福州市环境网格化监管平台及生态环境资源中心(一期)系统网络安全等级保护三级测评服务采购公告

(略) 环境网格化监管平台及生态环境资源心(一期)系统网络安全等级保护三级测评服务采购公告

按照公安部等四部委《关于印发〈信息安全等级保护管理办法〉的通知》（公通字〔2007〕43号）第三章第十八条“第三级信息系统每年至少检查一次”的相关要求，提供项目安全测评服务， (略) 公安厅、 (略) 保密局联合文件《转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(闽发改高技【2008】675号)文件要求的安全等级测评服务测试机构出具的《信息系统安全等级测评报告》(三级)。 (略) 生态环境局拟就“ (略) 环境网格化监管平台及生态环境资源心(一期)系统网络安全等级保护三级测评服务”进行内部公开询价采购，项目控制价不超过71000元。欢迎有能力的供应商参加响应。具体事项公告如下：

一、采购方式

内部公开询价采购，符合要求的供应商，最低价者标。

二、项目说明

1．项目概况

本次采购服务主 (略) 环境网格化监管平台及生态环境资源心(一期)系统网络安全等级保护三级复测服务。 (略) 环境网格化监管平台及生态环境资源心(一期)项目安全保护等级为三级，2020年月完成核准备案（详见附件1），2021年11月项目终验时进行第一次复测。根据公安部等四部委《关于印发〈信息安全等级保护管理办法〉的通知》（公通字〔2007〕43号）第三章第十八条“第三级信息系统每年至少检查一次”，今年需要重新采购第三方安全等级保护测评。

2．服务内容

2.1等级保护咨询服务

2.1.1等保资产分析服务

根据等级保护范围内的资产组成，投标人需派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理心以及安全管理制度进行调研和梳理，编制信息系统基本情况调查表。

2.1.2等保差距评估服务

投标人需在安全评估和信息系统定级的基础上，根据《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析。

2.1.3等保风险分析服务

投标人需根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，对信息系统进行安全风险分析。

2.1.4等保安全加固服务

投标人需根据等级保护基本要求以及风险分析结果，提供专业的系统安全加固建议意见，派遣专业工程师到现场根据等保安全加固指导书,实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。

加固完成后，派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。

提交成果：《等级保护安全评估与整改建议》。

安全加固服务采用“人工+工具”加固方式，即通过安全基线检查和安全策略修复，并结合第三方安全加固工具实现对操作系统的全面安全增强：

投标人所采用的加固工具支持通过网络拓扑图展示已介入的站点，实现对站点状态进行实时展示。（提供工具对应功能截图）

投标人所采用的加固工具支持对服务器cpu、内存、硬盘、等信息的监控，并可设置阀值进行告警。（提供工具对应功能截图）

投标人所采用的加固工具支持白名单功能。（提供工具对应功能截图）

投标人所采用的加固工具支持基于MD5的识别技术的文件完整性检查功能。（提供工具对应功能截图）

投标人所采用的加固工具支持基线检查功能。（提供工具对应功能截图）

投标人所采用的加固工具支持服务器的非法外联管控，避免服务器私自连接外部网络，满足等级保护完整性检查要求。（提供工具对应功能截图）

投标人所采用的加固工具支持外接USB设备的管控，可对接入的第三方USB设备进行控制，防止物理层面的非法接入行为。（提供工具对应功能截图）

标后五个工作日内，招标人有权要求投标人提供安全加固工具进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试发现虚假应标的行为将予以废标处理并保留对该投标人追究相关责任的权利。

2.1.5等保制度建设辅导服务

投标人需协助我单位对安全管理制度建设，按照等级保护管理部分的标准，从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理5个方面帮助我单位补充及完善等级保护要求的管理体系建设涉及到的制度文档，以及相关记录的完善。包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助我单位编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。

2.1.6等保测评辅助服务

在测评阶段协助我单位准备测评材料，指导我单位配合测评机构开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。

2.2等级保护测评服务

根据提交的网络安全等级保护测评申请书，对服务范围内的信息系统进行安全等级测评，并为被测系统提供测评机构出具的信息系统安全等级测评报告。

2.2.1技术层面测评服务

技术层面测评将根据要求逐项进行测评：

安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

安全通信网络：网络架构、通信传输、可信验证。

安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

安全管理心：系统管理、审计管理、安全管理、集管控。

2.2.2管理层面测评服务

管理层面测评将根据要求逐项进行测评：

安全管理制度：安全策略、管理制度、制定与发布、评审与修订。

安全管理机构：岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。

安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。

安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理

3.提交成果及要求

(略) 环境网格化监管平台及生态环境资源心(一期)系统网络安全等级进行复测，通过 (略) 进行三级复测评；

服务时限: 收到所需的技术资料和具备工作环境后的60个工作日内完成网络安全等级测评服务，并提交相应的《信息系统安全等级测评报告》。

安全测评单位严格按照国内现有的信息系统安全测评的有关规范和标准进行测评工作。

安全测评单位在采购人现场测评时，应遵守采购人的工作纪律，不破坏采购人的工作设备和软、硬件设施。

三、供应商资格及选取

1.应具有独立的法人资格，持有工商行政管理部门核发的有效的营业执照复印件。

2.若出现两家或以上单位报价相同时,以现场抽签方式确定标人。

3.参加本次采购活动前三年内，在经营活动没有重违法记录。

四、报价文件要求

1.项目报价单。报价文件一次发出，不得修改，报价应全部用人民币（元）报出。报价应视为已包括测评费用等与履行本项目合同有关的一切费用。

2.报价单位营业执照复印件。

3.招标内容及要求所需提供的证明材料。

4.通过“信用国”网站（http://**.cn）、国政府采购网（http://**.cn）查询并相应的信用记录。

5.其他证明供应商资格（若有）。

报价单位请预留联系人及联系方式。

以上文件每页须要盖报价单位公章；

报价文件*份，（密封并加盖公章递交，投标后无论标与否，投标文件一律不予退还）。

五、付款方式

1.付款以转账方式支付，标单位必须提供正规的增值税专用发票。

2.委托单位收到测评报告后一次性付清费用。

六、报价文件的递交时间、地点

供应商应于**日上午12：00前将报价文件送至 (略) 生态环境局信息心。地址： (略) 晋安区金鸡山路32号环保楼7楼。收件人：周月梅，联系方式：*。

附件下载