重庆交运城卡科技有限公司网络安全等级保护测评服务（2020-2021）

“城卡公交清算系统（三级）”、“ 交运城卡车联网服务平台（三级）”是我单位的重要信息系统，系统的安全等级保护等级为三级（S3A3G3）。“重庆交运城卡网站信息系统（二级）”是我单位的重要信息系统，系统的安全等级保护等级为二级（S2A2G2）。为了提升系统的安全保护能力，加强信息安全管理，根据《信息安全等级保护管理办法》、《信息安全技术网络安全等级保护基本要求GBT22239-2019》等法规和标准的要求，在充分了解被测系统的情况下从实际出发，结合该系统的构成特点，确定具体的测评对象，建立测评方案和测评指导书，通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。针对互联网Web应用特点，重点对Web应用常见的SQL和代码注入漏洞、跨站脚本、缓冲期溢出、信息泄漏等进行工具扫描和检测，并对系统进行渗透测试，以发现系统存在的高危漏洞和风险。通过测评、风险评估、安全扫描和渗透测试，准确反映待测信息系统的安全防护能力现状，对发现的问题进行深入分析，提出安全整改建议，帮助我单位对系统进行安全建设和改进，确保被测系统达到安全保护相应能力的要求。最终出具信息系统网络安全等级保护测评报告。

服务内容：

重庆交运城卡科技有限公司信息系统安全等级保护测评服务；协助询价单位对涉及系统进行备案。

一、竞标人资质

1.基本条件

(1)具有独立承担民事责任的能力；

(2)具有良好的商业信誉和健全的财务会计制度；

(3)具有履行合同所必需的设备和专业技术能力；

(4)有依法缴纳税收和社会保障资金的良好记录；

(5)参加政府询价活动前三年内，在经营活动中无重大违法记录。

2.特定资格条件

(1)特定资格条件

A.投标方需具有网络安全等级测评资质且是由国家网络安全等级保护工作协调小组办公室推荐的测评机构；如投标方在《全国信息安全等级保护测评机构推荐目录》内，请提供证明资料。

B.具有省级（含直辖市）及以上公安机关信息安全等级保护协调小组办公室颁发的《信息安全等级保护测评机构推荐证书》，能够在公安部网络安全等级保护网www.djbh.net推荐目录中查询到。

C.非重庆市本地等级测评机构，需提供重庆市重要信息系统安全等级保护工作协调小组办公室出具针对本项目的备案证明文件。

(2)测评方必须为本项目成立等级保护测评小组，测评人员均具有公安部认证的测评师证书，持证上岗。测评小组至少3-4人构成（高级或中级测评师至少1人）。现场测评人员必须为测评小组成员，持证上岗。

(3)依据《网络安全等级保护测评方管理办法》相关规定：“属于异地测评项目的，测评方应从项目管理系统中生成测评项目基本情况表，并于测评项目实施前报送或传至被测评网络备案公安机关”。属于异地测评项目的,成交测评方应在合同签订前提交审核通过的《测评项目基本情况表》。如出现不能按时提交或备案不通过的，视为成交测评方不具备签订合同的基本条件，我单位有权按评审排名依序顺延。

二、招标通知书

1、招标通知书由招标采购邀请书、竞标人须知、采购项目名称数量及技术要求、商务要求和响应文件格式要求五部分组成。

2、我公司对已发出的招标通知书进行必要的澄清或者修改，澄清或者修改的内容作为招标通知书的组成部分。

三、竟标文件格式

1、书面响应文件由以下部分组成：

（详见第四章招标采购响应文件格式要求）

2、提交响应文件的份数和签署

（1）响应文件纸质文档5份。

（2）若投标人对投标文件的错处作必要修改，则应在修改处加盖投标人公章或由法人或法人授权代表签字确认。

3、响应文件的递交

（1）响应文件递交时间： 2020年 11 月 26日上午（北京时间： 10：00）。

（2）响应文件递交地点：重庆市南岸区米兰路31号盈讯天地4号楼4层

4、开标时间及地点同上

四、报价要求

本次报价须为人民币报价，应包括履行本项目所必须的所有费用，包括但不限于应计取及国家规定计取的所有费用、交通、人力、差旅、税费、专家评审费及其他管理费用等。投标人的投标报价应已考虑了履行本项目的所有市场风险。

1、成交原则

在符合本次采购要求、质量的前提下，按报价最低的原则确定成交供应商。

第三篇采购项目名称、数量及技术要求

一、货物需求列表

系统名称	服务内容及要求	频次	备注
城卡公交清算系统（三级）	按公安部等保测评标准执行	1次/年	在项目服务周期内，协助用户单位在重大信息安全检查工作或重大网络安全安保工作中，投标单位需向用户提供远程或现场相关的技术服务。
城卡卫星定位安全监控运营服务平台（三级）	按公安部等保测评标准执行	1次/年
门户网站系统（二级）	按公安部等保测评标准执行	1次/年

二、技术要求

项目内容

本项目信息安全等级保护测评目的和测评内容，必须与信息安全等级保护要求相一致。严格按照相关标准的要求实施，加强质量监督和复查，确保测评工作质量。本项目测评人员应依据测评目的和测评内容，选取、实施特定测评操作的方式方法。除按照现行国家和行业信息安全相关规定进行外，主要规范性文件依据有：

(1)《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

(2)《信息安全等级保护管理办法》（公通字[2007]43号）

(3) GB/T20984-2007：《信息安全技术信息安全风险评估规范》

(4) GB/T22239-2019：《信息安全技术网络安全等级保护基本要求》

(5) GB/T28448-2019：《信息安全技术网络安全等级保护测评要求》

(6) GB17859-1999：《信息安全技术计算机信息系统安全保护等级划分准则》

(7) GB∕T28449-2018：《信息安全技术网络安全等级保护测评过程指南》

1、测评范围主要包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。

2、测评指标和对象：测评指标和对象选择须符合国标《GB/T 28448-2019网络安全等级保护测评要求》的相关要求。

技术测评：

（1）安全物理环境测评（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）；

（2）安全通信网络测评（网络架构、通信传输、可信验证）；

（3）安全区域边界测评（边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证）；

（4）安全计算环境测评（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护）；

（5）安全管理中心测评（系统管理、审计管理、安全管理、集中管控）。

管理测评：

（1）安全管理制度测评（安全策略、管理制度、制定和发布、评审和修订）；

（2）安全管理机构测评（岗位设置、人员配备、授权和审批、沟通和合作、审核和检查）；

（3）安全管理人员测评（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）；

（4）安全建设管理测评（定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务测评方选择）；

（5）安全运维管理测评（环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理）。

云计算扩展测评：

（1）安全物理环境测评（基础设施位置）；

（2）安全通信网络测评（网络架构）；

（3）安全区域边界测评（访问控制、入侵防范、安全审计）；

（4）安全计算环境测评（身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护）；

（5）安全管理中心测评（集中管控）；

（6）安全建设管理测评（云服务商选择、供应链管理）；

（7）安全运维管理测评（云计算环境管理）。

移动互联扩展测评：

（1）安全物理环境测评（无线接入点的物理位置）；

（2）安全区域边界测评（边界防护、访问控制、入侵防范）；

（3）安全计算环境测评（移动终端管控、移动应用管控）；

（4）安全建设管理测评（移动应用软件采购、移动应用软件开发）；

（5）安全运维管理测评（配置管理）。

物联网扩展测评：

（1）安全物理环境测评（感知节点设备物理防护）；

（2）安全区域边界测评（接入控制、入侵防范）；

（3）安全计算环境测评（感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理）；

（4）安全运维管理测评（感知节点管理）。

工业控制系统扩展测评：

（1）安全物理环境测评（室外控制设备物理防护）；

（2）安全通信网络（网络架构、通信传输）

（3）安全区域边界测评（访问控制、拨号使用控制、无线使用控制）；

（4）安全计算环境测评（控制设备安全）；

（5）安全建设管理测评（产品采购和使用、外包软件开发）。

实施要求：

1、测评方必须承诺对本项目技术文件以及由用户提供的所有内部资料、技术文档和信息予以保密。测评方须按用户的要求签订保密协议，未经用户书面许可，不得以任何形式向第三方透露本项目的任何内容。

2、测评方在项目实施过程中，需对项目进行规范化管理，要有项目管理组织、项目管理计划、服务资产管理等。同时，测评方应根据项目实际情况制定项目实施计划，严格按照项目实施计划推动项目实施，确保项目进度。

3、测评方应加强本项目资料的保密管控，必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施，记录资料由生成到销毁整个生命周期内的使用日志，并根据实际工作情况及时对制度进行调整。测评方应加强本项目在用户工作场所使用设备，特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备，必须遵守该系统关于终端安全管理、移动存储介质管理等要求。

4、在项目实施过程中，测评方应成立相应的项目组，指定一名专职的项目经理协调和调度项目实施工作。提供信息安全规划、方针、策略和管理制度体系咨询服务，为被测信息系统安全整改和加固提供咨询和技术服务。提供网络安全技术咨询服务。对关键设备、重点网段和高危漏洞进行渗透测试，形成相应的实施和分析报告。

5.应将测评工作对被测信息系统及相关业务的影响告知询价方，双方协商确定测评工作时间安排以减小对询价方正常业务和工作的影响。

6.项目成果

项目成果应包含：系统测评记录、技术测评和管理测评的其他文档、系统等级测评报告。

三、限价

本项目最高限制总价：小于或等于人民币贰拾万元整（小写：￥：200000元）。

第四篇响应文件格式要求

包括：

一、经济部分

（一）报价函

（二）分项报价明细表

二、资格条件及其他

（一）一般资格条件：

1、营业执照副本复印件

2、特定资格条件《信息安全等级保护测评机构推荐证书》

3、法定代表人身份证明书（格式）

4、法定代表人授权委托书（格式）

一、经济部分

（一）投标函（格式）

项目名称：

致：：（采购人名称）：

（投标人名称）系中华人民共和国合法企业，注册地址：。我方就参加本次投标有关事项郑重声明如下：

一、我方完全理解并接受该项目重庆交运城卡科技有限公司文件所有要求。

二、我方提交的所有投标文件、资料都是准确和真实的，如有虚假或隐瞒，我方愿意承担一切法律责任。

三、我方承诺按照重庆交运城卡科技有限公司文件要求，提供重庆交运城卡科技有限公司项目的技术服务。

四、我方按重庆交运城卡科技有限公司文件要求提交的投标文件为：电子文档1份。

五、我方承诺：本次投标的投标有效期为90天。

六、我方投标报价为闭口价。即在投标有效期和合同有效期内，该报价固定不变。

七、如果我方中标，我方将履行重庆交运城卡科技有限公司文件中规定的各项要求以及我方投标文件的各项承诺，按《政府采购法》、《合同法》及合同约定条款承担我方责任。

八、我方未为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务。

九、我方理解，最低报价不是中标的唯一条件。

十、我方同意按有关规定及重庆交运城卡科技有限公司文件要求，缴纳足额投标保证金。

十一、若我方中标，愿意按有关规定及重庆交运城卡科技有限公司文件要求缴纳重庆交运城卡科技有限公司代理服务费和交易服务费。

（投标人公章）

年月日

（二）报价明细表

报价明细表

项目编号：

服务名称	服务内容	数量	单价（）	合计（）	备注
城卡公交清算系统（三级）	按公安部等保测评标准执行	1次/年
城卡卫星定位安全监控运营服务平台（三级）	按公安部等保测评标准执行	1次/年
门户网站系统（二级）	按公安部等保测评标准执行	1次/年

注：1、请供应商完整填写本表。

2、该表可扩展，并逐页签字或盖章。

3、填写不全或超过投标最高限价或未按规定签字或者盖章的，视为无效投标。

供应商名称（公章）：

年月日

二、资格条件及其他

（一）一般资格条件