合肥一六八中学网络二级等保护测评服务需求

一、项目概况

在全面贯彻党的教育方针，坚持立德树人，全面推进素质教育，坚持教育现代化的方向，推动学校科学发展、内涵发展、创新发展，不断追求卓越的办学方向的指导下。为了进一步提升我校网络安全水平，查找薄弱环节，现对我校校园网站进行二级等保护测评，项目预算3.8万元整。

二、投标人的资格要求：

1、具有有效的营业执照；

2、******部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书；

3、投标人须符合下列条件（投标人在投标文件中提供满足条件的承诺函）：

(1)具有独立承担民事责任的能力；

(2)具有良好的商业信誉和健全的财务会计制度；

(3)具有履行合同所必需的设备和专业技术能力；

(4)有依法缴纳税收和社会保障资金的良好记录；

(5)参加本项目投标前三年内，在经营活动中没有重大违法记录；

4、投标人在投标****人民法院在信用中国网站（Http://www.****.cn）上列为失信被执行人。

三、项目内容

本项目主要针对于****的门户网站系统的运行环境、应用架构、网络结构、安全控制、运行维护、操作规程、信息安全保障体系等各个环节做一次全面的评测分析。

通过评测，分析定位信息系统安全风险和薄弱环节，制定信息系统安全风险管理策略，健全信息安全管理和保障体系，完善规章制度和操作流程。

（一）指导思想和基本准则：

根据《网络安全法》，**部、国家保密局、****管理局、国信办联合印发的《信息系统安全等级保护管理办法》（公通字〔2007〕43 号）、《关于信息系统安全等级保护工作的实施意见》（公通字〔2004〕66 号）、《关于开展**重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861 号）、**部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信[2009]1429 号）等文件精神，结合****工作实际，现拟对****门户网站系统实施等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力，为信息化建设的健康有序发展提供可靠保障。

（二）等级保护测评主要包括以下几个方面：

安全技术测评：包括安全物理安全、安全通信网络、安全区域边界、安全计算环境、****中心等五个方面的安全测评。

安全管理测评：包括安全管理机构、安全管理制度、安全人员管理、安全系统建设和安全系统运维等五个方面的安全测评。

形成差距分析报告：依据测评结果和《信息系统安全等级保护基本要求》（GB/T22239-2019），对各信息系统进行安全现状分析，形成相应的差距分析报告。

编制系统安全整改方案：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，结合差距分析结果，编制针对各信息系统的安全整改建设方案。

编制和完善安全管理制度：依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，协助制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。

完成上述测评工作和实施整改后，最后中****机关要求的（年度）信息系统安全保护等级测评报告。

（1）工作要求：

规范性原则：中标人工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

（2）测评方法：

2.1访谈

访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。

在安全管理类测评任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，获取与安全管理有关的测评证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。

在安全功能检查任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，为后续的检查和测试收集必要的系统基本信息并提供参考数据。

2.2检查

检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务。

在物理安全测评任务中，测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特**全技术措施是否符合国家相关标准以及委托方的实际需求。

在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在主机、网络和应用层面采用的特**全技术措施是否符合国家相关标准以及委托方的实际需求。

在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

2.3工具测试

测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描等测评任务中。

在网络安全、主机安全和应用安全等测评任务中，测评人员将综合采用手工验证和工具测试方法对特**全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。

四、报价要求

本项目报总价，报价包含完成本项目所需的材料、人工、维护成本、税费、安装等全部费用价格。成交后采购人不再另行追加任何费用，供应商应自行考虑报价风险。

五、人员配备及要求

中标人拟派的安全服务团队不得少于 4 人。项目经理需满足高级测评师资质。

六、验收标准

中标人按等保要求，完成规定工作内容，合同签订后1个月内交付系统测评报告。

七、投标截止时间：

2024年10月25日上午10:00整，标书在投标截止前送到****西门门卫室（**市经开区始信路179号）。

联系人：黄主管：189****2720

八、评标办法

综合评分法

1、磋商小组按照下表对进入综合评分的所有供应商的响应文件进行综合评分。

2、本项目综合评分满分为 100 分，其中：技术资信分值占总分值的权重为70%，价格分值占总分值的权重为 30%。具体评分细则如下：

网站测评附件.doc