項(xiàng)目概況

2024年恩施高中網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及安全服務(wù)項(xiàng)目的潛在供應(yīng)商應(yīng)在恩施高中校園網(wǎng)上獲取采購(gòu)文件，并于2024年7月4日上午9：55整（北京時(shí)間）?以前提交響應(yīng)文件。

項(xiàng)目基本情況

項(xiàng)目名稱：2024年恩施高中網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及安全服務(wù)項(xiàng)目

基本情況：根據(jù)上級(jí)相關(guān)部門網(wǎng)絡(luò)安全管理要求及相關(guān)標(biāo)準(zhǔn)和規(guī)范，為加強(qiáng)重要信息系統(tǒng)安全防護(hù)工作，排除網(wǎng)絡(luò)安全隱患，結(jié)合我校網(wǎng)絡(luò)安全現(xiàn)狀，需對(duì)我校校園網(wǎng)絡(luò)進(jìn)行全面的滲透測(cè)試和漏洞掃描，并對(duì)智慧校園重新進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。

采購(gòu)方式：詢價(jià)

預(yù)算金額：柒萬(wàn)捌仟元整（小寫：￥78000.00元）

最高限價(jià)：柒萬(wàn)捌仟元整（小寫：￥78000.00元）

（以上費(fèi)用為包干價(jià)，包含所交稅費(fèi)。兩項(xiàng)服務(wù)需分別單獨(dú)報(bào)價(jià)，且報(bào)價(jià)不超過(guò)其單項(xiàng)預(yù)算，總價(jià)得不超過(guò)總預(yù)算，凡是報(bào)價(jià)超過(guò)此限價(jià)的報(bào)價(jià)無(wú)效。） ????????????????????????????????

采購(gòu)需求

等級(jí)保護(hù)測(cè)評(píng)暨網(wǎng)絡(luò)安全服務(wù)清單及預(yù)算詳細(xì)表
服務(wù)項(xiàng)目	系統(tǒng)	定級(jí)級(jí)別	預(yù)算	備注
等級(jí)保護(hù)測(cè)評(píng)	智慧校園	二級(jí)	49000	等保2.0標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全服務(wù)	全校所有信息系統(tǒng)、網(wǎng)絡(luò)及安全設(shè)備	/	29000	提供一年網(wǎng)絡(luò)安全綜合保障服務(wù)，對(duì)測(cè)評(píng)系統(tǒng)及核心機(jī)房網(wǎng)絡(luò)實(shí)施2次網(wǎng)絡(luò)安全漏洞掃描及滲透測(cè)試。
應(yīng)急響應(yīng)	全部服務(wù)器、網(wǎng)絡(luò)和安全設(shè)備	/	義務(wù)支持	對(duì)學(xué)校網(wǎng)絡(luò)安全事件進(jìn)行處置和恢復(fù)
總預(yù)算			78000.00元

(一) 等級(jí)保護(hù)測(cè)評(píng)

參照《GBT22239-2019 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《GB/T28448-2019 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等標(biāo)準(zhǔn)規(guī)范要求，開(kāi)展信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)及整改指導(dǎo)工作。測(cè)評(píng)及整改范圍為項(xiàng)目目標(biāo)所涉及的基礎(chǔ)網(wǎng)絡(luò)環(huán)境、主機(jī)層面、應(yīng)用層、數(shù)據(jù)庫(kù)層及相關(guān)安全輔助設(shè)備與管理制度，需要具備等級(jí)測(cè)評(píng)師或網(wǎng)絡(luò)與信息安全管理員能力人員提供整改咨詢指導(dǎo)，服務(wù)目標(biāo)為最終通過(guò)公安部門及相關(guān)部門的等級(jí)保護(hù)檢查要求。

須完成服務(wù)項(xiàng)目清單中所有系統(tǒng)及其要求的定級(jí)級(jí)別等級(jí)保護(hù)測(cè)評(píng)備案，須取得上級(jí)網(wǎng)絡(luò)安全部門的備案證書，以及上級(jí)相關(guān)文件本文件中要求的工作。

(二) 網(wǎng)絡(luò)安全服務(wù)

服務(wù)項(xiàng)目清單中網(wǎng)絡(luò)安全服務(wù)：提供一年網(wǎng)絡(luò)安全綜合保障服務(wù)，對(duì)測(cè)評(píng)系統(tǒng)實(shí)施網(wǎng)絡(luò)安全漏洞掃描及滲透測(cè)試，一年 2 次，每隔半年進(jìn)行一次：

應(yīng)用信息系統(tǒng)漏洞檢測(cè)：服務(wù)期內(nèi)開(kāi)展 2 次漏洞檢測(cè)。對(duì)測(cè)評(píng)系統(tǒng)進(jìn)行安全掃描服務(wù)，通過(guò)對(duì)信息系統(tǒng)及其部署的服務(wù)器進(jìn)行漏洞掃描，發(fā)現(xiàn)應(yīng)用系統(tǒng)的安全漏洞，漏洞掃描服務(wù)主要是根據(jù)已有的安全漏洞知識(shí)庫(kù)，模擬黑客的攻擊方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備等各種信息資產(chǎn)所存在的安全隱患和漏洞。掃描的方式可以采用工具進(jìn)行網(wǎng)絡(luò)掃描。利用漏洞掃描工具掃描網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、交換機(jī)等，以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全漏洞檢測(cè)和分析，對(duì)識(shí)別出的能被入侵者用來(lái)非法進(jìn)入網(wǎng)絡(luò)或者非法獲取信息資產(chǎn)的漏洞，提醒安全管理員，及時(shí)完善安全策略，降低安全風(fēng)險(xiǎn)。（提供漏洞掃描報(bào)告）

滲透性測(cè)試：服務(wù)期內(nèi)開(kāi)展 2 次滲透測(cè)試。主要是模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試，目的是侵入系統(tǒng)，獲取系統(tǒng)控制權(quán)并將入侵的過(guò)程和

細(xì)節(jié)產(chǎn)生報(bào)告給用戶，由此證實(shí)用戶系統(tǒng)所存在的安全威脅和風(fēng)險(xiǎn)，并能及時(shí)提醒安全管理員完善安全策略。通過(guò)模擬黑客對(duì)目標(biāo)系統(tǒng)進(jìn)行遠(yuǎn)程安全檢測(cè)，對(duì)系統(tǒng)的任何弱點(diǎn)、

技術(shù)缺陷或漏洞進(jìn)行主動(dòng)分析，并且以有利于攻擊為目的而對(duì)漏洞加以利用，以發(fā)現(xiàn)并驗(yàn)證其存在的安全隱患，評(píng)估系統(tǒng)抗攻擊能力，全面了解和掌握應(yīng)用系統(tǒng)所面臨的安全威脅和存在的風(fēng)險(xiǎn)。（提供滲透測(cè)試報(bào)告）

每次滲透測(cè)試及漏洞檢測(cè)分兩個(gè)階段。第一個(gè)階段根據(jù)滲透測(cè)試和漏洞檢測(cè)情況出具漏洞掃描報(bào)告和滲透測(cè)試報(bào)告；第二階段為整改及復(fù)測(cè)，由信息系統(tǒng)或者設(shè)備承建公

司根據(jù)報(bào)告進(jìn)行整改，在整改期間，安全測(cè)評(píng)公司根據(jù)實(shí)際情況提供技術(shù)協(xié)助和指導(dǎo)，以期更好更快有效完成整改，整改完畢后，再次進(jìn)行滲透測(cè)試和漏洞檢測(cè)復(fù)測(cè)，并出具漏洞掃描報(bào)告和滲透測(cè)試報(bào)告。

(三) 應(yīng)急響應(yīng)

當(dāng)學(xué)校出現(xiàn)網(wǎng)絡(luò)安全事件時(shí)，公司需立即提供應(yīng)急響應(yīng)技術(shù)服務(wù)，快速處置網(wǎng)絡(luò)安全事件。次數(shù)不受限制。

標(biāo)準(zhǔn)和規(guī)范

一、標(biāo)準(zhǔn)和規(guī)范

《GBT 20272—2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》

《GBT 20273—2006 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》

《GB/T 22240—2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》

《GBT 22239—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

《GB/T 25070—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》

《GB/T 28448—2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》

《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43 號(hào)文件）

《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360 號(hào)）

二、實(shí)施原則

本項(xiàng)目實(shí)施方案設(shè)計(jì)與具體實(shí)施必須滿足以下原則：

1. 保密原則：對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害招標(biāo)方的行為。

2. 標(biāo)準(zhǔn)性原則：測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。

3. 規(guī)范性原則：工作中的過(guò)程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制。

4. 可控性原則：項(xiàng)目安排工作進(jìn)度要跟上進(jìn)度表的安排，保證工作的可控性。

5. 最小影響原則：測(cè)評(píng)工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)，并在可控范圍內(nèi)；測(cè)評(píng)工作不能對(duì)現(xiàn)有信息系統(tǒng)的正常運(yùn)行、業(yè)務(wù)的正常開(kāi)展產(chǎn)生任何影響。

6. 整體性原則：測(cè)評(píng)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括國(guó)家等級(jí)保護(hù)相關(guān)要求涉及的各個(gè)層面。

三、整體要求

1. 供應(yīng)商應(yīng)詳細(xì)描述本次信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案，包括項(xiàng)目概述、等級(jí)保護(hù)測(cè)評(píng)方案、測(cè)試過(guò)程中需使用測(cè)試設(shè)備清單、時(shí)間安排、階段性文檔提交

等。

2. 供應(yīng)商提供本項(xiàng)目的測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分（參與現(xiàn)場(chǎng)項(xiàng)目經(jīng)理具備中級(jí)及以上測(cè)評(píng)資質(zhì)或信息安全管理體系 ISO27001 主任審核員資質(zhì)）。參與本

項(xiàng)目測(cè)評(píng)人員不少于 5 人，應(yīng)配置有等級(jí)測(cè)評(píng)資質(zhì)或網(wǎng)絡(luò)與信息安全管理員等專業(yè)人員進(jìn)行本次信息安全等級(jí)保護(hù)測(cè)評(píng)工作，測(cè)評(píng)人員需要具備豐富的等級(jí)保護(hù)測(cè)評(píng)經(jīng)驗(yàn)。

3. 供應(yīng)商具備公安部第三研究所認(rèn)證發(fā)放的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》、具有中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心出具的專業(yè)信息安全服務(wù)資質(zhì)）。

4. 本次信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中所使用到的各種工具軟件由成交人推薦，經(jīng)采購(gòu)人確認(rèn)后由成交人提供并在信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)中使用。

5. 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)需要的運(yùn)行環(huán)境（如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等）由采購(gòu)人提供，供應(yīng)商應(yīng)詳細(xì)描述需要的運(yùn)行環(huán)境的具體要求。

6. 供應(yīng)商必須具備項(xiàng)目所在省售后服務(wù)能力，出現(xiàn)安全事件能第一時(shí)間達(dá)到用戶現(xiàn)場(chǎng)，要求售后服務(wù)團(tuán)隊(duì)成員不少于 10 人（需要提供近半年項(xiàng)目所在省的社保證明）。

7. 專用工具要求

本項(xiàng)目涉及工程實(shí)施和驗(yàn)收測(cè)試所需的工具，由供應(yīng)商負(fù)責(zé)提供。用于測(cè)評(píng)的工具主要包括服務(wù)器安全測(cè)評(píng)工具、網(wǎng)絡(luò)設(shè)備安全測(cè)評(píng)工具、終端計(jì)算機(jī)安全測(cè)評(píng)工具、網(wǎng)站等應(yīng)用系統(tǒng)安全測(cè)評(píng)工具等。在使用前，應(yīng)對(duì)工具進(jìn)行測(cè)評(píng)，如果需要?jiǎng)t對(duì)工具進(jìn)行軟件或代碼升級(jí)。

8. 安全管理要求

為做好全過(guò)程的安全保密工作，在等級(jí)保護(hù)測(cè)評(píng)前、中、后三個(gè)階段都要做好安全保密工作。

9. 等級(jí)保護(hù)測(cè)評(píng)前

(1)對(duì)等級(jí)保護(hù)測(cè)評(píng)人員要進(jìn)行安全保密教育，制定安全保密措施。

(2)簽訂安全保密協(xié)議。

10. 等級(jí)保護(hù)測(cè)評(píng)中

(1)對(duì)被測(cè)單位的性質(zhì)、機(jī)房物理位置、網(wǎng)絡(luò)與系統(tǒng)、應(yīng)用與服務(wù)、資料與數(shù)據(jù)、人員與管理等方面的信息進(jìn)行嚴(yán)格的安全保密管理。

(2)等級(jí)保護(hù)測(cè)評(píng)工具應(yīng)經(jīng)過(guò)嚴(yán)格測(cè)試和檢驗(yàn)，確保不對(duì)被測(cè)評(píng)系統(tǒng)造成損失，工作結(jié)束后不駐留任何程序。

(3)對(duì)被測(cè)單位信息系統(tǒng)的信息資產(chǎn)、發(fā)現(xiàn)的脆弱性和發(fā)生過(guò)的安全事件等威脅情況要控制知情范圍。

(4)對(duì)測(cè)評(píng)設(shè)備、介質(zhì)進(jìn)行嚴(yán)格的保密管理。

(5)工作過(guò)程中對(duì)人員要實(shí)施封閉式集中管理.

(6)對(duì)進(jìn)場(chǎng)人員遵守被測(cè)單位的相關(guān)管理規(guī)定。

11. 等級(jí)保護(hù)測(cè)評(píng)后

(1)認(rèn)真清退各種文檔、資料和數(shù)據(jù)并予以銷毀，確保工作過(guò)程中敏感數(shù)據(jù)不被泄漏。

(2)現(xiàn)場(chǎng)工作結(jié)束后，按被測(cè)單位的要求及時(shí)還原系統(tǒng)，確保系統(tǒng)中不遺留任何代碼或可執(zhí)行程序。

(3)在其他風(fēng)險(xiǎn)測(cè)評(píng)任務(wù)或宣傳材料中不涉及被測(cè)單位的秘密、敏感情況。

12. 文檔要求

文檔或報(bào)告的編寫應(yīng)完整清晰、用詞規(guī)范、簡(jiǎn)明扼要，指出的問(wèn)題應(yīng)明確合理、符合邏輯、且有證據(jù)，出具的結(jié)論應(yīng)公正客觀、實(shí)事求是，提出的建議應(yīng)符合國(guó)家標(biāo)準(zhǔn)規(guī)范、富有建設(shè)性和可操作性。

13. 售后服務(wù)

供應(yīng)商應(yīng)承諾能按要求實(shí)現(xiàn)本技術(shù)規(guī)范規(guī)定的所有條款及功能要求，配合完成相關(guān)政府部門的信息安全等級(jí)保護(hù)相關(guān)（登記、整改等）工作要求。

本項(xiàng)目不接受聯(lián)合體投標(biāo)，不接受未報(bào)名的供應(yīng)商參與報(bào)價(jià)，不允許分包轉(zhuǎn)包。

申請(qǐng)人的資格要求

1、滿足《中華人民共和國(guó)政府采購(gòu)法》第二十二條規(guī)定，即：

（1）具有獨(dú)立承擔(dān)民事責(zé)任的能力；

（2）具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度；

（3）具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力；

（4）有依法繳納稅收和社會(huì)保障資金的良好記錄；

（5）參加政府采購(gòu)活動(dòng)前三年內(nèi)，在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄；

（6）法律、行政法規(guī)規(guī)定的其他條件。

2、單位負(fù)責(zé)人***

3、必須具有公安部第三研究所認(rèn)證發(fā)放的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》。

4、應(yīng)未被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單，未被列入政府采購(gòu)嚴(yán)重違法失信行為記錄名單；

服務(wù)目標(biāo)技術(shù)要求及商務(wù)要求

一、 服務(wù)目標(biāo)

按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。”以及《信息安全等級(jí)保護(hù)管理辦法》的要求選擇測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作。

為做好網(wǎng)絡(luò)安全保障工作，按照“全面排查風(fēng)險(xiǎn)、及時(shí)發(fā)現(xiàn)預(yù)警、快速有效處置、確保萬(wàn)無(wú)一失”的工作目標(biāo)，確保關(guān)鍵敏感時(shí)期不發(fā)生網(wǎng)絡(luò)安全事件，保障重要信息系統(tǒng)平穩(wěn)運(yùn)行，擬對(duì)重要系統(tǒng)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)和網(wǎng)絡(luò)安全保障服務(wù)工作。

(一) 項(xiàng)目整體目標(biāo)

1. 滿足網(wǎng)絡(luò)安全法相關(guān)要求，落實(shí)信息系統(tǒng)等級(jí)保護(hù)制度要求；

2. 提高單位的信息系統(tǒng)安全防護(hù)水平，進(jìn)一步保障業(yè)務(wù)安全運(yùn)行，滿足等級(jí)保護(hù)2.0 新標(biāo)準(zhǔn)要求；

3. 對(duì)校園網(wǎng)絡(luò)及核心機(jī)房服務(wù)器、網(wǎng)絡(luò)和安全設(shè)備進(jìn)行滲透測(cè)試和漏洞掃描，全面排查可能存在漏洞及安全威脅。

4. 在項(xiàng)目實(shí)施中建設(shè)單位的安全管理隊(duì)伍，提高人員素質(zhì)。

(二) 安全技術(shù)目標(biāo)

按照等保要求加強(qiáng)網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)安全防護(hù)；對(duì)單位重要應(yīng)用進(jìn)行應(yīng)用安全防護(hù)；

(三) 安全管理目標(biāo)

1. 完善單位安全管理制度和體系；形成完整、統(tǒng)一的安全運(yùn)維管理平臺(tái)；

2. 對(duì)網(wǎng)絡(luò)中服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備存在的漏洞進(jìn)行定期掃描和滲透測(cè)試，并進(jìn)行修復(fù)，每年定期進(jìn)行漏掃和滲透測(cè)試服務(wù)，并在出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題或者安全漏洞時(shí)候提供應(yīng)急支持。

二、 測(cè)評(píng)內(nèi)容要求

根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)應(yīng)包括以下內(nèi)容：

安全技術(shù)測(cè)評(píng)：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等五個(gè)方面的安全測(cè)評(píng)；

安全管理測(cè)評(píng)：包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。

1.服務(wù)內(nèi)容要求

協(xié)助開(kāi)展系統(tǒng)和重要信息系統(tǒng)的自查自評(píng)估工作，對(duì)存在的風(fēng)險(xiǎn)隱患和安全問(wèn)題及時(shí)提供有針對(duì)性的安全整改建議，保障整改措施的落實(shí)，指導(dǎo)完成重要信息系統(tǒng)的定級(jí)、備案等相關(guān)工作；

依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，從安全技術(shù)和管理兩個(gè)方面共十個(gè)層面對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，出具等級(jí)測(cè)評(píng)報(bào)告。

針對(duì)信息系統(tǒng)等保測(cè)評(píng)實(shí)施過(guò)程中發(fā)現(xiàn)的安全隱患和薄弱環(huán)節(jié)，提供安全建設(shè)整改和安全加固方面的咨詢。

提供國(guó)家和行業(yè)有關(guān)信息安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)方面的知識(shí)培訓(xùn)和安全管理咨詢，增強(qiáng)信息安全意識(shí)。

項(xiàng)目	服務(wù)內(nèi)容	工作描述
等級(jí)測(cè)評(píng)	項(xiàng)目準(zhǔn)備及現(xiàn)場(chǎng)調(diào)研	協(xié)助對(duì)信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、終端、數(shù)據(jù)、安全管理等進(jìn)行調(diào)研。
	信息系統(tǒng)定級(jí)、備案	疏理信息系統(tǒng)定級(jí)工作，完成信息系統(tǒng)定級(jí)報(bào)告及定級(jí)材料的準(zhǔn)備； 整理、補(bǔ)充信息系統(tǒng)備案所有相關(guān)的文檔，指導(dǎo)用戶方完成相應(yīng)信息系統(tǒng)等級(jí)保護(hù)備案工作。
	信息系統(tǒng)差距分析	對(duì)定級(jí)的信息系統(tǒng)，依照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行逐個(gè)對(duì)照，由具備等級(jí)測(cè)評(píng)師、網(wǎng)絡(luò)與信息安全管理員或同等技術(shù)能力資質(zhì)的服務(wù)人員對(duì)信息系統(tǒng)安全情況與等級(jí)保護(hù)基本要求的差距進(jìn)行評(píng)估，完成信息系統(tǒng)等級(jí)保護(hù)差距分析報(bào)告。
	等級(jí)保護(hù)安全整改	協(xié)助落實(shí)相關(guān)的等級(jí)保護(hù)建設(shè)整改工作，等級(jí)保護(hù)整改實(shí)施具體內(nèi)容包括安全管理制度修訂、安全技術(shù)整改、形成安全配置基線、輔助進(jìn)行安全增強(qiáng)配置和調(diào)試指導(dǎo)工作等工作內(nèi)容，提升信息系統(tǒng)的安全防護(hù)能力，確保信息系統(tǒng)滿足國(guó)家等級(jí)保護(hù)相應(yīng)等級(jí)要求。
	等級(jí)保護(hù)測(cè)評(píng)	參照《GBT22239-2019 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《GB/T28448-2019 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等標(biāo)準(zhǔn)規(guī)范要求，對(duì)信息系統(tǒng)開(kāi)展信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作。
	成果	服務(wù)目標(biāo)為通過(guò)公安部門的等級(jí)保護(hù)檢查，輸出《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告》 協(xié)助用戶取得公安機(jī)關(guān)備案證明（已備案信息系統(tǒng)不需要再次出具備案證明）。

1.1 安全物理環(huán)境

物理安全測(cè)評(píng)是對(duì)信息系統(tǒng)的機(jī)房和辦公場(chǎng)所的物理位置選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等方面的安全狀況。

1.2 安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)安全測(cè)評(píng)是對(duì)信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)情況進(jìn)行測(cè)評(píng)，包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)邊界完整性測(cè)評(píng)、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面的安全狀況。

1.3 安全區(qū)域邊界

安全區(qū)域邊界是對(duì)信息系統(tǒng)的邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證等方面的安全狀況。

1.4 安全計(jì)算環(huán)境

安全計(jì)算環(huán)境是對(duì)信息系統(tǒng)的身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)等方面的安全狀況。

1.5 安全管理中心

安全管理中心是對(duì)信息系統(tǒng)的系統(tǒng)管理、審計(jì)管理、安全管理、集中管控進(jìn)行測(cè)評(píng)。

1.6 安全管理制度

安全管理制度測(cè)評(píng)是對(duì)信息系統(tǒng)的安全策略、管理制度、制定和發(fā)布、評(píng)審和修訂等情況進(jìn)行測(cè)評(píng)。

1.7 安全管理機(jī)構(gòu)

安全管理機(jī)構(gòu)測(cè)評(píng)是對(duì)信息系統(tǒng)的崗位設(shè)置、人員配備、授權(quán)與審批、溝通和合作、審核和檢查等情況進(jìn)行測(cè)評(píng)。

1.8 安全管理人員

人員安全管理測(cè)評(píng)是對(duì)信息系統(tǒng)相關(guān)內(nèi)部人員的人員錄用、人員離崗安全意識(shí)教育和培訓(xùn)、外部人員訪問(wèn)管理等情況進(jìn)行測(cè)評(píng)。

1.9 安全建設(shè)管理

系統(tǒng)建設(shè)管理測(cè)評(píng)是對(duì)信息系統(tǒng)建設(shè)過(guò)程中的、測(cè)試驗(yàn)收、系統(tǒng)交付、等級(jí)測(cè)評(píng)服務(wù)供應(yīng)商管理等情況進(jìn)行測(cè)評(píng)。

1.10 安全運(yùn)維管理

系統(tǒng)運(yùn)維管理測(cè)評(píng)是對(duì)信息系統(tǒng)運(yùn)行維護(hù)過(guò)程中的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理等情況進(jìn)行測(cè)評(píng)。

三、 安全服務(wù)內(nèi)容要求

1. 漏洞掃描服務(wù)

對(duì)本次信息系統(tǒng)的安全性進(jìn)行漏洞測(cè)試，采用漏洞掃描工具對(duì)客戶方的主機(jī)（應(yīng)用）系統(tǒng)進(jìn)行掃描，進(jìn)一步發(fā)現(xiàn)深層次的問(wèn)題，主要對(duì)服務(wù)器、數(shù)據(jù)庫(kù)及中間件進(jìn)行安全掃描，識(shí)別系統(tǒng)存在的安全漏洞。

服務(wù)完成后提供以下的輸出物：《漏洞掃描報(bào)告》

服務(wù)頻率：一年兩次

2. 滲透測(cè)試

對(duì)本次應(yīng)用系統(tǒng)的安全弱點(diǎn)模擬真正的黑客入侵攻擊方法，以人工滲透為主，以漏洞掃描工具為輔，在保證整個(gè)滲透測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標(biāo)信息系統(tǒng)的管理權(quán)限以及敏感信息。

服務(wù)完成后提供以下文檔：《滲透測(cè)試報(bào)告》

服務(wù)頻率：一年兩次

3. 應(yīng)急響應(yīng)服務(wù)

當(dāng)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運(yùn)行的安全事件時(shí)，第一時(shí)間響應(yīng)并進(jìn)行處理，進(jìn)一步查找入侵來(lái)源，還原入侵事故過(guò)程，同時(shí)給出解決方案與防范措施，為客戶挽回或減少經(jīng)濟(jì)損失。

服務(wù)內(nèi)容分為遠(yuǎn)程技術(shù)支持和現(xiàn)場(chǎng)應(yīng)急響應(yīng)。遠(yuǎn)程技術(shù)支持，包括電話支持和遠(yuǎn)程支持等；現(xiàn)場(chǎng)應(yīng)急響應(yīng)則要求在一定時(shí)間內(nèi)到達(dá)客戶現(xiàn)場(chǎng)，對(duì)于客戶網(wǎng)絡(luò)信息系統(tǒng)的重大網(wǎng)絡(luò)安全事件，提供應(yīng)急響應(yīng)服務(wù)，派遣安全工程師趕往客戶現(xiàn)場(chǎng)排查故障原因，恢復(fù)客戶信息系統(tǒng)的運(yùn)行。

服務(wù)完成后提交以下文檔：《安全應(yīng)急響應(yīng)事件報(bào)告》

四、 測(cè)評(píng)風(fēng)險(xiǎn)規(guī)避要求

項(xiàng)目開(kāi)展工作涉及到單位重要信息系統(tǒng)和數(shù)據(jù)，在測(cè)評(píng)過(guò)程中必須加強(qiáng)安全保密管理與風(fēng)險(xiǎn)控制。

指定項(xiàng)目經(jīng)理為專人負(fù)責(zé)信息安全測(cè)評(píng)過(guò)程中的安全保密管理工作，對(duì)測(cè)評(píng)活動(dòng)、測(cè)評(píng)人員以及相關(guān)文檔和數(shù)據(jù)進(jìn)行安全保密管理，對(duì)重點(diǎn)設(shè)備的技術(shù)檢測(cè)進(jìn)行監(jiān)督，對(duì)接入的檢測(cè)設(shè)備進(jìn)行控制。項(xiàng)目經(jīng)需理具備中級(jí)及以上測(cè)評(píng)資質(zhì)或 ISO27001 主任審核員資質(zhì)，具備豐富的等級(jí)保護(hù)測(cè)評(píng)經(jīng)驗(yàn)。

安全測(cè)評(píng)工作中可能出現(xiàn)的安全風(fēng)險(xiǎn)點(diǎn)，按照檢測(cè)對(duì)象周密制定測(cè)評(píng)方法，根據(jù)被測(cè)評(píng)對(duì)象的不同采取相應(yīng)的風(fēng)險(xiǎn)控制手段。不限于以下方法：

1.操作的申請(qǐng)和監(jiān)護(hù)

在實(shí)施過(guò)程中必須遵守的相關(guān)操作章程，以防止敏感信息泄漏和確保及時(shí)處理意外事件。

2．操作時(shí)間控制

對(duì)測(cè)評(píng)直接影響系統(tǒng)工作時(shí)，盡可能避開(kāi)敏感時(shí)期。

3.人員與數(shù)據(jù)管理

必須高度重視信息保密工作，加強(qiáng)資料管理，確保人員可靠、穩(wěn)定和可控。測(cè)評(píng)與被測(cè)評(píng)單位之間應(yīng)簽署長(zhǎng)期保密協(xié)議，測(cè)評(píng)人員與被測(cè)評(píng)單位之間也要有相應(yīng)的約束和控制措施，按國(guó)家有關(guān)要求做好保密工作。

4.制定應(yīng)急預(yù)案

根據(jù)測(cè)評(píng)范圍界定的系統(tǒng)情況，在實(shí)施前制定應(yīng)急預(yù)案。

5．關(guān)鍵業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)控制

對(duì)影響較大的重要關(guān)鍵業(yè)務(wù)系統(tǒng)在無(wú)法搭建模擬環(huán)境情況下，原則上不采用測(cè)評(píng)工具，采用訪談、測(cè)評(píng)和簡(jiǎn)單測(cè)試的方式進(jìn)行。

6．優(yōu)化掃描策略

分類掃描:對(duì)不同的主機(jī)和設(shè)備類型執(zhí)行不同的掃描會(huì)話，從而減少不必要的脆弱項(xiàng)目測(cè)試。

針對(duì)掃描對(duì)象細(xì)化掃描策略：對(duì)不同類型的主機(jī)或設(shè)備，需要根據(jù)其上不同的應(yīng)用和服務(wù)情況，有針對(duì)性地定制掃描策略選項(xiàng)。

7．?dāng)?shù)據(jù)備份與恢復(fù)

對(duì)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)主機(jī)，應(yīng)對(duì)其上數(shù)據(jù)進(jìn)行備份，防止測(cè)評(píng)過(guò)程中對(duì)設(shè)備與主機(jī)的損傷影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

8．廠商協(xié)作

廠商需要提供各應(yīng)用系統(tǒng)的名稱、版本、協(xié)議、開(kāi)發(fā)語(yǔ)言、進(jìn)程名和相應(yīng)的端口號(hào)等信息，在測(cè)評(píng)之前，由三方共同分析測(cè)評(píng)對(duì)業(yè)務(wù)可能造成的風(fēng)險(xiǎn)，分析可能存在的問(wèn)題。在測(cè)評(píng)過(guò)程中盡量規(guī)避這些風(fēng)險(xiǎn)。

?報(bào)價(jià)及支付要求

(一) 報(bào)價(jià)要求

服務(wù)項(xiàng)目清單中，應(yīng)急響應(yīng)為義務(wù)支持，不單獨(dú)報(bào)價(jià)，所需費(fèi)用包含在網(wǎng)絡(luò)安全服務(wù)中。等級(jí)保護(hù)測(cè)評(píng)和網(wǎng)絡(luò)安全服務(wù)兩個(gè)服務(wù)項(xiàng)目需分開(kāi)單獨(dú)報(bào)價(jià)且分別不超過(guò)其獨(dú)自預(yù)算。

(二) 支付要求

1. 等級(jí)保護(hù)測(cè)評(píng)完成所有工作后并取得定級(jí)備案證書和要求的其他文件后，全額支付等級(jí)保護(hù)測(cè)評(píng)相關(guān)費(fèi)用；

2. 網(wǎng)絡(luò)安全服務(wù)完成第一次服務(wù)，支付 50%；完成第二次服務(wù)且合同有效期一年滿后，支付剩余的 50%。

獲取采購(gòu)文件

時(shí)間：2024年7月1日至2024年7月3日

地點(diǎn)：恩施高中校園網(wǎng)：http://www.esgz.com/

方式：通過(guò)恩施高中校園網(wǎng)下載

供應(yīng)商報(bào)名、提交投標(biāo)文件要求和截止時(shí)間、開(kāi)標(biāo)時(shí)間及地點(diǎn)

1、凡有意參加競(jìng)標(biāo)者，于2024年7月1日至2024年7月3日下載《報(bào)名登記表》。供應(yīng)商將填寫的《報(bào)名登記表》于2024年7月1日至2024年7月3日（法定節(jié)假日除外）：上午8:30—12:00、下午14：30—17:00）交至恩施高中辦公樓?405 室確認(rèn)，未經(jīng)確認(rèn)的報(bào)名為無(wú)效報(bào)名。

2、遞交響應(yīng)文件方式

（1）報(bào)價(jià)文件必須密封完好，裝訂成冊(cè)，并在密封處加蓋公章。

（2）供應(yīng)商報(bào)價(jià)文件應(yīng)當(dāng)包括：①統(tǒng)一社會(huì)信用代碼證復(fù)印件1份（加蓋公章）；②該項(xiàng)目的報(bào)價(jià)表1份（加蓋公章）；③應(yīng)未被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單，未被列入政府采購(gòu)嚴(yán)重違法失信行為記錄名單的網(wǎng)頁(yè)查詢打印件（加蓋公章）；④提供公安部第三研究所認(rèn)證發(fā)放的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》復(fù)印件（加蓋公章）；⑤提供中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心出具的專業(yè)信息安全服務(wù)資質(zhì)復(fù)印件（加蓋公章）；⑥提供本項(xiàng)目的測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分文件（加蓋公章）；⑦提供參與現(xiàn)場(chǎng)項(xiàng)目經(jīng)理的中級(jí)及以上測(cè)評(píng)資質(zhì)或信息安全管理體系 ISO27001 主任審核員資質(zhì)的復(fù)印件（加蓋公章）。⑧提供參與本項(xiàng)目測(cè)評(píng)不少于 5 人的等級(jí)測(cè)評(píng)資質(zhì)或網(wǎng)絡(luò)與信息安全管理員等相關(guān)資質(zhì)復(fù)印件（加蓋公章）；⑨提供出現(xiàn)安全事件能第一時(shí)間達(dá)到用戶現(xiàn)場(chǎng)的承諾書（加蓋公章），以及不少于 10 人的售后服務(wù)團(tuán)隊(duì)成員近半年項(xiàng)目所在省的社保證明；⑩提供“指定項(xiàng)目經(jīng)理為專人負(fù)責(zé)信息安全測(cè)評(píng)過(guò)程中的安全保密管理工作，對(duì)測(cè)評(píng)活動(dòng)、測(cè)評(píng)人員以及相關(guān)文檔和數(shù)據(jù)進(jìn)行安全保密管理，對(duì)重點(diǎn)設(shè)備的技術(shù)檢測(cè)進(jìn)行監(jiān)督，對(duì)接入的檢測(cè)設(shè)備進(jìn)行控制”的服務(wù)承諾書（加蓋公章）。

3、?密封報(bào)價(jià)文件遞交截止時(shí)間：2024年7月4日上午9：55整（北京時(shí)間）以前，逾時(shí)或不符合規(guī)定的報(bào)價(jià)文件恕不接受。

4、開(kāi)標(biāo)時(shí)間及地點(diǎn)：2024年7月4日上午10:00，恩施高中新行政樓405辦公室。

公告期限

自公告發(fā)布之日起3個(gè)工作日。

凡對(duì)本次采購(gòu)提出詢問(wèn)，請(qǐng)按以下方式聯(lián)系：

1、采購(gòu)人聯(lián)系方式***

聯(lián)系人***

聯(lián)系電話***

2、項(xiàng)目聯(lián)系方式***

聯(lián)系人***

聯(lián)系電話***