融通电子商务平台

中交投资有限公司等级保护测评项目

询价 比 采购 公告

中交投资有限公司等级保护测评项目已具备采购条件，现通过中交招采网（ 电子采购平台发布公告，公开邀请供应商参加询价比选采购活动。

1. 采购项目简介

1 .1 采购项目名称： 中交投资有限公司等级保护测评项目

1.2 采购人： 中交投资有限公司

1.3 采购最高限价（如有）： 人民币 ： 20 万元（含税）

1.4 资金来源： 企业自筹，已落实

1.5 采购项目概况： 针对中交投资有限公司3个二级业务系统开展二级等级保护备案及测评工作，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等。完成测评工作后，出具符合公安机关要求的信息系统网络安全等级保护测评报告，完成要求的其他工作内容。

1.6 采购方式： 公开询比采购

2. 采购范围及相关要求（服务类）

2.1 采购范围： 中交投资有限公司3个二级系统等级保护定级备案、等级保护测评，完成要求的其他工作内容 。

2 .2 服务期限 ： 接到中标通知书之日起，7个自然日内完成定级报告及备案表编制，14个自然日内取得公安机关颁发的备案证明，45个自然日内完成信息系统二级等保测评技术服务工作，出具符合公安机关要求的信息系统网络安全等级保护测评报告。

2 .3 服务 地点： 北京市 。

2 .4 质量要求或服务标准

（ 1 ）等级保护定级备案要求：对系统完成定级备案工作：依据《信息安全技术网络安全等级保护定级指南》 , 全流程梳理、辅助填写、共同完善信息系统定级报告与定级备案材料。依据《信息安全技术网络安全等级保护定级指南》组织行业内专家对被测系统网络安全等级保护系统定级报告进行评审。

（ 2 ）资产调研梳理：包括但不限于对信息系统物理环境、网络、终端、应用、数据、安全管理制度、人员、组织、系统运维、系统开发等进行梳理调研。供应商配合客户完成系统业务功能梳理、服务器及数据库资产梳理、物理资产梳理、数据摸底调查、数据风险梳理、系统拓扑图绘制。调研及梳理过程中涉及到与其他部门对接，需供应商自行对接系统开发单位、运维服务商、物业、安全服务商、机房管理处等。

（ 3 ）等级保护测评服务要求：

测评准备：组建项目组，梳理系统基本情况，包括但不限于从基本资料、人员、计划安排等方面出具项目实施方案；查阅系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况；制定等级保护测评服务工具、各种表单等；

安全技术测评：包括但不限于从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面的测评；

安全管理测评：包括但不限于从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的安全测评；

工具测试：针对信息系统进行不低于 1 次漏洞扫描安全服务工作；除等级测评中的漏洞扫描外，需对系统额外开展渗透测试服务。

差距分析：根据现场测评中发现的问题，依照《信息系统安全等级保护基本要求》进行逐个对照，分析信息系统安全情况与等级保护基本要求的差距，完成信息系统等级保护差距分析工作；

整改建议：包括但不限于提供等级保护建设整改建议，根据信息系统的差距分析结果或信息系统存在的风险点，对信息系统技术和管理两个方面进行等级保护整改方案设计，为信息系统的加固实施提供依据。

等级测评：依据国家等级保护最新标准的相关要求，对照甲方的网络安全保障体系的等级保护建设程度，对测评的信息系统开展等级测评工作并出具《等级保护测评报告》。

（4） 制定安全管理制度要求：依据网络安全等级保护相关标准，梳理被测系统现有相关安全管理制度和文档，调研采购方组织架构及人员职责，协助采购方制订网络安全等级保护相关的制度、规定和流程表单等。

（5） 交付物：《项目实施计划方案》 ; 《网络安全等级保护定级报告》 ; 《网络安全等级保护备案表》 ; 等级保护备案证明》《安全整改建议》 ; 《漏洞扫描报告》 ; 《渗透测试报告》《网络安全等级保护测评报告》 ; 《验收确认单》。

（ 6 ）监督检查支持：现场支持公安监管部门及采购方上级单位开展的网络安全执法检查和等级保护系统自查工作，公安监管部门及采购方上级单位所有要求需确保满足。如遇不符合项需要支持整改，并协调公安监管部门及采购方上级单位针对不符合项及整改要求进行确认。

（ 7 ）服务人员要求：项目经理需具备高级测评师证书，项目团队至少具备高级网络安全等级测评师 2 名，中级网络安全等级测评师 3 名，初级网络安全等级测评师 3 名，进行网络安全等级保护测评工作。以上服务人员服务期间需全程驻场。

（ 8 ）技术培训：供应商根据实施状况对采购方进行不少于一次、每次不少于 2 小时相应的技术培训。

3. 供应商资格要求

3 .1 供应商应依法设立且满足如下要求 ：

（ 1 ）资质要求： 须具备公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》、中国网络安全审查认证和市场监管大数据中心颁发的CCRC信息安全服务资质认证证书信息安全风险评估认证证书 。

（ 2 ）业绩要求： 供应商近3年(2022年1月至今)至少具有2个同类型网络安全等级保护测评技术服务业绩，且服务地点位于北京市朝阳区。须提供合同复印件(包括但不限于合同首页、工程量清单页、双方盖章页、总金额页) 。

（ 3 ）其他要求： / 。

3.2 供应商不得存在下列情形之一：

（ 1 ）处于被责令停产停 业 、 暂扣或者吊销执照 、 暂扣或者吊销许可证 、吊销资质证书状态 ；

（ 2 ）进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

（ 3 ） 其他 供应商 不存在被国家网络安全等级保护工作协调小组办公室或网络安全等级保护网（ 通报问题或勒令整改记录，并提供证明文件或者承诺书 。

3.3 本次采购 不接受 （接受或不接受）联合体。