信息系统网络安全等级保护备案测评外委项目

谈判公告

一、采购项目

中国电建集团河南省电力勘测设计院有限公司将对信息系统网络安全等级保护备案测评外委项目采用公开询比方式进行采购，该项目位于郑州市。本次为依据定级情况，提供对公司三个信息系统开展网络安全等级测评、备案及备案变更服务（测评信息系统包括网络设备、安全设备、信息系统、数据资源等），出具被测信息系统《安全整改建议方案》，协助完成必要的技术整改工作。在服务期内提供漏洞扫描、渗透测试服务、安全评估、应急响应及驻场、安全培训、技术咨询等工作。本项目已具备采购条件，现欢迎符合条件的供应商前来参加。

二、项目概况及要求

1、工作地点

本次信息系统网络安全等级保护备案测评外委项目服务地点位于河南省郑州市。

2、采购依据及目的

为了进一步提升中国电建集团河南省电力勘测设计院有限公司信息系统的安全防护能力和水平，深入贯彻落实《中华人民共和国网络安全法》《信息安全等级保护管理办法》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安[2020]1960号）等要求，中国电建集团河南省电力勘测设计院有限公司计划对单位指定的信息系统开展等级保护测评及安全服务工作，评估公司指定信息系统的网络安全现状，从技术、管理方面查找不足，为公司相关信息系统持续稳定运行提供安全保障。

3、工作内容

3.1采购内容：

依据定级情况，提供对公司三个信息系统开展网络安全等级测评、备案及备案变更服务（测评信息系统包括网络设备、安全设备、信息系统、数据资源等），出具被测信息系统《安全整改建议方案》，协助完成必要的技术整改工作。在服务期内提供漏洞扫描、渗透测试服务、安全评估、应急响应及驻场、安全培训、技术咨询等工作。包括但不限于以下内容：

3.1.1提供等保测评及备案服务。按照国家及行业最新的信息安全等级保护标准要求和技术规范，对我单位的三个信息系统（网络设备、安全设备、信息系统、数据资源等）实施等级保护测评活动，出具符合国家要求格式的《网络安全等级测评报告》，并在测评工作完成后协助我单位及时完成相关的定级、备案或备案变更工作。

服务期限：自签订合同后，自具备入场条件起25个工作日内完成测评工作。

3.1.2提供渗透测试服务。对我单位的网络信息系统涉及的网络设备、安全设备、主机操作系统、数据库系统、应用系统等进行模拟攻击测试，在保证渗透测试过程都在可以控制和调整的范围之内，尽可能的获取目标信息系统的管理权限以及敏感信息，以查找和分析安全漏洞和隐患。渗透测试后出具正式的分析报告和解决方案，针对渗透测试出的问题、漏洞、缺陷等，完成整改及后续验证。

服务频次：合同期内不少于2次

3.1.3提供漏洞扫描服务。对Web、主机、数据库开展安全扫描服务，全方位检测网络中的各类脆弱性风险，全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告，提供专业有效的安全分析和整改建议，满足合规检查要求，减少运维难度，提高网络安全性。每次漏洞扫描后出具正式的分析报告和解决方案，针对扫描出的问题、漏洞、缺陷等，完成整改及后续验证。

服务频次：合同期内不少于2次

3.1.4提供安全风险评估服务。对信息系统进行安全风险评估，提供《安全风险评估报告》，并针对梳理出的安全风险制定有效的加固策略建议，协助做好安全加固。

服务频次：合同期内不少于2次

3.1.5安全整改

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统测评工作的基础上，对信息系统总体信息安全管理和技术方面现状进行全面的分析，制订网络安全等级保护安全建设整改方案，并全程协助完成整改工作，方案内容包含但不限于以下内容：

信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算，整改后可能存在的其他问题。

服务频次：根据用户需求

3.1.6提供网络安全应急响应及驻场服务。建立网络安全应急预案，遇到重大安全事件如网络入侵、大规模病毒爆发、遭受拒绝服务攻击等突发事件时，由具备专业资质的安全工程师以7*24小时远程、电话、邮件及现场等方式提供应急响应支持，并提供一名具备专业资质的技术人员驻场服务，快速恢复系统的保密性、完整性和可用性，确定安全威胁的破坏严重程度，阻止和降低安全威胁带来的影响，分析原因并提供相应的解决方案。

服务频次：根据用户需求

3.1.7网络安全培训服务。对我单位所有网络用户进行日常网络安全常识及使用培训，培训师应具有公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的高级网络（信息）安全等级测评师证书，同时具有中国信息安全测评中心颁发的CISP证书。针对专门从事网络技术的工作人员应由专业人员给予辅导。

服务频次：根据用户需求

3.1.8提供网络安全咨询服务。提供网络安全相关咨询服务，咨询服务内容包括但不限于信息系统安全规划、安全需求分析、安全方案设计、安全培训和运维等。

服务期限：全年度

3.2技术要求：

条款内容	评审标准
服务能力	1）响应人具有公安部第三研究所颁发的“网络安全服务认证证书等级保护测评服务认证”证书，且必须在网络安全等级保护网可查。符合《网络安全等级保护测评机构管理办法》（公信安〔2018〕765号）对测评机构及测评服务的相关要求。（提供证书复印件或扫描件和网络安全等级保护网查询结果，并加盖供应商公章）。 2）响应人具有中国网络安全审查认证和市场监管大数据中心颁发的信息系统安全运维服务资质认证证书（二级及以上）（须提供证书扫描件或复印件、网络截图，并加盖供应商公章）。
团队能力	1）响应人拟配备的项目经理须具有公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的高级网络（信息）安全等级测评师证书，同时具有中国信息安全测评中心颁发的CISP证书及中国网络安全审查技术与认证中心颁发的CISAW（应急服务专业级）证书； 2）响应人拟配置的培训讲师（除项目经理外）须具有公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的高级网络（信息）安全等级测评师证书，同时具有中国信息安全测评中心颁发的CISP证书。 3）响应人拟配备的项目测评组成员（除项目经理外）须不少于4名，均须具备网络（信息）安全等级测评师证书及中国信息安全测评中心颁发的CISP证书，其中高级等级测评师不少于1名，中级测评师不少于1名。 注：以上项目团队人员能力证明须提供证书复印件及其所在供应商单位工作近3个月的社保缴纳证明，并加盖供应商公章。
实施方案	响应人提供本项目整体实施方案，根据国家及省网络安全等保工作的最新要求并结合同类项目的实施经验，提出完善的项目实施方案与服务计划，方案应具有服务针对性，交付物清晰完善。

4、服务要求的形式及成果：本项目须符合国家及地方现行相关标准、规范要求。

5、工期要求

自签订合同后，自具备入场条件起25个工作日内完成测评工作。

6、其他要求

根据国家行业标准，严格按照我方约定的时间、进度、内容要求，提供全面、完整的技术报告。技术服务应满足甲方的需求，并具有科学性、先进性、可行性、针对性和实用性。

三、响应人资格要求

响应人需要具备基本资格和专业资格，具有圆满履行合同的能力，应符合下列条件：

1、具有独立法人资格的企业或其他组织，持有合法有效的企/事业法人营业执照。

2、响应人须具有公安部第三研究所颁发的 “网络安全服务认证证书等级保护测评服务认证”证书，且必须在网络安全等级保护网（https://www.djbh.net/）可查（需提供证书复印件或扫描件和网络安全等级保护网查询结果，并加盖供应商公章）。

3、响应人须具有中国网络安全审查认证和市场监管大数据中心颁发的信息系统安全运维服务资质认证证书（二级及以上）（须提供证书扫描件或复印件、网络截图，并加盖供应商公章）。

4、响应人自2023年1月1日以来（以合同签订时间为准）须具有不少于2个类似项目业绩。（业绩证明材料须提供合同扫描件或中标通知书，内容需包含合同主要服务范围及盖章签字页）。

5、响应人财务状况良好，应具有良好的银行资信和商业信誉，近三年没有处于被责令停业、财产被接管、冻结、破产状态（提供近一年或2024年度经会计师事务所或第三方审计机构审计后的财务报告（企业成立时间不足的按已有年份提供）），无采取非法手段谋取不正当利益的违法、违纪不良记录。

6、响应人、法定代表人、被授权委托人未被列入失信被执行人黑名单，提供“中国执行信息公开网”失信被执行人项相关查询页信息，经查询有失信记录的将被取消投标资格。

7、响应人需提供在“中国裁判文书网”网站对响应人及其法定代表人、被授权委托人近3年（以判决书生效时间开始）行贿犯罪记录的查询结果（查询案由类别为单位行贿、行贿和对单位行贿三种，查询日期须为公告发布之日以后），如有上述行贿犯罪记录不得参与本次投标活动。

8、单位负责人为同一人或者存在控股、管理关系的不同单位，不得同时参加本项目投标；提供在“全国企业信用信息公示系统”中查询打印的相关材料并加盖公章（需包含公司基本信息、股东信息、股权变更信息、行政处罚信息、经营异常名录信息、严重违法失信名单<黑名单>信息）。

9、本项目不允许转委托，不接受联合体投标。

四、**