珠海市“互联网+职业技能培训”公共服务平台等级保护测评及商用密码应用安全性评估服务采购项目（第三次）

珠海市“互联网+职业技能培训”公共服务平台等级保护测评及商用密码应用安全性评估服务采购项目（第三次）

（招标编号：ZHJSXY-2021-012）

 

一、项目背景

为了贯彻落实《中华人民共和国网络安全法》、《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，我单位新建业务系统-珠海市“互联网+职业技能培训”公共服务平台需按照相关开展信息安全等级保护测评和商用密码应用安全性评估服务，本系统包括互联网门户接入、培训课程库、远程教学、移动学习、在线考试和证书发放、培训过程监督等功能模块，建设模式为云上租用模式，相关资源都部署在云上。

二、项目目的

依据等级保护政策、标准、指南等文件要求，对保护对象进行定级，对不同的保护对象从物理环境防护、通信网络防护、区域边 计算环境防护等各方面进行不同级别的的安全防护设计。同时统一的安全管理中心保障了安全管理措施和防护的有效协同及一体化管理，保障了安全技术措施有效运行和落地。

以等级保护安全框架为依据和参考，在满足国家法律法规和标准体系的 前提下通过“一中心、三防护”的安全设计，形成网络安全综合技术防护体系。保障学校核心信息系统安全防护标准达到《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019)要求。

三、用户需求书

★项目工期要求：要求整个项目在合同签订后3个月内完成。1、项目初验后，完成测试评估，并出具差距测评报告和安全整改建议。项目最终验收前，需完成对信息系统整改后的测试评估、输出2.0验收测评报告，并协助用户方通过公安机关的备案与检查。2、完成信息系统的商用密码应用安全性评估。并且出具商用密码应用安全性评估报告，提交至当地密码管理局备案，且协助被评估单位认清风险，查找漏洞，找出差距，提出有针对性的加强完善密码安全管理和防护建议。

★供应商须列入《全国网络安全等级保护测评机构推荐目录》（须在有效期内。提供“中国网络安全等级保护网网站”目录截图），并提供国家网络安全等级保护工作协调小组办公室国家等保办颁发的《网络安全等级保护测评机构推荐证书》。

需求概述

信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，也是《中华人民共和国网络安全法》的要求。

为贯彻落实国家信息安全等级保护相关要求，采购人拟委托具有国家承认测评资质的测评机构对采购人所属信息系统展开等级保护测评，找出与国家信息安全等级保护基本要求存在的差距，在此基础上，采购人按照国家有关规定和标准规范要求对信息系统进行安全建设整改，并达到国家信息安全等级保护相关要求，通过公安等级保护主管部门的备案审核。切实提高采购人的信息安全防护水平，增强信息安全防护能力。

 依据GM/T0054-2018《信息系统密码应用基本要求》、《信息系统密码测评要求（试行）》、《商用密码应用安全性评估测评过程指南（试行）》、《商用密码应用安全性评估测评作业指导书（试行）》、《政务信息系统密码应用与安全性评估工作指南》和信息系统自身的安全需求分析，对被评估系统进行商用密码应用安全性评估，为重要网络和信息系统的密码安全提供科学评价，逐步规范网络运营者的密码使用和管理行为，推动提升采购人密码应用水平。

四、测评目标及预算

1、 信息系统等级保护服务要求及范围：

序号	系统名称	子系统	系统安全等级
1	珠海市“互联网+职业技能培训”公共服务平台	/

第一步：测评方协助采购人完成系统定级备案工作；

第二步：测评方对采购人的信息系统进行测试评估、分析差距、输出差距测评报告和安全整改建议；

第三步：采购人根据差距测评报告与安全整改建议实施安全整改；测评方需协助我方按照等级保护相关标准完善安全管理制度；

第四步：测评方再次对采购人的信息系统进行测试评估、输出2.0验收测评报告，并协助用户方通过公安机关的备案与检查。

为此，测评方专业测评师需要通过规范的等级保护测试评估，对采购人信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。

2、 商用密码应用安全性评估服务要求及范围：

序号	系统名称	子系统	系统安全等级
1	珠海市“互联网+职业技能培训”公共服务平台	/

第一步：信息系统的商用密码应用安全性评估。

第二步：出具商用密码应用安全性评估报告，并协助提交至当地密码管理局备案。

第三步：协助被评估单位认清风险，查找漏洞，找出差距，提出有针对性的加强完善密码安全管理和防护建议。

3.采购内容及预算：

采购内容	数量	服务期	最高限价
珠海市“互联网+职业技能培训”公共服务平台等级保护测评及商用密码应用安全性评估服务采购项目	一项	合同签订后3个月内完成	人民币140000元，大写：壹拾肆万元整

 

五、测评原则

项目的方案设计与实施应满足以下原则：

符合性原则：应符合国家信息安全等级保护、商用密码应用安全性评估的制度及相关法律法规。

标准性原则：方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。

规范性原则：项目实施应由专业的实施人员依照规范的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。

整体性原则：等级保护测评、商用密码应用安全性评估与安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。

最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。

保密原则：对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。

同时，在等级保护测评实施的过程中遵循以下原则：

客观性和公正性原则：虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

经济性和可重用性原则：基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

可重复性和可再现性原则：不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

结果完善性原则：测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

六、测评依据

信息系统等级保护测评依据《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对相应等级信息系统遵循的标准进行综合性测评，提出相应的安全评审意见。

主要参考标准如下：

n GB17859-1999计算机信息系统安全保护等级划分准则

n GBT22239-2019信息安全技术网络安全等级保护基本要求

n GB/T22240—2008信息系统安全等级保护定级指南

n 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》

n 《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》

n 信息系统安全等级保护测评过程指南（国标报批稿）

n 信息系统安全等级保护测评要求（国标报批稿）

n GB/T25058-2010信息系统安全等级保护实施指南

n 《GB/T25070-2019》信息安全技术 网络安全等级保护安全设计技术要求》

n 《中华人民共和国密码法》

n 《中华人民共和国网络安全法》

n 《商用密码应用安全性评估管理办法（试行）》

n 《国家政务信息化项目建设管理办法》

n 《广东省省级政务信息化项目商用密码应用工作指引》

n 《广东省省级政务信息化项目立项审批细则》

n 《广东省省级政务信息化项目验收前符合性审查细则》 

n 遵循的主要标准

n 《信息系统密码应用基本要求》GM/T0054-2018

n 《信息系统密码测评要求（试行）》

n 《政务信息系统密码应用与安全性评估工作指南》

n 《商用密码应用安全性评估测评过程指南（试行）》

n 《商用密码应用安全性评估测评作业指导书（试行）》

n 《商用密码应用安全性评估量化评估规则》

n 《信息系统密码应用高风险判定指引》

 

七、★服务要求

1、供应商必须保证从事本项目工作的相关人员具备完成合同规定的工作所需的资历和技能，并向采购人如实提供相关人员专业经验和水平的证明材料，以及其他的供应商认为有必要提供的资料。

2、供应商需要成立项目服务团队。

3、项目经理须具备3年或以上信息安全等级保护测评项目管理经验。

4、项目经理与技术服务人员必须为本公司工作人员，提供本公司社保资料证明（提供证明材料）。

5、供应商必须承诺项目的全部实施人员均在项目投标提交的人员名单之内。

6、其他：

（1）如果供应商的人员未能满足采购人要求，采购人有权在服务方工作期间，根据服务质量随时要求更换人员，由此产生的费用和相关责任由成交供应商独立承担。

（2）若成交供应商需要更换核心服务人员，应提前以书面方式通知采购人项目总负责人，并附上相应人员的详细简历供采购人进行审核，只有获得采购人项目总负责人***

八、质量保证

成交供应商应制定质量计划作为项目策划的一部分，质量计划应包括下列内容：

(1)   质量目标，尽可能以定量形式给出。

(2)   对质量活动的具体职责，诸如：评审和测试、配置管理和更改控制、对缺陷的控制及纠正措施。

(3) 质量计划应顺次列出从整体规划到成果提交全过程中的每一个工序(阶段)及其相应的控制规程和控制措施。

(4) 质量计划应在工作开始前提交采购人项目总负责人***

(5) 采购人代表有权在工作时间内进入成交供应商与合同执行有关的工作场所进行质量控制与评价活动，成交供应商应为采购人的活动提供必要的条件，并给予必要的支持。

(6)采购人对成交供应商进行的一切质量控制与评价活动，不能减免成交供应商的合同责任。

(7) 文件控制，必须对工作的执行和验证所需要的文件(例如规程、细则等)的编制、审核、批准和发放进行控制以保证参与活动的人员能使用完成该项活动所需的正确文件及适合版本记录，应建立并保存足够的质量保证记录(包括检查、确认及评审等记录)，记录应能体现质量的客观证据。

(8) 成交供应商须按照合同规定向采购人提交各种有关文件记录，并对文件记录的内容及其有效性负全部责任。

九、项目培训

成交供应商应对采购人的相关技术人员进行培训，使其达到一定的技术水平，具备独立开展信息系统等级保护测评、商用密码应用安全性评估的能力。

十、★安全保密要求

1. 成交供应商及其服务人员均须与采购人签署相关保密协议，同时要求提供成交供应商与其服务人员就本次服务签署的保密协议。

2. 针对本服务项目，要求服务人员的变动率不得超过 20%，确需变更应提前通知采购人并获得批准后方可进行。

3. 服务过程中所有原始资料和数据均须妥善保管，仅限在项目组内为本服务项目所用，不得以任何方式外泄或用于其它用途，服务人员须及时删除存储在电脑中或纸质的数据和文件材料。

十一、项目成果及形式

★本项目完成后预期取得的成果应包括以下部分：

服务名称	交付物名称	数量
等级保护测评服务	《定级报告》、《网络安全等级保护差距报告》、《问题清单》 《网络安全等级保护等级测评报告》	1份/每系统 1份/每系统
商用密码应用安全性评估服务	《商用密码应用安全性评估实施方案》 《商用密码应用安全性评估报告》	1份/每系统 1份/每系统

 

 

十二、付款方式说明

本合同的每笔款项以人民币方式支付，项目阶段工作完成并提交成果文件后，凭以下资料：

1）合同；

2）中标供应商开具的正式发票复印件，加盖采购人公章；

3）交付物（加盖有效公章/测评章）。

按下述步骤付款：

1）合同签订10个工作日内由付款单位向中标供应商支付合同总金额的 50%（采购人由于财政付款手续等原因造成的延期付款免责）；

2）项目完成验收，出具《网络安全等级保护等级测评报告》、《商用密码应用安全性评估报告》，并协助提交至当地密码管理局和公安局备案后20个工作日内，由付款单位向中标供应商支付合同总金额的 50%（采购人由于财政付款手续等原因造成的延期付款免责）；

 

 

珠海市技师学院“珠海市‘互联网+职业技能培训’公共服务平台等级保护测评及商用密码应用安全性评估服务”采购项目，邀请国内合格供应商提交密封报价文件报人民币含税价：

一、采购内容及需求：详见附件（见上）

1、采购需求相关问题，请咨询采购单位。

2、采购单位联系人***

3、确定预中标供应商原则：满足相应要求以项目总报价最低者中标，若两个及以上投标人投标报价相等，采用公开抽签方式确定中标人。

 

二、供应商要求

1、投标人必须是具有独立承担民事责任能力的法人或其他组织（提供法人或其他组织的营业执照等证明文件的复印件，加盖投标人公章）；

2、能够按照采购人要求的完成时间；

 

三、密封报价文件中至少包含以下相关证照资料

1、有效营业执照复印件（加盖公章）；

2、详细报价单（报含税价并加盖公章）；

3、供应商要求中的相关资质证明文件（加盖公章）；

4、投标人联系方式***

 

四、报价文件要求

1、报价文件必须对项目的所有要求及条件作出响应。

2、请提供报价文件两份，注明正副本，必须完全密封，并在密封口处加盖公章。

3、报价文件外包装上写明所投项目名称、联系人及联系电话***

4、不接收未完全密封或未写明所投项目的报价文件，不接收以邮寄（快递）、传真或电邮形式提供的报价资料。 

 

五、接收报价文件时间及地点

接收报价文件时间：2021年6月4日  14:30-16:00（北京时间）

接收报价文件截止时间：2021年6月4日  16:00（北京时间）

接收报价文件地点：珠海市技师学院吉大校区（珠海市白莲路42号），3号楼4楼412室，徐老师0756-3808371