家远程值守等*体化威胁监测与响应服务，对用户重 要系统进行全面安全监测与值守，通过7***不间断技术监测，实时保障系统安 全，形成科学、有效、反应迅速的信息安全保障机制，确保重要时期重要信息 系统的实体安全、运行安全和数据安全，最大限度地减少网络与信息安全事件 发生的可能性。

服务能力要求：
*1、供应商服务工具或平台应具有安全日志或威胁探针数据接入、分析能 力，且能兼容所有主流安全厂商产品；应具有威胁态势、攻击态势、资产态势、行为态势分析、感知、研判能力，且支持态势大屏动态展示。（需提供以上 要求相关的功能截图）
*2、供应商服务工具或平台需部署在国有安全云平台之上，以保证工具自 身安全，不会泄露招标人信息系统相关业务数据信息（要求提供国有安全云平 台服务托管证明原件扫描件并加盖公章或投标专用章）。

2.6售后服务
售后服务期为1年（自验收合格之日算起，不作为验收内容）。供应商必须对售 后服务，做出详细的实质性承诺：售后服务免费技术支持期、服务响应速度、服务模式、售后服务质量控制、客户化培训等。所有的售后费用，必须计入总 价。

2.7服务期限
等级保护测评工期为**个日历天。

安全咨询、安全培训、应急服务等安全服务期限为*年（不作为验收内容）。

**

**