阳泉市应急管理局网络安全等级保护测评服务谈判公告

序号

内容

说明与要求

1

预算金额

人民币(大写):壹拾捌万元整(￥：180000元)

2

付款方式

验收合格后30日内，支付全部合同价款。

3

响应性文件份数

正本壹份、副本叁份

4

工作周期

在合同签定后45天内完成等保测评。

5

特定要求

1. 本项目不接受联合体投标，

2、须具有国家信息安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》，并提供相关证明材料。

6

报价人应提交的资格证明文件

本项目采用资质后审原则，资质审查以谈判小组审查结果为准。谈判时报价人应按下列顺序提交资格证明文件，其中加★项为实质性响应条款。资格审查的所有内容有缺失或无效，将导致投标无效且不允许在开标后补正。

1、★法定代表人身份证明书原件

2、★法定代表人授权委托书原件

3、★报价人有效的营业执照副本原件、复印件，有效的组织机构代码证副本原件、复印件以及国税或地税税务登记证原件、复印件或者三证合一资质原件、复印件

4、★财务状况报告;会计师事务所对报价人出具的年度财务审计报告复印件;(谈判时间为上半年的提供上年度或上上年度的财务审计报告均可，谈判时间为下半年的须提供上年度的财务审计报告)

备注：公司成立不满一年的报价人无需提供财务审计报告

5、★能证明投标截止日期前,一年内报价人任意一次交纳了社保金的凭证复印件(养老、医疗、工伤、失业四险任意一种);

6、★能证明投标截止日期前,一年内报价人任意一次交纳了税收的凭证复印件

7、★报价人无违法记录声明(格式见第五部分)

8、★按照本表“特定要求”规定提交的相关证明文件复印件

9、报价人认为需要提供的其他资格证明文件

★备注：以上资格证明文件需单独密封提交，胶装成册(第3、8项所提供资质原件无需密封提交，无需装订成册，审查完后退还供应商)。复印件需加盖单位公章。(密封件正面应标明单位名称、项目名称、项目编号，资格证明文件、并在封口处加盖单位公章。共一正三副)

7

报价人应提交的

商务、技术文件

本次谈判报价人应按下列顺序提交商务技术文件，其中加★项目若有缺失或无效，将导致谈判无效且不允许在开标后补正。

1、★谈判函(在谈判函中除可填报项目有关内容外，对谈判函的任何实质性修改，将导致无效);

2、近三年同类项目合同案例及相关证明资料(一个完整的案例资料为：与用户签订的合同首页、合同金额所在页、签字盖章页的复印件);

3、★报价人资格声明;

4、★报价一览表;

5、★服务技术规范响应及偏离表;

6、★详细的服务大纲(包含服务内容及范围;双方的权利和义务;服务费用的计取;违约责任及争议的解决办法等内容);

7、★主要投入服务人员及设备明细表;

8、★服务方案及服务承诺;

9、详细的服务实施细则;

8

评标办法

最低评标价法

10

本次谈判除收取成交供应商的公证费用外，不收取成交服务费，请报价人在测算报价时充分考虑这一因素。

11

中小微企业参加本项目投标时：

①须按照工信部联【2011】300号《中小企业划型标准规定》的标准如实填写《中小企业声明函》(格式见附件二)。

②价格折扣：根据《政府采购促进中小企业发展暂行办法》，对小型和微型企业产品的价格给予6%的价格扣除，用扣除后的报价参与评审。

③中小企业(含中型、小型、微型企业，下同)应当同时符合以下条件：a、符合中小企业划分标准;b、提供本企业制造的货物、承担的工程或者服务，或者提供其他中小企业制造的货物。本项所称货物不包括使用大型企业注册商标的货物。本办法所称中小企业划分标准，是指国务院有关部门根据企业从业人员、营业收入、资产总额等指标制定的中小企业划型标准。小型、微型企业提供中型企业制造的货物的，视同为中型企业。

项目名称

主要技术规范、要求

阳泉市应急管理局信息系统等级保护测评服务

主要技术要求：

一、等级保护测评服务

1、信息安全政策依据

(一)《中华人民共和国计算机信息系统安全保护条例》(1994年)规定：信息系统实行安全等级保护;公安部主管全国信息系统安全保护工作;

(二)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)规定：实行信息安全等级保护，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南;

(三)《公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)规定：信息和信息系统的安全保护等级共分五级，国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策，其中第二级为指导保护级，在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级为监督保护级，依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查;

(四)《公安部、国家保密局、国家密码管理局、国务院信息化领导组办公室关于印发〈信息安全等级保护管理办法〉的通知》(公通字〔2007〕43号)规定：信息系统建设完成后，运营、使用单位或者主管部门应当选择符合规定条件的测评机构，依据《信息系统安全等级保护测评要求》，定期对信息系统安全等级状况开展等级测评，第三级信息系统应当每年至少进行一次等级测评。第二级以上信息系统，应当在投入运行后30日内，到所在地设区的市级以上公安机关办理备案手续。受理备案的公安机关对第三级信息系统每年至少检查一次;

(五)《中华人民共和国网络安全法》(2017年6月1日正式颁布实施)第二十一条国家实行网络安全等级保护制度。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

2、项目实施遵循的技术标准

《信息安全等级保护管理办法》(公通字〔2007〕43号)

《信息系统安全等级保护基本要求》(GB/T22239-2008)

《信息系统安全等级保护实施指南》(GB/T25058-2010)

《信息系统安全等级保护体系框架》(GA/T708-2007)

《信息系统安全等级保护基本模型》(GA/T709-2007)

《信息系统安全等级保护基本配置》(GA/T710-2007)

《信息系统安全等级保护测评要求》(GB/T28448-2012)

《信息系统安全等级保护测评过程指南》(GB/T28449-2012)等。

3、信息系统测评对象

本项目测评对象为阳泉市应急管理局3个二级系统，包括管理、使用、运维管理制度制定及落实情况，网络设备、服务器、安全设备、应用软件、数据库、用户终端等安全技术保护情况。

4、信息系统测评内容

(一)安全技术测评

物理安全：物理位置的选择、物理访问控制、防盗窃和防破环、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护;

网络安全：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护;

主机安全：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制;

应用安全：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制;

数据安全及备份恢复：数据完整性、数据保密性、备份和恢复;

(二)安全管理测评

安全管理制度：管理制度、制定和发布、评审和修订;

安全管理机构：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查;

人员安全管理：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理;

系统建设管理：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择;

系统运维管理：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处理、应急预案管理;

5、信息系统测评过程

根据国家标准《信息安全技术—信息系统安全等级保护测评过程指南》的规定，测评过程分为四个阶段：

(一)测评准备阶段：主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备;

(二)方案编制阶段：主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书，形成测评方案;

(三)现场测评阶段：主要任务是按照测评方案的总体要求，严格执行测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题;

(四)分析与报告编制阶段：主要任务是根据现场测评结果和GB/T28448-2012的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本;

6、信息系统测评报告

信息系统测评报告需包括以下内容：

(一)报告摘要：信息系统等级测评基本信息表、声明、等级测评结论、总体评价、主要安全问题、问题处置建议;

(二)测评项目概述：测评目的、测评依据、测评过程、报告分发范围;

(三)被测信息系统情况：承载的业务情况、系统资产、安全服务、安全环境威胁评估、前次测评情况;

(四)等级测评范围与方法：测评指标(基本指标、不适用指标)、测评对象(测评对象选择方法、测评对象选择结果)、测评方法;

(五)单元测评：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理、单元测评小结(控制点符合情况汇总、安全问题汇总);

(六)整体测评：安全控制间安全测评、层面间安全测评、区域间安全测评、验证测评、整体测评结果汇总;

(七)总体安全状况分析：系统安全保障评估、安全问题风险评估、等级测评结论;

(八)问题处置建议;

(九)附录A等级测评结果记录;

在60天内提供公安机关认可的信息安全等级保护测评报告，并且合法有效。

二、安全服务内容：

1、等级保护定级备案服务

等级保护定级备案服务主要目的是按照《信息安全技术信息系统安全等级保护定级指南》(GBT22240-2008)要求，到所在地设区的市级以上公安机关办理备案手续，完成瓦斯监控系统、人员定位监控系统、产量监控系统定级备案工作，取得定级备案系统的《信息系统安全等级保护备案证明》。

2、安全管理制度咨询服务

安全管理制度服务主要为实施等级保护的系统提供全生命周期的安全管理体系文档建设服务，参照《信息安全技术信息系统安全管理要求》(GB/T20269-2006)，完成安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面安全管理内容咨询。

3、等级保护测评服务

等级保护测评服务主要是根据国家相关法律法规的要求，对委托方的瓦斯监控系统、人员定位监控系统、产量监控系统进行等级保护第二级测评服务，出具等级保护测评报告，并完成省、市两级公安机关网络监管部门测评备案工作。

项目名称

谈判文件编号

供应商名称

联系人

联系电话

(手机/办公)

邮箱地址

备注