(編號20230921)

一、項目概況

（一）項目名稱：信息系統網絡安全及等級保護測評服務項目

（二）項目概況

針對淄博師專網站群請系統、淄博師專智慧校園安防平臺提供網絡安全基線核查、漏洞掃描、主機加固、等級保護測評、人員培訓等服務，進一步提升相關系統的安全防護能力。主要服務包括：

1.網絡安全基線核查、漏洞掃描及加固服務

每季度開展安全服務，對相關系統的運行狀況和安全基線進行檢視，對存在漏洞的情況進行掃描和驗證，對相關安全設備的策略進行優化調整，并出具詳細報告進行說明、提出整改意見建議。為保證安全防護效果，首次巡檢服務結束后，提供一次針對相關主機系統的加固服務。

2.網絡安全等級保護測評服務

按照網絡安全等級保護(等保2.0)標準和工作要求，由中標單位或由中標單位委托具有相關資質的第三方開展等級保護測評工作，通過系統定級梳理，協助完成系統的等級保護定級與備案工作；針對信息系統提供正式的等級保護測評，出具公安主管單位認可的測評報告，并上報公安主管機關備案。

3、網絡安全培訓服務

提供等級保護測評相關服務提高等級保護測評準備工作的針對性、質量和效率；提供信息安全意識培訓，提高受眾人員的安全意識和防護能力。

二、項目內容及需求

（一）網絡安全基線核查、漏洞掃描及加固服務

1、網絡安全基線核查服務：由網絡安全工程師定期上門，對相關系統的重要服務器、操作系統、網絡設備、安全設備、中間件、數據庫等基于信息安全風險的角度進行配置核查，檢測網絡設備的安全策略弱點和部分主機的安全配置錯誤等安全隱患，提出整改建議，指導優化配置策略，從而達到相應的安全防護要求；服務每季度開展一次，共4次。

交付成果：基線核查報告。

2、漏洞掃描及人工核驗服務：由網絡安全工程師通過專業掃描系統，對指定主機操作系統、數據庫、中間件等進行漏洞、弱口令、信息泄露等安全因素進行掃描，掃描完成后由安全專家對漏洞進行確認測試，核驗其準確性，并提交完整報告、提出整改建議；服務每季度開展一次，共4次。

交付成果：漏洞掃描報告。

3、主機系統安全加固服務：增強相關主機系統的安全性，其中包括確保操作系統按照最佳安全實踐進行配置、移除不必要的服務和應用、應用最新的安全補丁、設置恰當的文件和目錄權限、配置安全的用戶賬戶和密碼策略、管理和限制系統服務與進程、以及啟用日志記錄和監控來追蹤和報告潛在的安全事件；共提供1次服務。

交付成果：主機系統加固方案及報告。

（二）網絡安全等級測評服務

1、測評系統名稱及范圍

（1）淄博師專網站群系統：含網站群所有子站點。

（2）淄博師專智慧校園安防平臺：含安防監控、軌跡跟蹤、人臉庫平臺及訪客系統等功能模塊。

2、系統調研與定級梳理

依據《信息系統安全等級保護定級指南》（GB/T22240-2008）的要求，遵循規范的流程，形成定級建議書。

3、提供等級保護測評服務

根據定級梳理結果，按照《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）對上述系統進行信息安全等級保護現狀測評。

安全技術測評：包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心五個方面的安全測評；

安全管理測評：安全管理機構、安全管理制度、安全管理人員、安全建設管理和安全運維管理五個方面的安全控制測評。

4、出具測評報告和整改方案

根據測評過程中發現的安全隱患，遵循適度安全原則，提出信息系統安全等級保護整改建議，出具測評報告和整改方案。根據測評報告和整改方案系統地進行整改，整改工作是對信息系統完善的過程，通過建立整改方案和有效的整改工作，使系統能夠進一步完善，達到等級保護的要求。

5、項目實施完成后提交交付物

《信息系統等級保護備案表》；

《信息系統等級保護定級報告》；

《信息系統測評方案》；

《信息系統等級測評報告》；

項目實施過程中的其他材料等。

6、測評要求

?網絡安全等級測評包括安全技術測評和安全管理測評：

?安全技術測評：包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心五個方面的安全技術測評；

?安全管理測評：安全管理機構、安全管理制度、安全管理人員、安全建設管理和安全運維管理五個方面的安全管理測評。

?安全物理環境：針對物理環境安全方面的“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應”和“電磁防護”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全通信網絡：針對通信網絡安全方面的“網絡架構”、“通信傳輸”、“可信驗證”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全區域邊界：針對邊界安全方面的“邊界防護”、“訪問控制”、“入侵防范”、“惡意代碼和垃圾郵件防范”、“安全審計”、“可信驗證”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全計算環境：針對應用安全方面的“身份鑒別”、“訪問控制”、“安全審計”、“入侵防范”、“惡意代碼防范”、“可信驗證”、“數據完整性”、“數據保密性”、“備份和恢復”、“剩余信息保護”、“個人信息保護”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全管理中心：針對安全管理中心方面的“系統管理”、“審計管理”、“安全管理”、“集中管控”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全管理制度：針對安全管理制度方面的“安全策略”、“管理制度”、“制定和發布”、“評審和修訂”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全管理機構：針對安全管理機構方面的“崗位設置”、“人員配備”、“授權和審批”、“溝通和合作”、“審核和檢查”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全管理人員：針對安全管理人員方面的“人員錄用”、“人員離崗”、“安全意識教育和培訓”、“外部人員訪問管理”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全建設管理：針對安全建設管理方面的“定級和備案”、“安全方案設計”、“產品采購和使用”、“自行軟件開發”、“外包軟件開發”、“工程實施”、“測試驗收”、“系統交付”、“等級測評”、“服務供應商管理”等測評指標，判斷出與其相對應的各測評項的測評結果。

?安全運維管理：針對安全運維管理方面的“環境管理”、“資產管理”、“介質管理”、“設備維護管理”、“漏洞和風險管理”、“網絡和系統安全管理”、“惡意代碼防范管理”、“配置管理”、“密碼管理”、“變更管理”、“備份與恢復管理”、“安全事件處置”、“應急預案管理”、“外包運維管理”等測評指標，判斷出與其相對應的各測評項的測評結果。

?通過詳細的系統調研，開展對信息系統（以現場調研系統為準）的等級保護測評工作，找出安全現狀與標準要求之間的差距，并遵循適度安全的原則，協助制定安全整改建設方案，指導整改工作。最終完成等級保護測評報告。

?通過現場測評，逐項找出系統現狀與國家相關標準要求之間的差距，進行逐項分析、整體分析，給出差距分析報告，并給出整改建議方案。

?待整改完畢后，進行結果確認，完成網絡安全等級保護測評（等保2.0），出具測評報告。

7、測評依據

?《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)

?《信息安全技術網絡安全等級保護測評要求》(GB/T 28448-2019)

?《信息安全技術信息系統安全等級保護定級指南》（GB/T 22240-2020）

?《信息安全技術信息系統安全等級保護實施指南》

?《信息安全技術信息系統安全等級保護測評要求》

?《信息安全技術信息系統安全等級保護測評過程指南》

?公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯合轉發的《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）；

?公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》（公通字[2007]43號）。

?《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）

?《信息安全技術信息系統通用安全技術要求》（GB/T20271-2006）

?《信息安全技術網絡基礎安全技術要求》（GB/T 20270-2006）

?《信息安全技術操作系統安全技術要求》（GB/T 20272-2006）

?《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2006）

?《信息安全技術服務器技術要求》（GB/T 21028-2007）

?《信息安全技術終端計算機系統安全等級技術要求》（GA/T 671-2006）

?《信息安全技術信息系統安全管理要求》（GB/T20269-2006）

?《信息安全技術信息系統安全工程管理要求》（GB/T20282-2006）

?GB/T 18336-2001 信息技術 安全技術 信息技術 安全性評估準則

?其他網絡安全等級保護相關新標準等。

（三）網絡安全培訓服務

1、等級保護培訓：供應商應為采購人提供全面的信息安全等級保護工作培訓服務，確保采購人能夠了解并掌握等級保護定級、備案、建設整改、等級測評和監督檢查等工作要求。對相關工作人員進行信息安全政策、法規、技術、標準等內容的培訓工作。培訓時間、參訓人數由采購人確定。

2、網絡安全意識培訓：供應商應為采購人提供針對全員的網絡安全意識培訓，提供不少于2人次的針對管理者和 IT 負責人的安全意識、戰略規劃、信息安全技術等培訓，了解國內外信息安全發展和現狀等。

供應商須在響應文件中列明相應的培訓地點、時間和培訓課程、培訓內容，并提供培訓方案。

三、服務工期要求

1、網絡安全基線核查、漏洞掃描及加固服務：供應商須從合同簽訂之日起15日內完成首季度服務，之后按照每季度一次的頻次提供后續服務。

2、等級保護測評服務：供應商須從合同簽訂之日起30日內，科學、公平、公正的角度編制測評測試報告，最終協助用戶完成定級、備案，并出具最終測評報告等。

3、網絡安全培訓服務：供應商應在按照投標響應文件和合同簽訂時商定的具體時間開展相關培訓服務，并在合同簽訂后的一年內完成所有培訓工作。

四、項目報價方式

報價為系統建設完畢正常運行后的含稅最終價格，不超出預算金額8萬元，報價包含此項目產生的所有費用（二次報價，報價表見附件1）。

五、付款方式

本項目無預付款，雙方簽定合同，完成全部服務內容并經驗收合格開具發票后，根據財政資金到位情況，付至合同約定總價的100%。

六、評分標準

見附件2。

七、其他要求

1.服務原則:

a.符合性原則：符合國家信息安全測評有關規范，指出防范的方針和保護的原則；

b.標準性原則：等級測評發現的安全風險及差距的整改、設計與實施應依據行業、國內、國際的相關標準進行；

c.規范性原則：安全服務提供商在項目實施工作中的過程和文檔，應具有很好的規范性，可以便于項目的跟蹤和控制；

d.可控性原則：安全服務的方法和過程要在雙方認可的范圍之內，保證對于服務工作的可控性；

e.整體性原則：測評及整改建議的范圍和內容應當整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患；

f.最小影響原則：測試及掃描工作應盡可能小的影響系統和網絡的正常運行，不能對各系統的運行和業務產生顯著影響；

g.保密原則：應對服務過程中獲得的數據和結果嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數據進行任何侵害利益的行為，否則有權追究其責任。

2.保密要求:

供應商應提供保密承諾，并簽訂保密承諾書，自簽訂合同之日起至項目驗收，采取必要的控制措施防止因項目實施造成的任何信息泄漏。

3.風險規避:

供應商應提供風險規避聲明，自簽訂合同之日起至服務期結束，采取必要的控制措施防止因項目實施造成的系統運行故障事件發生。

4.管理體系完善：

供應商應同時協助完善規章制度和協助完成問題整改，從而達到網絡安全等級保護（等保2.0）標準。

八、磋商須知

（一）投標方資質要求：

1、持有《營業執照》、《稅務登記證》、《組織機構代碼證》或三證合一證件，且證件在有效期內。

2、認真貫徹顧客至上的經營理念、質量優良，具有良好的信譽和售后服務。

3、符合《中華人民共和國政府采購法》第二十二條的規定。

（二）投標書要求：

1、要求簡易制作，一式五份，密封加蓋單位公章。

2、投標書應包括如下內容：

（1）投標方基本信息；

（2）資質證明材料：各種證件、授權書等須加蓋公章；

（3）投標報價表；

（4）項目實施方案；

（4）服務承諾；

（5）其他資料（證明技術實力的相關資料，如成功案例等）。

九、磋商工作安排

1、資質審查時間：2023年9月26日上午9：00

2、開標時間：2023年9月26日上午9：00

地點：淄博師專項目磋商室（超市樓南側，地點若有變動臨時通知）

3、報名和標書獲取方式：現場報名，從學校網站自行下載標書。

報名截止時間：2023年9月25日下午17：00

答疑咨詢電話：0533—3821899（梁老師）。

招標辦電話：0533－3821161（張老師）。

十、磋商原則

（一）公開、公平、公正的原則。

（二）綜合評比的原則。結合投標方資質、報價、質量與服務、響應標書能力、信譽、業績等因素，由評標小組集體確定中標單位。堅持性價比優先，不保證最低價中標，中標結果不對投標方進行解釋。招標現場滿足招標文件要求的供應商不足2家時，可改為單一談判采購。

（三）嚴肅招標紀律，遵守招標程序，嚴格保密，招標后嚴禁以任何形式將評標意見和商家投標信息透露給其他人員。

附件1：報價表

淄博師范高等專科學校

信息系統網絡安全及等級保護測評服務項目報價表

（招標編號：20230921）

注：報價為項目完畢驗收合格后所有費用含稅總價。

報價單位： （公章）

投標代表簽字： 電話：

報價日期：2023年月日

附件2：評分標準

評審 因素	分值		評分標準
報價 部分 10分	報價得分 10分		滿足招標文件要求且最終評審價格的平均值為評標基準價，其價格分為滿分。其他報價得分=評標基準價/最終評審價×10%×100。超出預算控制價的最終報價為無效報價。
技術 部分 70分	綜合說明 20分		對項目需求理解準確、到位，服務理念層次分明；服務方案內容豐富、清晰明確；工作目標明確；管理制度完善；整體設想和策劃合理可行；服務工作程序規范、切實可行，能夠滿足采購需求的，得20 分；方案中每有一處缺陷或不足之處減 1 分，減完為止。
	重點難點分析 10分	對項目實施過程中的重點、難點分析闡述清晰、明確、透徹詳盡，切合項目實際情況，且應對措施切實可行，實用性強，得10 分；措施中每有一處缺陷或不足之處減 1 分，減完為止
	服務方案 10分	安全服務人員專業、經驗豐富、實用性強、符合本項目要求，得10分；每有一處缺陷或不足之處減 1 分，減完為止。
	管理措施 10分	針對本項目的檔案管理及保密措施是否全面、切實可行，有完善的質量保證體系和質量保證措施、安全保障措施，能有效的保障工作效率及工作成果，得10 分；措施中每有一處缺陷或不足之處減 1 分，減完為止
	培訓方案 10分	培訓工作人員、培訓內容、培訓時間、培訓方法、培訓方案合理，實用性強，符合本項目的實際需求，同時培訓人員熟悉設備性能和操作熟練，得10 分；方案中每有一處缺陷或不足之處減 1 分，減完為止。
	人員配備 10分	人員安排分工明確、專業配置分工合理、人員配備完全優于本項目的服務需求，得10 分；每有一處缺陷或不足之處減 1 分，減完為止。
商務 部分 20分	企業業績 5分		自2020年1月1日以來簽訂的類似業績，每提供一項得2.5分，最高得5分。（投標文件中須提供合同復印件加蓋公章，否則不得分）。
	專業技術能力 5分		①項目經理具有 CISAW 或 CISP 證書的，得 1 分。 ②項目團隊成員每擁有一個 ITIL 認證/系統集成項目管理工程師/CISP/CISAW/高級網絡工程師/高級信息安全師認證證書的，得 1 分，此小項最多得 3 分。 ③團隊人員中具有國家部門頒發的網絡安全培訓講師類認證資質證書的得 1 分。
	服務承諾 10分		服務承諾內容完整包含全部服務流程、后續服務跟進承諾、應急措施服務承諾、響應時間等多項服務內容、且服務內容及措施實用性強，得10 分；由評標委員會根據服務承諾內容完整程度、實用程度以及響應時間等進行評定，每有一處缺陷或不足之處減 1 分，減完為止。