政府采购项目采购需求--系统等保测评、密评及网络安全服务项目

一、需求调查情况
（一）是否开展需求调查
否
（二）需求调查方式：（略）
无
（三）需求调查对象
无
二、需求清单
（一）项目概况
（略）等保测评、（略）络安全服务项目。
（二）采购项目预（概）算
总预算：100万元。本项目共分为2个包，第一包：70万元；第二包：30万元。
（三）技术商务要求
1.技术要求
第一包：网络安全等级保护测评服务
1.1具体服务内容
（略）名称：（略）
1
（略）
2
（略）
3
（略）第三次国土（略）（略）
4
（略）
5
（略）
6
（略）（略）及（略）“多测合一”（略）
7
（略）
8
（略）（略）
9
（略）
10
（略）
11
（略）+（略）
12
（略）（略）
13
（略）
通过等级保护测评服务，确保采购人：（略）
测评的内容包括但不限于以下内容：
安全技术测评：包括安全物理环境、（略）络、（略）域边界、安全计算环境、（略）等五个方面的安全测评。
安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
（1）安全物理环境
根据现场安全测评记录，（略）机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。
（2）（略）络
根据现场安全测评记录，（略）络方面在“网络架构”、“通信传输”、“可信验证””等方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。
（3）（略）域边界
根据现场安全测评记录，（略）（略）域边界现场测评包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等（略）域防范措施进行检查。
（4）安全计算环境
根据现场安全测评记录，（略）安全计算环境现场测评包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等几个方面的测评。
（5）（略）
根据现场安全测评记录，（略）现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中控制”等方面。
（6）安全管理制度
根据现场安全测评记录，（略）在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。
（7）安全管理机构
根据现场安全测评记录，（略）在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。
（8）安全管理人员
根据现场安全测评记录，（略）在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。
（9）安全建设管理
根据现场安全测评记录，（略）在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。
（10）安全运维管理
根据现场安全测评记录，（略）在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“（略）安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。
通过现场测评，（略）现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。
待整改完毕后，进行结果确认，（略）络安全等级保护测评，出具测评报告，并将测评报告报当地公安机关备案。
1.2测评依据
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字[2007]43号）
《（略）络安全等级保护基本要求》（GB/T（略））
《（略）络安全等级保护测评要求》（GB/T（略））
《（略）络安全等级保护安全设计技术要求》（GB/T（略））
《（略）络安全等级保护测评过程指南》（GB/T（略））
★1.3交付成果
项目实施完成后，提供包括但不限于交付物如下：
《网络安全等级保护测评报告》
1.4其他要求
投标人须成立专业项目团队负责本项目。
第2包：（略）络安全服务
一、商用密码应用安全性评估服务
依据国家商用密码相关标准和要求，对采购人：（略）
1.1具体服务内容
（略）进行密码应用安全性评估，测评内容包括但不限于以下内容：
（1）通用测评
（略）中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
（略）中使用的密码技术是否遵循密码相关国家标准和行业标准。
（略）中使用的密码产品、密码服务是否符合法律法规的相关要求。
（2）密码应用技术测评
包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评，（略）的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。
①物理和环境安全测评
针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。
②网络和通信安全测评
针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。
③设备和计算安全测评
针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。
④应用和数据安全测评
针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。
（3）密码应用管理测评
从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评，（略）安全管理机制是否完善，是否能够确保密码技术被合规、正确、有效地实施。
（4）整体测评
（略）结构进行整体安全测评，并采用风险（略）安全造成的影响，提交整体测评与风险评估结果。
（5）报告编制
根据评估结果，按照国家密码管理局要求，编制密码应用安全性评估报告。（略）密码应用情况进行全面排查，梳理密码应用需求，查找风险漏洞，提出科学合规、具体实用、有针对性的密码应用安全整改方案，规范密码应用。
1.2测评依据
GB/T（略）《（略）密码应用基本要求》
《（略）密码应用测评要求》
《（略）密码应用测评过程指南》
《（略）密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
★1.3交付成果
项目实施完成后交付《密码应用安全性评估报告》。
二、网络安全服务
1.1具体服务内容
（1）（略）络安全值守及应急响应服务。重大活动期间提供现场人员支持服务，同时提供远程安全协助。
（2）攻防演练。（略）络安全政策要求，组织对采购单位：（略）
（3）（略）络安全管理人员不少于6课（略）络安全意识培训。
（4）一年二次，每半年一次，对采购人：（略）
（5）一年四次，每季度一次，对采购人：（略）
★1.2交付成果
要求投标人提供包括但不限于交付物如下：
《漏洞扫描报告》
《网络安全巡检年度总结报告》
《攻防演练总结报告》
1.3其他要求
投标人须成立专业项目团队负责本项目。
2.商务要求
★2.1服务期限
自合同签订之日起至项目成果通过专家组验收。
2.2服务地点：（略）
采购人：（略）
★2.3付款方式：（略）
政府采购合同签订生效并完成必要支付准备流程后10个工作日内，支付合同金额的50%；经验收合格并完成必要支付准备流程后10个工作日内，支付合同金额的50%。
2.4服务成果验收
服务期满或完成服务成果后，招标人：（略）
四、公示时间
本项目采购需求公示期限为3日历天。
五、意见反馈方式：（略）
本项目采购需求方案公示期间接受社会公众及潜在供应商的监督。
请遵循客观、公正的原则，对本项目需求方案提出意见或者建议，并请于采购需求公示期限结束前将书面意见反馈至采购人：（略）
采购人：（略）
六、采购需求最终以发布的招标公告、招标文件为准。
七、联系方式：（略）
1.采购人：（略）
名称：（略）
地址：（略）
联系人：（略）