一、项目信息 （一）项目名称###市白云区住房****局信息技术服务（广州集采）定点采购 （二）项目编号：DDYJ******** （三）预算金额：80,******** （四）采购需求： 编号 服务描述 需求描述 数量 控制单价（元） 计量单位 1 ****网格安全等级保护测评需求详细说明:查看附件 ###市白云区住房****局削坡建房信****网络安全等级保护测评服务项目采购需求一、投标供应商资格1.投标人须是具有独立承担民事责任能力的，在中华人民共和国境内注册的法人（不接受联合体投标，须提交企业法人《营业执照》副本或注册登记证书副本复印件）2.投标人具有公安部第三研究****网络安全等级测评与检测评估机构服务机构服务认证证书》（提供证书复印件）；3.投标人具备《政府采购法》第二十二条所规定的条件；4.本采购项目不接受联合体投标。二、采购需求（一）项目背景随着信息化进程的全****网络安全法》自2017年6月起****网络安全等保护********的相关标准2019年开始宣贯和推行，信息化的程度越来越高也渐渐融合###市白云区住房****局内部的各项核心业务中，削坡建房信息管理系统已经成###市白云区住房****局业务工作正常开展必不可少的组成部分。为全面贯彻****网络安****网络安全等级保护制度的相关规定, 以及公安部对信息系统等级保护工作的要求###市白云区住房****局结合内部实际情况****网络安全等级保护相关规范与标准的要求,###市白云区住房****局削坡建房信息管理系统进行定级备案、差距测评、验收测评。****网络安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管****网络安全等级保护工****网络安全防御能力得到提升，并****网络安全等级保护验收要求。（二）项目目标以等级保护标准要求为依据，选择一家测评机构###市白云区住房****局削坡建房信息管理系统进行定级备案、差距测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式，分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析列表；并为确立安全策略、制定安全规划、开展安全建设提供决策建议；协###市白云区住房****局完成削坡建房信****网络安全等级保护验收测评工作，提交验收测评报****网络安全等级保护工****网络安全防御能力得到提升并****网络安全等级保护验收要求。具体目标如下：（1）依据GB/T********《信****网络安全等级保护基本要求》、GBT********《信****网络安全等级保护基本要求》以及GB/T********《信****网络安全等级保护测评要求》的要求，对需定级的系统进行等级保护基本要求符合性的调查，采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析报告；（2）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差距分析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达到等级保护基本要求为目的，设计信息系统等级保护体系建设方案，为后续****网络安全等级保护安全建设提供依据；（3）依据国家等级保护********的相关标准发现现有信息系统存在的信息安全问题，确保信息系统在技术防护和安全管理体系方面均达能到等级保护********的防护要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在第一恢复部分功能。（三）项****网络安全等级保护管理办法》 （公通字4****网络安全等级保护安全建设整改工作指导意见》 （公信安1429号）《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发27号****网络安全等级保护工作的实施意见》 2004年****局联合签发的《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技2071号）《****网络安全等级保护工作方案》 (粤公通字45号)《信息安全技术 信息系统安全等级保护定级指南》 （GB/T ********）《信****网络安全等级保护测评要求》GB/T********《信****网络安全等级保护基本要求》（GB/T********）《信****网络安全等级保护安全设计技术要求》（GB/T********）（四）测评对象本项目需测评的信息系统清单：序号需测评系统的名称对应等级1削坡建房信息管理系统三级（五）服务内容要求1、差距测评差距测评包括两个方面的内容：一是安全控制测评****网络安全等级保护要求的基本安全控制在系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。2、验收测###市白云区住房****局委托**护验收测评工作，并按照等保********的相关要求出具验收测评报告，最后协###市白云区住房****局进行测评报告备案工作，提交验收测评报告到当地公安等级保护部门，完成报告备案工作。（六）测评要求按照等保********的相关要求对信息系统安全等级保护状况进行测试评估，包括安全通用要求、云计算安全扩展要求、移动互联安全扩展****网安全扩展要求和工业控制系统安全扩展要求。安全通用要求规定了不管等级保护对象形态如何必须满足的要求，评单元分为安全技术测评和安全管理测评两大类，技术要求包括：安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心；管理要求包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。云计算拓展要求包括：安全物理环境****网络、安全区域边界、安全计算环境、安全建设管理****网拓展要求包括：安全物理环境、安全区域边界、安全计算环境、安全建设****网安全拓展要求包括：安全物理环境、安全区域边界、安全建设管理。工业控制系统安全拓展要求包括：安全****网****网络、安全区域边界、安全计算环境。（七）测评内容1、安全通用要求安全物理环境测评内容：被测信息系统应对重要的物理安全设置，如物理位置选择、物理范围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应电磁防护等做必要配置。测试方法：访谈、检查****网络测评内容：被测信息****网络安全进****网络架构、通信传输、可信验证等做必要的配置。测试方法：访谈、检查。安全区域边界测评内容：被****网络边界进行安全配置，如边界防护、访问控制、入侵范围、恶意代码防范、安全审计、可信验证等做必要的配置。测试方法：访谈、检查。安全计算环境测评内容：被测信息系统安全计算环境进行安全配置，如身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等做必要的配置。测试方法：访谈、检查。安全管理中心测评内容：被测信息系统的安全管理中心进行安全配置和管理，如系统管理、审计管理等做必要的配置测试方法：访谈、检查。安全管理制度测评内容：被测系统运营单位的管理制度、制定和发布、修订和评审进行管理和落实情况。测评方法：访谈、检查。安全管理机构测评内容：被测系统运营单位的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查的管理和落实情况。测评方法：访谈、检查。安全管理人员测评内容：被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的管理和落实情况。测评方法：访谈、检查。安全建设管理测评内容：被测系统运营单位的系统定级和备案情况、安全方案设计、产品采购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择管理和落实情况测评方法：访谈、检查。系统运维管理测评内容：被测系统运营单位在环境管理、资产管理、介质管理、设备维护管理、漏洞和****网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理、外包运维管理方面的管理和落实情况。测评方法：访谈、检查。2、云计算拓展要求安全物理环境测评内容：被测系统的基础设施位置选择。测评方法：访谈、检查。安全边界区域测评内容：对云计算环境访问控制、入侵防范、安全审计进行安全配置。测评方法：访谈、检查。安全计算环境测评内容：对安全计算环境的访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护进行安全配置。测评方法：访谈、检查。安全建设管理测评内容：对云计算环境的云服务商选择、供应链管理方面的落实情况。测评方法：访谈、检查。安全运维管理测评内容：云计算环境管理是否符合国家相关规定测评方法：访谈、检查。3****网拓展要求安全物理环境测评内容：被测系统的无线接入点的位置选择。测评方法：访谈、检查。安全区域边界测评内容：****网的边界防护、访问控制、入侵防范进行安全配置。测评方法：访谈、检查。安全计算环境测评内容：****网的移动应用管控进行安全配置。测评方法：访谈、检查。安全建设管理测评内容：****网的移动应用软件采购、移动应用开发和安全合理管理测评方法：访谈、检查****网安全拓展要求安全物理环境测评内容：被测系统的感知节点设备物理防护合理。测评方法：访谈、检查。安全区域边界测评内****网系统的接入控制、入侵防范进行安全配置。测评方法：访谈、检查。安全运维管理测评内****网的感知节点进行安全合理管理。测评方法：访谈、检查。5、工业控制系统安全拓展要求安全物理环境测评内容：被测工业控制系统的室外控制设备物理防护措施合理。测评方法：访谈、检查****网络测评内容：被测工业****网络架构、通信传输进行安全配置。测评方法：访谈、检查。安全区域边界测评内容：对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安全配置。测评方法：访谈、检查。安全计算环境测评内容：对工业控制系统的控制设备进行安全控制。测评方法：访谈、检查。安全建设管理测评内容：对工业控制系统的产品采购和使用、外包软件开发进行安全合理管理。测评方法：访谈、检查。（八）测评方法与工具要求1、测评方法（1）人员访谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。（2）配置检查利用上机验证的方式检查主机操作系统****网络设备、安全设备、应用系统等配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完****网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。（3）文档审查检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统****网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。（4）实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。2、工具和测试（1）****网络安全等级保护测评过程中使用的测评工具严格遵循可控性原则，即所有使用到的测评工具将事先提交给系统管理员检查和确认没问题，并在认可的范围之内进行使用。投标人所用的评测工具应达到以下要求：1.有原厂出具的针对该项目等级保护工具箱的使用授权；2.等级保护工具箱支持一键导入功能，将检查工具集检测结果自动导入到工具平台；3.等级保护工具箱配备U盘安全检查工具集（支持Windows、Linux安全配置检查、主机病****网站恶意代码检查、弱口令、系统漏洞检查）；4.等级保护工具箱支持等级保护********/云计算/大****网/移动互联风/工业控制安全检查任务。（2）工具测试利用技术工具（漏洞扫描工具、渗透测试工具）对系统进行测试****网络探测和基于主机审计的漏洞扫描、渗透测试、性能测试等。（九）项目实施要求1. 实施要求（1）投标人必须具备独立完成本项目的能力；（2）投标人提供的资格、资质等证明文件应真实有效；（3）投标人应对了解到的信息保密，并提供保密承诺；（4）投标人应在项目现场实施周期内，中标方必须为本项目成立等级保护测评小组，安排包括项目经理和核心技术人员的现场驻场服务，所需电脑等设备自行提供；（5）###市白云区住房****局进行整改过程中提供必要的技术支持；（6）能按###市白云区住房****局规定的工作内容及进度安排协助完成等级保护工作；（7）项目必****网络安全等级保护的标准要求开展。（8）优先选择项目经理具有以下资质的团队：a)具有人力资源和社会保障部门颁发的高级信息系统项目管理师证书；b)具有公安部信息安全等级保护评估中心颁发的中级或以上信息安全等级测评师证书；c****网络安全审查技术与认证中心颁发的CISAW风险管理专业人士证书；d****网络安全审查技术与认证中心颁发的CISAW应急处理专业人士证书；e)具有PMP 项目管理专业人员资格认证证书；f)具有中国信息安全测评中心颁发的注册信息安全专业人员证书（即 CISP 证书）资格证书；g)具有中国信息安全测评中心颁发的注册渗透测试工程师证书（即 CISP-PTE证书）资格证书；h)具有G****网络渗透与深度防御实战培训GooAnn黑客攻防培训结业证书；i)****网络安全等级保护专家聘书；j****网络安全审查技术与认证中心颁发的CCRC-DSO数据安全官证书；k****网络安全审查技术与认证中心颁发的CCRC-DSA数据安全评估师证书；l****网络安全审查技术与认证中心颁发的CCRC-PIPP个人信息保护专业人员证书。（十）其它要求1、安全调查和测评的过程中，投标方如需招标方人员配合，投标方需要详细描述需要配合的内容。如需要招标方人员协助完成各种表单，需要详细描述表单的名称、功能及主要表项等等，并由投标方给出具体示例。招标方有权利拒绝提供任何未事先提出的配合要求，由此产生的损失由投标方负全责；2、本项目中可能需要的硬件平台(如笔记本电脑、PC、工作站等)均由中标方提供，招标方将按照相关要求对设备进行必要的处理。投标方在服务期间未经招标方许可不得将设备带离招标方指定场所，也不得使用任何未经招标方确认的存储设备对测评数据进行复制；3、投标方需要给出招标方在进行调查和测评时所需要提供的信息列表。经招标方确认后提供给投标方。招标方有权利拒绝提供任何信息列表以外的招标方资产信息；4、安全测评应按照分层的原则，包括但不限于以下对象：****网****网络服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等；5、投标方应提供本项目的测评方案，包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法；6、实施部分包括人员组织、安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的安排、操作和操作人员。安全调查和测评过程中，如需使用安全工具，请在实施方案中详细描述所使用的安全工具（软硬件型号、功能和性能描述）、使用的方式和、对环境和平台的要求等；7、投标方应详细描述安全调查和测评的组织方式，包括组成的人员及分工、测评的过程组织、实施安排、测评方式所遵循的标准等。（十一）付款方式1、合同签订后，在10个工作日内甲方支付合同总金额的50%；2、中标人完成2024、2025年两年度信息系统定级、备案、测评工作，提交定级备案材料、系统测评存在问题清单后，并且备案通过取得备案回执后，在10个工作日内甲方支付合同总金额的50%；3、每笔款项支付时，乙方同时向甲方提供相应金额的正式发票；4、本合同以人民币进行结算。（十二）验收要求1、乙方完成信息系统测评工作后，提交差距测评存在问题清单，本项目表示初步验收；2、乙方完成信息系统2024、2025两年度验收性测评工作后，提交验收性测评报告，递交公安部门进行备案，并且备案通过，取得备案回执后，本项目表示最终验收。 1 80,000 项 商务需求 编号 需求内容 1 1、乙方完成信息系统测评工作后，提交差距测评存在问题清单，本项目表示初步验收；2、乙方完成信息系统2024、2025两年度验收性测评工作后，提交验收性测评报告，递交公安部门进行备案，并且备案通过，取得备案回执后，本项目表示最终验收。 （五）议价发起：2007月3（六） 本项目采用的是按项目的报价方式。二、需求信息 合同份数：4 争议处理方式：向采购单位所在地的仲裁委员会申请仲裁解决 发票类型：增值税普通发票

本招标项目仅供正式会员查阅，您的权限不能浏览详细信息,请点击注册/登录，联系工作人员办理入网升级。
联系人：刘欣
电话：010-68809590
手机：13522553206（欢迎拨打手机/微信同号）
邮箱：kefu@bidnews.cn